사이버보안 업체 파이어아이(FireEye)는 12월 8일 정부가 후원하는 정교한 공격자 그룹이 자사의 네트워크에 침입해 전문가들이 실제 공격자를 시뮬레이션하고 고객의 보안을 테스트하기 위해 개발한 도구를 훔쳤다고 발표했다. 이는 아주 걱정스러운 사건이지만, 과거에 공격 도구가 유출됐던 사례에 비춰봤을 때, 기업에 상당한 위험 증가를 초래할 가능성은 낮다.
파이어아이는 전 세계 주요 정부와 기업 고객을 보유한 세계 최고의 사이버보안 업체 가운데 하나다. 정부가 후원하는 공격자에 대한 최고 수준의 연구와 사고 대응 능력으로 유명한 이 업체는 지난 수년 동안 정부와 기업에서 가장 두드러진 침해 사고를 조사하고 있었다.
파이어아이, 누가 공격한 것인가?
파이어아이 CEO 케빈 맨디아는 공개 석상에서 “최근 파이어아이는 정부 후원의 고도로 정교한 위협 행위자로부터 공격을 받았다. 이 공격은 지금까지 대응해온 수만 건의 사고와는 다르다. 공격자는 특히 파이어아이를 표적으로 삼고 공격하기 위해 세계적 수준의 능력을 맞춤화했다. 이들은 운영 보안(operational security)에 대해 고도로 훈련되어 있으며, 규율과 집중력을 갖고 실행했다. 보안 도구와 포렌식 검사에 대응하는 방법을 사용해 비밀리에 운영했다. 이들은 지금껏 보지 못했던 새로운 기술 조합을 사용했다"라고 밝혔다.
공격자가 훔친 것은 무엇인가?
워싱턴 포스트가 보도한 바에 따르면, 공격자는 보안 업계에서 APT29 또는 코지 베어로 알려진 러시아 SVR 해외정보국의 해킹부서로 파이어아이의 정부 고객 관련 정보를 노렸다. 파이어아이 측은 현재 사건 대응과 컨설팅 관련 계약과 관련된 고객 정보가 도난당했다는 어떤 증거도 발견하지 못했지만, 공격자는 파이어아이의 내부 레드팀 도구 일부를 입수했다고 말했다. 레드 팀은 실제 공격을 시뮬레이션하기 위해 계약을 맺은 침투 테스터를 지칭하는 업계 용어로, 블루 팀(blue team)인 방어자와 함께 기업의 보안 조치의 강도, 대응 능력 및 잠재적 침해의 영향을 평가할 수 있다. 파이어아이에 따르면, 도난당한 도구는 네트워크 정찰을 위한 간단한 스크립트부터 메타스플로잇(Metasploit), 코발트스트라이크(CobaltStrike)와 같이 공개적으로 사용 가능한 다른 침투 테스트 도구와 유사하지만 레드 팀을 위해 특별히 개발한 첨단 공격 프레임워크에 이르기까지 다양하다. 일부 도구는 파이어아이의 오픈소스 가상머신 코만도VM(CommandoVM)의 일부로 이미 공개됐거나 기존 오픈소스 스크립트 및 패키지의 수정판이다.
파이어아이 측은 “공격자가 훔친 레드 팀 도구에는 제로데이 공격이 포함되지 않았다. 이 도구는 전세계의 레드 팀에서 사용하는 잘 알려져 있고 문서화된 방법을 적용하고 있다. 이번 도난이 공격자의 전반적인 능력을 크게 향상시킬 것이라 생각하지는 않지만, 파이어아이는 이런 시나리오를 막기 위해 최선을 다하고 있다”라고 전했다.
파이어아이는 오픈IOC(OpenIOC), 야라(Yara), 스노트(Snort), 클램안티바이러스(ClamAV)를 비롯한 다양하고 인기많은 오픈소스 탐지 기술에 대한 IOCs(Indicators of Compromise) 및 탐지 규칙, 그리고 서명(signatures) 등을 공개했다. 이 도구가 이용한 모든 취약점의 CVE 식별자 목록도 이 업체의 깃허브(GitHub) 계정에 게재됐다.
