지난 7월 18일에는 한국인터넷진흥원(이하 KISA)에서 '사이버 침해사고 정보공유 세미나'가 열렸습니다. 분기마다 한번씩 열리는데, 이번이 17년 2분기였습니다. 작년에 다녀왔던 후기글도 있습니다. [참고 : KISA 사이버 침해사고 정보공유 세미나 후기(16년 3분기)


이번에는 강남구 역삼역 부근의 포스코 P&S타워에서 진행되었고, "랜섬웨어와 침해사고"라는 주제였다.

랜섬웨어는 데이터를 암호화한 후 복호화를 조건으로 몸값을 비트코인으로 지불하라고 요구하는 악성코드의 일종이다. 왜 하필 주제가 랜섬웨어인가? 하면, 한국인터넷진흥원(KISA)이 4월 30일 발표한 ‘2017년 1분기 사이버위협 동향 보고서’에 따르면 랜섬웨어는 KISA가 1분기 수집·분석한 악성코드 전체의 44%를 차지했다. 랜섬웨어는 총 275개로 가장 많이 확인된 악성코드에 올랐다. 이처럼 랜섬웨어 공세가 더욱 거세지고 있기에 본 세미나의 주제가 랜섬웨어를 중심으로 한 최근의 사고들을 다루고자 한 것 같다.

출처 : http://www.ddaily.co.kr/news/article.html?no=155623
출처 : http://www.ddaily.co.kr/news/article.html?no=155623

포스코 P&S 타워 3층 이벤트홀에 도착했는데, 사람이 엄청 붐비었다. 200명 규모였다고 한다.

살짝 늦게들어왔더니 자리가 드문드문 있어서 겨우 앞자리에 착석했다.


처음 시작은 KISA의 위협정보공유센터 김정희 센터장님이 '글로벌 정보공유 체계 및 현황'이라는 주제로 기조연설을 해주셨다. 해외 보안기업의 사례를 보면, 이제는 사이버위협을 개인전으로 대응하는 것이 아니라 모두가 힘을 합쳐 함께 나아가는 방향으로 가고 있다. (참고 : IBM Caleb Barlow의 threat intelligence 관련 TED) 이와 비슷한 맥락으로 한국에서도 혼자서 풀기에는 불가능에 가까운 고민들을 함께 해결해 나가자는 의식이 생긴 듯 하다. 국내에도 (사)한국침해사고대응팀협의회라는 단체가 다수의 회원사를 연결하고 있으며, 사이버 위협정보 분석·공유(C-TAS) 시스템도 있다.

KISA의 김정희 위협정보공유센터장님
KISA의 김정희 위협정보공유센터장님
참고 : 사이버 위협정보 분석·공유(C-TAS) 시스템 안내참고 : 사이버 위협정보 분석·공유(C-TAS) 시스템 안내
참고 : 사이버 위협정보 분석·공유(C-TAS) 시스템 안내


이어서 첫번째로 진행된 발표는 KISA의 김동욱 주임연구원님의 2017년 상반기 국내 침해사고 동향과 관련된 내용이었다. 올해에는 한국정부의 사드배치 관련 중국의 보복해킹(2월)이 있었고, 숙박 서비스 업체의 개인정보 유출 사고(3월), 비트코인 거래소 해킹(4월), Wanacry 랜섬웨어(5월), 인터넷 호스팅 서비스 업체의 erebus 랜섬웨어 감염(6월) 사곡 있었다. 정말 다사다난한 상반기였다. 이 중 비트코인 거래소 관련된 이슈는 현재 수사가 진행중인 사안이어서 발표가 이루어지지 않았고, 나머지 사례들에 대한 간략한 개요와 진행사항을 브리핑해주셨다. 특히 숙박업 '여기어때' 관련 해킹사건의 전말이 아주 재미있었고, Wanacry나 Erebus 랜섬웨어는 뒤에 이어질 세션에서 다른 연구원님들이 중점적으로 더 다루어주셨다. 연구원님의 마지막 멘트가 인상적이었다. "해킹 당하는 건 어쩔 수 없는 경우가 많다. 랜섬웨어는 백업. 최신 보안 동향 파악 필요. 보안 인력 확충 필요"

두번째 발표는 한국정보보호교육센터 f-NGS Labs의 최우석 선임연구원님의 '악성코드 자동화 분석을 통한 인텔리전스' 이었다. 필명 hakawati의 블로그로 더욱 유명하신 최우석 연구원님은 파이썬 오픈소스 도구를 활용한 악성코드 분석, DBD 공격과 자바스크립트 난독화로 배우는 해킹의 기술 등의 저서로도 널리 알려져있으시다.

