[기고] 네트워크를 노리는 보안 위협
상태바
[기고] 네트워크를 노리는 보안 위협
  • 최형주 기자
  • 승인 2020.10.13 10:07
  • 댓글 0
이 기사를 공유합니다

주요 네트워크 공격 사례를 통해 살펴보는 네트워크 보안

[글 김재환 과장 | 포티넷 코리아 시스템 엔지니어]

[편집 최형주 기자]

 

네트워크를 공격하는 방법은 크게 둘 정도로 나눌 수 있다. 외부에서 네트워크 자원을 파괴하는 서비스 거부 공격(DoS)과 내부 네트워크에 침투해 개인정보, 회사 기밀 등을 훔쳐내는 이른바 ‘해킹’이 그것이다. 이번 글에서는 주요 네트워크 공격 사례들을 살펴보고, 네트워크 보안이 필요한 이유에 대해서도 알아본다.

 

네트워크와 함께 진화하는 서비스 거부 공격

DoS(Denial of Service)라는 영단어로 많이 알려진 서비스 거부 공격은 가장 대표적인 네트워크 공격 방법의 하나다. DoS 공격은 과도한 트래픽으로 타깃 시스템의 자원을 고갈시키는 것을 목표로 하며, 네트워크 기술 발전의 영향을 가장 많이 받는 공격 방법이기도 하다.

 

초기 서비스 거부 공격

공식적으로 기록된 최초의 DoS 공격은 1999년 8월 미국 미네소타 대학 홈페이지를 노린 공격으로 알려져 있다. 당시엔 인터넷이 지금처럼 대중적이지 않아 서버가 많은 트래픽을 감당하지 못했고, 사람이 몰리는 홈페이지는 느려지거나 서비스가 중단되는 경우가 종종 발생했다. 이를 응용한 것이 DoS 공격으로, 특별한 해킹 기술 없이도 다수의 인원을 모아 특정 사이트에 동시 접속해 새로고침(F5)을 눌러 트래픽 과부하 공격을 감행할 수 있다.

 

초고속 인터넷 등장 이후

초고속 인터넷인 ADSL의 등장은 인터넷 사이트 서버들의 트래픽 처리 능력의 발전을 불러왔다. 이로 인해 기존의 DoS 공격은 더 이상 효과적인 사이버 공격 수단이 되지 못했다. 그래서 등장한 것이 분산 DoS, 그러니까 우리가 익히 알고 있는 ‘DDoS(Distributed-Denial-of service attack)’ 공격 방법이다.

대표적인 DDoS 공격 사례로는 2003년 1월 25일, 마이크로소프트 SQL 서버의 ‘버퍼 오버플로(buffer overflow)’ 취약성을 노린 악성코드 ‘SQL 슬래머’ 웜 공격이 있다. 이 공격은 핑 플러딩(Ping Flooding) 기법을 활용해 376바이트의 작은 패킷으로 당시 초당 20Mbps 수준의 트래픽을 발생시켜 10분 만에 7만 5천 대 호스트를 감염시켰고, 최종적으로 50만 대 수준의 서버를 공격했다.

SQL 슬래머 웜은 전 세계 곳곳의 라우터를 과부하시켜 인터넷을 마비시켰고, 국내에선 모든 DNS서버와 통신망 중계기가 집중된 혜화국사의 DNS 서버를 공격해 약 12시간 동안 인터넷을 중단시켰다. 이 사건은 ‘1.25 인터넷 대란’으로도 알려져 있으며, 이후 KT는 서울 시내 6개 전화국사에 관문국 시설을 분산했다.

이 사건의 재밌는 점은 당시 혜화국사 시스템 자체엔 별 문제가 없었다는 것이다. 관리자의 부족한 보안 인식으로, 운영체제의 최신 패치가 적용되지 않은 서버가 이 같은 ‘대란’을 유발한 것이다. 이때부터 정보통신부(현 과학기술정보통신부)는 대대적인 보안 패치 조사를 실시했다.