파이어아이 해킹 사고와 과거 사이버공격 도구 도난 사고와의 비교
2017년 ‘섀도우 브로커(Shadow Brokers)라는 단체가 NSA의 공격 도구를 훔친 사례나 2015년 보안 감시 소프트웨어 업체인 해킹팀(Hacking Team)의 도구 유출 사례와 같이 사이버공격 도구가 공개 유출된 이후에, 많은 공격자 그룹이 이 공격 도구들을 채택해 공격에 사용했다.메타스플로잇 프로젝트를 감독하고 취약점 및 컴플라이언스 관리업체인 래피드7(Rapid7) 연구 책임자 토드 비어즐리는 “파이어아이 침해 소식을 들었을 때 가장 먼저 생각난 것은 섀도우 브로커 목록이었다. 이로 인해 워너크라이(WannaCry) 사태가 어떻게 발생했는지 다들 잘 알고 있을 것이다. 하지만 이번 사건은 NSA 도난 사건과 몇 가지 중요한 차이점이 있다. 즉, 파이어아이의 자체 진술에 따르면, 파이어아이 도구는 대부분 이미 알려진 기술과 도구에 대한 수정판으로 보인다”라고 설명했다.
섀도우 브로커의 유출 목록에는 이터널블루(EternalBlue) 및 이터널로맨스(EternalRomance)가 포함되어 있었다. 이는 유출 1개월 전에 마이크로소프트가 NSA의 경고를 받은 윈도우 SMB 프로토콜 취약점에 대해 무기화한 2가지 익스플로잇으로, 도난당할 당시 제로데이 상태였다. 특히 이터널블루는 2017년 주요 워너크라이 및 낫페트야(NotPetya) 랜섬웨어 웜을 강화해 전 세계 기업 네트워크에서 수십만 개의 시스템을 중단시키고 수십억 달러의 손실을 입혔다.
파이어아이 도난 사건으로 인한 위험
비어즐리는 “공격 도구가 유출되거나 공개되더라도 이번 파이어아이의 유출로 인해 사이버 대재앙은 일어나지 않을 것이다. 오해하지 마라. 파이어아이 레드 팀 구성은 세계 최고 수준이다. 하지만 이들이 최고라고 하는 것은 공격적인 작업을 철저히 수행하고 비밀 슈퍼 도구에 의존하지 않는 방식이기 때문이다. 기업의 위험을 줄이기 위해 IT 및 보안 팀은 합당한 시간 내에 패치 롤아웃을 관리하고, IDS/IPS/방화벽에 대한 적절한 경고 인프라를 갖추고 있으며, 합리적인 방식으로 자산을 관리해야 한다는 것을 의미한다”라고 충고했다. 사이버보안 스타트업 스테어웰(Stairwell) CEO 마이크 위아섹도 같은 의견이었다. 위아섹은 “이번 사건의 경우, 제로데이가 없다는 것이 축복이다. 공격자가 기업 내 교두보를 확보하는 데 이전보다 더 좋아진 것도, 나빠진 것도 없다는 걸 의미하기 때문이다. 즉, 최신 정보를 유지하고, 심층적인 방어를 하고, 의심스러운 이벤트를 보고하도록 사용자를 교육하는 등 사이버보안 위생이 그 어느 때보다 중요해졌다. 현재 진행중인 전염병에 대한 공중 보건 조치와 마찬가지로 이런 기본적인 조치를 통해 대부분을 보호할 수 있다”라고 말했다.
현재 파이어아이는 도구가 사이버공격자에 의해 유포되거나 사용됐다는 증거를 보지 못했다고 밝혔다. 그러나 현실은 이 공격 그룹이 기존 역량을 감안했을 때, 실제 이 도구가 필요하지 않다는 것이다. 파이어아이의 설명에 따르면, 공격자는 애초에 파이어아이에 침입하기 위해 전에 볼 수 없었던 기술을 조합해 개발했기 때문에 파이어아이가 가지고 있던 것과 유사한 도구를 만들 수 있었을 것이란 추측이다.
