기술
제품
자료
기업
한국어
기술
제품
블로그
자료
기업

AI가 랜섬웨어로부터 중요 인프라를 방어하는 방법

David Masson, Director of Enterprise Security | 2021년 5월 13일목요일

2021 RSA 사이버 보안 컨퍼런스에서 알레한드로 마요르카스(Alejandro Mayorkas) 미 국토안보부 장관의 발언은 사이버 보안 환경이 어떠한 시대적 변화의 기로에 서 있는지를 보여주는 것이었습니다. “랜섬웨어는 이제 명백히 국가 보안의 위협이 되고 있습니다.”

지난 주말 마요르카스 장관의 말은 현실로 다가왔습니다. 미 동부의 디젤, 휘발유, 항공유 공급량의 절반 가량을 담당한 콜로니얼 파이프라인(Colonial Pipeline)이 랜섬웨어 공격을 받으면서 동부 여러 주에 연료를 공급하는 핵심 공급망 운영이 중단되었습니다.

공격의 여파로 인해 랜섬웨어가 얼마나 폭넓게 확산되어 있는지, 그 피해가 얼마나 치명적인지가 여실히 드러났습니다. 중요 인프라와 설비를 노린 사이버 공격은 공급을 중단시키고 환경에 피해를 초래하며 생명까지 위협할 수 있습니다.

자세한 사항은 추후 확인이 필요하지만, 해당 공격은 사이버 범죄 집단과 연계된 다크사이드(DarkSide)의 소행인 것으로 보고되었으며 흔히 사용되는 원격 데스크톱 툴을 활용한 것으로 생각됩니다. 지난해 산업제어시스템(ICS) 및 운영 기술(OT)을 갖춘 기업을 비롯해 수많은 조직이 원격 근무로 전환하면서, 중요 인프라 내의 악용 가능한 취약점으로 원격 액세스가 사용되었습니다.

산업 시설을 표적으로 한 랜섬웨어의 등장

산업 환경을 표적으로 한 랜섬웨어가 늘어나는 추세로, 2018년 이후 이러한 사례 보고가 500% 증가했습니다. 이러한 위협은 IT를 먼저 공격한 후 OT로 공격을 확대하는 식으로, IT와 OT 시스템 통합을 활용하는 경우가 많습니다. 이는 '차단 목록’에 ICS 프로세스를 포함한 EKANS 랜섬웨어에서 나타나는데, 가상 사설망(VPN)에서 취약점을 먼저 공격한 후 ICS 보안을 침해한 크링(Cring) 랜섬웨어에서도 마찬가지로 관찰되는 패턴입니다.

콜로니얼 파이프라인 해킹 당시 최초 공격 벡터가 기술 취약점, 보안이 침해된 자격 증명, 또는 표적 스피어 피싱 캠페인을 악용한 것인지는 지켜봐야 합니다. 공격으로 인해 처음 IT 시스템이 손상된 다음 콜로니얼 파이프라인이 안전을 위해 OT 운영을 중단시켰다고 보고되었습니다. 콜로니얼 파이프라인은 해당 랜섬웨어가 “일시적으로 모든 파이프라인 운영을 중단시키고 회사 IT 시스템 일부에 침투”해 결국 OT 및 IT에 영향을 주었다고 밝혔습니다. IT 사이버 공격이 OT와 ICS 프로세스를 중단시킬 수 있을 만큼 얼마나 많은 OT 시스템이 IT에 의존하고 있는지를 보여주는 좋은 예입니다.

위협 행위자는 시스템을 폐쇄할 뿐만 아니라, 콜로니얼 파이프라인에서 100GB에 달하는 민감한 데이터를 도용했습니다. 파일이 암호화되기 전에 데이터를 유출하는 이런 종류의 이중 갈취 공격은 70%이상의 랜섬웨어 공격에서 데이터 유출이 일어날 정도로 이제 점점 일반적인 수법으로 진화했습니다. 일부 랜섬웨어 공격자들은 아예 암호화 과정 없이 데이터 도난과 갈취 수법을 사용하기도 합니다.

올해 초 Darktrace는 일반적인 원격 액세스 툴을 사용해 중요 인프라 기관을 상대로 한 이중 갈취 랜섬웨어 공격을 차단했습니다. 이 블로그에서는 그처럼 발견된 위협의 핵심 내용을 심층적으로 살펴보고, Darktrace의 자가 학습 AI가 콜로니얼 파이프라인 사고와 놀라울 정도로 유사한 공격에 어떻게 자율적으로 대응했는지를 설명합니다.

