지난 9월 28일에는 한국인터넷진흥원(이하 KISA)에서 '사이버 침해사고 정보공유 세미나'가 열렸습니다. 분기마다 한번씩 열리는 것 같은데, 이번이 16년 3분기였습니다.

세미나의 목적은 유관기관 전문가들에게 최근 침해사고 분석 사례를 바탕으로 분석 방법과 취약점 점검, 기타 법률 상식 등을 공유하는 자리입니다. 다행히 저도 참여의 기회가 주어져서 신청하였고 다녀올 수 있었습니다.

KISA 방문은 처음이었는데, 지하철 3호선 경찰병원역(가락동) 인근에 위치해 있습니다. 

건물 15층에 위치한 대강당에서 진행되었습니다.

본 행사에서는 별도의 휘황찬란(?)한 의전행사는 없었습니다. 정보공유 협력센터에 계시는 연구원분께서 짧게 한말씀 격려를 해주시고, 바로 본론으로 진행되었습니다^^

김정희 정보공유협력센터장김정희 정보공유협력센터장
김정희 정보공유협력센터장


총 발표는 4가지로 진행되었으며 발표자료는 KrCERT 에서 다운로드 하실 수 있습니다. 혹시몰라 여기에도 파일을 첨부합니다. (원본링크 : https://www.krcert.or.kr/data/reportView.do?bulletin_writing_sequence=24603 )

제가 대학원 연구실 일정이 있어서 세미나를 끝까지 참여하지 못하고 3번째 세션 중간에 나왔습니다. 인상깊게 들었던 내용을 위주로 하여 간단히 강의내용을 요약해보고자 합니다.



1. 윈도우 침해사고 사례 및 분석 방법 : 플레인비트 김진국 대표님

BoB에서 디지털포렌식 트랙으로 활동할 때 김진국 멘토님을 처음 뵙게 되었습니다. 아마 국내에서 디지털포렌식 블로그인Forensic-Proof 를 많이 들어보셨을텐데, 그 운영자이십니다. 열심히 강의필기를하느라 ^^; 아쉽게도 사진을 못찍었네요 ㅠ

첨부된 강의슬라이드에서 참조첨부된 강의슬라이드에서 참조
첨부된 강의슬라이드에서 참조

기업들이 IDS나 IPS, 그리고 각종 전용보안장비를 설치하는 형태로 기업의 외부망과 내부망 사이에서 네트워크를 보안관제하는 것에 큰 초점을 맞추고 있습니다. 물론 최근에는 SIEM 등의 새로운 장비들도 출시되고 있긴 하지만, 어쨌거나 네트워크 중심의 방어에는 한계가 있다는 점을 지적하셨습니다. 고도의 지능화된 APT 공격의 경우에는 마치 정상 트래픽인 것처럼 충분히 위장이 가능하기 때문에 방화벽 등으로 막을수가 없습니다. 그리고 인재(人災)로 인한 실수는 필연적이기 때문에 자산을 위협으로부터 완벽히 보호할 수 있다고 확신해서는 안됩니다. 다만, 위험을 통제 가능한 수준으로 낮춤으로써, 사고가 일어나더라도 그 피해를 최소화하는 것을 목표로 하는 것이 중요할듯합니다. 이러한 맥락에서, 김진국 멘토님께서 주장하신 것은 기존의 네트워크 기반 전략 뿐만 아니라, 호스트 기반 전략을 견고히 해야 한다는 것입니다. 이는 그동안 발생했던 크고 작은 침해사고 사례를 분석해보면 이해할 수 있습니다.

  • 클리앙/뽐뿌 사이트의 랜섬웨어 유포 사례 : 웹을 통한 유입
  • 인터파크 개인정보 유출 사례 : 이메일을 통한 유입
  • SK커뮤니케이션즈 개인정보 유출 사례 : 서비스 자체의 취약점을 통한 유입
  • 농협 전상망 사고 : BYOD 등의 기기 및 저장매체
  • 기타 : 영화나 미드에도 자주 등장하는 일명 사회공학적 방법

위와 같은 사례들은 결국 하나의 시스템(혹은 PC)가 감염됨으로써 내부망에 있는 모든 시스템이 침해되었고, 사실상 해커에 의해 좌지우지되었던 상황이었습니다. 이는 단 한대의 감염이 그것 하나만의 문제로 끝나지 않고 조직 전체에 막대한 타격을 주게됩니다. 

지금까지의 노력처럼, 네트워크 보완관제를 철저하게 수행하여 회사 안으로 들어오지 못하게 막는것도 분명 의미는 있습니다. 그렇지만 피할 수 없는 필연적인 사유(실수 혹은 사고)로 단 한대가 감염되는 일이 벌어진다면, 그로인해 모든 시스템이 감염되는 것은 시간문제입니다. 그런데 이 과정이 보통 한달 걸린다고 했을 때, 호스트 쪽에서 보안관리에 조금 더 신경을 쓴다면 악성코드의 전파속도를 3개월에서 6개월 정도로 더 늦출 수 있을지도 모릅니다. 즉, 피해를 막을 수 없다면 최소화시키는 것이 최선인 것이고 시간만 충분히 늦출 수 있다면 그 사이에 취약점을 진단하여 패치를 할 수 있게 됩니다. 따라서 한 PC만의 감염으로 사고를 종결시킬 수 있는 것입니다.

