2021.07.06

미국과 영국, 러시아 GRU의 브루트 포스 캠페인에 대응한 '공동 지침' 발표

미국과 영국의 사이버보안 및 법 집행기관(NSA, FBI, CISA 및 NCSC)들은 7월 1일 러시아 정보 기관의 표적 및 공격 방법론에 관한 방어 지침을 이례적으로 발표하면서 각 국가와 전세계의 기업을 보호하기 위해 힘을 합쳤다. 
 
ⓒ Getty Images Bank

미국과 영국 정보국 간의 정보 공유는 어제오늘 일이 아니지만, 이번 지침의 공개적인 발표는 주목할 만하며, 기업 규모에 관계없이 모든 CISO가 참여해야 한다. 


러시아 GRU 글로벌 브루트 포스 캠페인이란  

러시아 GRU 글로벌 브루트 포스 캠페인 보고서는 적어도 2019년 중반부터 2021년 초까지 러시아 정보기관인 GRU 26165 부대가 쿠버네티스(Kubernetes) 클러스터를 사용해 수백 명에 대한 광범위하고 분산적이며, 익명화된 브루트 포스(brute force) 접근 시도를 수행하고 있다고 밝혔다.

사이버보안 업계는 이전에 팬시 베어(Fancy Bear), APT28, 스트론튬(Strontium)이라는 이름으로 이 부대의 활동을 확인했다. 

이 보고서는 공격이 성공하면 공격자는 이메일을 포함한 보호된 데이터에 접근하고 유효한 계정 자격 증명을 식별할 수 있다고 밝혔다. 그런 다음 자격 증명을 사용해 대상 개체 내에서 측면 이동하고 데이터를 수집하며, 추가적으로 발판을 마련하는데, 가장 중요한 것은 탐지를 회피한다는 것이다. 
 
ⓒ US Department of Defense

이 보고서는 전세계적으로 26165 부대는 주로 미국과 유럽 지역에 초점을 맞춰 에너지, 물류, 학계, 연구, 미디어, 법률, 국방 및 정부 부문과 함께 정당, 단체, 컨설턴트를 표적으로 삼았다고 자세히 설명했다. 


네트워크 관리자를 위한 보안 지침 

이 보고서는 네트워크 관리자와 데이터 및 인프라 보호 담당자에 대한 명확한 지침을 제시했다.
  
  • 추측할 수 없는 강력한 인증 요소를 사용해 다단계 인증의 사용을 확장한다. 
  • 시간 제한 및 잠금 기능을 사용한다. 각 실패 후 시간 제한을 늘리고 네트워크 리소스 접근 시도가 여러 번 실패하면 잠근다.
  • 브루트 포스 사전 또는 추측 공격을 직접 해결하는 강력한 비밀번호 사용을 의무화한다. 
  • 토르(Tor)와 상용 VPN과 같은 익명화 서비스의 인바운드 작업을 거부한다(캑터스VPN(CactusVPN), IP베니시(IPVanish), 노드VPN(NordVPN), 프로톤VPN(ProtonVPN), 서프샤크(Surfshark) 및 월드VPN(WorldVPN)은 모두 이름으로 식별된다). 


GRU 26165 부대의 공격 이력 

GRU 26165 부대가 미국 정부 고시나 권고에서 거론된 것은 이번이 처음이 아니다. 실제로 2019년 중반부터 2021년 초까지의 기간 동안 이 부대는 전혀 새로운 조직처럼 활동했지만, 사실은 그렇지 않았다. 수년동안 GRU와 자체 강력한 공격적 사이버 기능은 여러 사이버 공격과 침투에 관여해왔다. 예를 들어, 2016년 미국 선거, 2014년 소치 동계 올림픽, 그리고 2020년 악성코드: 드로보럽(Drovorub)에 대한 권고가 있었다. 

- 미국 선거: 거의 정확히 3년 전, 미국 법무부는 미 민주당 전국위원회와 힐러리 클린턴 대통령 선거운동위원회, 민주당 의회 선거운동위원회 해킹 등 2016년 선거와 관련된 범죄에 대해 12명의 러시아 정보기관 관계자를 대배심 기소했다고 발표했다. 그런 다음 루마니아어로 꾸며진 구시퍼(Guccifer) 2.0을 통해 도난당한 콘텐츠 일부를 게시했다. 

