해커 "돈·시간 아까워"…모의 해킹 도구 악용한다
사이버 공격이 보안 관리자의 감시를 피할 수 있게 점점 고도화되고 있다. 기업에서 조직 내부의 취약점을 알아내기 위해 만든 도구를 악용하거나, 컴퓨터에 이미 설치돼 있는 정상 프로그램을 악용하는 등 보안 관리자가 쉽게 알아챌 수 없는 공격 방식을 주로 이용하고 있는 것으로 나타났다. 시스코의 보안 전문 조직 탈로스에 따르면, 지난해 사이버 공격자들은 주로 ▲유명 레드팀 도구의 크랙 버전 ▲자급자족형 바이너리(LOLBins) 등을 이용한 공격과 ▲USB를 활용한 멀웨어 공격을 사용한 것으로 분석됐다. 탈로스는 세계 각지에서 발생한 침해사례와 공격 활동을 추적해, 보안 위협 예방을 돕는 위협 인텔리전스 보안 전문 조직이다. 탈로스는 한국을 비롯한 세계 각지에서 발생하는 사이버위협 동향 모니터링부터 공격 사례와 데이터를 수집, 분석하고 위협이 인터넷 전반에 더 큰 피해를 입히기 전에 이를 차단하는 역할까지 수행한다. 시스코 탈로스팀이 관찰한 지난해 발생한 사이버 위협 환경의 주요 트렌드는 한마디로 요약하자면, 정상적인 유틸리티를 활용한 사이버 공격이 늘어났다는 점이다. ■ 악성 도구 개발? 돈·시간 많이 들어 NO!…레드팀 도구 악용 먼저 사이버 공격자들은 비용을 절감하고, 시간을 아끼기 위해 악성 도구 개발을 하기보다 레드팀 프레임워크를 활용하고 있는 것으로 나타났다. 레드팀은 조직의 취약점을 파악·분석해 향후 발생 가능한 공격 상황을 대비하기 위해 만들어진 팀으로, 경쟁사 또는 공격자 입장에서 조직의 취약점을 발견해 공격하는 역할을 맡는다. 외부 공격을 받기 전에 조직 내부에서 모의 해킹과 같은 활동을 수행함으로써 선제적으로 외부 공격에 대응하는 전략이다. 문제는 이러한 역할을 수행하는 레드팀을 위해 만들어진 도구를 사이버 공격자들이 악용하고 있다는 점이다. 악성 도구는 개발하는 데 많은 시간과 비용이 필요하며, 이를 개발하는 사이버 공격자는 추적될 위험에 노출되기도 한다. 이에 많은 공격자가 비용을 절감하고 익명으로 활동이 가능할 뿐 아니라 공격 수명 주기의 모든 단계에서의 다양한 작업을 지원하는 공격 및 레드팀 프레임워크를 활용하고 있다. 탈로스에 따르면 사이버 공격자들은 ▲코발트 스트라이크(Cobalt Strike)를 많이 악용했다. 코발트 스트라이크는 레드팀이 사용하는 네트워크 방어 및 공격 행위 에뮬레이션 소프트웨어다. 해당 프레임워크는 정찰, 포스트-익스플로잇 활동, 다양한 공격 시뮬레이션 등 광범위한 공격 패키지를 지원해 사이버 공격자들에게 매우 유용한 도구로 사용되고 있는 것으로 나타났다. 비콘(Beacon)은 공격을 실행하고 HTTP, HTTPS, DNS를 통해 아웃바운드 트래픽을 생성하기 위한 코발트 스트라이크의 페이로드다. 탈로스에 따르면 코발트 스트라이크 비콘은 메타스플로잇(Metasploit) 프레임워크에 속하는 미터프리터(Meterpreter)와 견줄 수 있으며, 모의 침투 테스터와 보안 연구원들이 서비스를 제공할 때 사용된다. 탈로스와 보안 업계는 수년 동안 코발트 스트라이크 악용 문제에 대응하며 더욱 강력한 탐지 솔루션을 지속적으로 개발해왔다. 그러나 작년 한 해 동안 공격자들 역시 발전된 솔루션에 맞대응해, 실버(Silver)나 브루트 라텔(Brute Ratel)과 같은 프레임워크를 사용하는 전략을 취했다. 공격자들은 오픈소스 레드팀 프레임워크 및 공격 시뮬레이션 도구인 실버도 많이 활용했다. 실버는 단계적·비단계적 페이로드, 동적 코드 생성, 네임드 파이프(named pipe) 피벗, 인메모리 닷넷(in-memory .NET) 어셈블리 실행 등 다양한 기능을 제공한다. 