인공지능으로 탐지한 2018년 주요 사이버 위협: 1부 – 新정보기술의 부상

맥스 하인마이어(Max Heinemeyer), 위협 대응 총괄 | 2019년 1월 28일월요일

과거 기본적 수준의 PC 몇 대 정도에만 한정적으로 연결되어 있던 인터넷은 이제 우리 삶의 모든 방면에 깊숙이 들어와, 공공장소의 쓰레기통에 부착된 센서부터 앱을 통해 조종 가능한 장난감 자동차에 이르기까지 다양한 부분에 활용되고 있다. 이제 물리적 세계와 가상 세계 간의 경계가 사라지기 시작한 것이다.

그러나 이러한 발전된 정보기술의 빠른 확산으로 인해 기존의 사이버 보안 해결책들은 그 효용성을 잃게 되었고, 그 영향은 실로 심각하다. 지난해 사이버 범죄로 인해 5천억 달러가 넘는 전 세계적 손실이 발생했는데, 이는 기존의 보안 툴들이 사물인터넷(IoT) 기기와 호환되지 않는 경우가 많고 경계보안 솔루션으로는 클라우드 기술을 기반으로 구축된 경계를 초월하는 네트워크들을 안전하게 보호하기 어렵다는 점이 주요 원인으로 작용한 결과였다. 사실 이러한 새로운 유형의 IT 기술을 지능형 사이버 공격으로부터 보호하는 것은 둘째 치더라도, 이러한 신기술을 제대로 시각화하여 이해하는 것조차 전 세계 기업 및 정부에게 아직 난제로 남아있다. 그 결과, 클라우드 서비스 및 IoT 기기들은 주요 보안 맹점으로 떠올랐다.

우리는 자사 클라이언트의 모든 인터넷 연결 기기 및 클라우드 환경에서 나오는 로 트래픽(raw traffic)을 감시 및 분석함으로써 2018년에 두드러진 몇 가지 트렌드를 파악할 수 있었다. 총 2부에 걸친 연재 시리즈의 1부인 본 기사를 통해 작년의 IoT, 클라우드, 서비스형 소프트웨어(SaaS) 관련 트렌드를 돌아보고 2019년 사이버 위협 트렌드를 전망해 보고자 한다.

사물인터넷을 노린 공격은 두 배로 증가

그림 1: 사물인터넷은 향후 대대적으로 확산될 것으로 예측된다.

사물인터넷 기기의 수는 이제 세계 인구 수를 훨씬 앞지른다. 따라서 한 기업의 네트워크 상에 모든 사물인터넷 기기들을 식별하는 것은 더욱 어려운 과제가 되었다. 평균적으로, Darktrace의 사이버 인공지능으로 시각화되어 식별된 기기 중 15%를 상회하는 수의 기기들은 클라이언트도 모르고 있던 기기들이었다. 단 한 건의 보안 침해로도 회사에 수백만 달러에 이르는 손실과 평판 훼손이 야기될 수 있다는 점을 고려해 보면, 디지털 인프라 전체에 대한 종합적 모니터링을 하지 못하는 것은 엄청난 리스크라 할 수 있다. 실제로 Darktrace는 그동안 기업용 CCTV 카메라, 주차요금 정산 키오스크, 놀이공원 내 스마트락커 등 거의 모든 곳에서 위협을 발견했다. 그 기기들은 모두 기업 네트워크에 연결되어 있었고, 발견된 위협들은 모두 해당 보안 부서가 이전에 알지 못했던 위협이었다.

이러한 사물인터넷에 대한 가시성의 부족으로 인해 사이버 공격자들은 매우 손쉽게 사물인터넷을 조작, 공격하고 있다. 자사의 사이버 인공지능은 지난 한 해 IoT를 노린 공격이 두 배로 증가했음을 확인한 바 있다.

또한 혁신적 기업들과 스마트 시티들이 계속해서 빠르게 인터넷 연결 기기들을 도입함에 따라, 이러한 공격이 분명 2019년에는 더욱 급증할 것으로 전망된다. 기업들이 이러한 IoT 사이버 환경의 근본적 한계점들을 극복하려면, 자사 네트워크에 대한 가시성을 확보하고 취약한 경계 보안 솔루션들을 이미 침투한 IoT 공격들을 무력화하기 위해 자사의 보안 전술들을 적극적으로 재편해야 할 것이다.

