전문가 칼럼 | 소프트웨어 중심사회

소프트웨어 캐스트 이동 전문가 칼럼

'인터넷 나야나' APT-랜섬웨어 공격에 대한 분석 및 진단

SW중심사회 2017-07-03 2226명 읽음

 

지난 2017년 6월 10일에 있었던 인터넷 나야나에 대한 공격이 있었습니다. 현 사태에 대한 부정확한 정보들이 인터넷에 확대 재생산 되는 것을 막고, 이번 공격에 대한 나름의 분석을 통해 어떠한 보안 헛점이 있었는지 그리고 미래 공격에 대하여 어떻게 준비하고 대응할 것인지에 대하여 정리해보았습니다. 


다양한 업체를 통해 호스팅을 받고 있는 기업이나 개인 뿐만 아니라 서버를 운영 중인 분 및보안 담당자들에게 좋은 참고 자료가 되어 침해 사고 예방에 도움이 되기를 바랍니다.

 


1.공격의 분류 : 신종 APT + 리눅스 랜섬웨어

 


이번 공격은 기본적으로 APT 기획 공격으로 의심되고, 거기에  리눅스 랜섬웨어가 조합된 신종 공격으로 분류 할 수 있습니다.  (APT : 지속적이고(Persistent) 지능적인(Advanced) 해킹 공격의 통칭)

 

 

2.공격 상황에 대한 오해와 그 분석

 


‘나야나’에서 공격 받은 서버는 대략 150여대로 모두 리눅스 운영체제 서버이며, 그중 절반은 웹호스팅 서버이며 나머지 절반은 전문 서버 관리 서비스를 제공 받는 ‘나야나’ 전문 엔지니어의 관리 하에 운영되고 있는 서버였습니다. 한마디로 대부분 전문가의 관리로 최적의 보안상태였다고 판단됩니다.


  발견된  랜섬웨어 악성 코드는, 윈도우 운영체제에서는 작동되지 않는 것입니다. 해당 코드는 윈도우에서 작동하던 암호화 부분을 리눅스 운영체제에서 동작 하도록 다시 코딩한 것으로 중국 문자 set가 포함되어 있었습니다. 완벽한 악성 코드가 아닌 리눅스 암호화 프로그램에 가깝 습니다. 다시 말해 웜 바이러스나 악성 코드처럼 실행해서 직접 공격한 것이 아니라 누군가 리눅스 서버에 접근하여 리눅스 랜섬웨어 코드를 개별서버에 올린 뒤, 새벽 1시를 기해서 동시에 실행한 것으로, 삼바 (samba : 주로 파일과 프린터공유에 쓰이는 프로토콜) 보안 버그를 뚫고 들어온 악성 코드는 아닌 것으로 보입니다.

 

모든 서버는 IPTABLE (Iptable : ip기반의 보안방식) 방화벽 체계에 의해 운영되어 금천구 소재의 ‘나야나’ 본사 건물 네트워크 외에 인가되지 않은 IP 대역은 접근이 아예 불가능했습니다. 통상적으로 사무실에 있는 엔지니어 개인 pc에 VPN (VPN : Virtual Private Network 가상사설망, 인터넷 네트워크를 이용해 특정집단만 사용가능한 작은 네트워크를 구축하는 기술)을 통해 접속 한 뒤, 그것을 경유하여 IDC(인터넷데이터센터)에 있는 서버로 접근하는 보안체계가 이루어지고 있었습니다.

 

 대부분 고객 관리 서버들은 웹 취약점 스캐너인 accunetix 이용 정기적취약점 스캐닝을 하고 있었고, 그 취약점에 대한 보완 작업이 적용된 상태였습니다. 이번 공격이 성공한 이유는 결국 금천구 나야나 소재의 사무실 컴퓨터를 경유하여 공격이 이루어졌을 것으로 추론하고 있습니다.


