랜섬웨어 공격, 개인정보 유출 등 전통적인 대응체계를 우회하여 국가적 비즈니스 연속성에 치명적 영향을 미치는 고도의 사이버 공격이 증가하고 있으나 이를 해결할 수 있는 방법은 명확히 제시되고 있지 않다. 사실 공격자와 방어자가 가진 자원의 총량을 생각해 본다면, 공격자원의 총량은 방어 자원의 총량에 미치지 못한다. 하지만 사이버 공격자는 공격의 시점과 속도 대한 통제권을 장악하여 대응 자원을 분산시키는 전술을 수행한다.

이러한 공격전술의 대표적 예시는 국가정보원에 의해 발표된 매직라인 해킹이다. 매직라인은 국가공공기관, 금융기관 홈페이지에서 공인인증서로 로그인할 때 본인인증을 위해 개인용 컴퓨터에 설치 되는 프로그램으로 보안성 강화를 위해 사용되나 공격자는 되려 이를 보다 많은 목표에 접근할 수 있는 수단으로 활용하였다. 국정원은 지난 6월 북한 정찰총국이 매직라인 취약점을 악용하여 공공기관, 언론사, 방위산업체, IT 기업 등 50여 곳을 해킹했다고 발표하였다. 이때 주목해야 하는 점은 공격자는 하나의 소프트웨어의 취약점을 활용하여 대한민국 전 사이버공간에서 공인인증서를 사용하는 대부분의 대한민국 국민의 컴퓨터에 접근권한을 확보했으며, 공격자가 접근을 원하는 임의의 시간에 악성소프트웨어가 설치된 컴퓨터에 접근하여 불법행위를 할 수 있는 권한을 확보했다는 것이다. 이러한 사례에서 나타난 것과 같이 공격자는 사이버공격행위가 발생하는 시간, 공간 및 확률 공간 확장을 통해 방어자의 대응공간을 기하급수적으로 확대시키고 미시적 단계에서 전술적 기만 행위를 통해 방어 체계가 다루어야 할 정보를 증가시킨다.

 

환경이 변화하면 생존 전략도 변화하여야 하는 것과 같이 새로운 방어전략은 확장된 공간과 이 공간에서 발생하는 수많은 정보를 바이너리 수준에서 다루는 방식을 넘어 네트워크 구조적으로 다루어야 하는 시기이다. 이러한 현상의 배후에는 공격자와 방어자의 오랜 맞대응에 그 원인이 있다. 그림 1은 2009년부터 2022년까지 대한민국을 대상으로 발생한 주요 침해사고를 나타낸다. 방어자는 이러한 일련의 공격에 맞서 서비스거부공격 대피소 구축, 전문 대응기관 설립 등 지속적인 방어 체계 구축을 통해 공격 표면을 축소해 왔고 공격자는 지난 10년간 현저하게 줄어든 공격 표면에서 공격 행위 탐지를 회피하기 위해 사이버 공격 공간을 확장하는 사이버 공격 인프라를 구축하고 운영하고 있다.

 

공격자 인프라

 

국가기반 사이버 공격그룹은 공격목표에 대한 지속적인 사이버작전 수행을 위해 인터넷 공간에 구조화된 사이버공격 인프라를 구축/운영하고 있다. 이러한 인프라 운영을 위한 공격자원 배치는 원점, 전술통제, 단기활용 및 공격표면으로 구성된다. 위 그림에서 가장 왼쪽에 위치한 공격표면은 가장 휘발성이 높은 자원으로 개별 개체에 대한 추적이 어려우나 관리 체계를 갖 추고 있어 관리 단위의 추적이 가능하다. 공격표면은 소유자와 이를 활용하는 그룹이 시점에 따라 상이하여 민감한 정보의 유통보다는 다양한 공격대상 기관에 대한 불법접근 정보를 판매하는 전문 공격자 그룹에 의한 IAB(Initial Access Broker)단계에서 정보수집, 권한확보 등의 초기 단계에 활용된다.