- 동계 올림픽: 2018년 10월, 별도의 대배심이 러시아 정부가 후원하는 선수 도핑 프로그램과 관련해 7명의 러시아 정보기관 관계자를 기소했다. 이 기소장에는 2014년부터 2018년까지 GRU 26165 부대가 러시아의 첩보 활동에 핵심적인 역할을 했으며, 미국인, 기업, 국제기구 및 각 직원에게 지속적이고 정교한 침입 활동을 수행했다고 언급했다. 

- 드로보럽: 2020년 8월, NSA와 FBI는 사이버 첩보 활동의 일환으로 리눅스 시스템을 표적으로 삼은 드로보럽이라는 악성코드의 배포 등 26165 부대 활동에 관한 고시를 발표했다. 


CISO, 이번 지침을 최고 경영진과 함께 사용하라 

CISO에게 있어 이번 지침은 새롭거나 구현하기 어려운 것은 아니다. 권장 내용은 사실 네트워크 보안 입문서에서도 가져올 수 있다. 그렇다고 이번 공동 지침이 중요하지 않은 것은 아니다. 오히려 이 지침은 현재 보안 상태를 강조하는 역할을 한다. 여러 기관이 공개적으로 자체 지침을 공유하고 있다. 하지만 실제로는 정보 보안 구현, 유지 보수 및 거버넌스가 일정치 않고, 일부 기업 내에서 제대로 구현되지 않았기 때문에 공격자는 계속해서 공격에 성공한다.
 
즉, CISO는 이번 지침을 최고 경영진과 함께 입증 가능한 도구를 사용해 정보 보안 팀이 닥쳐오는 위협을 성공적으로 헤쳐나갈 수 있도록 리소스를 확보해야 한다. 우리 모두는 공격자가 공격에 성공하는 데 많은 비용을 들게 하거나, 어렵게 만들기 위한 방어 행동에 참여해야 한다. 또한 공격자가 성공했을 때, 이 상황을 완화할 계획을 세워야 한다. 
 
그렇다고 GRU 26165 부대는 공격 활동을 중단하지 않을 것이다. 이 부대는 오랫동안 활동을 할 것이다. 우리가 할 수 있는 일은 그들이 공격 전술을 바꾸도록 하는 것일 뿐, 그들의 표적은 변하지 않는다. editor@itworld.co.kr 


2021.07.06

미국과 영국, 러시아 GRU의 브루트 포스 캠페인에 대응한 '공동 지침' 발표

미국과 영국의 사이버보안 및 법 집행기관(NSA, FBI, CISA 및 NCSC)들은 7월 1일 러시아 정보 기관의 표적 및 공격 방법론에 관한 방어 지침을 이례적으로 발표하면서 각 국가와 전세계의 기업을 보호하기 위해 힘을 합쳤다. 
 
ⓒ Getty Images Bank

미국과 영국 정보국 간의 정보 공유는 어제오늘 일이 아니지만, 이번 지침의 공개적인 발표는 주목할 만하며, 기업 규모에 관계없이 모든 CISO가 참여해야 한다. 


러시아 GRU 글로벌 브루트 포스 캠페인이란  

러시아 GRU 글로벌 브루트 포스 캠페인 보고서는 적어도 2019년 중반부터 2021년 초까지 러시아 정보기관인 GRU 26165 부대가 쿠버네티스(Kubernetes) 클러스터를 사용해 수백 명에 대한 광범위하고 분산적이며, 익명화된 브루트 포스(brute force) 접근 시도를 수행하고 있다고 밝혔다.

사이버보안 업계는 이전에 팬시 베어(Fancy Bear), APT28, 스트론튬(Strontium)이라는 이름으로 이 부대의 활동을 확인했다. 

이 보고서는 공격이 성공하면 공격자는 이메일을 포함한 보호된 데이터에 접근하고 유효한 계정 자격 증명을 식별할 수 있다고 밝혔다. 그런 다음 자격 증명을 사용해 대상 개체 내에서 측면 이동하고 데이터를 수집하며, 추가적으로 발판을 마련하는데, 가장 중요한 것은 탐지를 회피한다는 것이다. 
 
ⓒ US Department of Defense

이 보고서는 전세계적으로 26165 부대는 주로 미국과 유럽 지역에 초점을 맞춰 에너지, 물류, 학계, 연구, 미디어, 법률, 국방 및 정부 부문과 함께 정당, 단체, 컨설턴트를 표적으로 삼았다고 자세히 설명했다. 


