홍주인뉴스] 사이버 공격의 이해와 사례를 알아보자

사이버 공격의 이해와 사례를 알아보자

사이버 공격에 대한 정의는 하나 또는 여러 개의 컴퓨터를 이용해 다른 컴퓨터나 네트워크를 공격하는 것이다. 이를 두 가지 유형으로 분류해보면 그 목적이 표적이 되는 컴퓨터를 비활성화 또는 오프라인 상태로 만드는 공격과 표적 컴퓨터의 데이터에 액세스를 하고 관리자 권한을 획득하는 것을 목적으로 하는 공격이다.

물론 여기에는 여러 다양한 기술적 방법이나 기법을 활용해야 한다. 항상 새로운 방법이나 기법이 많이 등장한다. 여기에서 소개하는 방법이나 기법 중에는 중복되는 것들도 있지만 가장 많이 사용되는 것들이다.

악성코드(Malware)

악성 소프트웨어(Malicious Software)를 줄인 말이다. 마이크로소프트는 "악성코드는 그 구조나 작동 방식에 상관없이, 하나의 컴퓨터, 서버, 컴퓨터 네트워크에 피해를 초래하도록 설계된 모든 종류의 소프트웨어"라고 정의한다. 웜(Worm), 바이러스, 트로이목마(trojans)는 모두 악성코드의 변종이다. 재생산 및 확산 방법에 따라 서로 구분이 된다. 이런 공격으로 컴퓨터나 네트워크를 작동 불능 상태로 만들거나, 시스템을 원격으로 제어할 수 있도록 공격자에게 관리자 권한을 승인하게 만들 수 있다.

피싱(Phishing)

사이버 공격자가 이메일로 표적으로 삼은 사람을 속여 유해한 행동을 하도록 만드는 공격 기법이다. 이메일을 수신하는 사람을 속여, 중요한 문서나 자료로 가장한 악성코드를 다운로드받게 하거나, 은행 사이트의 사용자 이름과 비밀번호 같이 민감한 정보를 캐내는 가짜 웹사이트로 연결된 링크를 클릭하도록 만든다. 많은 피싱 이메일은 수많은 사람들에게 발송된다.

서비스 거부 공격(Denial of Service Attacks)

특정 온라인 서비스가 제대로 작동하지 못하도록 만드는 무차별(Brute force) 공격 기법 가운데 하나다. 예를 들어, 공격자는 특정 웹사이트나 데이터베이스에 트래픽과 많은 요청을 보내 시스템 기능을 과부하 상태로 만들어 누구도 해당 웹사이트나 데이터베이스를 사용할 수 없도록 만든다. 분산형 서비스 거부 공격(Distributed Denial of Service, DDoS) 공격은 통상 악성코드로 감염시켜 사이버 범죄자가 통제할 수 있게 만든 수많은 컴퓨터를 사용해, 표적에 트래픽을 집중적으로 보내는 공격이다.

중간자(Man in the middle) 공격

공격자가 사용자와 사용자가 액세스하는 웹서비스 중간에 은밀히 침입하는 공격 기법이다. 공격자가 호텔 네트워크를 가장한 로그인 화면을 가진 와이파이 네트워크를 만든 후 사용자가 전송하는 은행 비밀번호 같은 민감한 정보를 수집하는 공격을 예로 들 수 있다.

크립토재킹(Cryptojacking)

다른 사람의 컴퓨터를 암호화폐 채굴에 동원하는 전문화된 공격이다. 표적의 컴퓨터에 악성코드를 설치해 암호화폐 채굴에 필요한 연산을 하도록 만들거나, 표적의 브라우저에서 자바스크립트 코드를 실행시킨다.

SQL 주입(SQL Injection)

공격자가 피해자의 데이터베이스를 제어할 수 있는 취약점을 악용할 수 있는 공격 수단이다. 많은 데이터베이스가 SQL(Structured Query Language)로 작성된 명령에 따라 작동하도록 설계되어 있으며, 사용자 정보를 수집하는 많은 웹사이트가 이런 데이터를 SQL 데이터베이스에 전송한다. SQL 주입 공격에 대한 예를 들면, 해커는 이름과 주소 정보를 묻는 웹 양식 형태의 SQL 명령을 작성할 수 있다. 만약 웹 사이트와 데이터베이스가 제대로 프로그래밍되어 있지 않다면, 데이터베이스가 이 명령을 실행시키는 시도를 할 수 있다.