그림에서 녹색으로 표현된 단기활용자원은 해킹을 통해 확보한 국내 IT자원 및 특정 VPS기반 호스팅 사업자 거점 자원을 활용하여 구축되며. 피싱 페이지 구성, 악성코드 유포 혹은 최종 정보유출 경유지 구성 등 탐지 및 추적을 회피하기 위한 목적의 작업에 활용된다. 마지막으로 전술통제 지점은 공격자 직접 운영하는 자원으로 국내 수사기관의 국가간 정보공유가 어려운 해외지역 VPS 호스팅 사업 자를 사용하거나 인터넷에 운용되는 특정 제품을 활용한 오버레이 통신망 구성/통제 등에 활용되며 열거된 3개의 자원 중 휘발성이 가장 낮은 특성을 보인다.

 

분석방법

사이버 환경의 변화에 따라 방어자는 제로트러스트 등 새로운 환경에 적합한 대응방법을 지속적으로 만들어내고 있다. 본 문서에서 소개하는 분석 방법은 분석대상 기관 외부에 서 획득된 사이버 인텔리전스 데이터를 활용하여 대상 기관 내부에 장비설치 등의 간섭없이 소위 '비파괴 방식'으로 대상기관의 위협대응 현황을 진단하는 방식으로 그 절차는 BGP 데이터를 사용한 인터넷 경로분석, 인터넷에서 분석대상 네트워크로 인입되는 인바운드 통신 분석 및 내부자산에서 기관 외부로 발생하는 아웃바운드 통신 분석으로 구성된다.

 

BGP 데이터분석

 

그림 3은 2022년 발간된 OECD BGP 라우팅 보안 문서에서 사용된 BGP 사고 통계를 나타낸다. BGP 하이재킹 공격은 우리에게 익숙한 공격은 아니지만 기존의 IP기반 보안체계를 완전하게 무력화할 수 있는 공격으로, 2021년 기준 세계적으로 이천 회 이상 발생하였으며 국내에서도 지난 2월 카카오 대역에 운영되고 있는 클레이스왑을 대상으로 이루어진 BGP 하이재킹 공격은 약 1시간 20분의 장애를 유발하고 22억 원의 금전적 피해를 발생시켰다.

 

그림 4는 점검대상 네트워크에 BGP 하이재킹 혹은 BGP MITM등의 공격의 발생여부를 실 BGP 라우팅 정보 분석을 통해 확인한 것으로 할당된 모든 네트워크가 하이재킹 등의 공격에 영향을 받지 않고 정상적으로 연결되어 있는 것으로 확인되었다.

 

인바운드 통신분석

 

그림 5는 분석을 위한 원본 데이터로 사용되는 네트워크에 발생하는 인바운드 통신을 사실 을 나타내는 것으로 이를 통해 인터넷에 공개되어 있는 네트워크 서비스는 물론 노출되어 있는 네트워크 서비스를 대상으로 발생하는 크레덴셜 스터핑 등의 공격 현황 및 관련된 침해 징후를 탐지한다.

그림 6은 분석대상 기관에 최근 피해가 급증하고 있는 MASS SCAN 랜섬웨어의 초기 권한 확보 공격이 이루어지는 것이 확인된 것으로 랜섬웨어 유포를 위한 초기 권한 확보를 위해 네트워크 특정포트에 대한 취약점 스캔이 매우 활발하게 발생하고 있는 것을 나타낸다.

 

아웃바운드 통신분석

대부분의 국내 기업/기관은 방화벽 등 방어체계를 통해 외부네트워크에서 내부로 직접 접속하는 것이 가능하지 않다. 따라서 공격자는 피싱메일, 악성코드 유포 등을 통해 내부자원에 대한 권한을 확보하고 이를 통해 공격지와 접속하는 방식을 사용하며 이때 발생하는 외부행 통신 분석을 통해 내부망의 자원의 감염 및 공격진행 여부를 확인 할 수 있다.

 

알려진 악성사이트 접속

아래 그림은 아웃바운드 통신 중 알려진 악성 이력이 존재하는 IP에 접속한 통신 분석을 수행한 결과 분석 대상 기관의 아웃바운드 통신 중 해외 구간 IP 700여개 중 약 30%인 200여 개의 IP가 최소 1개 이상의 악성 이력이 존재하는 것으로 나타났다. 통신이 발생한 내부 IP 중 약 4%인 32개 IP에서 최소 1번 이상 악성 이력이 존재하는 사이트와 양방향 데이터 교환 이 발생한 것으로 나타났다.