이전에 구글의 위협 분석 그룹을 설립하고 알파벳 크로니컬 보안 스타트업 CSO로 근무했던 위아섹은 “공격자가 다른 것을 노리고 있었을 가능성이 높고 이 도구가 편리했기 때문에 그냥 손에 넣었을 수도 있다고 생각한다. 또한 그들이 가치가 있는 것인지 알지 못한 채 나중에 분석하기 위해 가져갔을 수도 있다"라고 추측했다.
위아섹은 “정교한 공격자는 알려진 공격 코드를 훔치기 위해 파이어아이를 해킹할 수 있는 새로운 기술을 개발했다는 것은 말이 되지 않는다. 제프 베조스나 엘론 머스크가 총을 들고 은행을 강탈하는 것과 같다. 이런 일이 일어난다고 상상하는 것만으로도 우습다. 개인적인 의견이지만, 새로운 기술을 개발해 알려진 공격 도구를 훔치는 것은 역량의 낭비처럼 보인다. 그들이 수행한 다른 목적이 무엇인지 무척 궁금하다. 하지만 이를 알아내는 것은 불가능하며 파이어아이조차 아직 알지 못한다. 마치 박물관 도둑과 비슷하다. 누군가가 모나리자를 훔치기 위해 침입해 아마도 나가는 길에 선물 가게에서 물건을 훔친 것인지 모른다”라고 견해를 밝혔다.
공격자가 이런 도구를 갖는 가치는 파이어아이가 고객에게 사용하는 공격 기술에 대한 통찰력을 얻을 수 있다는 것이다. 파이어아이는 고객에게 해당 공격을 탐지하도록 가르치기 때문에 이 공격 도구가 공개된 후 위험한 것은 파이어아이 고객이 아닌 기업이다. 이들은 해당 도구를 탐지하지 못할 수 있기 때문이다. 그래서 파이어아이가 수백 개의 IOC 및 탐지 서명을 개발해 공개하기로 한 것이다. 이에 대해 많은 보안 전문가가 지금까지 파이어아이의 개방성과 전반적인 대응에 대해 박수를 보내고 있다.
데이터 개인정보보호 업체 빅아이디(BigID) CSO 로저 헤일은 “이런 도구의 도난으로 인해 기업의 위험이 절대적으로 증가한다. 이 도구는 탐지되지 않도록 특별히 설계됐다. 그나마 다행인 것은 파이어아이가 IOC 및 대응책을 공개적으로 발표했다는 것이다. 그러나 기업은 스스로를 보호하기 위해 보안 스택을 업데이트해야 한다. 해당 위험은 대응책이 배치될 때까지 완화되지 않으며, 그것도 도구가 수정되지 않는 한에서”라고 경고했다.
헤일은 공격자가 파이어아이 도구와 기술을 분석하고 수정해 자신의 기술을 발전시킬 수 있다고 생각하지만, 섀도우 브로커의 유출로 인한 위험보다는 위험 수위가 낮다는 데 동의했다.
산업 사이버보안 업체 드라고스(Dragos) CEO 로버트 리는 “워너크라이와 같은 무기화된 취약점의 수십억 달러의 위험과 이미 다른 도구를 사용하고 있는 정교한 공격자의 위험은 다르다. 이 시점에서 공격 도구와 공격자는 단지 사과와 오렌지가 매우 많은 것뿐이다”라고 비유했다.
파이어아이의 침해사고, 방어자에게 기회 제공
로버트 리는 파이어아이가 발표한 대응책의 가치는 유출된 도구에 대한 탐지를 제품과 네트워크에 배포하는 보안 공급업체의 가치를 넘어서는 것이라고 평가했다. 리는 “실제로 방어자에게는 이런 야라 규칙을 보고 드러나는 전술, 기술 및 행동에 대해 생각할 수 있는 좋은 기회다. 도구를 탐지하는 것 이상으로, 방어자에게 파이어아이의 표적화 기술에 대해 배울 수 있는 좋은 기회를 제공하기 때문이다. 따라서 이를 올바르게 수행하는 기업은 긍정적인 결과를 산출할 수도 있다. 시야를 조금 더 넓혀 파이어아이 도구 세트 이상을 생각한다면 더 광범위한 공격자에 대한 좋은 탐지 아이디어를 찾을 수 있을 것이다”라고 설명했다.
