1. 최근 국내 사이버공격 사례 및 대응방안
- 침해사고 특징 및 사례
| APT 공격 | - 게이트웨이 장비: 최초 침투에 기업 내부(서버 팜)로 접속할 수 있는 게이트웨이(VPN 등) 장비 취약점 - 보안인증 SW: 최초 침투에 기업 내부(단말)로 접속할 수 있는 국내 보안인증 SW 취약점 - 중앙관리솔루션: 내부 전파에 악성코드를 배포할 수 있는 중앙관리솔루션 취약점 - LotL(Living off the Land): 시스템에 설치된 정상 프로그램 활용 - DLL Side Loading: 정상 프로그램 실행 시, 악성코드(DLL)를 함께 동작 |
| 생성형 AI | - AI 모델(서비스 ,프롬프트 등) 취약점 공격 시도 보다는 공격 대상의 정보 수집과 피싱, 해킹도구 개발, 가짜 뉴스 생산 등에 중점 이용 |
| 사이버 사기 | - 알뜰폰 비대면 개통 과정의 취약점을 악용한 개인 금융 자산 해킹 - 문자관리계정 탈취, 웹 취약점 등이 존재하는 문자발송시스템 해킹 후 스미싱 유포 |
- 전략과 숙제
> 침해사고 분석 후 공격자의 전략과 기술, 절차 등을 기술한 보고서(TTPs)를 활용
> 침해사고 진행 중 실질적 피해발생 전 개입, 피해를 막을 수 있는 헌팅가이드
| 공격전략의 변화 및 대응전략 |
- 새로운 전략보다는 기존 전략을 지속적으로 확장하며, 감염 성공률을 높임 > 초기침투: 워터링홀, 스피어피싱, 제로데이취약점 > 악성코드: 실행 인자 값, 레지스트리 검증, 악성코드 모듈화 등 - 단발적인 조치보다는 정교하고 세분화된 방어 전략 필요 > ASM: 공격자에게 노출될 수 있는 자산 식별/관리 > 모니터링: 공급망 중앙솔루션 강화 > 업데이트: 보안 패치 및 취약점 관리 > 이상행위: 비정상 경로에서 실행되는 파일 점검, 정상과 다른 크기의 파일 탐지 등 > 신속대응: 가시성 확보 및 대응 체계 구축 등 |
| BCP/DRP | - BCP(Business continuity Plan: 업무 연속성 계획) > 서비스 중단 상황에서도 조직이 핵심적인 서비스를 계속할 수 있도록 연속성을 유지하는 계획 - DRP(Disiaster Recovery Plan: 재해복구 계획) > 재해로 인한 업무활동이 중단된 경우에 조직이 생존할 수 있도록 취해야 할 행동을 계획 |
| 정보보호 무료서비스 |
- KISA 사이버 침해사고 예방 서비스, 해킹진단도구 등 활용 |
2. 다크웹 계정 유출 무엇이 중요한가?
- 계정유출
> 공격자들 사이에서 크리덴셜을 활용한 공격이 여전히 인기
> 다크웹 덤프의 경우 단순 ID/PW를 제공하며 어디에 사용되는 계정인지는 제공하지 않음(크리덴셜 스터핑 공격, 피싱으로도 많이 활용됨
- Stealer Malware가 위험한 이유
> Stealer가 설치되어 있는한 지속해서 데이터를 탈취
> 유출 계정의 40%는 쿠키를 포함_만료되지 않은 쿠기를 사용해 MFA 등 우회 가능
> 계정은 단순히 개인의 소셜계정 크리덴셜 유출이 아니라, 기업의 침투용으로 사용
※ 설치된 백신 등을 확인 및 우회하도록 개발
- 새로운 다크웹 계정 덤프
> ID/PW/DOMAIN(실제 로그인 가능한 사이트)의 조합으로 공개
3. 네트워크 기반 공격자 TTP 탐지 방안 (차세대 NDR 활용 방안)
- 고도화되는 위협과 기존 보안 관리 기술들의 한계
> 침입방지, 침입탐지, 방화벽, 네트워크 샌드박싱 등: 정적이며 오탐/미탐 등 탐지 사각 지대 존재
> SIEM/SOAR: 오탐/미탐을 포함한 대량 경보
> 네트워크 포렌식 도구: 분석이 느리거나 분석가들에게 올바른 데이터를 제공하지 못함