제로데이 익스플로잇(Zero-day exploits)

아직 수정되지 않은 소프트웨어의 취약점이다. 패치가 릴리스 되면 사용자들이 보안 업데이트를 다운로드 받으면서, 매일 공격에 피해를 당할 수 있는 컴퓨터의 수가 조금씩 줄어들기 때문에 '제로데이 익스플로잇'이라는 이름이 붙여졌다. 이런 취약점을 공격할 수 있는 기법들이 다크웹(dark web)에서 거래되곤 한다. 때론 정부 기관이 이를 발견하고도, 공익을 위해 정보를 공개하지 않고 자국의 해킹에 사용해 구설수에 오른 사례도 있다.

막강해진 최근의 사이버 공격

최근 가장 규모가 컸던 사이버 공격들을 모아봤다.

워너크라이(WannaCry)

워너크라이는 2017년 5월에 급속도로 확산됐던 랜섬웨어 공격이다. 다른 랜섬웨어처럼 감염시킨 컴퓨터를 제어한 후 하드 드라이브의 콘텐츠를 암호화시켰다. 그런 다음 암호화를 풀어주는 대가로 비트코인 결제를 요구했다. 특히 영국 NHS 산하 시설의 컴퓨터를 표적으로 삼은 랜섬웨어 악성코드가 큰 피해를 초래했다.

랜섬웨어는 새롭지 않다. 그렇지만 미국 NSA(National Security Agency)가 비밀리에 개발한 코드를 사용해, 마이크로소프트 윈도우의 취약점을 공격했기 때문에 시사하는 점이 많다. 이른바 이터널블루(EternalBlue)라는 익스플로잇인데 해킹 그룹인 쉐도우 브로커(Shadow Brokers)가 이를 훔쳐 유출시켰다. 마이크로소프트는 사고 발생 몇 주 전 취약점에 대한 패치를 배포한 상태였다. 그러나 업그레이드를 하지 않은 시스템이 많았기 때문에 피해가 많았다. 더욱이 마이크로소프트를 분노케한 것은 미국 정부가 정보보안 업계와 해당 취약점에 대한 정보를 공유하지 않고, 오히려 취약점을 공격하는 무기를 만든 사실이다.

낫페트야(NotPetya)

2016년 피싱 스팸을 통해 확산되기 시작했던 랜섬웨어인 페트야(Petya)가 있다. 감염된 장치의 마스터 부트 레코드(Master Boot Record, MBR)를 암호화, 사용자가 파일에 액세스하기 아주 힘들게 만드는 랜섬웨어의 일종이었다.

그러나 2017년 6월 갑자기 훨씬 지독한 페트야 악성코드 버전이 확산되기 시작했다. 최초 페트야 버전과는 꽤 달랐으며, 낫페트야(NotPetya)라는 이름이 붙여졌다. 최초 우크라이나 회계 소프트웨어가 감염되면서 발생했고, 워너크라이가 사용했던 이터널블루를 통해 확산됐다. 러시아는 이를 부인했지만, 낫페트야는 우크라이나에 대한 러시아의 사이버 공격에 사용한 악성코드로 알려져 있다. 페트야를 계기로 국가가 무기화한 악성코드를 사용해 사이버 공격을 하는 시대가 열렸다.

이더리움(Ethereum)

이더(Ether)는 비트코인 같은 암호 화폐이다. 2018년 7월 어느 날 단 몇 분만에 이더리움 앱에서 740만 달러에 상응하는 이더가 도난당하는 사고가 발생하였고 몇 주후 또 다시 3,200만 달러를 도난당했다. 블록체인 기반 암호화폐의 안전성 및 보안에 대해 의구심을 불러일으킨 사고들이다.

에퀴팩스(Equifax)

2017년 7월, 대형 신용 평가 기관인 에퀴팩스는 "범죄자들이 미국 웹사이트 애플리케이션의 취약점을 공격, 특정 파일에 대한 액세스 권한을 획득하는 사고가 발생했다"고 발표했다. 그 결과 1억 5,000만 명에 달하는 사람들의 개인 정보가 유출됐다. 에퀴팩스의 후속 조치는 사람들을 더 화나게 만들었다. 에퀴팩스는 개인 정보 침해 여부를 확인할 수 있는 사이트를 구축 했는데, 에퀴팩스 서비스를 판매하는 사이트처럼 디자인되었기 때문이다.

세네카글로벌(SenecaGlobal) CEO 에드 스조퍼는 "에퀴팩스 침해 사고가 특히 더 심각한 이유는 이미 픽스에 대해 통보받은 상태였기 때문이다. 침해 사고가 발생하기 훨씬 전에 에퀴팩스가 사용하고 있던 아파치 스트럿츠(Apache Struts)라는 도구에 픽스를 적용해야만 했었다. 그러나 제때 그렇게 하지 않았다. 단순히 기술적인 문제가 아니었다. 기술적인 픽스는 알려져 있는 상태였기 때문이다. 에퀴팩스는 리소스를 갖고 있었지만 적절한 프로세스를 이행할 기술이 없었다"고 지적했다.