발표자료에는 보안상의 이유로 블라인드 처리 되었지만 세미나에서 발표하신 몇몇 사례에서는, 많은 기업들이 생각보다 어이없게(?) 당하고 있었습니다. 디폴트 패스워드를 변경하지 않고 유지하거나, 퇴사자의 계정을 비활성화하지 않아서 사후관리가 전혀 안되는 그런 일들로 인해 보안에 구멍이 생기고, 나아가 SPoF(단일실패지점)이 되는 것이므로 반드시 주의해야 할 것입니다. 


2. 리눅스 침해사고 유형 및 분석 기법 : KISA 김동욱 주임연구원

두번째 세션도 굉장히 인상깊었습니다. 이분은 실제로 KISA에서 침해사고 대응을 수행하셨던 경험을 위주로 많이 설명해주셨습니다. 특히 악성코드와 웹쉘을 탐색한 사례를 다루어 주셨습니다.

아래는 실제 있었던 XORDDoS 사례의 스크린샷입니다.

어떤 기업에서 네트워크 트래픽이 급증하였다는 신고를 받고, 디도스 공격이 의심되어 이를 조사하고자 위와같이 netstat 명령어로 조사해본 상황입니다. 위와 같이 다수의 포트들이 외부로 연결되어 있고, 해당 포트를 사용한 프로세스를 강제로 종료(kill)하여도 계속해서 되살아나는(부활..;;) 일이 반복되었다고 합니다. 알고보니 두개의 프로세스가 번갈아가며 서로의 상태를 체크하고, 종료되었을 경우 다시 실행하는 일을 반복하는 형태로 작동하고 있었습니다. 그 밖에 Crontab등을 사용하여 스케쥴링한 후 주기적으로 계속 실행되도록 주도면밀하게 악성코드를 심어놓았던 사례입니다. 

그 밖에도 billgates bot, ssh 백도어, ld.so.preload, adore rootkit, php 웹쉘 등의 사례를 소개해주셨습니다. 또한 KISA에서는 휘슬(WHISTL)이라는 프로그램을 제공하는 것을 알려주셨습니다. 관련해서는 KISA 보호나라 사이트를 참조하시기 바랍니다. 



3. 최근 취약점 악용 사례 및 보안 점검 방법 : KISA 손기종 선임연구원

잠깐의 쉬는 시간이 있었고, 이후 3번째 세션이 시작되었습니다. 저는 시간관계상 가야할 타이밍이 임박해오고 있었는데, 쉬는시간이 야속하기만 했네요.. 3번째 세션의 내용을 가장 듣고싶었지만.. 절반 정도밖에 듣지 못했습니다.


어쨌든, 연구원님은 실제 침해사고 분석에서 '제로데이 취약점'이 발견되는 경우는 굉장히 드물다고 말씀하셨습니다. 그럼에도 불구하고 지난 2016년 4월에 공개된 CVE-2016-0189의 사례는 주목할만했습니다.

CVE-2016-0189는 아시아를 타겟으로한 공격에 악용된 제로데이 취약점입니다. 이 취약점은 마이크로소프트의 인터넷 익스플로러 브라우저의 scripting 엔진에 존재하며, 악용할 경우 원격 코드 실행(RCE)이 가능해집니다. 이 오픈소스 익스플로잇은 윈도우 10 이상의 IE에 영향을 미칩니다. 공격자는 이전 버전의 윈도우를 공격하기 위해 이를 사용하거나 수정할 가능성이 있습니다. - 출처 : 알약 블로그(http://blog.alyac.co.kr)

이 취약점을 theori-io라는 유저가 github에 PoC 코드를 공개하였고, Neutrino Exploit kit은 해당 취약점을 발빠르게 탑재하여 내놓았습니다.

MS에서는 6월에 패치를 출시하였으나, 아직까지 패치를 수행하지 않은 많은 시스템이 제로데이 공격의 위험에 노출되어 있을 것으로 추정하고 있습니다. 반드시 최신 보안패치를 적용하실 것을 추천드립니다.


연구원님께서는 그 밖에 WordPress, ActiveX, 사내 PC 관리 소프트웨어, 광고 플랫폼(Malvertising)의 취약점 등에 대해 설명해주셨습니다. 이후 내용에 대해서는 강의를 듣지못하였기에 강의자료상의 내용만 간단히 정리하겠습니다.

침해사고 관점에서의 보안 점검 방법

  • 네트워크 경로 점검
  • 악성코드 확산 사례를 통해 보는 점검사항 숙지
  • 시스템 자동 로그인 악용 대비 점검
  • 관리 인터페이스 취약점 노출여부 점검
  • 코드 서명 인증서 보안 관리 및 점검


4. 보안실무자가 알아야 할 법률 상식 : 광운대 사이버보안학과 변정수


저는 기술내용 못지않게 법률과 정책관련한 내용도 주의깊게 경청하는 편인데.. 아쉽게도 ㅠㅠ 해당 강연을 듣지못하고 중도에 나갈수밖에 없었습니다. 제가 알기로 광운대에 사이버보안학과는 없는것으로 알고있는데.. 아마 신설된 학과에 초빙교수(?)로 계신 분이신것 같습니다. 제 짐작이 맞다면 법무법인 김앤장 소속의 변정수 전문위원님이셨던 것 같습니다.

보안실무자는 기본적으로 정보통신망법과 개인정보보호법, 기타 관련된 안전성 확보조치와 기술적/관리적 보호조치 기준을 숙지하고 있어야 합니다. 첨부된 발표자료를 참고하시길 바랍니다.


우연한 기회에 좋은 세미나에 참석할 수 있어서 참 감사했습니다. 

CPUU님의 창작활동을 응원하고 싶으세요?