- 방어자가 공격자의 TTP(전술_Tactics, 기술_Techniques, 절차_Procedure)를 이해하고 방어체계를 운영하는 것이 효과적
> 위협 헌팅: 조직의 네트워크 내에서 이전에 알려지지 않았거나 지속적으로 발생하는 위협을 사전에 식별하는 접근 방식
- NDR (Network Detection and Response)
| 정의 | - 모든 네트워크 트래픽을 수집하여, 기업 네트워크를 지속적으로 모니터링하여 누락 없는 가시성 제공 - 고급 행동 분석, AI(머신러닝) 등을 사용하여 지능형 위협과 비정상적인 행동을 탐지 및 대응할 수 있도록 함 |
| 기능 | - C2, 측면 이동, 유출, 악성코드 활동 징후를 나타내는 트래픽 이상을 식별 - 정확한 식별을 위해 내부 호스트와 인터넷 사이의 트래픽뿐만 아니라 내부 서버를 포함한 내부 호스트 사이의 트래픽 검사 |
| 효과 | - SIEM/SOAR, EDR과 같은 다른 보안 솔루션과 통합 시 효과 > 네트워크 사각지대를 해소하고 더 견고한 사이버보안전략 개발 가능 > 엔드포인트에 한정된 EDR 대비 NDR은 더 포괄적인 데이터 제공 > 조작 또는 상세하지 않은 로그 데이터에 의존하는 SIEM 보다 더 상세한 모든 네트워크 통신 데이터 제공 |
4. AI 홍수 시대, 세계 최초의 SASE 혁신 기업 Cato Networks가 제시하는 글로벌 네트워크 보안 인프라 운영 방안
- SASE(Secure Access Service Edge): 네트워킹과 보안 기능을 통합한 클라우드 기반의 보안 서비스
| Gartner의 핵심 SASE 구성 요건 | - Converged (Netword + Security) > 통합된 서비스 환경 제공 |
| - Cloud Native > 물리적 장비의 가상화 (혹은 클라우드로 재편)의 한계점 |
|
| - Global Presence > 고객 & 목적지와 가까이 전진배치 |
|
| - All Edges > 모든 단말 접속 형태 및 어플리케이션 접근 지원 |
|
| - Unified Management > 직관적 및 일관적인 단일 관리 포털 (사용자&관리자 경험 개선) |
5. 사이버 위협에 맞서는 인텔리전스: 실전 적용과 비즈니스 보호
- 공격자 전술 <-> MITRE ATT&CK - Tactics 대응 및 기타
| 단계 | MITRE ATT&CK - Tactics | 기타 |
| 0 단계 | - Reconnaissance (정찰) - Resource Development (자원 개발) |
- 공격 준비 과정 |
| 1 단계 | - Initial Access (초기 침투) - Execution (실행) - Persistence (지속성) - Privilege Escalation (권한 상승) - Defense Evasion (방어 회피) |
- 공격자의 최초 침해 > 설정 미흡, SW 취약점, 사용자 실수 등 |
| 2 단계 | - Credential Access (자격 증명 접근) - Discovery (검색) - Lateral Movement (내부 이동) |
- 정상과 악성 행위의 판별이 어려움 > 솔루션만으로 해결하기 어려움 |
| 3 단계 | - Collection (수집) - Command and Control (명령 및 제어) - Exfiltration (데이터 유출) - Impact (영향) |
- 실질적 피해 발생 |
6. 친러 성향 사이버 범죄 해킹 그룹의 한국 기업 대상 해킹 활동 사례 분석
- 러-우 전쟁 장기화 등에 따라 친러 성향을 가진 사이버 범죄 그룹의 국내 기업 대상 공격 활동 증가
> 스피어피싱으로 첨부파일 실행 유도 및 악성코드 감염