Darktrace 위협 발견

전력 설비 공급업체를 표적으로 한 랜섬웨어

올해 초 북미의 한 전력 설비 공급업체를 표적으로 한 공격에서, Darktrace Industrial Immune System은 ICS 및 OT를 갖춘 조직을 표적으로 한 랜섬웨어를 차단하여 중요 인프라를 이중 갈취의 위협으로부터 보호할 수 있음을 입증했습니다.

그러한 랜섬웨어 공격은 원래 IT 시스템을 표적으로 한 것이었는데 자가 학습 Cyber AI가 이를 차단하면서, OT로 공격이 확산되어 운영이 중단되는 사태를 방지할 수 있었던 것입니다.

공격자는 처음에 데이터를 유출하고 랜섬웨어를 배포하기 위해 12시간에 걸쳐 내부 서버를 손상시켰습니다. 최초 보안 침해 후 얼마 안되어 배포가 되는 경우는 이례적입니다. 보통 랜섬웨어 위협 행위자들은 공격을 감행하기 전까지 가능한 눈에 띄지 않게 며칠에 걸쳐 사이버 에코시스템 내부로 깊숙이 침투하기 때문입니다.

그림 1: 공격 타임라인

공격은 어떻게 나머지 보안 스택을 우회했을까?

공격자는 ‘LotL(living-off-the-land)’ 기법을 활용했습니다. 즉, 탐지를 피하기 위해 조직이 승인한 원격 관리 툴과 보안이 침해된 관리자 자격 증명을 사용해 기업의 정상적인 ‘행동 패턴’ 사이에 자연스럽게 섞여드는 것입니다.

Darktrace는 공격자의 전술, 기술 및 절차(TTP)에서 정상적인 원격 관리 소프트웨어가 악용되는 경우를 자주 발견합니다. 원격 액세스는 특히 ICS 공격에서 공격 벡터로 점점 널리 활용되고 있기도 합니다. 예를 들어 지난 2월 플로리다 정수 처리 시설에서 사이버 사고가 발생한 당시, 공격자들은 처리 과정을 조작하기 위해 원격 관리 툴을 공격했습니다.

이 공격자가 사용한 특정 랜섬웨어 유형은 파일을 암호화하는 동안 고유의 파일 확장자를 사용해 바이러스 백신 탐지를 우회하기도 했습니다. 이처럼 ‘시그니처가 없는’ 랜섬웨어 형태는 규칙과 시그니처, 위협 피드 및 기록된 정보 보호 취약점 표준 코드(CVE) 목록에 의존하는 레거시 보안 방식을 손쉽게 통과합니다. 기존 방식은 과거에 기록된 위협만을 탐지할 수 있기 때문입니다.

시그니처 없는 랜섬웨어처럼 한 번도 본 적이 없는 위협을 탐지하는 유일한 방법은 ‘알려진 위협’ 목록에 의존하는 대신 기술을 통해 비정상적인 행동을 찾아내는 것입니다. 모든 디바이스와 사용자 및 이들 간 연결이 정상적인 ‘행동 패턴’에서 벗어나 거의 눈에 띄지 않는 경우에도 이상 행동을 탐지해내는 자가 학습 기술을 활용하면 위협을 탐지할 수 있습니다.

Darktrace 인사이트

최초 보안 침해 및 거점 확보

올바른 툴을 악용하고 알려진 시그니처가 없는 경우에도 Darktrace Industrial Immune System은 정상적인 활동을 종합적으로 파악하여 공격 라이프사이클의 다양한 시점에서 악성 활동을 탐지할 수 있었습니다.

Darktrace가 알림을 전송한 새로운 위협의 명백한 첫 번째 징후는 바로 관리자 권한이 있는 자격 증명이 비정상적으로 사용된 경우였습니다. 해당 디바이스는 또한 사고 직후 Veeam 서버에서 비정상적인 원격 데스크톱 프로토콜(RDP) 연결을 제공했습니다. 이는 공격자가 네트워크의 다른 위치에서 내부로 이동했을 가능성을 의미합니다.

3분 후 디바이스는 원격 관리 세션을 시작했으며, 이는 21시간 동안 지속되었습니다. 이를 통해 공격이 사이버 에코시스템 전반으로 더욱 확산되었으나 기존 방어 체계로는 이러한 움직임을 전혀 탐지하지 못했습니다. 그러나 Darktrace는 비정상적인 관리자 계정의 사용을 탐지해 공격을 나타내는 조기 경고로 판단했습니다.

이중 위협 1부: 데이터 유출

최초 보안 침해 발생 1시간 후 Darktrace는 비정상적인 양의 데이터가 처음 보는 클라우드 스토리지 솔루션인 pCloud로 전송되는 것을 발견했습니다. 아웃바운드 데이터는 SSL을 사용해 암호화되었으나 Darktrace는 대량의 내부 다운로드 및 외부 다운로드와 관련된 다수의 경고를 생성했습니다. 이러한 다운로드는 디바이스의 정상적인 ‘행동 패턴’에서 상당히 벗어난 것이었기 때문입니다.

디바이스는 9시간 동안 지속적으로 데이터를 유출했습니다. 디바이스가 다운로드한 파일은 암호화되지 않은 SMB 프로토콜을 사용해 전송된 것으로, 이를 분석한 결과 민감한 데이터로 나타났습니다. 다행히 Darktrace는 유출된 특정 파일을 정확히 파악해, 고객이 그러한 보안 침해의 잠재적인 여파를 즉시 평가할 수 있도록 했습니다.

이중 위협 2부: 파일 암호화

잠시 후 현지시각 01:49, 손상된 디바이스는 SharePoint 백업 공유 드라이브에서 파일을 암호화하기 시작했습니다. 이후 3시간 반 동안 해당 디바이스는 20개 이상의 SMB 공유에서 13,000개가 넘는 파일을 암호화했습니다. Darktrace는 해당 디바이스에 대해 총 23개의 경고를 생성했고, 이는 24시간 동안 생성된 모든 경고의 48%에 달하는 수준이었습니다.

Darktrace의 Cyber AI Analyst는 이후 자동으로 조사를 시작해, SMB를 통한 파일 암호화와 내부 데이터 전송을 식별했습니다. 이후 다양한 이상 징후를 연계하고, 일관된 방식으로 상황을 종합적으로 파악한 사고 보고서를 제시할 수 있었습니다. 이에 따라 보안 팀은 즉시 문제를 해결할 수 있게 되었습니다.

고객이 Darktrace의 자율 대응 기술인 Antigena Network를 사용 중이었더라면, 상당량의 데이터가 유출되거나 파일이 암호화되기 전에 그러한 활동이 분명히 중단되었을 것입니다. 안타깝게도 여러 경고와 Cyber AI Analyst 보고서를 확인한 후에야 고객은 사고 대응을 위해 Darktrace의 Ask the Expert(전문가 지원, ATE) 서비스를 통해 공격의 영향을 완화하고 재해 복구를 지원할 수 있었습니다.

그림 2: Darktrace의 Cyber AI Analyst가 비정상적인 암호화 및 의심스러운 ICS 관리자 연결 체인을 탐지하는 경우 예시

중요 인프라가 중단되기 전에 위협 탐지

표적 공급업체는 OT를 관리 중이었으며 중요 인프라와 긴밀히 연결되어 있었습니다. Darktrace는 초기 대응을 신속히 수행해 랜섬웨어가 작업 현장으로 더 확산되지 않도록 방지했습니다. 무엇보다도 Darktrace는 운영 중단을 최소화하여, 공격으로 인해 공급업체 뿐만 아니라 이 업체가 지원하는 전력 설비까지 영향을 받는 도미노 효과를 차단하도록 했습니다.

최근의 콜로니얼 파이프라인 사고와 앞서 언급한 위협 발견을 통해 알 수 있듯이, 랜섬웨어는 파이프라인에서 전력망 및 공급업체에 이르는 모든 형태의 중요 인프라에서 산업 운영을 관리하는 조직의 시급한 문제입니다. 자가 학습 AI를 활용하면 실시간 탐지, 자율적인 조사, 표적화된 기계 속도 대응(활성화된 경우)을 통해 피해 발생 전에 이러한 공격 벡터에 대응할 수 있습니다.

전망: 자가 학습 AI를 통해 중요 인프라 전체 보호

4월 말, 바이든 행정부는 “지속적이고 정교한 위협으로부터 미국의 중요 인프라를 보호”하겠다는 야심찬 계획을 발표했습니다. 미 에너지부(DOE)는 100일 계획을 통해 구체적으로 “전력 설비의 산업제어시스템(ICS)을 위한 사이버 가시성, 탐지, 대응 역량을 제공할” 기술을 확보하겠다고 밝히고 있습니다.

바이든 행정부의 사이버 보안 집중 계획은 단순히 모범 사례 대책과 규정 외에도 중요 에너지 인프라를 보호하는 기술의 필요성을 강조하고 있습니다. 앞서 위협 발견 사례에서 보듯이, Darktrace AI는 비지도 머신 러닝을 활용해 중요 인프라와 해당 공급업체를 기계의 속도로, 정밀하게 그리고 자율적으로 보호하는 강력한 기술입니다.

DOE 사이버 보안 집중 계획 목표Darktrace 기능
탐지, 완화 및 포렌식 기능 강화규칙이나 시그니처, CVE 목록 없이 자가 학습 Cyber AI를 사용해 내부자 위협 및 기존 감염과 더불어 정교한 신종 공격 탐지

Cyber AI Analyst가 실시간으로 사고를 조사해 실행 가능한 인사이트로 신속히 문제 해결 시작

초기에 새로운 공격을 억제해 위기 확산 방지
중요 산업제어시스템(ICS) 및 운영 기술(OT)에서 실시간에 가까운 상황 인식 및 대응 기능을 지원하는 기술과 시스템 배포사람이 직접 공격하든 기계가 수행하든 상관없이 ICS/OT 네트워크에서 자가 학습 AI가 모든 비정상 활동을 파악, 식별 및 조사

능동적 또는 담당자 확인 모드에서 위협을 무력화하는 데 적합한 표적 대응 수행

자가 학습 AI가 에코시스템의 변화에 맞춰 적응하면서, 조정 또는 인적 개입 없이도 실시간 인식 기능 지원
중요 인프라 IT 네트워크의 사이버 보안 상태 강화보안 이벤트를 문서화화하고, 새로운 기법에 대응하고, 조사 결과를 사람이 몇 분만에 작업을 수행할 수 있는 보안 보고서로 변환

IT 및 OT 시스템 전반의 통합 보기

퍼듀(Purdue) 레벨이 높은 위협이 OT로 확산되기 전에 IT 시스템에서 위협 탐지, 조사 및 대응
ICS 및 OT 시스템에서 위협 가시성을 높이는 기술을 배포‘플러그 앤 플레이(Plug and play)’ 배포로 기술 아키텍처를 원활히 통합

3D 네트워크 토폴로지에서 모든 사용자, 디바이스 및 서브넷을 상세히 파악

자가 학습 자산 식별을 통해 지속적으로 모든 ICS/OT를 카탈로그화

ICS 랜섬웨어, APT, 제로데이 익스플로잇, 내부자 위협, 기존 감염, DDoS, 암호화폐 채굴, 구성 오류 또는 한 번도 본 적이 없는 공격 등 새로운 공격을 나타내는 모든 위협 활동 식별 및 조사

위협 발견에 대한 글을 기고해 주신 Oakley Cox, Darktrace 분석가에게 감사드립니다.

Darktrace 모델 탐지:

  • 최초 보안 침해:
    • User / New Admin Credential on Client
  • 데이터 유출:
    • Anomalous Connection / Uncommon 1 GiB Outbound
    • Anomalous Connection / Low and Slow Exfiltration
    • Device / Anomalous SMB Followed by Multiple Model Breaches
    • Anomalous Connection / Download and Upload
  • 파일 암호화:
    • Compromise / Ransomware / Suspicious SMB Activity
    • Anomalous Connection / SMB Enumeration
    • Device / Anomalous RDP Followed by Multiple Model Breaches
    • Anomalous File / Internal / Additional Extension Appended to SMB File
    • Anomalous Connection / Sustained MIME Type Conversion
    • Anomalous Connection / Suspicious Read Write Ratio
    • Device / Multiple Lateral Movement Model Breaches

David Masson

David Masson is Darktrace’s Director of Enterprise Security, and has over two decades of experience working in fast moving security and intelligence environments in the UK, Canada and worldwide. With skills developed in the civilian, military and diplomatic worlds, he has been influential in the efficient and effective resolution of various unique national security issues. David is an operational solutions expert and has a solid reputation across the UK and Canada for delivery tailored to customer needs. At Darktrace, David advises strategic customers across North America and is also a regular contributor to major international and national media outlets in Canada where he is based. He holds a master’s degree from Edinburgh University.