보안

가장 은밀한 해커 공격 10가지

Roger A. Grimes | CSO 2017.08.29
악성코드에 관한 한 우리는 무서운 시대에 살고 있다. 개인 고객 정보로 가득한 네트워크에 해커가 침입했다는 소식이 매일 들려온다. 이제 대중은 너무 무감각해진 나머지 1,000만 건의 기록이 도난 당하거나 회사의 개인 이메일이 인터넷으로 유출되고 있다는 소식에도 그다지 놀라지 않는다.


Credit: Getty Images Bank

보안 전문가들은 보이지 않는 적에 대한 두려움 속에서 하루 24시간을 보낼 수는 없다. 보안 전문가들이 할 수 있는 일은 방어책을 확보하는 것이다. 악성코드 공격을 조기 탐지하면 신문에 날 정도의 중대한 피해가 발생하기 전에 중단시킬 수 있다. 대부분의 공격은 소셜 엔지니어링이나 패치 안된 소프트웨어처럼 손쉬운 방법을 통해 시작된다.

그러나 악성코드를 탐지하는 것은 여간 힘든 일이 아니다. 해커들이 몸을 숨기는 방식이 나날이 발전하기 때문이다. 세계에서 가장 탐지하기 어려운 10가지 악성코드 프로그램을 소개한다.

파워셸 악성코드
마이크로소프트(Microsoft)의 파워셸(PowerShell) 스크립트 언어는 원래 윈도우(Windows)와 액티브 디렉터리(Active Directory)의 원격관리를 위한 유연성 있는 도구다. 일상적인 작업을 자동화하고 다수의 컴퓨터를 원격으로 제어하기에 매우 좋다. 악의적으로 사용될 때 감지가 어렵기 때문에 해커들이 선호한다.

파워셸을 이용한 해킹은 연구원들이 만든 개념 증명 프로그램에서 나쁜 놈들이 애용하는 도구로 급속도로 변질됐다. 최근에는 기업 공격 가운데 파워셸이 관련되지 않은 것은 드물다. 일반적으로 탐지를 피하기 위해 신중하게 코딩의 대부분을 일부러 혼란스럽게 만든다.

유명한 2가지 파워셸 툴킷은 파워스플로잇(PowerSploit)과 파워셸 엠파이어(PowerShell Empire)다. 합법적인 침투 테스트용이라고 광고되지만 주로 해커들이 애용하는 도구다. 이에 대한 방어 방법은 합법적으로 서명된 스크립트만 허용하기 등이 있지만 기업들은 손 놓고 있다가 때를 놓치는 경우가 많다.

새로운 기기 또는 소프트웨어에서 발견되는 악성코드
새로 출시되는 폰이나 컴퓨터, 소프트웨어 프로그램이 감염되는 일이 예상과 달리 발생한다. 유명한 업체라고 해서 다르지 않다. 애플(Apple)과 마이크로소프트 등 세계 최대 제품에도 악성코드는 나타난다. 전파 경로는 컴팩트 플래시 메모리, USB 키, 네트워크 기기, 스마트폰 등이다. 심지어 디지털 액자도 안전하지 않다. 마이크로소프트는 중국에서 판매된 신제품 PC 가운데 20%가 악성코드에 감염되어 있는 것을 발견한 적이 있다.

어떻게 이런 일들이 생길까. 감염되었지만 그 사실을 모르는 제조업체에 의해 악성코드가 설치되는 경우가 있다. 못된 직원이 고의로 제품을 감염시키는 경우도 있다. 기기가 판매업체로 넘어가기 전에 공급업체에 의해 추가되기도 한다. 경로야 어찌되었던 악용된 기기가 출고되어 고객에게 전달되는 것이다.

무선 라우터 상의 악성코드
무선 라우터는 해커들이 활동하기 좋은 곳이다. 무선 라우터는 전파를 통해 커스텀 코드로 업데이트할 수 있는 소형 컴퓨터나 마찬가지다. 게다가 악용하기 쉬운 코드를 실행한다거나 기본 비밀번호 이외에는 보호 장치가 미흡한 경우가 많다. 이런 보안상 약점은 오랫동안 해커들의 악용 대상이었다. 인터넷으로 희생자를 자동으로 검색하는 도구가 등장하면서 악용은 더욱 쉬워졌다.