> 금전적 이익을 위한 활동에서 국가적 이익을 위한 활동으로 변모할 가능성 시사
- 사이버 위협 인텔리전스(Cyber Threat Intelligence)를 활용한 선제적 방어 전략 필요
| 사이버 위협 인텔리전스 (Cyber Threat Intelligence) |
정의 | - 조직을 사이버 위협에서 보호하기 위한 사전 예방 활동 > 공격자 의도, 동기, 공격 기법 등에 대한 정보 분석 > 이를 바탕으로 조직이 위협을 사전에 탐지 및 대응할 수 있도록 지원 ① 위협 탐지 - 공격 발생 전 공격자의 공격 기법 파악 - 이를 통해 조직의 보안 정책 강화 ② 위험 예측 - 공격자의 과거 데이터를 분석 - 향후 발생할 수 있는 위협을 예측하고 사전에 대비 ③ 의사결정 지원 - 경영진이 보안 정책과 투자를 결정하는 데 필수적인 정보로 사용 - 특정 유형의 공격이 증가하고 있음을 보여주고, 전사적 대비책 수립 |
| 역할 | - 새로운 위협에 대한 조기 경보 역할 수행 > 조직이 새로운 위협에 대응하기 위해 필요한 정보 제공 > 공격 발생 전에 탐지 및 대응 가능한 체계 수립 지원 ① 실시간 위협 탐지 - CTI는 실시간으로 업데이트되며, 새로운 위협이 탐지되면 즉각적인 경고 제공 - 새로운 악성코드가 발견되었을 때, 이를 바탕으로 조직의 보안 시스템이 실시간 대응 ② 공격 패턴 분석 및 예측 - CTI는 해킹 그룹의 공격 행동 패턴을 분석하여, 어떤 공격 기법을 사용할지 예측 - 이 정보를 통해 조직은 사전에 방어 전략 수립 ③ 빠른 대응 체계 구축 - CTI는기업이 빠르게 대응할 수 있는 체계를 마련 - 새로운 위협이 탐지되면, 즉각적인 대응 지침을 제공 - 기업의 보안팀이 공격을 차단하거나 피해를 최소화 |
|
| 구성 요소 | - 공격자와 관련한 공격 행동 방식과 도구 정보를 포함 > 공격자와 관련한 TTPs(전술, 기법, 절차) > 침해지표(Indicators of Compromise, IOC) > 위협 행위자 프로파일 등의 정보를 포함 ① TTPs(전술, 기법, 절차) - 공격자가 사용하는 공격 기법을 분석하여 조직이 어떤 위협에 노출되어 있는지 파악 - 해킹 그룹이 사용하는 악성코드 또는 취약점 공격 기법 분석 - 해당 공격이 조직 내에서 발생할 가능성을 사전에 예측 및 대비 ② IOC(Indicators of Compromise, 침해 지표) - 공격에 사용된 IP 주소, 도메인, 해시 값, 악성 파일 등 - IOC는 보안 장비에서 실시간으로 탐지할 수 있는 중요한 데이터로, 신속한 대응에 필수적 ③ 위협 행위자 프로파일(Threat Actor Profiles) - 주요 해킹 그룹 또는 사이버 범죄 그룹들에 대한 공격 대상 및 공격 목적 정보 등을 수집 - 동일 또는 유사 위협 발생 가능성을 사전에 예측 및 대비 |
|
| 단계적 구분 | - 3 단계로 구분 가능하며, 각 단계에서 제공하는 정보가 다름 > 전략적, 운영적, 전술적 인텔리전스로 3단계 구분 ① 전략적(Strategic) Threat Intelligence_최상위 단계 - 전반적인 해킹 활동 동향과 기법 설명 - 조직 보안 전략과 방향성 수립 - CISO, CTO, CEO 등 C 레벨 대상 ② 운영적(Operational) Threat Intelligence - 공격자의 공격 행동 패턴을 설명 - 실제 공격 발생 시 탐지 및 대응 가능성 도출 - 중간 보안 관리자 대상 ③ 전술적(Tactical) Threat Intelligence_최하위 단계 - IOC를 이용하여 실제 공격 탐지 및 대응 - 정기적 위협 헌팅(Threat Hunting) 활동 활용 - SOC, 악성코드, 침해사고, CTI 분석가 대상 |
