​
　

​

영화 인사이드 아웃 2(Inside Out 2)를 보면, ‘불안(Anxiety)’이라는 캐릭터가 나온다. 불안이의 역할은 눈에 보이지 않는 것(can’t see)에 대비하는 역할이다. 소심은 눈 앞에 발이 걸려 넘어질 전선이 있거나, 부모님이 학교 생활에 대해 묻는 등 당장 닥친 상황에 반응하는 반면, 불안은 아직 닥치지 않은 먼 미래의 상황에 대비하는 역할이다.



사이버보안에서의 ‘불안’을 해소하는 AhnLab TIP

영화 캐릭터 ‘불안’을 소개한 이유는 사이버 보안에 대입했을 때, 캐릭터와 자사 위협 인텔리전스 플랫폼 ‘AhnLab TIP’와 연관성이 있기 때문이다. AhnLab TIP는 위협이 발생한 뒤 대응하는 다른 보안 솔루션들과 다르게 위협을 사전에 식별해 예방하는 사전 대응 관점으로 접근한다.

아래 소개할 AhnLab TIP의 기능들은 효과적인 위협 사전 예방을 위해 안랩이 최근 추가한 기능들이다. AhnLab TIP의 전체적인 기능에 관한 내용은 AhnLab TIP 제품정보페이지를 통해 확인할 수 있다.


먼저, AhnLab TIP에서는 취약점이 노출된 국내 IP를 선제적으로 확인해 분석하여 별도 보고서로 제공한다. 특히, 취약점이 노출된 서버는 잠재적인 랜섬웨어 혹은 악성코드 감염 대상으로 빠른 보안 패치가 필요한데, AhnLab TIP는 이처럼 신속한 조치가 필요한 영역에 대해 위협 정보를 빠르게 제공하여 고객이 피해를 예방할 수 있도록 한다.


다음은 안랩만이 분석해 제공할 수 있는 위협 인텔리전스다. 안랩은 V3(안티멀웨어), MDS(샌드박스), EDR(엔드포인트 탐지 & 대응 등) 다양한 엔드포인트 보안 솔루션을 기반으로 위협 정보를 수집해 분석하고 인텔리전스를 도출한다. 외부에 공개된 위협 인텔리전스 뿐만 아니라, 알려지지 않은 안랩만의 위협 정보(취약점, IOC, 해킹도구)까지 함께 제공해 위협 인텔리전스만 제공하는 타 기업들과 차별화된다. 고객들은 AhnLab TIP를 통해 제공되는 위협 인텔리전스를 바탕으로 사이버 위협보다 한 발 앞서 조직을 보호할 수 있게 된다.
　

[그림 1] AhnLab TIP의 Threat Monitoring 메뉴
　

​AhnLab TIP에서는 자사 보안 솔루션에서 수집한 APT 탐지 정보를 실시간으로 제공하며, 올해 플랫폼에 ‘Threat Monitoring’ 메뉴를 추가해 파일명, 해시, 침해가 발생한 IP 정보 등 사용자가 실시간으로 APT 위협 동향을 확인할 수 있도록 했다. 해당 내용은 OSINT(Opensource Intelligence) 등 외부 플랫폼에서는 파악할 수 없고, 오직 AhnLab TIP에서만 확인 가능하다.

AhnLab TIP는 텔레그램, 다크웹 등 비공개 채널을 실시간으로 모니터링한다. 그리고, 민감 정보가 유출된 경우, 해당 내용을 보고서로 발간해 고객에게 제공한다. 정보가 유출된 기업은 그 사실을 빠르게 파악해 조치하여 잠재적인 침해를 방지할 수 있다.


다음으로, ASEC(AhnLab SEcurity intelligence Center)에서 분석한 최근 세 가지 주요 위협 ▲취약점 공격(Exploit) ▲피싱 공격(Phishing) ▲정보 유출(Infostealer) 동향에 대해 알아본다.