 '인터넷 나야나'는 교과서적인 백업 정책을 구사하고 있었습니다. Stand by server(대기중인 서버)를 운영 하여 실시간 장애 대비를 하고 있었고, 별도 백업 스토리지에 더하여 이미지 스냅샷을 실시간으로 저장하는 유료 솔루션을 이용한 실시간 CDP 이미지 백업 (일반적인 파일단위 백업 서비스와는 달리 이미지백업이면서 분 단위까지 백업을 받고 필요시 특정 백업 시점으로 복원 할 수 있는 백업 서비스로서 Continuous Data Protection Back-Up) 까지 하고 있었습니다. 

 

그러나 공격자는 STAND BY SERVER와 백업 스토리지 서버를 삭제하고 랜섬웨어로 자료까지 손상되도록 하였고, CDP 백업은 한계치 이상으로 스냅샷을 계속하도록 해서 결과적으로는 보유한 이미지 모두가 랜섬웨어로 망실된 스냅샷만 보관되도록 하여 복구 불가능한 상황을 만들었습니다. 한마디로 전문적인 범죄자로 호스팅 업계를 이해하거나 최소한 교과서적인 백업을 어떻게 무력화시키는 것인지 잘 아는 자의 소행이라고 보고 있습니다.

 

3. 어떻게 방어 할 것인가?

 


가장 무서운 것은 이차 공격과 모방 공격입니다. 특히 공격의 성공으로 다양한 형태의 응용 공격이 전 세계에 창궐 할 것으로 보입니다. 따라서 대량 이번 공격에 대해 현장 옆에서 들었던 내용을 근거로 제 나름대로 해법을 제시하고자 합니다.

 

1) 업무용 컴퓨터의 비 윈도우 운영체제의 사용   대형사고의 50% 이상이 업무용 피씨에 침투한 악성 코드에서 시작됩니다.

 

대형사이트, 은행 정부기관, 군, 사회단체 등 다양한 영역에서 악성 코드 공격이 서버 쪽으로 공격을 이어가 대형 사고로 바뀌게 됩니다.

메일을 주고받다가, 웹서핑중에, 토렌트 다운로드 파일, 스마트폰 메세지 등 다양한 경로를 통해서 공격자는 미끼를 뿌립니다. 그리고 미끼는 대상의 PC 또는 스마트폰에 자리를 잡자마자 아이디,패스워드를 수집하고 SSH,FTP,Telnet,VPBPASSWD 같은 시스템 명령어나 패스워드 류의 단어가 귀하의 컴퓨터 혹은 스마트폰에 흐르는 경우 거기에 이차 악성 코드를 심은 뒤 귀하의 서버로의 접근을 시도하여, 다양한 정보를 탈취해 갑니다.


특히 APT공격 같은 기획된 공격은 SNS를 통해서 공격하고자 하는 회사의 직원과 그 주위에 인물이 사용하는 컴퓨터에 집요하게 악성코드를 심은 뒤에 주요 서버 쪽으로 공격을 진행하여 전체 시스템의 주요 데이타를 털어가는 방식입니다. 상당수의 대기업들은 서버 쪽 보안은 돈을 들여 잘 막고 있으나, 대부분의 대형사고의 시작은 소홀한 업무용 컴퓨터의 악성코드 감염과 그로 인한 서버로의 공격입니다.


금융기관 같은 보안이 중요한 기업들은 망 이중화 등을 이용해 업무용 피씨의 인터넷 접속을 막거나 하는 방법을 사용합니다. 그러나 일반적인 IT기업들은 그러한 망 이중화는 불가능에 가깝습니다.  


그 대안으로 감염으로부터 상대적으로 안전한 비 윈도우즈 운영체제 사용을 권장합니다. 리눅스, OSX, BSD 등 다양한 비 윈도우즈 운영체제가 존재합니다. 회사 전체를 비 윈도우즈 운영체제로 전환하는 것이 불가능하다면, 운영 시스템 접근이 가능한 '개발 및 운영조직'부터라도 비 윈도우즈 운영체제를 사용하실 것을 권장합니다.


