2021.01.08

글로벌 칼럼 | 솔라윈즈 해킹, 사이버보안 조치를 강화하라는 경종을 울리다

Chris Dimitriadis | CSO
솔라윈즈 사건과 관련해 아직 많은 의문이 풀린 것은 아니지만, 조사와 대응이 계속됨에 따라 한 가지는 분명해졌다. 공급망 위험을 관리하려면 공격자와 비슷한 수준의 정교함이 필요하다는 것이다. 
 
ⓒ Getty Images Bank

APT(Advanced Persistent Threat)는 오랫동안 사이버보안 커뮤니티의 주요 관심사였다. 임무를 완수할 때까지 공격을 포기하지 않는, 상당한 자원과 목표를 가진 잘 조직된 공격팀은 확실히 과소평가될 위협이 아니다. APT 그룹의 전술은 제로데이 취약점을 이용하는 것부터 소셜 엔지니어링, 접속권한 확보, 거점 확립, 접속권한 심화에 이르는 다양한 공격 유형의 조합을 포함하고 있으며, 목표를 실현할 때까지 탐지되지 않은 채 표적 시스템에 남아 있는 것이다. 

최근 발견된 솔라윈즈 해킹은 전형적인 APT 공격이다. 최소한 지난해 3월부터 여러 미국 연방부서와 민간 기업 및 주요 인프라 조직을 표적으로 삼고 탐지되지 않았다. 지금까지 확인된 초기 감염 벡터는 공격자가 네트워크 트래픽 관리 시스템에 접근할 수 있도록 허용한 IT 스택 모니터링 서비스 제공 플랫폼인 솔라윈즈 오리온 업데이트의 제로데이 취약점과 관련이 있다. 공격을 탐지한 파이어아이는 솔라윈즈 오리온 업데이트를 트로이목마로 만든 악성코드인 선버스트(SUNBURST)를 발견했다.
 
APT에서 흔히 볼 수 있듯이 APT가 심화되고 확대됨에 따라 악용된 취약점 목록은 공급망과 표적 개체의 내부 시스템 모두에서 늘어날 것이다. CISA(Cybersecurity and Infrastructure Security Agency)의 경보에 따르면, 솔라윈즈 관련 경보 외에도 다른 초기 감염 벡터가 조사되고 있다. 초기 감염 벡터는 공급망 자체의 개체 또는 표적 개체 자체의 취약점과 관련될 수 있지만, 공격 행위자가 접근권한을 심화할 때에는 내부 시스템 취약점을 악용해 공격 표면을 증가시킬 것이다. 사이버보안 전문기자 브라이언 크렙스는 솔라윈즈 취약점 악용을 통해 내부 시스템에 대한 접근이 이미 달성됐다는 점을 고려해 볼 때, 가능한 공격 확대 방법으로 최근 확인된 VM웨어 취약점을 지목했다. 

조사와 대응이 계속됨에 따라 남아 있는 많은 의문이 해소될 것이다. 정부와 민간 부문 모두가 이런 사건으로부터 배우고 사이버보안을 개선하려면 올바른 질문을 하는 것이 중요하다. 사이버보안은 격리되어선 안 되며, 전체적인 관점에서만 봐야 한다. 즉, 식별, 보호, 탐지, 대응 및 복구의 결함을 분석하고 이해해야 한다. 특히 APT의 경우, 정교하고 복잡하기 때문에 보호가 어느 시점에서 실패할 수 있으므로, 탐지, 대응 및 복구가 점점 더 중요해지고 있음을 이해해야 한다. 
 
이번 기사는 사이버보안의 식별 및 보호 측면에서 내부 시스템 취약점을 배제하고 공급망에 초점을 맞췄다. 이전 게시물에서 필자는 오늘날 복잡한 생태계를 다루고 있다는 점을 고려해 탄력적인 공급망의 중요성에 대해 설명한 적이 있다.

2020년 12월 중순, 미국 정부 회계 감사원(US Government Accountability Office)은 연방 기관에 공급망 위험 관리를 위한 조치를 취할 것을 촉구하는 보고서를 발표했다. 이를 위해서는 공격자와 유사한 수준의 정교함이 필요하다. 공급망 사이버보안은 계약과 책임 조항뿐만 아니라 지속적인 테스트와 모니터링을 통해 해결돼야 한다. 