우리를 불안하게 하는 위협 #1: 취약점 공격

지난해 안랩은 제로데이(Zero Day) 취약점 5건을 발견한 바 있는데, 올해는 상반기에만 벌써 5건을 확인했다. 취약점은 주로 관리(Management) 솔루션에서 확인되고 있으며, 국내 소프트웨어 대상 취약점 공격이 활발하게 진행되고 있다는 점을 알 수 있다. 안랩의 위협 인텔리전스 조직인 ASEC(AhnLab SEcurity intelligence Center)은 이와 같은 취약점을 가장 먼저 확인하여 분석하고 유관 기관에 공유해 관련 피해를 최소화하고 있다.


다음으로, ASEC에서 발견한 관련 사례들을 간단하게 소개한다.



#1. 교육기관 정보 유출 사례


　

[그림 2] 교육기관 정보 유출 사례 공격 전개 구조

​

[그림 2]는 올 해 국내 한 교육 기관에서 발생한 정보 유출 사례가 전개된 과정이다. 공격자는 교육 기관 내부 네트워크 망에 접근하기 위해 자산 관리(Asset Management) 솔루션 서버 취약점을 이용했다. 공격자는 취약점 공격을 통해 관리자 계정을 생성한 뒤, 웹쉘(Webshell) 파일을 생성했다. 자산 관리 솔루션의 정상적인 파일 배포 기능은 네트워크와 연결된 다른 시스템들에 악성코드를 설치하는데 이용했다. 이 때 확인된 악성코드는 BlackRAT, BlackgoRAT 등의 백도어(Backdoor)였다. 안랩이 분석한 결과, 해당 공격은 국가 지원 공격 그룹에 의해 수행되었고, 이들은 추적을 피하기 위해 안티 포렌식 기법을 사용한 것으로 파악됐다.


#2. VPN 설치 파일 취약점을 이용한 공급망 공격 사례


　

[그림 3] VPN 설치 파일 취약점을 이용한 공급망 공격 사례 전개 과정

　

​[그림 3]은 VPN 설치 파일의 취약점을 이용한 공급망 공격이 전개된 과정이다. 이 사례의 사용자는 특정 VPN 제공업체의 정상적인 웹사이트를 방문해 설치 파일을 다운로드 했다. 하지만, 설치 파일 내부에 악성코드가 포함되어 있었고 결국 심각한 피해로 이어졌다. 공격자는 악성코드를 심기 위해 VPN 제공업체의 웹사이트 취약점을 이용하고, 개발자 시스템을 통해 VPN 설치 파일 배포 단계에 악성코드가 포함되도록 했다. 모든 설치 파일들은 유효한 인증서로 서명되어 있었고, 해당 유형의 공격은 다른 여러 VPN 제공업체들을 통해서도 확인되었다.


공격자가 VPN 설치 파일에 포함시킨 악성코드는 SparkRAT, Sliver라는 이름의 백도어였다. 공격자가 해당 악성코드를 활용하면 감염된 시스템을 제어할 수 있다. 추가로, 공격자는 더 효과적인 원격 제어를 위해 MeshAgent라는 이름의 원격 스크린 제어 악성코드를 설치했다. 이 사례를 통해 작은 규모의 소프트웨어 제조사에 대한 취약점 공격도 여러 동종 기업과 사용자들에게 피해를 줄 수 있음을 확인했다.



#3. OT 보안 취약점 악용 사례


　

[그림 4] OT 보안 취약점을 노린 공격 사례
　

AhnLab TIP에서는 OT(Operation Technology) 환경에 관한 위협 인텔리전스도 제공한다.



[그림 4]는 올 4월 발생한 OT 환경 랜섬웨어 피해 사례의 전개 과정이다. 랜섬웨어 감염은 OT 운영 환경에서 생산 설비 제어 시스템을 점검하는 과정에서 발생했다. OT 환경은 본래 폐쇄망에서 운영되지만 해당 시스템은 점검 중 외부 인터넷에 연결되었고 이 과정에서 랜섬웨어에 감염됐다.

감염된 시스템들은 보안 프로그램 미설치, 업데이트 미비 등 공격에 취약한 상태로 운영되고 있었다. 중요한 점은 해당 기업이 안랩의 OT 엔드포인트 보안 솔루션 ‘AhnLab EPS’를 도입 및 운영하고 있었는데, 시스템 변경 및 외부 접근을 차단하는 ‘Lock Mode’가 꺼져 있는 생산 라인에서만 랜섬웨어 감염이 발생했다는 사실이다.