그림 7은 분석대상 기관 내부 호스트가 접속한 악성이력이 존재하는 해외 IP의 사이버 인텔리전스 분석 결과로 이 분석을 통해 내부 호스트의 알려진 악성 사이트 접속 여부를 확인 할 수 있다.

 

국가기반 공격대응

국가기반 공격그룹은 알려지지 않은 공격기법을 활용하여 공격대상 네트워크에 침투하여 정보탈취, 시스템파괴 등의 작업을 수행하지만 전통적 정보보호 방어체계로 이를 탐지하기 위해서는 지속적인 데이터 수집, 분석 등의 작업이 소요되며 또한 방어환경에 따라 지속적으로 변화하는 공격자의 전술(TTPs)로 대부분의 공격은 공격자의 침투목적이 발생한 이후 탐지되어 왔다.

국가기반 사이버 공격은 조직적 협업을 통해 이루어 지기에 이를 위해 인터넷 구간에 사이버 공격 인프라를 구축하고 빠르게 변화하는 공격표면 정보만을 노출시키는 방법으로 방어체계 의 탐지를 회피해 왔다. 그러나 수년간의 작업을 통해 구축된 공격 인프라는 공격원점에 가까워 질수록 그 변화 속도가 느려지는 특성이 있으며, 공격 원점에 가까운 공격 인프라의 모니터링을 통해 공격자가 목적을 달성하기 전 이를 탐지하고 대응할 수 있다.
 

그림 8은 대한민국(그림에서 청색으로 표시)을 목표로 하는 특정 공격 그룹이 인터넷 공간에 분산되어 있는 취약한 라우터에 불법적으로 획득된 권한을 이용해 구축한 오버레이 네트워크로 공격 원점에서 국내 네트워크까지 구성된 경로를 보여주고 있다. 국가 기반 공격자는 임의의 시점에 공격 목적을 달성하기 위해 다수의 국내 기업/기관 네트워크를 점유하고 특정 시점 발생한 필요에 따라 실질적인 공격을 수행하는 것으로 분석된다. 따라서 이러한 공격 그룹의 사이버 공격 인프라를 모니터링하는 것으로 실질적인 피해가 발생하기 전 선제적인 대응이 가능하게 된다.

 

결론

대한민국에서의 사이버 전쟁의 시작은 2009년 7월 7일 북한이 수행한 대규모 분산서비스거부공격에서 시작되었다고 해도 과언이 아니다. 당시 북한은 공격 수행을 위해 전 세계 60여 개국 500여 대의 컴퓨터를 사용하여 공격 인프라를 구성 하였고, 전 세계 103개국 50만 대의 사 용자 컴퓨터를 사용하여 35개 목표 사이트에 대한 공격을 수행하였다.

지난 13년 동안 국가기반 사이버 공격자는 대한민국에 대한 공격을 수행하기 위해 대한민국 내부는 물론 전 세계 각지에 매우 조직적으로 구성된 사이버 공격 인프라를 운영하고 있는 것으로 나타났다. 공격의 수준이 변화하면 이에 대응하는 방어 체계의 수준 역시 변화 하여야 한다. 공격자는 방어 시야 밖에서 긴 준비 기간을 거쳐 침투 준비를 한 후 모든 것이 준비된 후 추적 가능한 모든 증거자료를 삭제한 후 공격의 마지막 단계인 목적 수행을 실행하기에 공격 라이프사이클 전 과정에 대한 대응 시야를 확보한다면 방어자는 비로소 공격자 에 대한 대응 우위를 확보할 수 있게 된다.

지난 10년간 공격 표면을 넘어 인터넷 공간에 구축된 수천의 사이버 전사들의 협업 도구로 의 구축된 사이버 공격 인프라는 공격 원점에 가까울 수록 쉽게 변화할 수 없게 된다. 이제 네트워크 기반의 사이버 인텔리전스로 공격자 움직임과 의도를 예측하고, 그들이 구축한 공격 인프라를 관측하는 것으로 사이버공격 대응에 획기적인 전환이 이루어 질 수 있다.