클라우드 및 SaaS 관련 위협, 28% 증가

그림 2: 클라우드 서비스는 향후 점점 더 보편화될 것이다.

클라우드 및 SaaS 인프라로의 이행(migration) 트렌드는 2018년 한 해 동안 더욱 뚜렷하게 나타났다. 2020년이 되면 기업 업무량의 최소 83%가 클라우드를 통해 수행될 것으로 예상된다. 이러한 전개는 사실 놀랍지 않다. 클라우드 기술은 기업들의 비용 절감에 도움이 될 뿐 아니라 필요에 맞추어 변화하는 큰 규모의 유연한 서비스를 제공하기 때문이다. 그러나 기업들이 클라우드 혁신의 다음 단계로 진일보하려는 지금, 보안 스택의 진화 또한 필수적으로 고려해야 한다.

이제 보안부서는 제한된 가시성과 제어만이 주어지는 환경에 대처해야 한다. 공격자들은 대부분의 클라우드 보안 시스템이 안고 있는 내재적 취약점을 잘 알고 있으며, Darktrace가 확인한 바에 따르면 지난 한 해 동안 전년도인 2017년에 비해 클라우드 및 SaaS에서 발생하는 위협이 28% 증가했다. 실제로 가트너 리스크 관리 위원회(Gartner Risk Management Council)는 클라우드 액세스 보안 브로커(Cloud Access Security Brokers, CASBs)와 기존의 보안 제어 솔루션들조차 모든 유형의 사이버 위협을 파악하지는 못하기 때문에 클라우드 컴퓨팅을 2018년 가장 심각한 신규 사이버 리스크로 꼽았다.

비전통적 IT 공격의 미래

사이버 위협 환경은 항상 변화를 거듭하기에 그 누구도 미래의 공격에 대한 확신에 찬 예측을 내놓을 수 없으나, 우리는 이러한 인사이트를 바탕으로 올해를 포함한 미래에 나타날 주요 사이버 위협 트렌드를 예측해 볼 수 있을 것이다. 하나의 전반적 트렌드는 바로 IoT 기기 및 클라우드에 대한 공격들이 점점 더 자동화되는 현상이다. 또한, 보다 자동화되고, 심지어 인공지능을 통해 구현되는 공격들이 발생하리라 예측할 근거도 충분하다.

클라우드 환경들의 안전한 보호를 어렵게 만드는 이유들은 동시에, 클라우드 환경을 침투하기 어려운 환경으로 만든다. 왜냐하면 클라우드 환경은 공격이 가능한 범위가 굉장히 넓고 공격을 받는 지점들은 항상 바뀌기 때문이다. 그러나 인공지능 요소를 갖춘 멀웨어는 보안 취약점이 발견될 때까지 지속적으로 특정 기업의 클라우드 구축 환경을 스캐닝 하여 자체적 “판단”을 활용해 공격 배후에 있는 범죄자들에게 ‘호출을 하여’ 공격 방법을 지시받을 필요 없이 그 보안 취약점이 사라지기 전에 취약점을 악용할 수 있다. 그리고 IoT 기기를 노리는 경우, 이러한 인공지능 기반 멀웨어는 맥락화를 활용해 주변 환경에 쉽게 녹아 들어, 수동적으로 존재하며 해당 기기의 정상 행동 패턴을 학습해 정상적 행동을 모방할 수 있다.

IoT 기기 및 클라우드 서비스의 대대적 확산으로 인해 생겨난 보안 맹점들은 이러한 신 기술들의 내재적 보안 취약점으로 인한 네트워크 경계 확보의 어려움과 함께 2019년 가장 심각한 보안 문제점으로 꼽힐 것이 분명하다. 또한 인공지능으로 구현되는 사이버 공격들은 피할 수 없는 현실이 되어, 비전통적 IT 기술의 도입 및 확보에 맞춘, 기존의 사이버 보안 솔루션을 넘어서는 새로운 보안 전략의 고안이 반드시 필요할 것이다.

트로이목마 안을 들여다보자: 이모텟(Emotet) 완전 파헤치기!