최우석 연구원님의 발표는 악성코드 자동화 분석으로 유명한 오픈소스 쿠쿠샌드박스(Cuckoo Sandbox) 환경구축과 활용에 관한 내용이었다. 나도 블로그에 악성코드 분석을 위한 Cuckoo Sandbox 설치(for Mac)을 포스팅한 적이 있었는데, 경험상 환경구축 자체가 상당히 귀찮고 어려웠던 기억이 난다. 최우석 연구원님은 쿠쿠샌드박스의 초기버전부터 현재에 이르기까지 거의 모든 종류의 버전을 직접 다 설치해보고 변경사항을 테스트해보셨다고 한다. ㄷㄷㄷ 나도 서버 작업이나 설치 노가다를 종종 하기 때문에 이 말씀이 얼마나 위대한 업적인지 그 깊이를 심층적으로 체감할 수 있었다. 다행히 최근에는 설치가 점점 쉬워지고 있는 추세라고 하셨다. 최신버전에 대한 자세한 설치과정은 hakawati님의 블로그에서 확인할 수 있다. 그리고 발표하실 때 직접 노트북으로 Live Demo를 시연하셨는데 이것 역시 어마어마했다. 보통은 라이브 상황에서 네트워크 세팅 등이 갑자기 달라지면서 예상치 못한 뻑이 날 가능성이 큰데(그래서 난 동영상을 미리 찍어두는 등으로 리스크를 회피한다 ㅋㅋ) 최우석 연구원님은 직접 노트북에서 Cuckoo Core Server VM과 DB Server를 띄운 후 실시간으로 분석이 이루어지는 것을 시연해보이셨다. 감탄..! 그리고 보통은 DB를 그냥 mysql 등으로 쉽게 끝내는데, ELK 써서 추가적인 데이터분석을 시도하시려는 듯 했다. 그 밖에 기타 다양한 오픈소스 악성코드 분석 관련 라이브러리를 통합적으로 연동하시려는 끊임없는 연구의지를 보여주셨다. 향후로의 연구내용도 심히 기대된다.


잠깐의 Coffee break이 있은 후, 그 다음 세번째 세션이 진행되었다.

본 발표는 KISA 손기종 책임연구원님께서 WannaCry 랜섬웨어 사태때 이용되었던 익스플로잇에 대한 심층적인 분석을 해주셨다. 안타깝게도 본인이 이러한 취약점분석과 관련된 백그라운드가 부족해서그런지 내용을 이해하기가 쉽지 않았다. 핵심만 요약하자면, 미국 국가안보국(NSA)에 의해 개발된 것으로 간주되는 취약점 공격 도구인 이터널블루(EternalBlue)가 섀도 브로커스라는 해커 그룹에 의해 2017년 4월 14일에 유출되었다. 이터널블루는 마이크로소프트의 서버 메시지 블록(SMB) 프로토콜 구현의 취약점을 공격한다. 이 취약점은 공통 취약점 및 노출(CVE) 카탈로그의 CVE-2017-0144에 고지되어 있다. 이 취약점을 악용한 워너크라이 랜섬웨어 공격이 2017년 5월 12일에 전 세계에 퍼져나간 것이다. 손기종 연구원님은 워너크라이가 수행되는 구체적인 방식 (킬스위치 도메인 접속, 파일 암호화, 네트워크 스캔, 원격지 감염 확산, EternalBlue 익스플로잇 공격패킷 전송)들을 차례대로 설명해주셨다. 이 내용을 완벽히 이해하려면 리버스 엔지니어링부터 네트워크 패킷 송수신, 취약점 PoC 코드 등에 대한 배경지식이 충분해야 할 것 같다. 나도 조금 더 자료를 찾아보며 공부해야겠다.


네번째 발표는 악성코드 분석 전문 기업인 하우리의 조효제 주임연구원님의 에레보스(Erebus) 랜섬웨어에 대한 분석 내용이었다. 알다시피 지난 6월 10일 01시에는 끔찍한 일이 있었는데.. 웹호스팅업체인 인터넷나야나가 랜섬웨어에 당한 것이다. 당시 조효제 연구원님은 집에서 쉬시다가 갑자기 메신저가 업무내용으로 폭탄처럼 밀려오고, 뉴스를 틀고나서야 사태를 직감하셨다고 한다. 다음날부터 시작된 분석결과에 따르면 이는 리눅스 ELF 바이너리 형식으로 이루어진 리눅스용 랜섬웨어 악성코드였다. 

