해커들, 효과적이면서도 눈에 띄지 않는 공격을 위해 '동적 데이터' 수집하는 '오펜시브 포렌식' 공격 지향

"오펜시브 포렌식(Offensive Forensics)는 해커들이 추가 공격 수행에 유용할 수 있는 비정적(non-static) 데이터를 수집하기 위해 사용하는 공격 기법이다."

컴퓨터 포렌식 및 전자증거조사(e-Discovery) 업체 버클리 리서치 그룹(Berkeley Research Group, LLC)의 책임자 조 스레맥은 최근 해커들의 동향을 설명하면서 이렇게 말했다.

오펜시브 포렌식 절차에서 해커는 비정적 인메모리(In-memory) 데이터를 수집해 값비싼 데이터에 자유롭게 접근하는데 도움이 되는 암호, 암호화 키, 활성화된 네트워크 세션 데이터 등을 습득할 수 있다.

단순한 오펜시브 포렌식 공격의 예로 일반적인 사용자들이 자신의 보안 암호를 복사하고 붙여 넣는 윈도우 클립보드(Clipboard)를 수집하는 방법이 있다. 일반적으로 해커는 플래시(Flash) 취약점을 통해 이런 종류의 공격을 수행한다.

스레멕은 "브라우저의 플래시 플러그인(Plug-in) 취약점과 인메모리 비밀번호를 포함한 잘못된 설정을 결합해 브라우저 전체의 콘텐츠를 읽는 공격방법이 있다"고 말했다.

오펜시브 포렌식 트릭과 기법을 방어하는 첫 단계는 '인지'이며, 그 다음이 '행동'이다.

오펜시브 포렌식 공격의 목적과 방법
해커들은 오펜시브 포렌식을 이용해 자신의 정체를 숨기고 공격의 발견을 늦추며 흔적을 감추면서 민감한 데이터에 접근할 수 있는 사용자명과 비밀번호 등의 정보를 습득한다.

보안 및 위험관리 업체 네오햅시스(Neohapsis)의 수석 보안 컨설턴트 스콧 해즈드라는 "또한 이들은 시스템에 접속하는 시간과 데이터 도난 사실을 발견하기까지의 시간을 늘리고 싶어하며, 이 때문에 이 공격이 더욱 중요하다"고 말했다.

해커들은 RAM 메모리 또는 스왑(Swap) 파일 등 반영구적 형태의 인메모리에서 이런 동적/ 비정적 데이터를 찾는다.

스레맥은 "윈도우 임시 파일, 윈도우 또는 맥(Mac) 클립보드, 텔넷(Telnet)이나 FTP 애플리케이션의 암호화되지 않은 로그인 데이터, 웹 브라우저 캐시(Cache) 등은 모두 비정적 데이터 대상"이라고 말했다.

일단 해커가 텍스트 형태로 임시 저장될 수 있는 사용자 ID와 비밀번호를 획득하면 내부 인트라넷 사이트, 문서 관리 시스템, 쉐어포인트(SharePoint) 사이트 등의 자원에 접근할 수 있는 다음 단계로 진행할 수 있다.

스레맥은 "기본적으로 해커가 키로거(Keylogger)를 이용해 탐색할 수 있는 것을 키로거 없이 얻는 방법이라 생각하면 된다"고 설명했다.

이런 점이 해커에게 중요한 이유는 백신 소프트웨어 등의 툴이 키로거를 발견해 제거할 수 있기 때문이다. 대신에 해커들은 클립보드, 레지스트리(Registry), 기타 컴퓨터가 이런 데이터를 텍스트로 저장하는 곳을 탐색하는 툴을 이용한다.

해커들이 실시간으로 클립보드에 비밀번호를 텍스트 상태로 저장하는 등의 이런 일들을 할 수 있도록 하는 툴은 무료이며 인터넷에서 언제든지 구할 수 있다. 리눅스(Linux)에도 이런 툴들이 존재하지만 오펜시브 포렌식 공격의 표적이 되는 사람들은 대부분 윈도우와 맥 등의 운영체제를 기반으로 하는 최종 사용자다.

해커들이 사용하는 툴에는 메타스플로잇(Metasploit) 프레임워크에서 사용할 수 있는 스크립트(Script) 툴 등이 있다.

네오햅시스의 해즈드라는 "이런 용도로 사용하는 툴은 FTK 이미저(FTK Imager), 레드라인(RedLine), 볼래틸리티(Volatility), 케인(CAINE), 헬릭스3(HELIX3) 등을 포함해 무료와 유료 버전이 다수 존재한다"고 말했다.

오펜시브 포렌식 공격에 대한 기업의 대응
스레맥은 "해킹된 머신의 파일은 안전할 수 있으며 전통적인 기준으로는 시스템이 안전하다고 말할 수 있더라도 침입자가 머신에 접속해 메모리를 수집할 수 있기 때문에 오펜시브 포렌식스에 대응하기가 어렵다"고 말했다.

