본문 바로가기

Security Indicator/Insight

분석 (2)- 북한 해커부대 다 뚫을 수 있다.

http://news.naver.com/news/read.php?mode=LSD&office_id=213&article_id=0000003507&section_id=100&menu_id=100

 

위의 기사입니다. 시사매거진 2580에서 방송을 하였었죠. 저도  잠시 봤었습니다만..^^; 생각보다 근본적인 내용은 없고 두리뭉실한 내용만이 있다고 판단 됩니다.

 

오늘도  가볍게 생각나는대로 자판가는대로 한번 더 써보도록 하겠습니다.

 

기사내용을 보면 북한 해커 부대가 존재하고 공격이 다수 있었다고 하였습니다. 또 유형을 보면 [ 기사 면면을 살펴보면 ] 이메일을 통한 악성코드 [ 신규 취약성을 이용한 것이겠죠.. ^^ 알려지지 않은..새로운 취약성] 전파를 통해 개인 PC를 조정하는 것으로 볼 수 있습니다. 즉 중요시스템에 대한 침입은 일정부분 커버가 되고 있다보니 개인PC를 통한 주된 공격이 발생 하는 것이죠.

 

어제 올려 드린 KISA에서의 발표자료에서 보듯이 공격대상이나 범위가 많이 달라졌습니다. 온라인 게임을 예로 들면 직접 게임사를 공격하는 범주에서 보안이 강화되고 여러 절차를 통과해야 하다보니 [ 사실은 전문 인력들이 투입 되어 상당부분 변경이 되고 전문성이 높아져서 난이도가 매우 어려워졌다는 점에 있습니다.] 개인 PC 단위를 집중공격하는 것이 늘어난 현상을 지난해 부터 볼 수 있습니다. 이 부분은 중요 시설에 대한 공격 동향의 변화에도 진작에 적용이 되었을 것입니다. 중요 인물에 대한 개인 PC 공격 및 정보 유출하기에 가장 좋은 방안은 이메일을 통한 악성코드 설치 유도 이고 설치 이후의 특정단어를 검색하여 중요 문서들을 외부에 전송하게 만드는 방식이 가장 효율적이라 볼 수 있을 것입니다.

 

비슷한 유형에 대한 테스트를 2~3년전쯤..모 보안회사에 근무할때 모사를 위해 제작을 한 적이 있습니다. 그 내용은 여기에서 처음 말씀 드리면 다음과 같습니다.

 

1. 각종 백신들을 설치한 이후 바이러스 코드를 작성한 이후 테스트 한다.

2. 바이러스 코드의 내용은  스크립트 혹은 자동 실행 되는 유형으로 작성한다. [ 이때 작성한게 워드의 매크로 , 스크립트 , 최근엔 mhtml 유형]

3. 백신 4~5가지 정도에서 감지 결과를 확인 한다.[ 백신만 더 있다면 다 테스트 합니다. ^^ .. 조금만 변형해도 안걸리는 유형 다수]

4. 감지 안될 경우 조금씩 변형을 하여 여러 유형을 만들어 둔다.

5. 해당 스크립트의 내용은 개인 PC에서 특정 단어를 검색하여 단어가 포함된 문서를 지정된 이메일 및 FTP 서버로 올려둔다..

6. 해당 PC에는 취약성 존재하며 개인 사용자의 보안의식 부재라는 표식을 남겨둔다.

 

이중에서 5번에 해당되는 내용은 너무 무리하는듯 싶어.. 실제 실행시에는 제거를 하였죠.

그때 당시 제작만 했었고 [ 이것도 3일동안 날림으로 만들었습니다. ㅠ,ㅠ] 테스트는 직접 못하였는데 매년마다 정기적으로 보안의식 점검 수행시에 사용을 한다고 합니다. 그 결과를 한 술자리에서 들을 수 있었는데 자극적인 제목이나 중요정보라고 표시된 메일의 경우 6~70% 가량의 문제점이 초기에 발생 되었다고 합니다. 이 의미는 그 PC에 대한 전체 제어권을 언제든 가질 수 있다는 내용이겠죠.