야후

야후의 대규모 이메일 시스템 해킹 사고는 특별히 강조해 언급할 필요가 있다. 사고는 2013년에 발생했지만, 30억 개에 달하는 야후 이메일 주소가 해킹을 받았다는 사실을 2017년 10월에야 명확히 드러났기 때문이다.

비밀번호와 백업 이메일 주소 등의 정보가 해킹된 이유는 해킹이 쉬운 구식 기법으로 암호화를 한 것이 문제였다. 공격자들은 훔친 정보를 사용 다른 계정까지 침해할 수 있었다. 계정 소유주들만 영향을 받은 것이 아니다. 현재 인수가 완료된 상태이지만 당시 버라이즌의 야후 인수합병 거래에도 영향을 미쳤다. 침해 사고로 인해 인수에 대해 재검토한 것이다.

이 침해 사고가 알려주는 정말 두려운 사실은 '이런 사고를 숨기려는 것들이고, 이점을 감안하면 이런 사례가 또 있을 수 있다는 것'이다. G2 크라우드 조사 담당 책임자 미치 리버맨은 "누구나 PR 때문에 침해 사고에 대한 정보를 공개하기 꺼린다. 그러나 진실은 결국 세상에 공개되기 마련이다. 우리가 모르고 있는 사실이 또 있을 수 있다"고 말했다.

깃허브(GitHub)

2018년 2월 28일, 버전 컨트롤 호스팅 서비스인 깃허브가 대규모 서비스 거부 공격을 받았다. 초당 1.35TB의 트래픽이 이 인기 사이트를 공격한 것이다. 이 공격으로 깃허브 운영이 중단된 시간은 아주 짧다. 깃허브는 20분이 채 안 되는 시간에 공격을 저지할 수 있었다. 그러나 공격의 규모가 무서웠다. 초당 1.2TB의 트래픽이 유입된 2016년 말의 딘(Dyn) 공격 규모를 능가했다.

더 큰 문제는 공격에 사용된 인프라였다. 딘 공격은 미라이 봇넷(Mirai botnet)의 부산물이었다. 악성코드가 수많은 IoT 장치를 감염시키는 방법으로 감행되는 공격이다. 그러나 깃허브 공격은 Memcached 메모리 캐싱 시스템을 실행시키는 서버의 취약점을 악용했다.

Memcached는 내부 네트워크에서 실행되는 보호된 서버에만 사용되도록 만들어져있다. 일반적으로 악의를 가진 공격자가 IP 주소를 스푸핑, 무방비 상태의 피해자에게 수많은 데이터를 전송하는 공격을 저지하는 보안 체계가 제대로 구축되어 있지 않다. 그런데 수많은 Memcached 서버가 개방된 인터넷에 위치해 있다. 그 결과,이를 악용한 DDoS 공격이 급증했다. 서버가 하이재킹 당한 것이라고 말할 수 있다. 이 서버는 명령을 받으면 즉시 패킷을 전송한다.

깃허브 공격 며칠 후, 미국의 서비스 공급업체 한 곳이 Memcached 기반 DDoS 공격을 받았다. 공격에 사용된 트래픽은 초당 1.7TB였다.

사이버 공격에 대한 통계

포지티브 테크놀로지스(Positive Technologies)에 따르면 2018년 2분기 발생한 고유한 사이버 사고의 수는 지난해 같은 기간에 비해 47%가 증가했다. 또 공격이 점차 더 정교해지고 있으며 표적화된 공격이 54%로 무작위 대량 공격보다 많이 발생하는 것으로 나타났다.

스마트폰 안전도 걱정해야 한다. 모바일 공격이 증가하고 있는 추세이기 때문이다. 카스퍼스키랩의 발표에 따르면 2018년 3분기에 악성 모바일 설치 패키지의 수가 불과 수개월 전보다 약 1/3 가까이 증가했다. 그러나 이런 공격을 방지하는 방법은 간단하다. 노튼(Norton)에 따르면 이런 패키지의 99%는 비공식 서드 파티 앱 스토어로부터 유입되고 있다.

전용식 총괄 기자 jys@hongjuin.news

스마트한 세상, 스마트하게, 스마트 UP_ 홍주in뉴스

홍주in뉴스의 모든 콘텐트(기사)의 무단 전재와 복사, 배포 등을 금합니다. 

Copyright by hongjuinnews. All Rights Reserved.