IoT와 함께 진화하는 DDoS ‘좀비 PC’라는 말을 들어본 적이 있을 것이다. 기존 DDoS 공격은 다수의 컴퓨터를 해킹해 해커가 원격 조종이 가능한 좀비 PC로 만들고, 이를 활용해 특정 사이트를 공격하는 방법이었다. 그런데 IoT가 등장하자 ‘미라이’라는 IoT 봇넷 악성코드가 퍼지기 시작하고, 이때부터 DDoS 공격은 ‘테라급 공격’으로 진화한다.

지난 2016년 미국 호스팅 업체 Dyn이 1.2Tbps급 공격을 받았고, 2018년 2월엔 무료 소스 관리 툴 저장소인 GitHub가 1.35Tbps 급의 공격을 받았다. 그리고 2020년 2월 아마존 보안 연구팀이 2.3Tbps 규모의 DDoS 공격을 받았다고 밝혀 이목을 끌었다.

이 같은 공격이 시사하는 바는 바로 네트워크 기술의 발전이 사이버 공격의 진화로 이어진다는 점이다. 특히 미국 FBI는 지난 7월 IoT 기기에 사용되는 CoAP, 카메라와 프린터에 사용되

는 WS-DD, 애플의 원격 제어 기능 활성화를 위한 ARMS 등의 네트워크 프로토콜을 악용하는 DDoS 공격에 대해 엄중히 경고하고 나선 바 있다.

 

사회공학기법 활용하는 해커들

해커가 기업 혹은 정부와 같은 특정 조직의 내부 네트워크를 노리는 가장 좋은 방법은 피싱 이메일을 활용, 내부자로 위장하는 것이다. 방법도 간단하다. 우선 해커는 기업 혹은 국가의 특정 이슈에 관한 내용으로 위장한 피싱 메일을 작성한다. 피싱 메일엔 데이터로 위장한 악성코드를 숨겨놓고, 실행을 유도한다.

대표적인 사회공학기법에는 APT(Advanced Persistent Threat) 공격의 시초격으로 알려진 ILOVEYOU 바이러스가 있다. 2000년 초 이메일 통해 전파되기 시작한 이 바이러스는 러브레터를 가장한 첨부 파일 실행을 유도하고, 하드 디스크 내의 파일들을 ‘I Love You’ 라는 내용이 적힌 스크립트로 바꾼다.

이 악성코드는 전 세계에 퍼지며 약 100~150억 달러 규모의 피해를 낸 것으로 추정되지만, 당시 사이버 공격에 관한 법적 규제가 없던 필리핀에서 만들어져 개발자들은 아무런 법적 조치를 받지 않았고, 현재까지도 변종이 출현하고 있는 상황이다.

프로토콜을 이용해 네트워크 내 연결된 모든 컴퓨터를 감염시키는 악성코드도 있었다. 바로 지난 2017년 150개국 20만 대 이상의 PC를 감염시킨 랜섬웨어 ‘워너크라이’가 그 주인공이다. 랜섬웨어란 단어를 대중에게 깊이 각인시킨 워너크라이는, 윈도우의 SMB(Server Message Block) 취약점을 악용해 ‘인터넷에 연결만 돼 있어도’ PC가 감염될 수 있는 전대미문의 강력함을 보였다.

네트워크 연결을 이용하는 특성 때문에, 마이크로소프트의 발 빠른 패치에도 워너크라이는 일파만파 퍼져 유럽의 이동통신사 텔레포니카, 영국의 국민건강서비스, 페덱스, 도이체반, 러시아 내무부와 방위부, 러시아 통신사 메가폰 등 전 세계 약 150개국의 23만여 대의 PC를 감염시켰다.