맥스 하인마이어(Max Heinemeyer), 위협 대응 총괄 | 2019년 1월 10일목요일

기존의 보안 툴은 물론, 기존 보안 툴을 넘어서고자 하는 공격들도 발전을 거듭하는 가운데, 보안 체계의 내재적 약점을 악용하려는 사이버 범죄자들이 점점 더 늘고 있다. 그 내재적 약점은 바로 기업의 직원들이다. 특정 기업의 직원들이 자신도 모르는 새 기기 보안 침해에 가담하도록 설계된 컴퓨터 트로이목마 악성코드는 빠른 증가세를 보이고 있다. Darktrace는 특히 속임수를 활용하여 멀웨어에 감염된 기기로부터 온라인 뱅킹 이용자들의 자격 증명 관련 정보를 탈취하는 뱅킹 트로이목마(banking trojans) 관련 보안 침해가 2018년 전년도 대비 239% 증가한 것을 확인했다. 그리고 특히 뱅킹 트로이목마 중 하나인 이모텟(Emotet)은 전 세계 정부 및 기업들을 위협하고 있는 가장 심각한 피해를 야기하는 멀웨어의 한 종류로 꼽힌다.

이모텟은 모듈형 구조의 매우 정교한 멀웨어로, 먼저 메인 컴포넌트를 설치한 후, 추가 악성코드인 페이로드(payloads)를 실행한다. 이모텟은 “다형(多形)성 멀웨어”로 여겨지는데, 이는 이모텟이 안티바이러스 제품들의 탐지를 피하기 위해 식별 가능한 특성들을 계속해서 변화시키기 때문이다. 이러한 특징 때문에 이모텟은 보다 미묘한 방식으로 움직일 수 있다. 아래에 더 자세히 기술하겠지만, 이모텟은 고도의 영속성 유지 테크닉 및 자가 복제 능력도 갖추고 있어 매우 끈질기고 위험한 공격이다.

이모텟은 2014년 처음 등장한 이후, 공격 대상이 다양해짐에 따라 여러 번의 개조 및 목표 수정을 거쳤다. 초기에는 네트워크 트래픽에 개입하여 금융 정보를 탈취하도록 설계된 멀웨어를 사용해 독일 은행들을 공격 대상으로 삼았다. 지난해 말 기준, 이모텟은 이미 전 세계적으로 넓게 확산된 동시에, 미국에 위치한 공격 대상에 공격 노력을 집중하기 시작했고, 파일의 영구 손실은 물론, 비즈니스에 막대한 피해를 입히고 심각한 평판 훼손을 야기했다.

이모텟의 공격 방법

(Image courtesy of US-CERT)

이모텟은 정교한 피싱(phishing) 캠페인을 이용해 윈도우 기반 시스템들을 타깃으로 삼고, 사용자들이 멀웨어가 담긴 이메일들을 특이점이 없는 이메일이라고 믿도록 속이는 사회적 공학 테크닉을 활용해 확산된다. 예를 들어, 이모텟 최신 버전 공격들은 추수감사절 관련 이메일을 활용해 이메일을 받은 미국인 수신자들이 무해해 보이는 추수감사절 카드를 의심 없이 열어보게 만듦으로써 수행되었다.

위와 같이 전송된 이메일에는 마이크로소프트 워드 문서들이 링크 또는 첨부파일로 포함되어 있었다. 그 워드 파일들은 악성 매크로를 활성화하는 벡터(vector)로 쓰였는데, 해당 사용자가 직접 활성화를 해야만 실행되는 매크로였다. 보안을 지키기 위해 대부분의 최신 버전의 마이크로소프트 어플리케이션에서는 기본 설정으로 매크로 실행이 비활성화되어있다. 즉, 해당 공격 배후의 사이버 범죄자들은 사용자들이 직접 매크로를 활성화하도록 속임수를 써야만 했다. 이 경우, 추수감사절 카드를 이용해 사용자들을 속인 것이다.

매크로가 실행되면, 해당 워드 파일이 실행되고 파워 셸(Powershell) 명령이 활성화되어 보안 침해가 발생한 서버들로부터 메인 이모텟 컴포넌트가 다운로드된다. 위에서 언급했듯, 이모텟의 페이로드들은 다형성을 띄어, 기존 보안 툴들에 의해 탐지되지 않는 경우가 많다.

