> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[내부 위협 방어①] 공격자, 정상 사용자 위장 침해 시도
포스포인트 “보안 사고 90%, 내부자 의해 발생”…악의·실수에 의한 대형 보안 사고 잇달아 발생
     관련기사
  [내부 위협 방어②] 정상 프로세스 이용하는 공격자
2019년 09월 17일 09:12:38 김선애 기자 iyamm@datanet.co.kr

[데이터넷] 미국 대형은행 캐피탈원을 해킹해 1억6000만명의 고객정보를 훔친 용의자 페이지 톰슨(Paige Thompson)은 AWS에 근무한 경력이 있는 엔지니어였다. 그는 캐피탈원 뿐 아니라 AWS를 사용하는 기업과 기관 30여곳에 접속해 무더기로 개인정보를 훔쳤다. 그는 방화벽 설정 오류를 이용해 서버 측 요청 조작 취약점(SSRF)을 악용, 개인정보에 접근했다.

이 사고에서 간과하지 말아야 할 점은 용의자가 AWS에 근무했던 경력이 있다는 것이다. 용의자가 방화벽 취약점을 이용해 AWS 상의 고객정보에 접근할 수 있다는 사실을 언제 어떻게 알았으며, 밝혀진 범행 외에 또 다른 범행이 있었는지, 또 다른 AWS 엔지니어들도 이와 같은 사실을 알고 있지 않은지 등에 대해서도 밝혀야 한다.

감염된 내부직원 이용 공격도 성행

사이버 공격의 일반적인 진행 단계는 ▲1단계: 초기 침투 ▲2단계: 추가 공격도구 다운로드 ▲3단계: 사용자 권한 이용해 내부 시스템으로 침투 ▲4단계: 내부 시스템에서 수평이동하며 중요 정보 접근 권한 획득 ▲5단계: 중요 시스템 접근, 데이터 탈취, 지속적인 공격 범위 확장 등으로 정리할 수 있다.

이 처럼 대부분의 사이버 공격은 내부자 권한, 내부 시스템에 접속 가능한 권한을 취득한다. 이미 사용자 권한을 획득한 공격자는 1, 2단계를 거칠 필요 없이 3단계부터 공격을 시작한다. 정상 사용자 권한을 이용하기 때문에 비정상 사용자에 의한 침해를 탐지하는 침입탐지 기술로는 막을 수 없다. 기업 내부 임직원에 의해 발생하는 침해사고 역시 이 방법으로 차단할 수 없다. 내부 직원에 의한 사고는 악의를 갖고 고의로 침해사고를 일으키는 것 뿐 아니라, 실수 혹은 감염되어 공격자에게 권한 정보를 탈취당해 자신도 모르게 공격에 이용당하게 된다.

캐피탈원 공격에 이용된 것으로 추정되는 SSRF는 외부 사용자가 내부 서버에 접근할 수 있는 취약점이다. 일반적으로 외부 사용자는 인터넷을 통해 웹서버에 접속할 수 있지만, 내부 서버는 방화벽에 막혀 접속이 불가능하다. 웹서버는 동일한 로컬 네트워크에 있는 내부 서버에 접속할 수 있는데, SSRF 취약점을 이용하면 외부 공격자도 웹서버를 통해 내부 서버에 접속할 수 있다. 즉 취약점을 이용해 웹서버가 내부 서버로 접속할 수 있는 권한을 탈취했다고 할 수 있다.

이 처럼 정상 사용자 권한으로 진행되는 공격은 정상 업무 프로세스를 이용하기 때문에 탐지가 어렵다. 기업은 위협 대응을 위해 많은 보안 시스템을 추가 도입하고 있지만, 보안 시스템이 너무 많아 관리가 어려워져 오히려 보안홀이 더 늘어난다는 부작용만 낳을 뿐, 보안 문제를 원천적으로 해결하지 못한다.

보안 투자 늘려도 위협 대응 못해

어택아이큐와 포네몬연구소가 함께 진행한 ‘기업 보안 전략 평가 연구’에 따르면 기업이 보안에 투자하는 금액은 평균 1840만달러(약 222억원)에 이르며, 58%의 기업은 내년 IT 보안 예산을 14% 늘릴 계획이다. 그러나 IT 담당자의 53%가 자사가 구축한 사이버 보안 도구가 얼마나 잘 작동하는지 모른다고 답했다.

기업은 평균 47종의 보안 솔루션을 운영하고 있는데, 이를 통해 데이터 유출을 막을 수 있다고 답한 사람은 절반이 채 되지 않았으며, 56%는 보안 솔루션의 가시성이 부족해 데이터 유출을 막지 못한다고 답했다.

   
▲보안 투자 늘려도 보안사고가 계속 일어나는 이유 (자료: 어택아이큐, 소프트와이드시큐리티)

보안 사고는 끊임없이 발생한다. 파이어아이 조사에서는 54%의 기업이 1번 이상 해킹을 당해 데이터 유출이나 내부 시스템 파괴를 경험했다고 답했으며, 아시아 태평양 지역 기업들은 공격자가 내부망에 침입해 공격을 시작한 후 8개월 이상 지나서야 공격을 인지하는 것으로 분석됐다.

기업이 보안 투자를 지속적으로 늘리고 있지만 사이버 위협으로 인한 리스크는 더욱 높아지고 있다. 공격자들은 새로운 공격도구와 공격 방법으로 기존의 방어 전략을 무력화하고 있다. 5G, 클라우드, IoT 등 새로운 ICT 환경에서 설정 오류, 사용자 실수 등으로 인한 위협 수준도 높아지고 있을 뿐 아니라 사용자의 실수를 유도하는 사회공학 기법도 교묘하고 지능적으로 고도화되고 있다.

포스포인트 조사에서는 보안사고의 90%가 내부직원에 의한 것이고 10% 만이 외부 해킹으로 인해 발생하는데, 기업에 큰 피해를 입히는 것은 해킹에 의한 것으로 나타났다. 수산INT 조사에서는 정보유출의 94%가 내부직원과 협력업체에 의해 발생하며, 주로 이메일과 클라우드를 이용하는 것으로 나타났다.

실수에 의한 대규모 정보유출 사고 발생

공격을 당하지 않아도, 기업에 피해를 입히겠다는 악의를 갖지 않아도 사고를 일으킬 수 있다. H 대학 학습센터에서 프로그램 참가자 350명에게 주민번호를 포함한 개인정보가 담긴 파일을 전송했으며, K대학은 학생 1000여명의 이름과 학번이 기록된 엑셀파일을 홈페이지에 올려 학생정보를 공개하는 실수를 저질렀다. N포털은 블로거 2000여명에게 주민번호, 블로그 수익금액 등이 포함된 파일을 전송해 개인정보를 유출시키는 어처구니없는 사고를 발생시켰다.

김대환 소만사 대표는 “이 세 가지 사건은 실수에 의해 발생했으며, 사고가 발생한 후 상황을 파악했고, 100건이 넘는 개인정보가 외부로 유출되거나 공개되는 과정에서 이를 차단하거나 사전 결재 승인을 받는 등의 통제 조치가 없었다는 공통점이 있다”며 “실수, 설정오류에 의한 보안사고 역시 심각한 위협이 되고 있으므로, 이에 대한 대책을 마련해야 한다”고 밝혔다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  내부 위협 방어, APT, 타깃 공격, 사용자 권한
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr