Search

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1820호(2017. 11. 1. 발행)에 기고한 원고입니다.


▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

악성 코드 설치 없는 시스템 해킹 방법, ‘파일 없는 공격’ 증가 추세.pdf



[ 요 약 ]


시스템에 외부 공격자가 침입해 감염시키는 것은 대개 첨부파일 실행이나 악성 실행 파일의 클릭을 통해 이루어지나파일 없는 공격은 파일 실행 없이 사용자가 악성 사이트로 연결되는 링크를 클릭하면 이후 몇 단계의 작업을 거쳐 사용자가 눈치 못 채도록 정보를 해커에게 전송하는 기법임최근 파일 없는 공격을 이용한 금융 기관 공격과 비트코인 채굴을 위한 채굴 프로그램 유포 시도가 급증하고 있는데백신으로도 쉽게 알아차리기 어려운 만큼 각 개인의 각별한 경각심이 필요함



[ 본 문 ] 



ž 발자국 없는 공격(Zero-footprint attack), 매크로, 비멀웨어 공격(non-malware attack) 등으로도 불리는 파일 없는 공격(fileless attack)에 대한 경고의 목소리가 커지고 있음


Ø 이런 공격은 사용자의 컴퓨터에 소프트웨어를 설치하는 행위를 수반하지 않기 때문에 바이러스 백신 도구들이 놓칠 확률이 다른 유형의 공격보다 높음


Ø 파일 없는 공격은 또한 승인된 애플리케이션만 시스템에 설치되도록 허용하는 화이트리스팅(whitelisting)도 빠져나가고 있는데, 이미 설치된 응용프로그램을 이용하거나 화이트 리스트 목록에 올라 있는 승인된 앱을 이용하기 때문


Ø 하지만 파일 없는 공격이나, 발자국이 없다거나, 멀웨어 방식이 아니라는 표현은 엄밀히 말해 정확한 것은 아닌데, 이런 공격은 종종 사용자의 악성 첨부파일을 다운로드 행위를 틈타기 때문이고, 시스템 상의 해당 위치를 보면 찾아 보면 흔적이 남아있기 때문


Ø 보안 전문가들에 따르면 완전히 흔적 없는 멀웨어란 실제로는 존재하지 않으며, 비록 하드 드라이브에 자신을 설치하지 않더라도 멀웨어를 감지하는 방법이 있다고 함


Ø 또한 안티 바이러스 프로그램들 역시 확장자가 exe인 파일이 설치되지 않더라도 악성 첨부파일이나 악성 링크를 찾아낼 수 있기 때문임


Ø 그러나 해커들은 파일 없는 공격을 통해 자신들이 침입에 성공할 가능성이 높아진다는 것을 알고 있으며, 그런 생각을 가지고 있다는 사실이 바로 진짜 위험이라고 전문가들은 지적함




[1] 파일 없는 공격의 작동 방식 사례

1단계

- 사용자가 악성 웹사이트로 가는 링크가 포함된 스팸 메시지를 받음

2단계

- 사용자가 링크를 클릭함

3단계

- 악성 웹사이트는 사용자의 컴퓨터에 보안 취약점이 있는 어도비 플래시를 로딩함

4단계

- 플래시는 윈도우 파워셸 도구를 여는데, 파워셸은 명령어 라인을 통해 지시 사항을 실행할 수 있으며 메모리에서 작동함

5단계

- 파워셸은 해커의 실행과 제어(C&C) 서버로부터 스크립트를 다운로드 받아 실행

6단계

- 파워셸 스크립트는 사용자의 데이터 위치를 알아내 해커에게 전송

<자료> CSO, IITP 재정리


ž 보안 솔루션 기업 카본 블랙(Carbon Black)에 따르면, 파일 없는 멀웨어 공격의 비율은 최근 1~2년 새 급증하고 있음


Ø 카본 블랙이 자사 보안 솔루션을 이용하는 기업의 실제 사례를 근거로 집계한 데이터에 따르면, 2016 1월에 3%였던 파일 없는 공격의 비율은 작년 말에 13%로 크게 증가하였음


Ø 이런 증가 추세는 올해도 계속되고 있는데, 현재 시스템 감염 피해건수 3건 중 하나는 파일 없는 공격과 관련된 요소를 가지고 있음


Ø 보안 프로그램의 설정을 너무 엄격히 해 놓으면 업무에 지장을 줄 수도 있어, 일부 기업들은 외부의 모든 공격을 차단하도록 설정하는 대신 경고 메시지만 띄우는 것을 선택하기 때문에, 카본 블랙은 파일 없는 공격의 영향력이 실제로는 더 크다고 보고 있는데, 시스템 침입에 성공한 공격의 절반 이상이 파일 없는 공격이라고 함.


Ø 카본 블랙은 허니팟(honeypot), 즉 비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템을 이용함으로써 공격이 나타나기를 가만히 기다렸다가 공격자가 무엇을 하려 하고 어떻게 확산되어 가는지를 추적하는 것도 좋은 대응 방법이라고 조언함


Ø 이렇게 함으로써 허니팟을 제외한 나머지 시스템 환경 전체를 확실하게 공격으로부터 보호할 준비를 마칠 수 있다고 함


ž 해커의 입장에서 보면 피해자의 컴퓨터에 새로운 소프트웨어가 설치되도록 하는 것은 주의를 끄는 일이기 때문에, 파일 없는 공격을 선호할 수밖에 없음


Ø 피해자의 시스템에 파일을 놓지 않으면 보안 프로그램이 엄격히 작동하지 않기 때문에, 해커가 파일 없는 공격이나 인메모리 공격 방식을 선택한다면 기업이나 보안 회사로서는 훨씬 더 골치를 썩게 되며 해킹의 성공 가능성은 더욱 높아짐


Ø 이 때문에 해커들은 파일 없는 공격을 선호하게 되는데, 카본 블랙이 1천개 이상의 고객 기업을 대상으로 자사 솔루션의 보호를 받는 250만 개 이상의 컴퓨터에 대해 분석한 결과 2016년에 거의 모든 기업과 컴퓨터가 파일 없는 공격을 받은 것으로 나타났음


Ø 공격자 입장에서 보면 파일 없는 공격이라고 해서 성능이 떨어지는 것도 아니고 페이로드는 완전히 똑같기 때문에 훨씬 더 매력적인 기법임


Ø 보안 기업 맥아피(McAfee) 역시 파일 없는 공격이 증가하고 있다는 점을 보고하고 있는데, 파일 없는 멀웨어의 상당한 비중을 차지하고 있는 매크로 멀웨어는 2015년 말 40만 개에서 2017 2분기 현재 110만개 이상으로 증가하였음


ž 맥아피에 따르면 이처럼 매크로 멀웨어가 늘어난 이유 중 하나는 파일 없는 공격 기법의 취약점 공략을 포함하는 사용하기 편한 도구들이 등장했기 때문임


Ø 그 결과 이전에는 주로 국가 주도의 공격을 비롯한 고급 공격자들만 사용할 수 있었던 파일 없는 공격이 지금은 민주화 되어 누구나 접근할 수 있게 되었음


Ø 이 파일 없는 공격을 위한 도구들은 금정적인 이익을 목적으로 한 공격에서 널리 사용되고 있으며, 사이버 범죄자들은 이를 활용해 랜섬웨어를 확산시키고 있음


Ø 급증하는 파일 없는 공격에 대처하기 위해 맥아피 등 주요 바이러스 백신 제공업체들은 기존의 서명 기반 방어 기법에 더해 행위 기반(behavior-based) 분석을 도입하고 있음


Ø 행위 기반 방어 기법이란 가령 파워셸 접속이 이루어지는 것을 보자마자 MS 워드가 실행된다면, 이를 매우 의심스러운 행위라 판단해 그 프로세스를 격리하거나 혹은 중지시키기로 결정함으로써 시스템을 보호하는 것을 말함