이모텟이 끈질긴 공격을 지속하고 자가 복제하는 방법

피해 컴퓨터에서 이모텟이 실행이 되고 나면, 이모텟은 다음 두 개의 주요 목표를 달성하기 위해 배포되기 시작한다. 첫 번째 목표는 영속성을 확보하는 것이고, 두 번째 목표는 더 많은 기기로 확산되는 것이다. 첫 번째 목표를 달성하려면 리부팅(reboot) 및 다양한 제거 시도를 무력화시켜야 하는데, 이를 위해 이모텟은 다음과 같은 조치를 취한다.

  • 시스템이 구동될 때마다 이모텟이 자동 실행될 수 있도록 예약 태스크(scheduled tasks) 및 레지스트리 키 엔트리(registry key entries) 생성한다.
  • 시스템 루트 디렉토리(root directories) 안에 무작위로 생성된 이름으로 파일을 생성하여 이모텟을 등록하며, 이러한 파일들은 윈도우 서비스로서 실행된다.
  • 보통 AppData\Local이나 AppData\Roaming의 경로에 위치한 디렉토리 안에 페이로드들을 ‘flashplayer.exe’와 같이 정상적으로 보이는 이름으로 저장한다.

이모텟의 두 번째 주요 목표는 바로 로컬 네트워크 등으로 확산하여 최대한 많은 기기들을 감염시키는 것이다. 이 목적을 달성하기 위해 이모텟은 가장 먼저 공격 대상 시스템 자체와 그 시스템이 사용하는 운영체제에서 정보를 수집한다. 이러한 정찰 단계를 마친 후, 이모텟은 어떤 악성코드를 실행할지 결정하기 전에 자신의 상위 인프라와 암호화된 명령제어(C2) 통신을 한다. 새로운 감염을 보고한 후, 이모텟은 C2서버들로부터 모듈들을 다운로드한다. 다운로드 되는 모듈의 예는 다음과 같다.

  • 웹브라우저 패스 뷰(WebBrowserPassView): 크롬(Chrome), 사파리(Safri), 파이어폭스(Firefox), 인터넷 익스플로러(Internet Explorer) 등과 같은 보편적인 웹 브라우저에서 패스워드를 탈취하는 툴
  • NetPass.exe: 현재 로그인 상태인 사용자를 위해 시스템 상에 저장되어 있는 모든 네트워크 패스워드를 복구하는 정상적 툴
  • 메일 패스 뷰(MailPassView): 핫메일(Hotmail), 구글메일(Gmail), 마이크로소프트 아웃룩(Microsoft Outlook), 야후메일(Yahoo! Mail) 등 자주 쓰이는 이메일 클라이언트들의 패스워드 및 계정 상세 정보를 알아내는 툴
  • 아웃룩 PST 스크레이퍼(Outlook PST scraper): 아웃룩 상의 메시지들을 검색하여 공격 대상인 아웃룩 계정에서 여러 이름 및 이메일 주소 등을 탈취하는 모듈
  • 자격 증명 정보 열거장치: 네트워크 리소스를 열거하고 SMB 세션 열거(enumeration) 및 무작위 대입 연결시도를 이용해 다른 기기에 접근하고자 시도하는 모듈
  • 뱅킹 트로이목마: 반복적인 브라우저 모니터링을 통해 금융 계정 정보를 수집하는 드리덱스(Dridex), 아이스아이디(IceID), 제우스 판다(Zeus Panda), 트릭봇(Trickbot), 칵봇(Qakbot) 등이 포함된다.

웹브라우저 패스 뷰(WebBrowserPassView), NetPass.exe 및 메일 패스 뷰(MailPassView) 모듈들이 보안 침해된 사용자의 자격 증명 정보들을 탈취할 수 있는 한편, PST 스크레이퍼 모듈은 사용자의 친구, 가족, 동료 및 클라이언트 등의 연락처 정보를 찾아내 탈취할 수 있다. 따라서 이모텟은 그러한 연락처들로 피싱 이메일을 발송함으로써 자가 복제할 수 있다. 그리고 이러한 이메일은 이미 지인이거나 각별한 사람들에 관한 이미 알려진 정보를 해킹하여 보내진 것이기 때문에 수신자들은 감염된 첨부파일 및 링크를 열어볼 가능성이 더 높다.