실버 임플란트는 맥OS, 윈도, 리눅스 환경에서 사용 가능한 도구로 두 가지로 이루어진 비대칭 암호키를 이용해 동적 컴파일되며 mTLS, HTTP, DNS와 같은 다양한 프로토콜을 통해 명령 및 제어(C2)가 가능하다. 이외에 브루트 라텔은 2020년에 공격 시뮬레이션용으로 출시된 레드팀 도구로, 위협 행위자들이 여러 단계의 공격 수명 주기에 걸쳐 활용하고 있다. 엔드포인트 탐지 및 대응(EDR)과 안티바이러스 솔루션 탐지를 피하도록 특별히 설계된 것이 특징이다. 또한 탈로스는 공격자들이 자체 개발한 '만주사카(Manjusaka)'와 '알키미스트(Alchimist)'라는 이름의 두 가지 공격 프레임워크를 포착했다. 알키미스트는 이미 사용되고 있으며, 만주사카는 아직까지 활발히 활용되고 있지는 않지만 공격자들이 도입할 가능성이 있는 것으로 나타났다. 이외에도 탈로스는 공격자들이 ▲만주사카(Manjusaka)와 ▲알키미스트(Alchimist)라는 이름의 공격 프레임워크를 활용하는 것을 포착했다. ■ 정상 프로그램이니 패스? 해커는 그걸 노린다…USB 활용 공격도 탈로스에 따르면 자급자족형 바이너리도 사이버 공격자에게 자주 악용되고 있는 것으로 나타났다. 자급자족식 공격이란 대상 컴퓨터에 이미 설치돼 있는 도구 및 프로그램을 활용하는 공격이다. 자급자족형 바이너리(LOLBins)는 운영체제에 기본으로 설치된 정상적인 프로그램이지만, 사이버 공격자가 이를 악용해 공격에 활용하고 있다. 신뢰도에 문제가 없는 프로그램이기 때문에 네트워크 보안 관리자는 위협 모니터링 단계에서 이를 활용한 공격을 놓칠 수 있다. 탈로스는 "정상적인 유틸리티와 도구를 활용한 사이버 공격이 지속적으로 목격되고 있다"고 설명했다. 또한 시스코 텔레메트리에 따르면 가장 활성화된 25건의 시스코 시큐어 엔드포인트 행동 보호 패턴 중 4건이 파워쉘과 관련된 것으로 나타났다. 이는 위협 행위자가 기본으로 탑재된 윈도 유틸리티를 지속적으로 활용하고 있다는 점을 보여준다. 사이버 범죄자들은 파워쉘을 이용해 크롬로더(ChromeLoader) 등의 애드웨어 설치, 암호화폐 채굴 프로그램 다운로드, 엘라스틱 서치 소프트웨어의 취약점 악용 등 광범위하게 활동을 전개하고 있었다. 이외에 탈로스는 공격자들이 기업들이 간과하는 지점을 포착해, 이를 다시 활성화하고 있는 트렌드도 포착했다. 과거 플로피 디스크 드라이브를 사용하던 시절에 활용됐던 이동식 저장 장치를 통한 공격 행위가 다시 성행하기 시작했다. 지난해 한 해에 걸쳐 탈로스 팀은 시스코 시큐어 멀웨어 애널리틱스를 통해 USB 및 외장 드라이브와 관련된 공격 활동이 증가하는 것을 발견했다. 이러한 공격은 USB 드라이버에 실행 파일을 심거나 드라이브 내 파일에 숨겨진 속성이 탐지되지 않도록 설정한다. 유명한 멀웨어인 라즈베리 로빈도 이를 활용한 것으로 알려졌다. 지능형지속위협(APT) 조직들 역시 USB 드라이버를 활용해 공격을 시도한 점이 확인됐다. ■ 돌다리도 두들겨 보고 건너자…"비정상 사용 패턴 모니터링하고 USB 제한해야" 고도화되는 보안 위협에 맞춰 탈로스는 기업들 역시 더 강화된 보안 방법을 강구해야 한다고 조언했다. 탈로스는 "레드팀의 도구를 공격자들이 사용하는지 파악하기 위해 기업들은 비정상적인 사용 패턴 등을 모니터링해야 한다"며 "또한 레지스트리에 등록된 윈도 서비스에 저장돼 있는 실행 및 기타 파일을 모니터링해, 멀웨어의 지속성을 확보하려는 공격자의 위험을 최소화해야 한다"고 말했다. 이외에도 증가하는 USB 공격에 대응하기 위해 기업들은 모두 자사 환경에서 USB 사용을 제한하고, 가능한 경우 금지하는 것이 안전하다고 밝혔다. 탈로스는 "직원들에게 USB 연결 시 발생 가능한 위협에 대한 사용자 인식 교육을 진행한다면 USB로 인한 보안 위협을 더욱 줄일 수 있다"고 말했다.