ž 파일 없는 공격은 이미 사용자의 컴퓨터에 설치된 안전하다고 생각되는 응용프로그램을 이용하는 것이므로, 방어를 위해서는 애플리케이션의 보안 업데이트가 아주 중요함


Ø 파일 없는 공격 도구에 포함된 취약점 공략 키트는 가령 웹 브라우저의 취약점을 희생양으로 삼아 브라우저에서 악성 코드가 실행되도록 할 수 있고, MS 워드의 매크로나 파워셸의 기능 등을 이용할 수도 있음


Ø 파일 없는 공격이 실행되기 위해서는 이미 설치되어 있는 소프트웨어에 존재하는 취약점이 필요기 때문에, 시스템 방어에 있어 가장 중요한 것은 OS뿐만 아니라 응용프로그램도 같이 패치 하거나 업데이트를 적용하는 것임


Ø 특히 웹 브라우저 플러그인은 패치 관리 프로세스에서 가장 간과되기 쉬운 부분이며, 파일 없는 감염 공격에서 가장 표적이 되는 취약점임


Ø MS 오피스의 매크로를 활용한 공격은 매크로 기능을 해제함으로써 위축시킬 수 있는데, 사실 이 기능은 디폴트로 비활성화 되어 있으므로 만일 공격자가 감염된 문서가 열리게 한다면 사용자가 해당 매크로를 활성화 하는데 명시적으로 동의를 해주어야 함


Ø 그럼에도 일부 사람들은 별 생각 없는 동의로 감염 문서를 열고 있으며, 특히 아는 사람으로 위장하여 매크로 문서를 열도록 공격하는 스푸핑의 경우에 더욱 그러함


Ø 해커들은 어도비 PDF 뷰어의 취약점이나 자바스크립트의 취약점도 표적으로 삼을 수 있는데, 피해망상이 큰 사람일수록 감염되지 않으려고 브라우저의 자바스크립트 실행을 꺼버리는 경우도 있지만, 그런 경우는 사이트 이용이 아예 불가능해진다는 또 다른 문제가 발생함


ž 최근 파일 없는 공격은 특히 금융기관이나 신용정보 기관을 대상으로 이루어지고 있어 자칫 대규모의 치명적 피해가 발생할 가능성이 있으므로 이들 기관의 각별한 주의가 필요함


Ø 지난 9월 발생한 미국의 대형 신용정보 회사 이퀴팩스(Equifax)의 정보 유출 사건도 파일 없는 공격의 사례인데, 이 사건은 웹 애플리케이션 개발 프레임워크인 아파치 스트럿츠(Apache Struts)의 명령어 주입 취약점을 이용하였음


Ø 이런 유형의 공격은 취약점이 있는 응용프로그램에서 사용자의 입력을 제대로 검증하지 않음으로써 일어나는데, 사용자의 입력에 OS 명령이 포함되어 있는 경우가 있고, 그 결과 이 명령어들은 취약한 애플리케이션과 동일한 권한 레벨로 피해자의 시스템에서 실행됨


Ø 이런 메커니즘은 안티 멀웨어 솔루션들을 완전히 사각 지대에서 공격하는 셈인데, 백신 프로그램들은 그 애플리케이션이 자연스러운 코드를 실행하고 있지 않은지 여부를 결정하기 위해 해당 애플리케이션의 실행 경로를 주목하고 있지는 않기 때문임


Ø 아파치 스트럿츠의 보안 패치가 올해 3월에 공개되었으므로 이퀴팩스가 패치를 했더라면 9월의 정보 유출 사건은 막을 수 있었을 것임


Ø 올해 초에 파일 없는 공격이 40개 나라에서 은행, 통신사, 정부 기관을 포함해 총 140개 이상의 기업을 감염시켰는데, 보안기업 카스퍼스키 랩은 감염된 기업들의 네트워크 상에 있는 리지스트리에서 악성 파워셸 스크립트를 발견하였음