만약 여건이 안된다면 다양한 종류의 바이러스 백신을 사용해야 합니다.  특히 국산 백신 이외에 서양계 백신 또는 중국에서 많이 사용하는 360 같은 백신(무료)을 섞어 쓴다면 최신과 변종의 악성코드들의 창궐 속에서도 비교적 좀 더 광범위한 악성 코드를 걸러 낼 수 있습니다.
 

2) 서버들의 시스템 취약점 스캐닝 및 최신 보안 업데이트 그리고 방화벽

 


리눅스, 윈도우즈 서버 모두  nessus 같은  시스템 취약점 툴로  정기적으로 시스템을 점검하시고, 보안 업데이트 하시길 권장 합니다. https://www.tenable.com/products/nessus-vulnerability-scanner 무료 체험판으로도 충분히 정밀한 시스템 취약점 스캐닝이 가능합니다. 또한 서버의 보안 업데이트는 가장 최신으로 유지하세요. 귀사의 시스템을 뚫고 들어와 랜섬웨어로 꽁꽁 암호화 하고 돈을 요구 하는 일들이 앞으로 흔하게 발생할 수도 있습니다.  아직도 업데이트가 불가능한 서비스가 중단된 운영체제를 사용하시는 분들이 많습니다. 업데이트가 게으른 회사는 언젠가는 그 부메랑이 되돌아 옵니다. 또한 ‘http’,‘https’ 등의 꼭 열어야 할 포트의 접속이 외에는 인가 받은 아이피 이외의 접속이 불가능 하도록 시스템 방화벽을 설정하셔야 합니다.  

 


3) 웹 취약점 스캐닝 및  취약점 업데이트

가장 흔한 공격이며 성공률이 가장 높은 공격이 웹 취약점 공격입니다. 얼마 전 모 신규 스타트업이 웹 취약점 공격으로 고객 DB가 탈털 털려 거래가 되고 대입 공격에 이용되는 사태가 발생했습니다. 


앞으로는 웹 취약점 공격이 랜섬웨어로 자료를 꽁꽁 묶어 버리는 방법으로 공격이 바뀌게 될 것으로 보이며, DB를 외부에 거래 하는 것보다 복호화 키를 대가로 금품을 요구 하는 형태로 바뀌게 될 걸로 보입니다. 지금도 대한민국 홈페이지의 상태가 웹 취약점을 스캐닝 해보면 구멍이 숭숭 뚫려 있는 경우가 비일비재하게 보입니다. 그래서 가장 흔한 변종의 공격이 웹 취약점 공격과 랜섬 웨어 공격의 조합이 될 걸로 보입니다. 
 

 

4) 패스워드 관리의 문제


'인터넷 나야나'의 서버 150여대가 일시에 공격에 무력화 된 이유로 가장 의심이 되는 부문은 APT 공격의 성공과 패스워드 관리의 보안적인 허점 때문으로 추정됩니다. 인간의 기억력의 한계로 다량의 서버를 관리하게 되면 패스워드 운영에 보안상 문제가 발생할 수 있습니다.   대부분 회사들이 암호화된 엑셀 파일에 패스워드를 적어서 관리하고, 필요시 열어서 패스워드문자를 복사하여 서버에 붙여 넣기 하는 방식을 사용합니다.  이렇게 패스워드를 관리 할 경우 해당 컴퓨터가 악성코드에 감염되면  키로깅만으로  엑셀 파일의 암호화는 무력화 시킬 수 있고, 또한 실시간 화면 캡쳐 전송으로 해킹당한 컴퓨터의 화면의 열어 놓은 엑셀 페이지를 공격자가 실시간으로 염탐하는 것은 그리 어려운 공격 기술도 아닙니다. 한마디로 기존의 패스워드 관리 방식의 변화를 요구 합니다. 다량의 관리 서버가 있을 경우 패스워드 관리는 번거럽더라도 종이 문서로 작성하여 관리하고 퇴근 시 금고에 넣어서 보관하는 아주원시적인 아날로그 방식의 관리를 권장 합니다. 또는 일회성인 패스워드 시스템 OTP(one time password)를 도입 할 경우 방화벽 내부의 컴퓨터로 부터 서버를 지키는 간단하면서도 가장 강력한 방법이 될 수 있습니다.
 