워너크라이 감염 화면(자료: 이스트시큐리티)
워너크라이 감염 화면(자료: 이스트시큐리티)

사회공학기법을 활용한 해킹도 IoT 기술의 등장과 함께 또 다른 문제를 자아내고 있다. IoT가 등장하면서 많은 공장들이 이를 활용한 자동화를 도입하고 있다. 이를 위해 공장의 운영기술(OT) 환경은 폐쇄적 환경에서 개방적 환경으로 바뀌고 있고, 이 같은 스마트 팩토리의 OT 환경을 노린 악성코드가 유포되고 있는 것이다.

주요 사례로는 2010년 ‘스턱스넷’을 통한 이란의 핵 시설 공격, 2013년 뉴욕 댐 공격, 2014년 미시간주 교통망 공격, 2015년 독일 발전소 파괴, 2015년~2016년 우크라이나 정전 사태, 2017년 워너크라이 랜섬웨어를 통한 혼다, 닛산, 르노의 북미, 유럽, 아시아 공장 생산 중단 피해, 2019년 인도 쿠단쿨람 원자력 발전소 중단 사태 등을 들 수 있다.

이 사례들을 통해 우린 악성코드가 단순히 기업이나 개인뿐만 아니라 국가의 중요 공공 인프라에도 피해를 입히고 있음을 알 수 있다. OT 망 공격과 같은 사이버 위협이 자칫 한 기업 혹은 국가의 명운을 쥐고 흔들 수 있는 사태까지 일으킬 수 있게 된 것이다. 특히 포티넷에 따르면 2019년 한 해 동안 OT 조직의 약 74%가 사이버 공격을 경험한 것으로 조사됐다.

 

초연결 시대의 네트워크 보안

네트워크 환경이 복잡해지고 다양한 고려 요소가 생기면서, 조직이 감당해야 할 보안 영역이 증가하고 있다. 또한, 도입 시스템이 많아지면서 그로 인해 발생하는 대규모 보안 데이터를 처리해야 하는 상황을 마주하고 있다.

보안 이벤트를 처리하는 보안관제조직의 기본 3대 구성 요소인 ‘사람’, ‘프로세스’, ‘기술’의 입장에서 살펴보면, 사람의 경우, 필요한 만큼 고용하기 어렵고, 고용한다고 해도 빅데이터급 보안 이벤트 모두에 대응하기는 힘들다.

프로세스의 경우, 보안 사고 분석 대응 프로세스를 수립하고 개선한다고 해서 모든 보안 업무가 빨라지지 않는다. 결국 현재 보안 추세는 자연스럽게 마지막 항목인 기술을 검토하는 것으로 귀결될 수밖에 없다.

포티넷의 경우 3세대 보안 시스템 운용을 통해 탐지 시스템 자체를 고도화하고 있다. 3세대 악성 시스템은 인공지능을 활용하는 제품이다. 파일 코드레벨 분석을 통해 인공지능 딥러닝을 활용해 단 몇 초 내에 악성코드 여부를 평결한다.

포티넷의 FortiAI(인공지능보안분석가)는 포티가드(FortiGuard)에서 악성코드 샘플 600만 개 이상을 사전 학습시켜, 학습된 데이터를 기반으로 네트워크에 유입되는 파일을 추출한다. 이때 악성코드 유사도를 수 초 내에 측정하고 위협도를 보여주며, 고객 네트워크 망을 자동으로 학습해 폐쇄된 네트워크 환경에서도 작동한다.

IT 네트워크 인프라가 복잡해지고 거대해져 조직이 검토해야 할 데이터가 늘어날수록, 공격자에게는 유리한 공격면을 제공하고, 이를 방어해야 하는 조직들은 불리한 상황에 처하게 된다. 특히 인공지능(AI)을 활용해 악성코드를 재생산하며 위협을 가속화, 고도화하고 있는 초연결(Hyper Connectivity) 시대에서, 새로운 기술들을 활용한 네트워크 위협에 성공적으로 대응하기 위해서는 기계적인 속도로 업무처리가 가능한 ‘AI 악성코드 탐지 시스템’과 ‘업무자동화 플랫폼 SOAR’ 솔루션이 필수적이라 할 수 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.