오펜시브 포렌식 공격을 방지하는 접근방식으로 인메모리 데이터를 숨기고 보호하는 보안 유틸리티를 사용하는 방법이 있다.

이런 애플리케이션으로 키패스(KeePass)와 키스크램블러(KeeScrambler)가 있다. 키패스는 암호화된 클립보드 유틸리티로 클립보드 히스토리를 자동으로 비운다. 키스크램블러는 브라우징 히스토리를 암호화한다.

스레맥은 "사용자가 브라우저에 글자를 입력할 때마다 암호화해 해커가 메모리에 상주하는 데이터를 읽지 못하도록 한다"고 설명했다. 무료 키스크램블러 버전이 존재하며, 유료 버전은 키로거도 차단한다.

모범 사례로 한 기업은 시스템 활동도 네트워크 상의 개별 머신에 기록해 해커가 이에 도달하고 흔적을 지우기 어렵도록 하고 있다. 랜코프(Lancope) CTO TK 키니니는 "해당 기업은 기존 데이터를 삭제 또는 덮어쓰지 않고 파일을 '첨부'로만 표시하는 파일 시스템을 이용해 해당 머신의 시스템 관리자조차 머신이 오프라인 수리 모드로 진입하지 않는 한 작성된 것을 삭제할 수 없다"고 설명했다.

더 크게 보자면 해당 기업은 일정 준비를 해야 오펜시브 포렌식 공격에 대해 효과적으로 대응할 수 있다. 키니니는 "기업이 사건 대응을 돕기 위해 필요한 3가지 레벨이 존재하며, 각 레벨은 상호 보완하는 특징을 갖고 있다"고 말했다.

키니니는 "공격자가 레벨 중 하나에 침투할 수 있다 하더라도 다른 레벨에 나타나게 될 것"이라고 말했다.

첫번째 레벨은 엔드포인트 텔레메트리(End-point Telemetry)다. 각 엔드포인트는 기기의 모든 동작을 설명하는 일정 시스템 레벨 프로세스가 있어야 한다. 키니니는 "절대로 100% 정확할 수는 없지만 0%는 인정할 수 없다"고 말했다.

두번째 레벨은 게이트웨이(Gateway)와 AP(Access Point) 텔레메트리다. 네트워크 출입 시 일부 기술은 인바운드(Inbound) 및 아웃바운드(Outbound) 연결을 기록해야 한다. 덕분에 감지 및 네트워크 포렌식의 인터네트워킹(Internetowrking) 증거에 대비할 수 있다.

세번째 레벨은 인프라스트럭처(Infrastructure) 텔레메트리다. 키니니는 "모든 네트워킹 인프라는 표본화되지 않은 넷플로(Netflow)/PFIX를 드러내기 마련"이라고 말했다. IT/ 보안팀은 메타 데이터(Meta Data) 수준에서 모든 네트워크 트래픽을 추적하는 툴을 이용해 이 데이터 세트를 수집한다.

키니니는 "이 데이터 세트는 네트워크의 일반적인 기록 장부로써 기능하며 네트워크 상의 활동에 대한 가장 완전한 그림을 제공한다"고 말했다.

기업이 이 3 가지 텔레메트리로 무장하면 공격 또는 공격자가 숨을만한 곳은 없다.

키니니는 "공격에서 무엇보다 중요한 것은, 일정 형태의 침투는 가능하겠지만 공격의 다음 단계로 진행하는 동안 들키지 않아야 한다는 점"이라고 말했다.

이 운영 단계에서 기업은 이런 텔레메트리 수준으로 공격자를 감지하고 그들이 목표를 달성하기 전에 대책을 세울 수 있다.

기업들은 다른 공격 기법과 마찬가지로 오펜시브 포렌식이 지속적으로 발전할 것임을 인지해야 한다. 사이버 범죄자들은 목적을 위해서라면 가용할 수 있는 모든 툴과 공격방법을 활용할 것이다.

CSO와 CISO는 지속적으로 자체 IT 및 보안팀을 교육해 새로운 최신 위협과 기법을 지속적으로 파악할 수 있도록 해야 한다.

헤즈드라는 대부분의 보안팀은 결국 오펜시브 포렌식 공격을 감지하기 위해 새로운 툴을 필요로 하게 될 것"이라고 말했다.

헤즈드라는 "가치가 높은 자산을 지닌 기업 보안팀이라면 해커들이 기업 데이터에 대해 포렌식 툴을 사용하지 못하도록 감시하고 억제하기 위해 새로운 보호 방법이 필요하다"고 전했다.

헤즈드라는 "대부분의 기업은 네트워크 트래픽, 파일 무결성, 침입 감지, 승인되지 않은 접속 시도 등을 감시하면서도 누군가 시스템에서 메모리 덤프(Dump)를 수행하거나 포렌식 툴을 사용하는 사람이 보안팀에 소속되어 있는지, 아니면 공격자인지 감지할 수 있는 툴을 보유하고 있지 않기 때문에 이런 승인되지 않은 툴을 사용할 가능성이 있다"고 설명했다. editor@itworld.co.kr