2017년 6월 28일 미래창조과학부에서는 침해사고 중간조사 결과를 보도자료를 통해 발표하였다. 이는 지능형 지속 위협(APT)공격과 랜섬웨어 공격이 결합된 사고로써 규정되었다. 그렇게 판단된 이유에 대해서 조효제 연구원님은 'Dynamically linked'된 바이너리 파일을 증거자료로 말씀하셨다. 보통은 다른 시스템에서 악성코드가 원활하게 작동하게 하기 위해서는 동적링크를 하지 않고 정적으로 컴파일을 하는데, 이렇게 자신있게 동적으로 걸어놓았다는 것은 이미 그 시스템에 대해 장기간동안 침입하여 분석하고 사전에 모의하여 다 테스트를 해보았을 것이라는 추측이다. 사실 이들이 만든 랜섬웨어는 그렇게 수준이 높은 방식을 사용한것 같지는 않다. 그렇기에 오직 한 회사만을 타겟팅한 APT 공격이며 아주 평범한 방식의 랜섬웨어를 사용했음에도 불구하고 성공적인 이득을 취한 것으로 보인다. 이들은 역대 최고금액인 13억을 갈취하였으며 유유히 사라졌다. 인터넷나야나의 대표님은 영문도 모를 날벼락에 호소문을 작성하셨고 모든 책임을 지겠다고 하셨으나 다행히도 투자가 잘풀려서(?) 해커에게 돈을 지불하는 방식으로 일이 해결되고 어쨌건 다시 서비스를 운영상태로 전환하였다. 해커가 복호화 기능을 아주 잘 만들어놓은것은 아니어서 약간의 손해가 있긴하지만 그래도 잘 넘어가서 천만다행이다. 디지털포렌식 수사 입장에서는 해커와 타협한 좋지않은 선례로 남게되어 안타깝지만 영업을 하는사람들 입장에서는 일단 앞뒤볼것없이 서비스부터 살려야할 것 아닌가? 참 어쩔 수 없는 상황이었다고 본다. 이제부터는 모든 업체들이 백업을 아주 진지하고 철저하게 고려하여 설계하여야 할 것이다.

마지막 발표는 KISA의 조형진 선임연구원님의 '특정 해커 그룹에 대한 프로파일링 현황'에 관한 발표였다.

이 발표는 아쉽게도 발표자료가 제공되지 않기에 현장에서 열심히 들으며 필기할 수밖에 없었다. 알다시피 전세계적으로 종적을 감추고 사는 악성 해커들은 저마다 고유한 방식을 사용하고 있다. 그리고 같은 조직이라면 아무래도 같은 스타일 또는 비슷한 수법을 쓸수밖에 없다. 이러한 특징들을 프로파일링하면 어떤 침해사고가 발생했을 때 그 원천기술이 누구로부터 온것인지를 짐작할 수 있다. 이러한 연구가 중요한 것은 해커들의 동향을 빠르게 파악하여야 추적하는 입장에서도 그들의 발자취를 따라잡을 수 있기 때문이다. 그러기 위해서는 주요 공격자를 분류하고 식별-> 공격자의 공격기법 변화를 파악-> 공격자 식별을 활용하여 추가 공격대상에 대한 피해를 예방 등의 순서로 일을 진행하게 된다.


그래서 어떤 해킹 기술들이 그동안 어떤그룹의 공격에서 유사한 패턴이 있었는지를 탐지하는 분석을 하고 매칭을 하게 되는데 크게 라자루스 해킹그룹(Lazarus Group), kimsuky(원전반대그룹) 등이 있다. 사실 이러한 이름은 외국계 보안업체인 카스퍼스키(kaspersky)등에서 명명한 것으로, 한국인터넷진흥원은 별도의 독자적인 이름 명칭인 Red~ 의 형식을 사용하며 크게 3군데로 나누고 있다. 자세한 내용은 비공개이므로 나도 블로그에 적지는 않겠다. 어쨌거나 이들 그룹의 행동변화를 분석하고 그들이 사용하거나 확보한 취약점에 대한 패치 조치 및 취약점 정보를 국내의 업체들끼리 빠르게 공유하는 예방이 필요하다. 즉, 공격그룹의 공격기법 분석을 통해 취약한 환경에 대한 조치방안을 마련하는것이 시급하다.


이로써 KISA 사이버 침해사고 정보공유 세미나(17년 2분기) 후기를 마친다. 아마도 발표자료는 KISA 홈페이지에 업로드 될 것 같다. (아직 안올라와 있지만 올라오면 포스트를 업데이트하겠음) 발표자료가 업데이트 되었다. 너무나 좋은 배움의 기회를 마련해주신 KISA 관계자분들과 신우성 연구원님께 감사의 말씀을 드립니다.

CPUU님의 창작활동을 응원하고 싶으세요?