해커들이 라우터를 해킹하는 목적은 무선통신망을 통해 전달되는 금융정보를 탈취하거나 라우터의 처리 능력을 가져다 쓰는 것이다. 스스로의 목적이나 아니면 대가를 지불하는 다른 누군가의 목적을 위해서일 수도 있다. 후자의 공격은 인터넷에 연결된 취약한 기기를 노예로 만들수 있다. 가장 유명한 사물인터넷(IoT) 악성코드 프로그램은 미라이(Mirai)다. 해커들은 이 프로그램을 이용해 홈 인터넷 기기의 거대한 봇넷들을 노예로 만들어서 대규모 디도스(DDos) 공격을 수행한다.

작업 스케줄러 악성코드
윈도우 PC에서 실행되는 대부분의 마이크로소프트 작업 스케줄러 작업에 대해 대부분의 사람들은 아무것도 모른다. 어느 때라도 수십 개의 정상적인 작업이 실행 중이므로 잘못 삭제하면 큰 문제가 발생할 수 있다. 그러나 어떤 작업이 필요하고 어떤 작업은 불필요한지, 그리고 어떤 작업이 완전히 악성인지 판단하는 것은 어렵고 시간이 많이 소요된다.

악성코드 작성자는 이러한 혼란을 충분히 악용한다. 자기 자신을 작업 스케줄러 작업으로 설치하는 악성코드는 승격된 인증정보를 받는 경우가 많은데 이것은 좋지 않다. 더욱 안 좋은 것은 악성코드 검사 프로그램을 통해 삭제된 후에도 악성코드가 다시 다운로드 될 수 있다는 점이다. 사실 작업 스케줄러 감염의 가장 뚜렷한 증상은 정리하려고 해도 정리되지 않는 악성 프로그램이다. 악성코드 프로그램이 좀처럼 제거되지 않는다면 작업 스케줄러를 점검해 보아야 한다.

디지털 인증서 신뢰의 위험

Credit: Getty Images Bank

해커들은 디지털 인증서가 지나치게 신뢰되는 점을 노려 틈만 나면 디지털 인증서를 악용한다. 안타깝게도 대부분의 사용자는 악용된 것을 눈치챌 만큼 디지털 인증서에 대한 이해도가 높지 않다. 사용자가 내려야 할 신뢰 관련 결정을 점점 더 운영체제와 브라우저가 대신하고 있다.

이러한 상황이 도움이 되긴 했다. 그러나 이제 해커들은 합법적이고 전세계적으로 신뢰를 받는 코드 서명 인증서를 탈취해 자체 악성코드를 서명하는 방식으로 대처하고 있다. 이런 경우에 사용자는 합법적인 프로그램이나 업데이트로 가장한 트로이목마를 받게 되고 자기도 모르게 설치하게 된다. 유명한 플레임(Flame) 악성코드 프로그램의 사례에서처럼 해커들이 회사의 인증서를 직접 탈취하지 않고 복제하는 경우도 있다.

전문가들이 우려하는 것은 이러한 디지털 서명 공격이 SHA-1 암호화 해시 서명에 대한 최근의 성공 사례를 계기로 늘어날 가능성이 있다는 것이다. 그것이 바로 SHA-2로 최대한 빨리 업그레이드할 것을 권장하는 주요 이유다.

네트워크 웜

Credit: Getty Images Bank

2003년 SQL 슬래머(Slammer) 웜은 10분 안에 10만 건 이상의 패치 안된 SQL 인스턴스를 감염시켰다. 이렇게 감염 속도가 빠른 네트워크 웜은 전무후무하다. 웜들은 몇 년 동안 잦아들었다가 더 큰 기세로 돌아왔다. 최근의 워너크라이(WannaCry)와 페트야(Petya) 랜섬웨어 프로그램이 분명한 증거다.

웜은 패치 안된 소프트웨어나 사용자 구성 오류(예: 약한 비밀번호)를 먹이로 삼아 다름 피해자의 컴퓨터로 침입한다. 워너크라이와 페트야 모두 방심하고 있던 PC 수백만 대를 악용했다. 안전하다고 생각했던 사용자들은 경악을 금치 못했다.
네트워크 웜만큼 무서운 악성코드 프로그램은 없다. 왜냐하면 SQL 슬래머가 보여준 것처럼 이들은 빠른 속도로 퍼져서 나쁜 짓을 저지른 후 빠져나가기 때문이다. 사람들이 사태를 파악하기도 전에 피해를 입는다.