- Threat-Informed Defense (TID)란
> 사이버 위협 인텔리전스(CTI)를 기반으로 한 보안 전략
> 실제 위협 행위자의 전술(TTPs)을 반영한 방어 체계 구축
> 보안 프로그램의 효과적인 운영 및 지속적인 개선 목표
> TID 기반 선제적 방어 전략으로, 단순 방어를 넘어 실질적인 위협 대응 전략 구축 필요
7. 공격자간 협력 사례 공유
- 악성코드 협력 사례
> 북한 배후 공격자가 최초 침투를 하기 위해 Lnk 악성코드를 자주 사용
> 국내 다수의 사용자가 Windows OS 기반 컴퓨팅 환경을 사용하며, Lnk파일은 다른 파일에 비해 보안 정책을 구성하기 어려움
| 구분 | 장점 | 단점 |
| Lnk | - 정상문서처럼 보일 수 있음 - 공격 후 악성파일 삭제 가능 - 여러 Windows 버전에서 실행 안전성 확보 - 웹 브라우저 등에서 해당 파일이 압축된 파일 내용으로만 악성으로 판단하지 않음 - 난독화 스크립트를 함께 사용하면 보안 솔루션에서 탐지하기 어려움 - 윈도우 운영체제의 “알려진 확장자 표시“ 옵션을 우회 |
- 악성 파일 제작 프로그램 필요 |
| HWP/MS Office | - 정상문서로 위장 - 스크립트/취약점 실행 가능 - 취약점 공격 가능 - 웹 브라우저 등에서 해당 파일이 압축된 파일 내용으로만 악성으로 판단하지 않음 |
- 공격 후 악성파일 삭제 불가능 - 문서 프로그램 버전에 따라 취약점 공격 성공 확률이 달라짐 - 문서 프로그램에서 보안 정책 강화로 인해 스크립트 실행이 어려움 |
| CHM | - 스크립트 실행 가능 - 웹 브라우저 등에서 해당 파일이 압축된 파일 내용으로만 악성으로 판단하지 않음 |
- 정상문서로 위장하기 쉽지 않음 - 공격 후 악성파일 삭제 불가능 - 윈도우 도움말 파일에 익숙하지 않은 사용자에게 실행을 유도하기 쉽지 않음 |
- Lnk 파일은 악성코드 제작 프로그램이 필요
> 구조와 도구의 특징이 반영된 Lnk 악성코드 생성
> Lnk 악성파일을 제작할 때 Windows API 등을 사용
> 환경 정보는 수정 불가능하고, 환경 정보가 동일하다면 공격자는 동일
※ Lnk 파일 구조
> ShellLinkHeader 구조만 필수이고 나머지 26개 구조는 모두 옵션
> ShellLinkHeader 구조에서 LinkFlags 필드를 분석해 바로가기 파일 구조를 분석하고 각 구조에 번호를 붙여 단순화
> 그 외 Lnk 내 사용자를 식별할 수 있는 값과 환경을 식별할 수 있는 값 약 30개의 값을 이용해 악성코드 분류
- 방어자들 또한 협력 필요
> 침해 결과에 집중하는 것 보다 침해 발생 원인에 집중할 필요
8. 북한 IT 외화벌이 인력들의 위협 및 대응방안
- 북한 IT 개발자들은 SNS, 커뮤니티 등에 자신의 포트폴리오를 업로드하고 조직적인 네트워크를 구축
① 지원자의 신분증/생체 데이터의 일치 여부 확인 : 신원 확인 서비스를 통해 제출한 데이터의 진위 여부 확인
② 프로필의 AI 합성/변조 이미지 여부 확인 : 오픈소스 도구, 이미지 Osint 도구를 통해 위조/합성 여부 등 확인
③ 이력서의 학력/경력/프로젝트 위조 여부 확인 : 교육기관 등에 직접 확인 또는 이력서와 포트폴리오의 일관성 확인
'대외활동' 카테고리의 다른 글
| ISDP 2025 (0) | 2025.02.18 |
|---|---|
| PASCON 2024 (1) | 2024.09.11 |
| 코리아 핀테크 위크 2024 (5) | 2024.09.01 |
| 제13회 정보보호의 날 기념식 (1) | 2024.07.11 |
| RSAC2024 글로벌보안트렌드 (0) | 2024.06.13 |