네트워크 관리자를 위한 보안 지침 

이 보고서는 네트워크 관리자와 데이터 및 인프라 보호 담당자에 대한 명확한 지침을 제시했다.
  
  • 추측할 수 없는 강력한 인증 요소를 사용해 다단계 인증의 사용을 확장한다. 
  • 시간 제한 및 잠금 기능을 사용한다. 각 실패 후 시간 제한을 늘리고 네트워크 리소스 접근 시도가 여러 번 실패하면 잠근다.
  • 브루트 포스 사전 또는 추측 공격을 직접 해결하는 강력한 비밀번호 사용을 의무화한다. 
  • 토르(Tor)와 상용 VPN과 같은 익명화 서비스의 인바운드 작업을 거부한다(캑터스VPN(CactusVPN), IP베니시(IPVanish), 노드VPN(NordVPN), 프로톤VPN(ProtonVPN), 서프샤크(Surfshark) 및 월드VPN(WorldVPN)은 모두 이름으로 식별된다). 


GRU 26165 부대의 공격 이력 

GRU 26165 부대가 미국 정부 고시나 권고에서 거론된 것은 이번이 처음이 아니다. 실제로 2019년 중반부터 2021년 초까지의 기간 동안 이 부대는 전혀 새로운 조직처럼 활동했지만, 사실은 그렇지 않았다. 수년동안 GRU와 자체 강력한 공격적 사이버 기능은 여러 사이버 공격과 침투에 관여해왔다. 예를 들어, 2016년 미국 선거, 2014년 소치 동계 올림픽, 그리고 2020년 악성코드: 드로보럽(Drovorub)에 대한 권고가 있었다. 

- 미국 선거: 거의 정확히 3년 전, 미국 법무부는 미 민주당 전국위원회와 힐러리 클린턴 대통령 선거운동위원회, 민주당 의회 선거운동위원회 해킹 등 2016년 선거와 관련된 범죄에 대해 12명의 러시아 정보기관 관계자를 대배심 기소했다고 발표했다. 그런 다음 루마니아어로 꾸며진 구시퍼(Guccifer) 2.0을 통해 도난당한 콘텐츠 일부를 게시했다. 

- 동계 올림픽: 2018년 10월, 별도의 대배심이 러시아 정부가 후원하는 선수 도핑 프로그램과 관련해 7명의 러시아 정보기관 관계자를 기소했다. 이 기소장에는 2014년부터 2018년까지 GRU 26165 부대가 러시아의 첩보 활동에 핵심적인 역할을 했으며, 미국인, 기업, 국제기구 및 각 직원에게 지속적이고 정교한 침입 활동을 수행했다고 언급했다. 

- 드로보럽: 2020년 8월, NSA와 FBI는 사이버 첩보 활동의 일환으로 리눅스 시스템을 표적으로 삼은 드로보럽이라는 악성코드의 배포 등 26165 부대 활동에 관한 고시를 발표했다. 


CISO, 이번 지침을 최고 경영진과 함께 사용하라 

CISO에게 있어 이번 지침은 새롭거나 구현하기 어려운 것은 아니다. 권장 내용은 사실 네트워크 보안 입문서에서도 가져올 수 있다. 그렇다고 이번 공동 지침이 중요하지 않은 것은 아니다. 오히려 이 지침은 현재 보안 상태를 강조하는 역할을 한다. 여러 기관이 공개적으로 자체 지침을 공유하고 있다. 하지만 실제로는 정보 보안 구현, 유지 보수 및 거버넌스가 일정치 않고, 일부 기업 내에서 제대로 구현되지 않았기 때문에 공격자는 계속해서 공격에 성공한다.
 
즉, CISO는 이번 지침을 최고 경영진과 함께 입증 가능한 도구를 사용해 정보 보안 팀이 닥쳐오는 위협을 성공적으로 헤쳐나갈 수 있도록 리소스를 확보해야 한다. 우리 모두는 공격자가 공격에 성공하는 데 많은 비용을 들게 하거나, 어렵게 만들기 위한 방어 행동에 참여해야 한다. 또한 공격자가 성공했을 때, 이 상황을 완화할 계획을 세워야 한다. 
 
그렇다고 GRU 26165 부대는 공격 활동을 중단하지 않을 것이다. 이 부대는 오랫동안 활동을 할 것이다. 우리가 할 수 있는 일은 그들이 공격 전술을 바꾸도록 하는 것일 뿐, 그들의 표적은 변하지 않는다. editor@itworld.co.kr 


X