해당 공격에 사용된 랜섬웨어는 Phobos 랜섬웨어로 확인되었고, AhnLab TIP를 통해 이미 알려진 랜섬웨어였다.

이 밖에, 일반적으로 가장 빈번하게 확인되는 공급망 공격의 타겟은 MS-SQL 서버다. MS-SQL 서버는 상당수가 외부에 노출되어 운영되고 있으며, 공격자들은 주로 ‘무차별 대입(Brute Force)’ 공격을 통해 취약한 MS-SQL 서버에 대한 접근을 시도한다. 만약 관리자 계정 로그인에 성공하면 해당 서버에 악성코드를 설치할 수 있고, 주로 설치되는 악성코드는 Gh0st RAT, Remcos RAT 등의 백도어다.

AhnLab TIP에서는 분기 별로 MS-SQL 서버 공격으로 설치되는 악성코드 및 공격자 IP 정보에 대한 분석 보고서를 제공해 고객들이 대비 태세를 갖출 수 있도록 지원하고 있다.



우리를 불안하게 하는 위협 #2: 피싱 공격

다음은 피싱(Phishing) 공격이다. 이미 많은 사람들이 익숙한 피싱은 사이버 공격의 가장 일반적인 방법이지만, 동시에 많은 피해자들이 발생하기도 한다. 공격자들은 피싱을 위해 크게 두 가지 방법을 사용한다. 첫째는 URL 링크를 클릭하도록 유도하는 것이고, 둘째는 첨부파일을 실행하도록 하는 것이다. 피싱 이메일은 주로 기업의 관리자, 신뢰할 수 있는 기업 혹은 정부 기관을 사칭해 피해자를 속인다.

피싱 공격은 크게 세 가지 단계로 진행된다. 먼저, 사용자가 피싱 URL을 클릭하거나 첨부파일을 실행한다. 그 후, 공격자가 설계해 놓은 피싱 페이지로 연결되고 피해자는 계정 정보 등을 입력한다. 마지막 세 번째 단계로 피해자가 계정 정보를 전송하면, 공격자의 인프라로 정보가 유출된다.

최근에는 세 번째 정보 유출 과장에서 주목할만한 변화가 발견되었다. 과거 피싱 공격자들은 정보 수집을 위해 직접 구축한 웹 서버를 사용했다. 하지만, 최근에는 웹 서버 대신 ‘Formspark’, ‘Formspree’와 같은 폼(Form) 서비스나 텔래그램(Telegram) 메신저를 사용하는 추세다. 별도의 웹 서버를 구축하지 않아도 서버리스(Serverless) 형태로 편리하게 공격을 감행할 수 있기 때문이다.


　

[그림 5] 피싱 공격자들의 정보 수집 방법 통계

​
　

안랩은 2024년 3월부터 8월까지 피싱 공격자들이 사용하는 정보 수집 방법을 분석했다. 전통적인 웹 서버를 이용한 방식이 53%로 가장 많았다. 하지만, 텔레그램과 같은 서버리스(Serverless) 형태도 47%로 거의 절반 가량을 차지했다. 이와 같은 서버리스 형태의 정보 수집에 기반한 공격이 점점 증가하는 추세이며, 이는 공격자들이 점점 더 쉽게 피싱 공격을 감행할 수 있음을 의미한다.

 
[그림 6] 피싱으로 탈취된 정보의 텔레그램 유출 통계

　

[그림 6]은 공격자들이 피싱을 통해 탈취한 정보를 텔레그램을 통해 유출한 추이를 분석한 통계 자료다. 국가 별로 보면, 미국이 29%로 가장 높았고 한국(12%), 캐나다(8%)가 뒤를 이었다. 산업 군 별로 보면, 인터넷, 통신, IT 서비스 기업들이 높은 수치를 보였다. 이메일 계정, 패스워드, IP 주소 등 탈취 정보들은 텔레그램 공격자 채팅방으로 전송되고, 때로는 다크웹에 공개되어 거래되거나 또 다른 피싱 공격에 이용되기도 한다.