이모텟의 또 다른 자가 복제 방법은 바로 네트워크 내 다른 기기들에 대한 접근을 하고자 다양한 패스워드를 일일이 무작위로 대입하여 자격 증명 관련 정보를 탈취하는 것이다. 이러한 방법이 성공하지 못할 경우, 해당 멀웨어가 여러 번 로그인에 실패함에 따라 사용자들의 계정이 잠겨버릴 수 있고, 성공할 경우에는, 악성 링크나 첨부파일을 클릭하지 않아도 공격 대상이 된 기기들이 감염될 수 있다. 이러한 전술들 덕분에 이모텟은 상당히 오래 지속되며 널리 확산될 수 있다. 실제로, Darktrace가 2017년에서 2018년 사이 뱅킹 트로이목마 관련 사건들이 239% 증가했음을 확인한 바와 같이, 이모텟 공격 건수만 보더라도 1년 사이 39% 증가하였다. 하지만 앞으로 상황은 더욱 악화될 수 있다.

인공지능의 반격

이모텟은 어디에나 흔히 존재하는 인간의 실수라는 취약점을 악용하고 단말 솔루션들을 우회하도록 설계되었기 때문에 기존 보안 툴들이 감당하기 어려운 과제이다. 하지만 기존 보안 툴들과 달리, Darktrace는 비지도 머신러닝 알고리즘을 활용하여 이미 네트워크에 침투한 사이버 위협들을 탐지한다. 인간의 면역계를 본 따 개발된 Darktrace 인공지능은 보호하고자 하는 각 사용자, 기기 또는 네트워크의 고유한 “활동패턴”을 학습함으로써 작동한다. 이렇게 상시 변화하는 “정체성”에 관한 이해를 바탕으로 Darktrace는 정상 행동과 이상 행동을 구별할 수 있으며, 이를 통해 인간의 면역계가 해로운 세균들을 찾아내는 것과 비슷한 방식으로 사이버 공격들을 식별할 수 있다.

최근 다크트레이스의 인공지능 모델들은 한 고객의 네트워크 내 한 기기에서 명확한 이모텟 감염의 징후를 발견했다. 이 기기가 의심스러운 파일을 다운로드하고 있음이 관찰되었다. 그로부터 얼마 지나지 않아 통상적으로 연결하지 않던 한 외부의 도달 지점으로 비커닝(beaconing)을 하기 시작했는데, 이는 아마 C2서버에 감염을 보고하기 위한 것이었을 확률이 높다.

그 후, 해당 기기가 네트워크 내부망 이동을 하며 무작위 대입(brute-force) 활동을 수행하는 것이 관찰되었다. 사실 Darktrace는 관리자 계정들을 포함한 수 천 개의 계정에 대한 커베로스(Kerberos) 로그인 실패와 “admin” 및 “exchange”와 같은 흔한 사용자 이름을 사용한 SMB 세션 실패를 다수 건 탐지했다. 아래의 그래프는 보안 침해된 기기에서 나타난 SMB 및 커베로스 무작위 대입(brute-force) 활동을 보여준다.

자격증명정보 열거 확인 모듈로 수행되는 무작위 대입(brute-forcing) 활동 외에도, Darktrace는 스팸 메일의 기능을 수행할 수 있는 또 다른 페이로드를 탐지했다. 감염된 기기는 널리 쓰이는 이메일 포트들을 통해 수많은 외부로의 연결을 하기 시작했다. 이 활동은 대게 공격 대상으로부터 탈취한 이메일 연락처들로 이메일을 발송하는 이모텟의 전형적 확산 방식과 일맥상통하다. 아래는 보고된 이모텟 감염 당시 보안 침해가 나타난 Darktrace 모델들을 나타낸 이미지다.

Darktrace는 정상 상태에 대한 종합적 이해를 갖춤으로써 아주 미세한 이상 행동까지도 실시간으로 식별하여 표시할 수 있어, 이미 네트워크 경계를 우회한 이모텟과 같은 미묘한 위협들도 물리칠 수 있다. 이제 기업들이 최첨단 뱅킹 트로이목마 프로그램에 대항하는 데 있어 Darktrace와 같은 사이버 인공지능 기반 보안 방어 솔루션은 없어서는 안될 필수품이 되었다.