Ø 카스퍼스키에 따르면 파일 없는 공격의 탐지는 오로지 RAM, 네트워크, 리지스트리에서만 가능


Ø 카본 블랙에 따르면 또 다른 잘 알려진 파일 없는 공격의 예로는 미국 민주당 전국위원회에 대한 해킹이 있는데, 가능한 한 오랫동안 감지되지 않고 남아 있기를 바라는 해커 입장에서 파일 없는 공격은 레이더 망에 걸리지 않게 해주는 기술임


Ø 침입 감지를 회피하기 위해 파일 없는 공격 기술을 활용하는 사이버 스파이 활동도 다수 목격할 수 있는데, 최근의 사례로는 중국과 북한 팀의 공격이 있었다고 함


ž 파일 없는 공격을 부당한 금전적 이익을 얻기 위해 응용하는 새로운 시도는 비트코인을 채굴하기 위해 감염된 머신을 사용하는 것임


Ø 비트코인 채굴자들은 메모리에 직접 로딩되는 채굴 프로그램을 실행을 시도하고 있는데, 이터널 블루(Eternal Blue)를 이용해 기업 전체에 수십 만개의 채굴 프로그램을 확산시키고 있음


Ø 이터널 블루는 마이크로소프트의 서버 메시지 블록(SMB) 프로토콜 구현에 존재하는 보안 취약점을 공략하는 것으로 미 국가안보국(NSA)가 개발한 것으로 알려져 있음


Ø 비트코인 채굴 난이도는 계속해서 높아지고 있는데 비트코인의 가치가 높아지는 속도를 훨씬 웃돌고 있으며, 이에 따라 비트코인 채굴자들은 전용 하드웨어를 구매하거나 전기 요금을 지불해야 하기 때문에 이윤을 내는 것이 매우 어려워지고 있음


Ø 그러나 기업의 PC와 서버를 하이잭킹 함으로써 비트코인 채굴자들은 하드웨어 구매 비용이나 전기요금을 감당할 필요가 없어지게 됨


Ø 강력한 병렬 처리가 가능한 CPU의 사용을 최대 한도로 끌어 올릴 수 있다면 누군가의 노트북을 사용하는 것보다 훨씬 낫다는 말이 있는데, 기업들은 시스템이 비트코인 채굴에 이용되고 있는 징후를 알아내기 위해 CPU 사용률이 비정상적이지 않은지 살펴볼 필요가 있음


ž 파일 없는 공격의 탐지와 대응은 기업의 노력 만으로는 부족하며, 이용자들이 특이한 동작이 발생했을 때 즉각 알아차릴 수 있도록 평상시 경각심을 가지는 것이 중요함


<자료> Techies Journal


[그림 1] 파일 없는 공격의 위험 인식 필요


Ø 행동 기반 분석 시스템이 적용되어 있다고 해도 파일 없는 공격을 모두 탐지 할 수 있는 것은 아니므로, 이용자들 각자가 평소와 다른 비이상적 이벤트가 언제 발생하기 시작했는지를 알아차리는 것이 중요함


Ø 예를 들어, 나의 사용자 계정이 무단으로 사용되고 있다든지, 지금까지 이전에는 통신하지 않았던 다수의 시스템들과 접속을 시작하는지 등을 잘 알아차려야 함


Ø 파일 없는 공격은 경고가 작동하기 전까지는 잡아내기 어려우며, 또한 행위 기반 알고리즘이 감시 대상으로 삼고 있지 않은 방식으로 작동한다면 알아차리기 어려움


Ø 공격자가 눈에 띄지 않게 신중하고 더디게 공격하는 데 많은 노력을 들이는 경우에도 공격을 탐지하기란 훨씬 어려워짐


Ø 사람은 자신의 눈에 보이는 것을 선택하는 편향이 있기 때문에 우리가 볼 수 있는 것은 우리 눈에 쉽게 발각되는 어설픈 것들뿐이며, 상대방이 매우 은밀하게 조심스럽게 움직인다면 우리는 그것을 볼 수 없음


Ø 파일 없는 공격이 위협적인 이유는 바로 그런 인간 감각의 한계를 공격자는 잘 알고 활용하는 반면 희생자들은 전혀 자각하지 못하기 때문임