“걷잡을 수 없는 공격” 익스플로잇 체인이 위험한 이유

‘익스플로잇 체인(Exploit chain)’은 여러 취약점을 묶어 표적을 침해하는 사이버 공격으로, ‘취약점 체인’이라고도 일컫는다. 사이버 공격자는 단일 공격 지점에 초점을 맞출 때보다 익스플로잇 체인 공격을 시행할 때 표적에 더욱 큰 영향을 줄 수 있고, 공격 성공 확률을 높일 수 있다.
 

 
포레스터 애널리스트 스티브 터너에 따르면, 익스플로잇 체인 공격의 목적은 공격을 실행하기 위한 커널/루트/시스템 수준의 액세스 권한을 획득하는 것이다. 익스플로잇 체인은 공격자가 여러 방어 체계를 우회해 권한을 상승할 수 있도록 정상적인 시스템 프로세스의 취약점을 이용해 기업 내부 환경에 침입할 수 있도록 도와준다. 익스플로잇 체인 공격은 통상적으로 다른 사이버 공격보다 더 많은 시간과 노력을 투입해야 하며, 더 높은 전문성이 필요하다. 하지만 여러 익스플로잇을 묶음으로써 취약점의 존재 기간과 복잡성에 따라 복구가 어려운 공격을 수행할 수 있다.

익스플로잇 체인의 위험

익스플로잇 체인 공격은 상대적으로 빠르게 진행되며, 이에 적절히 대응할 수 있는 전술이나 절차, 위협을 저지하거나 억제하는 도구를 보유한 기업은 드물다. 따라서 익스플로잇 체인은 기업에 엄청난 위험을 초래한다.

사이버보안 업체 벌칸 사이버(Vulcan Cyber)의 연구팀 책임자 오탈 키즈먼은 “IT 보안팀은 거의 모든 사이버 공격이 이미 알려졌지만 위험이 완화되지 않은 취약점을 이용한다는 사실과 익스플로잇 체인 공격에 큰 부담을 느낀다. 오늘날 취약점 관리는 IT 보안팀에 ‘두더지 게임’ 같은 문제다. 비즈니스를 보호할 수 있는 속도와 수준으로 취약점을 해결할 능력을 갖추지 못한 기업이 56%가 넘는다”라고 설명했다.

키즈먼에 따르면, 사이버보안 책임자 대부분은 NIST가 공개한 취약점 목록, CISA가 파악한 익스플로잇 취약점 목록을 참고한다. 불편한 사실이지만, 기업의 위험 태세를 정확히 파악하지 못한다는 의미다. 키즈먼은 “위험을 평가할 수 없으면 경감할 수도 없다. 위험에 대한 우선순위를 설정하더라도 각 기업이나 사업 단위의 위험 허용 수준과 일치하지 않으면 의미가 없다”라고 지적했다.

익스플로잇 체인 사례 및 시나리오

실제 발생했거나, 발생할 가능성이 아주 높은 익스플로잇 체인 공격의 실제 사례 및 시나리오를 통해 공격 방법을 알아보자. 

1. 솔라윈즈(SolarWinds) 공격
키즈먼에 따르면, 솔라윈즈 해킹 사건이 익스플로잇 체인 공격의 대표적인 사례다. 하나의 취약점을 패치하거나 공급망 백도어를 안전하게 만드는 것으로는 방어할 수 없는 공격이었기 때문이다. 키즈먼은 “해커는 독자적인 개발 코드와 오픈소스 코드에서 취약점을 악용했다. 우선 소프트웨어 공급망의 핵심 계층 취약점을 공격했고, 원격 액세스 권한과 사설 네트워크 내부의 권한을 상승시키는 APT(Advanced Persistent Threat)를 개발했다”라고 설명했다. 

솔라윈즈 소프트웨어 공급망의 백도어가 공개된 이후 공격자는 ‘개념증명’ 익스플로잇을 이용하고, 알려진 취약점 가운데 여러 이유로 인해 아직 완화되지 않은 것을 이용해 핵심 시스템을 침해했다.

2. 모바일 기기를 표적으로 삼는 익스플로잇 체인
보안 업체 네텐리치(Netenrich)의 수석 위협 분석가 존 뱀브넥은 익스플로잇 체인 공격이 모바일 기기를 표적으로 가장 두드러지게 발생할 것으로 판단했다. 뱀브넥은 “스마트폰 아키텍처의 특성상 모바일 악성코드가 제 역할을 하려면 여러 취약점을 이용해 루트 액세스 권한을 획득해야 한다”라고 설명했다. 