APT는 높은 수준의 정교한 공격으로 접근에 성공할 수 있지만, 사이버보안은 적절한 대응 및 복구를 통해 피해를 최소화하는 시기적절한 탐지에 의존한다. 패턴 추적을 위해 상관 이벤트를 중앙 집중화하는 것이 가장 중요하다. 그러나 뉴욕 타임스는 미 연방 기관(계약 업체 서비스 포함)에서 데이터를 수집해 연관 분석을 통한 위협 정보를 다시 연방 기관에 제공하는 국토안보부/미국-CERT 프로그램 부서인 아인슈타인(Einstein)이 이번 공격을 식별하지 못했다고 보도했다. 악성코드가 OIP(Orion Improvement Program) 프로토콜로 위장하고 합법적인 오리온 트래픽과 혼합되어 눈에 띄지 않게 됐다. 

대응 측면에서 CISA는 공격을 완화하기 위한 긴급 지시를 내렸고, 마이크로소프트, 파이어아이, 고대디(GoDaddy)는 악성코드가 손상된 시스템을 제어하는 데 사용하는 도메인을 탈취해 킬스위치를 만들었다. 피해에 대응하고, 공격의 영향을 더 잘 이해하고, 피해 상황을 기반으로 복구 전략을 수립하기 위한 민관 단체도 결성됐다. 

바이든 미 대통령 당선자는 성명을 통해 사이버보안이 모든 정부 차원에서 최우선 순위가 될 것이며, 공격자에게 상당한 대가를 치루게 하고, 동맹국과 파트너와의 협력을 강화할 것이라고 발표했다.  
 
잘 알다시피, 사이버보안은 공격이 표면화되면 주목받고 효과적으로 작동할 때에는 과소평가된다. 그러나 APT는 전형적인 사이버 공격이 아니다. APT는 보호, 추적, 대응 및 복구가 어렵다. 또한 사이버보안 효율성을 지원하기 위해서는 생태계의 복잡성을 줄이는 것에 우선해야 한다. 

특히 코로나19에 영향을 받는 비즈니스 환경이 급속하게 디지털 기술을 채택하는 상황에서 기업은 APT로 인한 위협에 더욱 대처하기 위해 공급망에 특별한 주의를 기울여 즉각적인 조치를 취해야 한다. IT 및 관련 생태계는 보호와 탐지를 개선하기 위한 연구와 함께 무엇보다도 보안 수요를 충족할 수 있는 사이버보안 인력을 만들기 위한 훈련과 교육에 투자가 필요하다. editor@itworld.co.kr 


2021.01.08

글로벌 칼럼 | 솔라윈즈 해킹, 사이버보안 조치를 강화하라는 경종을 울리다

Chris Dimitriadis | CSO
솔라윈즈 사건과 관련해 아직 많은 의문이 풀린 것은 아니지만, 조사와 대응이 계속됨에 따라 한 가지는 분명해졌다. 공급망 위험을 관리하려면 공격자와 비슷한 수준의 정교함이 필요하다는 것이다. 
 
ⓒ Getty Images Bank

APT(Advanced Persistent Threat)는 오랫동안 사이버보안 커뮤니티의 주요 관심사였다. 임무를 완수할 때까지 공격을 포기하지 않는, 상당한 자원과 목표를 가진 잘 조직된 공격팀은 확실히 과소평가될 위협이 아니다. APT 그룹의 전술은 제로데이 취약점을 이용하는 것부터 소셜 엔지니어링, 접속권한 확보, 거점 확립, 접속권한 심화에 이르는 다양한 공격 유형의 조합을 포함하고 있으며, 목표를 실현할 때까지 탐지되지 않은 채 표적 시스템에 남아 있는 것이다. 

최근 발견된 솔라윈즈 해킹은 전형적인 APT 공격이다. 최소한 지난해 3월부터 여러 미국 연방부서와 민간 기업 및 주요 인프라 조직을 표적으로 삼고 탐지되지 않았다. 지금까지 확인된 초기 감염 벡터는 공격자가 네트워크 트래픽 관리 시스템에 접근할 수 있도록 허용한 IT 스택 모니터링 서비스 제공 플랫폼인 솔라윈즈 오리온 업데이트의 제로데이 취약점과 관련이 있다. 공격을 탐지한 파이어아이는 솔라윈즈 오리온 업데이트를 트로이목마로 만든 악성코드인 선버스트(SUNBURST)를 발견했다.
 