　

[그림 7] 피싱 공격 사례

​

[그림 7]은 국내 암호화폐 관련 기업에서 발생한 피싱 공격 사례의 전개 과정이다. 먼저 공격자는 국세청을 사칭해 회사 직원에게 피싱 메일을 발송했다. 수신자는 메일 본문에 포함된 링크를 클릭해 피싱 사이트에 접속했고 공격자는 피해자의 지메일(Gmail) 아이디와 패스워드 정보를 탈취했다. 그 다음, 공격자는 탈취한 계정 정보로 피해 기업의 구글 드라이브에 접속해 중요 문서와 파일들을 다운로드 했다. 이 기업은 멀티 팩터 인증 (Multi-Factor Authentication, MFA)을 사용하지 않고 있었기 때문에 아이디와 패스워드만 알면 접속할 수 있는 상황이었다.

구글 드라이브에는 기업에서 관리하는 암호화폐 지갑 주소 등 중요 정보가 저장되어 있었으며, 피싱 공격으로 인해 상당한 규모의 암호화폐 피해를 입었다. 이 사례는 직원 개인을 대상으로 한 피싱 이메일 공격도 기업에 큰 금전적 피해를 줄 수 있음을 보여준다.

AhnLab TIP에서는 공격자들이 피싱 공격에 텔레그램을 활발하게 활용하는 것을 파악하고, 이들이 텔레그램 채팅방으로 전송하는 정보들을 수집하고 있다. 또한, 피싱 공격 사례를 분석해 피해 기업에 상세 보고서를 제공한다. 이를 통해, 해당 기업들은 실질적인 피해가 발생하기 전, 유출 사실을 파악하고 관련 계정 정보를 변경해 공격을 예방할 수 있다.



우리를 불안하게 하는 위협 #3: 인포스틸러

최근, 정보 유출형 악성코드(Infostealer, 인포스틸러)가 무료, 불법, 크랙 등 다양한 형태의 소프트웨어로 위장해 활발하게 유포 중이다.


인포스틸러 배포 측면에서 가장 흔하게 알려진 기법은 ‘SEO Poisoning’이다. 이 배포 방식은 마이크로소프트 빙(Microsoft Bing), 구글(Google) 등 검색 플랫폼 최상단에 공격자의 피싱 사이트가 노출되도록 한다. 악성코드 배포 페이지를 효과적으로 노출하기 위해 ▲Crack ▲Serial ▲Keygen 등 일반 사용자들이 불법 소프트웨어 다운로드를 위해 주로 검색하는 키워드를 이용한다.
　

[그림 8] SEO Poisoning을 활용한 피싱 사이트 예시
　

​
[그림 8]은 구글에서 ‘Crack’ 키워드 입력 시 사용자에게 보여지는 피싱 사이트의 예시다. 이러한 피싱 사이트를 통해 다양한 형태의 인포스틸러 악성코드가 설치된다. 인포스틸러의 주요 기능은 시스템 문서 파일 혹은 웹사이트 로그인 시 사용하는 아이디/패스워드나 사용자 윈도우 화면 캡쳐 정보 등을 유출하는 것이다.

정보가 유출되는 과정을 간단히 설명하면, 먼저 사용자가 가짜 웹사이트에 접속하고, 다양한 페이지들로 리다이렉션(Redirection)이 이뤄진다. 최종적으로 다운로드 버튼을 클릭하면 암호 설정된 ZIP 압축파일이 다운로드 된다. 압축을 해제하고 실행하면 악성코드에 감염되고, 정보 유출이 발생한다.

해당 공격에 의해 유출된 정보들은 다크웹에 게시되거나 2차 공격 수단으로 이용된다. 이러한 방식을 통해 설치되는 악성코드로는 Cryptbot, LummaC2, StealC, Amadey, Racoon, Redline 등이 확인되었다. 인포스틸러로 인한 정보 유출을 예방하기 위해서는 기본적으로 보안 의식 강화가 필요하고, 무엇보다 불법 소프트웨어를 다운로드하지 않는 것이 중요하다.