이와 관련한 사례는 보안 업체 룩아웃(Lookout)이 발표한 보고서에서 확인할 수 있다. 중국에서 위구르 민족을 대상으로 몇 년간 안드로이드 감시 도구를 활용한 사례다. 백브넥은 “익스플로잇 체인은 전통적인 컴퓨팅 기기를 표적으로 삼는데, 인간의 행동과 기기 사용 방식에 따라 틈이 생기는 경우가 있다”라고 설명했다. 예컨대 많은 랜섬웨어 공격자가 표적 기기의 경계 안으로 침입한 이후에 측면 이동을 하거나 파워셸을 이용하는데, 이때 다른 익스플로잇을 이용한 권한 상승이 필요하다.

3. 브라우저를 표적으로 삼는 익스플로잇 체인
보안 업체 트립와이어(Tripwire) 취약점 연구팀의 타일러 레귤리에 따르면, 사이버 공격자는 피싱 이메일로 사용자가 웹페이지를 방문하도록 유도하고, ‘드라이브 바이 다운로드(drive by download)’로 브라우저의 취약점을 공격한다. 이후 두 번째 취약점을 묶어 샌드박스를 탈출하고, 상승된 권한을 획득한다. 

상승 권한을 획득한 공격자는 네트워크 곳곳에 침투하고, 특정 시스템에 침입하기 위해 취약점 악용을 시도한다. 레귤리는 “익스플로잇 체인을 생각하면, 시트콤 프렌즈(Friends)에서 로스가 ‘피벗!(Pivot!)’을 반복적으로 외치는 장면이 떠오른다. 공격자는 익스플로잇 체인을 이용해 중심점(pivot)을 만든 다음 시스템과 네트워크 곳곳을 돌아다닌다. 공격자는 피해자의 브라우저에 있는 여러 익스플로잇이 더욱 잘 협력하기를 바란다. 기업의 방어 체계에 따라 체계적으로 협력하지 못할 수도 있으며, 성공할 수도 있다”라고 말했다.

랜섬웨어 공격자가 이용하는 익스플로잇 툴킷

랜섬웨어 공격 집단이나 해커가 사용하는 상업화된 익스플로잇 툴킷에 익스플로잇 체인이 활용된 사례가 점점 더 늘고 있다. 터너는 “대표적인 두 가지 사례가 있다. 공격자가 아무런 작업을 하지 않아도 실행할 수 있는 ‘제로 클릭 익스플로잇 체인’이 있으며, 공격자가 원하는 작업을 수행하기 위한 목적으로 여러 취약점을 공격해 관리자 액세스 권한을 획득할 수 있는 ‘프록시로그온(ProxyLogon)’이다”라고 설명했다. 

2가지 방법은 랜섬웨어 공격 집단이 데이터를 유출하고 랜섬웨어 공격을 하는 발판을 신속하게 확보하기 위해 자주 사용하는 도구다. 터너는 “앞으로 많은 공격자가 Log4j 취약점 같은 잘 알려진 RCE 취약점을 악용할 것으로 예상한다. 특히 원하는 시스템/커널 수준의 액세스 권한을 신속히 얻을 수 있도록 다양한 취약점을 결합한 익스플로잇 툴킷을 만들 것이다”라고 말했다. 

익스플로잇 체인 공격을 방지하는 방법

익스플로잇 체인 공격 위험을 완화하기 위해 명심해야 할 것은 체인의 모든 연결고리를 끊는 것이 가능하다는 사실이다. 레귤리는 “약간의 피해가 이미 발생했더라도 연결고리를 끊으면 추가 피해를 막을 수 있다”라고 설명했다. 즉, 튼튼하고 성숙한 사이버보안 프로그램으로 체인의 모든 연결고리를 끊을 수 있는 기법과 기술, 인적 자원을 마련하면 모든 공격을 최대한 방어하고 경감할 수 있다.

레귤리는 “만약 기업에서 이런 방법을 사용할 수 없으면 사이버 킬 체인 측면에서 공격을 저지할 수 있는 지점을 생각하는 것이 차선책이다”라고 덧붙였다. 뱀브넥도 이에 동의하며, “익스플로잇 체인 공격이 개념적으로 무서워 보일 수 있지만, 익스플로잇 체인이든 공격자의 행동이든 감지할 수 있는 부분이 있다면, 문제를 파악해 대처할 수 있다”라고 조언했다.

무엇보다 익스플로잇 체인에 대응하기 위해서는 오픈소스 커뮤니티와 사유 소프트웨어 업체의 협력이 필요하다. 키즈먼은 “오픈소스는 소프트웨어 개발에 큰 도움이 되었고, 앞으로도 그럴 것이다. 지금이야말로 상용 및 오픈소스 소프트웨어 개발 커뮤니티의 협력이 필요한 때다”라고 강조했다.

또한 CISO는 취약점이 발생할 때마다 이를 맹목적으로 해결하지 말고 위험을 기반으로 한 종합적인 사이버 위생을 실천해야 한다. 키즈먼은 “기업은 너무 늦기 전에 익스플로잇 체인 공격에 대응할 전략을 수립하고 특정 비즈니스에서 요구하는 사항에 따라 우선순위를 부여해야 한다”라고 강조했다. editor@itworld.co.kr