APT에서 흔히 볼 수 있듯이 APT가 심화되고 확대됨에 따라 악용된 취약점 목록은 공급망과 표적 개체의 내부 시스템 모두에서 늘어날 것이다. CISA(Cybersecurity and Infrastructure Security Agency)의 경보에 따르면, 솔라윈즈 관련 경보 외에도 다른 초기 감염 벡터가 조사되고 있다. 초기 감염 벡터는 공급망 자체의 개체 또는 표적 개체 자체의 취약점과 관련될 수 있지만, 공격 행위자가 접근권한을 심화할 때에는 내부 시스템 취약점을 악용해 공격 표면을 증가시킬 것이다. 사이버보안 전문기자 브라이언 크렙스는 솔라윈즈 취약점 악용을 통해 내부 시스템에 대한 접근이 이미 달성됐다는 점을 고려해 볼 때, 가능한 공격 확대 방법으로 최근 확인된 VM웨어 취약점을 지목했다. 

조사와 대응이 계속됨에 따라 남아 있는 많은 의문이 해소될 것이다. 정부와 민간 부문 모두가 이런 사건으로부터 배우고 사이버보안을 개선하려면 올바른 질문을 하는 것이 중요하다. 사이버보안은 격리되어선 안 되며, 전체적인 관점에서만 봐야 한다. 즉, 식별, 보호, 탐지, 대응 및 복구의 결함을 분석하고 이해해야 한다. 특히 APT의 경우, 정교하고 복잡하기 때문에 보호가 어느 시점에서 실패할 수 있으므로, 탐지, 대응 및 복구가 점점 더 중요해지고 있음을 이해해야 한다. 
 
이번 기사는 사이버보안의 식별 및 보호 측면에서 내부 시스템 취약점을 배제하고 공급망에 초점을 맞췄다. 이전 게시물에서 필자는 오늘날 복잡한 생태계를 다루고 있다는 점을 고려해 탄력적인 공급망의 중요성에 대해 설명한 적이 있다.

2020년 12월 중순, 미국 정부 회계 감사원(US Government Accountability Office)은 연방 기관에 공급망 위험 관리를 위한 조치를 취할 것을 촉구하는 보고서를 발표했다. 이를 위해서는 공격자와 유사한 수준의 정교함이 필요하다. 공급망 사이버보안은 계약과 책임 조항뿐만 아니라 지속적인 테스트와 모니터링을 통해 해결돼야 한다. 

APT는 높은 수준의 정교한 공격으로 접근에 성공할 수 있지만, 사이버보안은 적절한 대응 및 복구를 통해 피해를 최소화하는 시기적절한 탐지에 의존한다. 패턴 추적을 위해 상관 이벤트를 중앙 집중화하는 것이 가장 중요하다. 그러나 뉴욕 타임스는 미 연방 기관(계약 업체 서비스 포함)에서 데이터를 수집해 연관 분석을 통한 위협 정보를 다시 연방 기관에 제공하는 국토안보부/미국-CERT 프로그램 부서인 아인슈타인(Einstein)이 이번 공격을 식별하지 못했다고 보도했다. 악성코드가 OIP(Orion Improvement Program) 프로토콜로 위장하고 합법적인 오리온 트래픽과 혼합되어 눈에 띄지 않게 됐다. 

대응 측면에서 CISA는 공격을 완화하기 위한 긴급 지시를 내렸고, 마이크로소프트, 파이어아이, 고대디(GoDaddy)는 악성코드가 손상된 시스템을 제어하는 데 사용하는 도메인을 탈취해 킬스위치를 만들었다. 피해에 대응하고, 공격의 영향을 더 잘 이해하고, 피해 상황을 기반으로 복구 전략을 수립하기 위한 민관 단체도 결성됐다. 

바이든 미 대통령 당선자는 성명을 통해 사이버보안이 모든 정부 차원에서 최우선 순위가 될 것이며, 공격자에게 상당한 대가를 치루게 하고, 동맹국과 파트너와의 협력을 강화할 것이라고 발표했다.  
 
잘 알다시피, 사이버보안은 공격이 표면화되면 주목받고 효과적으로 작동할 때에는 과소평가된다. 그러나 APT는 전형적인 사이버 공격이 아니다. APT는 보호, 추적, 대응 및 복구가 어렵다. 또한 사이버보안 효율성을 지원하기 위해서는 생태계의 복잡성을 줄이는 것에 우선해야 한다. 

특히 코로나19에 영향을 받는 비즈니스 환경이 급속하게 디지털 기술을 채택하는 상황에서 기업은 APT로 인한 위협에 더욱 대처하기 위해 공급망에 특별한 주의를 기울여 즉각적인 조치를 취해야 한다. IT 및 관련 생태계는 보호와 탐지를 개선하기 위한 연구와 함께 무엇보다도 보안 수요를 충족할 수 있는 사이버보안 인력을 만들기 위한 훈련과 교육에 투자가 필요하다. editor@itworld.co.kr 


X