[그림 9] SEO Poisoning 활용 피싱 공격 월별 통계



　

AhnLab TIP는 SEO Poisoning 기법을 통해 유포되는 인포스틸러 악성코드를 자동으로 수집해 대응하는 인프라를 갖추고 있다. 수집한 악성코드는 [그림 9]와 같이 월별 통계를 제공하기도 한다. [그림 9]는 2023년 8월부터 2024년 7월까지 SEO Poisoning을 통해 유포된 악성코드 수집 통계를 나타낸다. 해당 방식으로 많은 양의 악성코드가 꾸준히 배포되고 있으며, 최근에는 수집되는 샘플 수가 점점 증가하고 있다.

어두운 파란색 막대 그래프는 전체 수집된 샘플 수이고, 밝은 파란색 그래프는 수집 시점에 VirusTotal 상에는 없었던 샘플 수를 나타낸다. 많은 샘플들이 수집 시점에 외부에 알려지지 않고 안랩을 통해서만 제공되었음을 알 수 있다. 안랩은 이러한 유형의 악성코드를 자체적으로 자동 수집, 분석 및 탐지할 수 있는 시스템을 구축하고 있다. 그리고, 관련 정보들을 ASEC 블로그 등 다양한 경로를 통해 업데이트하고 있다.

　

[그림 10] 불법 소프트웨어 다운로드로 인해 발생한 기업 정보 유출사고 흐름도

　

​
다음으로 실제 사례를 살펴보자.



[그림 10]은 불법 소프트웨어 다운로드를 시도했던 기업에서 내부 정보 유출사고가 발생했던 흐름이다. 해당 기업의 직원은 재택근무 환경에서 회사 노트북을 통해 음악 관련 불법 소프트웨어를 다운로드 받았다. 이로 인해, 회사 노트북은 Redline, Danabot, Vidar라는 인포스틸러 악성코드에 감염되었고, 여러 웹사이트 로그인 정보가 공격자에게 유출되었다.

공격자는 회사 내부망에 접속하기 위한 VPN 계정 정보를 포함한 여러 웹사이트 로그인 정보를 탈취했다. 공격자는 해당 정보를 통해 회사 내부 네트워크에 접속했고, 여러 중요 문서들을 유출했다.

본 사례는 개인의 불법 소프트웨어 다운로드가 기업 전체에 큰 피해를 입힐 수 있음을 시사한다. 재택 근무를 지속하는 기업들이 많은 가운데, 기업 내부 네트워크에 대한 접근은 승인된 사용자로 제한하고, MFA 사용을 통해 보다 철저히 관리 및 통제해야 한다.



이상적인 AhnLab TIP 활용법

AhnLab TIP는 단순히 분석 보고서 등의 콘텐츠만 제공하는 것이 아니라 ▲폭 넓은 침해지표(IOC) 피드 ▲위협 그룹 분석 ▲샌드박스 분석 ▲다크웹 모니터링 등 기업 및 기관이 사이버 위협을 선제적으로 이해하고 예방하는 데 도움이 되는 다양한 기능들을 제공하고 있다. 특히, 서두에 강조한 바와 같이 자사 V3, MDS, EDR 등 다양한 솔루션과 연계해 수집한 위협 정보를 바탕으로 안랩만이 도출할 수 있는 위협 인텔리전스를 제공하는 것이 최대 강점이다.

여기에, 안랩 시큐리티 인텔리전스 센터(ASEC)를 구성하고 있는 위협 전문가들이 전문적인 위협 분석, 디지털 포렌식 등을 수행해 AhnLab TIP를 통해 제공되는 위협 인텔리전스의 수준을 한 층 더 끌어올린다. 고객 입장에서는 최근 유행하는 그리고 다가올 위협을 먼저 알고 예방해 이번 글의 제목과 같이 보안에서의 불안을 해소할 수 있게 된다.

AhnLab TIP는 API 형태로 제공이 가능해 다른 보안 솔루션과도 유연하게 연동할 수 있다. 이 경우, 기존 운영하고 있는 보안 솔루션에 안랩의 위협 인텔리전스를 실시간으로 공급할 수 있어 더욱 강력한 보안 태세를 확립할 수 있다.

　

[출처 : 안랩(((www.ahnlab.com)]