 

5) 백업 실패의 문제


'인터넷 나야나'는 총 삼중의 백업을 했습니다. 액티브 스탠바이 체제 유지, 백업 스토리지로의 rsync 백업, 하드디스크 이미지 실시간 스냅샷 을 뜨는 유료 솔루션인 CDP 백업 솔루션까지 우직한방식의 백업 체계를 유지 했습니다. 그러나 그러한 교과서적인 백업 체계도, 패스워드가 공격자에게 유출되어 백업 스토리지의 모든 데이타를 삭제하고 암호화해 버림으로써 백업의 의미가 퇴색되어 버린 상태가 되어 버렸습니다.


호스팅 회사의 백업 단계의 깊이를 하나 더 최신의 자료 위주에서 한 단계 더 깊게 만들어 과거의 데이타를 최소한 한번더 백업 할수 있는 시스템을 운영 하도록 합니다. OTP(one time passwd)는 패스워드 유출 시 당신의 백업 시스템을 지켜줄 유일한 도구입니다. 어떤 회사는 이번 일로 인해 매주 데이터 센터에서  오프라인 백업을 하겠다고 공언 하는 회사도 있으나, 데이터센터가 작업에 쾌적한 공간도 아니고, 또한 비싼 인건비의 엔지니어를 데이타 백업에 하루 종일세워 두는 것도 그리 바람직 하지 않습니다. 따라서 그러한 효과를 볼 수 있는 준 오프라인 백업도 고민 할 필요가 있습니다. 요즘 기가 인터넷 서비스가 아주 저렴한 가격에 서비스 되므로, 한단계 깊이가 있는 데이타 백업은 데이타 센터 보다는 사무실에 백업 스토리지를 구축하고 시행 해보는 것도 나쁘지 않습니다.

 

4. 판도라 상자의 뚜껑은 열렸습니다.


'인터넷 나야나' 수준의 백업 시스템이나 보안 체계는 통상적으로 우리 업계에 요구되는 수준을 넘어 서는 수준입니다. 그러나 집요한 공격자들은 그 수준을 넘어서는 공격을 퍼부어 우리의 방어 체계를 일순간에 허물어 버리는 사건이라 할 수 있습니다. 다시 말해 공격자들은 자그마한 보안 구멍을  파고들어 큰 구멍을 내고 그렇게 강둑을 허물어 자신들의 목적을 달성 합니다.   성공한 공격은 인터넷 서버를 향한 다양한 형태의 랜섬 웨어 공격을 부를 것입니다. 꼭 웹 호스팅 회사의 서버만이 공격 받을 것이라 착각 하지 마십시요. 지금까지 있었던 DB 유출 사고 같은 무지막지한 공격의 끝에 앞으로는 랜섬웨어가 자리 잡습니다. 모든 보안 헛점의 끝에 랜섬 웨어와 돈 요구가 끊임 없이 발생할 것입니다. 회사의 주요한 자료가 모두 직접적인 침투와 랜섬 웨어 공격의 목표가 됩니다. 도면자료, 사진 자료, 인사관리 자료 , 고객 정보 등을 암호화 한 뒤 돈을 요구하는 사례가 비일비재 해질 수도 있습니다. 앞으로 엔지니어 분들의 눈물 겨운 사투가 우려 됩니다.  

 

미리 미리 준비해서 공격자의 공격에 귀사의 비즈니스가 눈뜬 채로 낚여 희생양이 되는 것을 미연에 방지 해야 할 거 같습니다.

 

시스템 엔지니어, 보안 엔지니어 여러분의 건승을 기원합니다.  

여러분이 있기에 대한민국 인터넷이 버티고 있습니다. 

홈페이지 만족도

콘텐츠 내용에 만족하십니까? 현재 페이지의 만족도를 평가해 주십시요. 의견을 수렴하여 빠른 시일 내에 반영하겠습니다.

등록