SNS 앱
현대에 가장 은밀한 공격 가운데 하나는 친구를 통해 진행된다. 가령, 새로 나온 멋진 앱을 설치하라거나 장난 동영상을 보라는 추천 메시지가 갑자기 친구에게서 오는 것이다. 사실 이것은 변장한 악성 프로그램이다. 이 못된 코드를 실행하면 해커에게 SNS 계정을 장악 당해 친구 링크가 전부 악용되기 시작한다.

애초에 이 메시지는 친구로부터 온 것이 아니다. 친구의 계정을 접수한 해커에게서 온 것이다. 해커는 각 계정을 이용해 더 많은 사람의 계정을 접수하고 금전을 탈취하거나 심지어 회사 네트워크도 해킹한다. 많은 SNS 사용자가 개인 웹사이트 로그온 이름과 비밀번호를 회사 네트워크에서도 똑같이 사용한다는 것을 해커들은 너무나 잘 알고 있다. 따라서 하나만 해킹해도 다른 곳에 접근이 가능한 경우가 많다.

무선 중간자(MitM) 공격
동네 어느 친절한 카페에 들어가서 커피를 마시면서 이메일을 확인한다. 안전해야 할 웹 인증정보를 같은 카페에 앉아 있던 한 해커가 무선으로 탈취한 줄은 의심하거나 알아채지 못한다.

이런 일을 가장 손쉽게 해치우는 도구가 바로 파이어십(Firesheep)이다. 해커가 애용하는 것은 물론 고위 경영진에게 무선 및 웹 보안에 대한 경각심을 불러 일으키는 것이 목적인 침투 테스트 전문가들도 애용하는 도구로 빠르게 자리잡았다. 파이어십은 개발자에 의해 퇴출되었지만 똑같은 기능을 하는 도구가 많이 있으며 거의 모두 무료라서 그냥 다운로드해서 사용하기만 하면 된다.

이 위협은 무선 연결을 정확히 구성하면 막을 수 있지만, 무선 연결이 완벽하게 보호된 컴퓨터를 사용할 것을 권장한다.

인라인 키보드 로거

Credit: Getty Images Bank

키보드 로거(logger)는 조그마한 하드웨어 장치로서 키보드와 컴퓨터 상의 키보드 입력 연결 장치 사이에 설치되면 키보드에서 입력되는 내용을 모두 낚아챌 수 있다. 외부 키보드가 없는 스마트폰이나 노트북에서는 쓸 수 없지만 호텔이나 금융기관 등 공공 장소에는 해커들이 악용할 만한 일반 PC들이 많이 있다.

해커는 마치 정상적인 사용자인 것처럼 컴퓨터 앞에 앉아 키보드 로거를 설치한다. 키보드 로거가 설치된 키보드 코드는 주로 컴퓨터 뒤에 숨겨져 있거나 아래에 있는 컴퓨터 캐비닛 안에 숨겨져 있기 때문에 감추기가 쉽다. 이제 해커는 자리를 뜨고 며칠 기다린 후 다시 돌아와 키보드 로거를 수거한다. 그 안에서 비밀번호와 기타 비밀 정보의 노다지를 캐낸다.

USB 해킹 장치

Credit: Getty Images Bank

USB 폼팩터 컴퓨터에 저장 공간과 처리 능력이 충분히 생기게 되자 해커들은 이를 악용할 가능성에 군침을 흘려왔다. 수십 개의 해킹 도구와 완전한 리눅스 디스트로(Linux distro)가 USB 키에 다 들어간다. 100달러도 안되는 돈으로 온라인에서 구입할 수 있다. 피해자의 컴퓨터에 꽂기만 하면 해킹 스크립트가 알아서 나쁜 짓을 저지른다.

한 가지 유명한 도구가 해크파이브(Hak5)의 배시 버니(Bash Bunny)다. 이에는 간단히 배울 수 있는 스크립트로 구성 가능한 두 가지 공격 모드가 들어 있다. 예를 들어 한 모드로는 윈도우 컴퓨터를, 다른 하나로는 맥(Mac)을 악용할 수 있다. 방치되어 있는 피해자의 컴퓨터에 다가가 장치를 꽂고 몇초 후에 포획한 보물을 갖고 유유히 떠나면 된다. 아니면 컴퓨터 뒤에 계속 꽂아두면 발견하기 어려운 못된 해킹 컴퓨터가 피해자의 네트워크에 상주하게 된다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.