또한 “공격자가 원할 경우, 탐지 서명을 회피하기 위해 유출된 도구를 수정하는 것은 그리 어렵지 않을 것이기 때문에 대신 사용되는 기법을 탐지하는 것이 더 유용할 수 있다. 그렇기는 하지만, 모든 기업이 이렇게 심층 분석을 수행하고, 이를 방어 강화를 위한 내부 프로젝트로 전환할 만한 역량을 가진 보안팀을 보유하고 있는 것은 아니다. 하지만 아마도 잘 될 것이다. 왜냐하면 닫아야 할 시급한 구멍이 있기 때문이다”라고 예상했다.
리는 “만약 중소기업이거나 기업에 정교한 보안 팀이 없다면, 이것이 왜 최우선 순위인지 모를 수 있다. 최근 마이크로소프트의 취약점이 많이 공개됐기 때문에 연말 휴가에 들어가기 전에 이런 취약점이 더 중요할 수도 있다. 하지만 이것이 가장 중요하다고 생각하는가? 아니다. 조금이라도 여유가 있다면 여기에 집중해야 할 좋은 기회다. 그렇지 않으면 모든 주요 보안 공급업체가 이런 탐지 기능을 자사의 제품에 추가할 것이다”라고 말했다.
위아섹은 “파이어아이와 FBI의 발언을 생각해보면, 이런 유형의 공격자는 공개한 지표 정도는 사소하게 회피할 수 있다는 것은 확실하다. 하지만 완벽한 사람은 없으며 이런 가설 때문에 악의적인 활동을 탐지할 수 있는 기회를 무시해서는 안된다”라고 덧붙였다.
파이어아이 침해 사고의 가장 큰 교훈, 누구나 해킹당할 수 있다
정교한 공격자에 의해 해킹 당한 사이버보안 업체는 이번이 처음이 아니다. 과거 사례로 카스퍼스키랩(Kaspersky Lab), 비트9(Bit9), 어베스트(Avast)에 대한 공격이 있다. 그리고 일반 기업의 방어자에게는 보안 세계에서 최고 수준에 있는 사람들조차 해킹 당하는 것을 보는 것이 실망스러울 수 있다. 결국 이 최고들조차 이런 일을 당했다면 우리는 어떻게 할 것인가?기업 네트워크와 같은 복잡한 환경을 다룰 때, 뚫을 수 없는 방어라는 것은 없다는 것을 기억해야 한다. 충분히 의욕적이고 자원이 풍부한 공격자는 결국 뚫을 방법을 찾을 것이다. 현대 보안 프로그램의 목표는 위험을 제거하는 것이 아니라 최소화하고 관리하는 것이며, 보안 전문가는 해킹 당할 경우가 아니라 언제 해킹을 당하느냐가 문제가 될 것인지에 대한 질문을 듣는 것이 일반적이다. 중요한 것은 이런 사고를 최대한 효율적으로 기업에 미치는 영향을 최소화하면서 처리할 수 있도록 준비하는 것이다.
리는 “파이어아이에게는 안쓰러운 일이지만, 이는 한편으로는 좋은 이야기일 수 있다. 민간 기업이라도 거의 실시간으로 국가 수준의 적을 탐지하고 대응할 수 있음을 보여주기 때문이다. 침해 당한지 1년 후에 그 사실을 발견한 것보다 매우 좋은 일이다. 그들은 침입을 당했고, 거의 즉시 탐지했으며, 올바르게 대응했기 때문에 충격을 크게 줄일 수 있었다. 실제로 정보 보안 전문가란 바로 이런 일을 하는 것이다. 예방뿐만 아니라 탐지 및 대응도 전체적인 탄력성(resilience)을 증가시킨다. 이번 사건이 처음 단계에서 충격적으로 보일 수 있지만, 이를 받아들이고 자사의 보안 프로그램으로 무엇을 할 수 있는지 생각해 볼 기회를 가졌으면 한다”라고 의견을 제시했다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.