 

국내에서도 을X훈련이라고 국가기관에 대해 시행하는 사이버 훈련이 존재 합니다. 이 훈련기간에는 보안 관련 업체들은 매우 바쁘죠. 어떤 업체는 테스트를 하기도 하고.. 국가기관을 모니터링 하는 업체는 대응을 하기도 하고 하느라 매우 바쁩니다. 이 훈련기간중에도 유사 내용이 메일을 통해 테스트 되기도 합니다. [ 몇 해전 모 국가기관에서 ORG를 사칭한 메일로 인해 기사화 되기도 하고 사과를 하기도 한 기사도 있습니다. ^^]

 

자 위와 같이 개인에 대한 PC 공격을 제가 알고 경험한 범위 내에서 정리를 해보았습니다.

현재에는 과연 어떨까요?.

 

보안의식을 지니지 못한 개인에게는 거의 재앙과도 같은 결과가 나옵니다. 보안제품이 아무리 뛰어나다 하여도 이런 제품들은 기본적으로 signature base 입니다. 즉 공격코드의 기본 유형 검사를 통해 진단을 한다는 점입니다. 따라서 걸러지는 것은 알려진 위험에 대해서만 100% 처리가 될 뿐이고 알려지지 않은 신형의 위험에 대해서는 0% 입니다.

 

최근들어 MS Office 군에 대한 신규 취약성 발표가 매우 증가 하고 있습니다. 이 부분도 시사할 점들이 있습니다. Office 군에 대한 취약성은 대부분 개인 PC 공격에 사용이 될 수 있습니다. 개인 PC에 대한 제어권 획득에 중요한 역할 을 할 수 있습니다.  취약성은 어떻게 찾아낼까요?. 개발업체가 똑똑해서 스스로 문제를 찾을까요?.. 절대 그렇지 않습니다.

외부의 제보 혹은 문제가 발생된 이후 사안을 분석한 결과 새로운 취약성이라고 판단되어 취약성에 대해 패치가 이루어 지고 취약성이 있다고 인정하게 되는것이 대부분입니다.  그만큼 많은 위험에 처해 있다고 볼 수 있을 것 입니다.

 

기밀의 보호를 위해서는 문서보안 솔루션등 다양한 방안들이 고민되고 현재 사용이 되는 것도 마찬가지 맥락이라 볼 수 있을 것입니다.

 

아.. 사설이 길었습니다. 가볍게 쓴다는 것이..그만...

 

북한해커 부대에 대해 나온 기사중에 의미 있는 기사는  단 한 부분입니다. 각 영역별로 담당자가 존재한다는 점. 이 부분은 참 매서운 내용입니다. 회사내의 또 기관내의 그 누구도 한 부분에서 지속적으로 관찰하고 대응한다는 점은 어렵습니다. 그러나 공격자들은 그런 부분을 한다는 것이죠. 네트워크 단위의 미묘한 변화나 설정 변경 그리고 작업 내역등에 대해서 오랜기간 작업을 하고 작업자의 사고까지도 추측을 하고 추정을 합니다.  이런 전문인력이 전담을 하고 오랜기간 관찰 하였다면 이 부분은 헛점이 드러날 수 밖에 없는 부분입니다.

 

어디든 완벽한 시스템과 완벽한 보안체계는 없습니다. 미 국방성의 경우도 보안의식을 지니고 체계적인 프로세스 및 방안을 인지하는 직원 비율이 30%를 갓넘는 다고 합니다. 하물면 일반기업은 오죽 하겠습니까?.. 그런 빈틈 하나가 큰 구멍을 만들고 중요한 시국에는 댐을 무너뜨리는 역할을 하는 것이겠죠.

 

그렇다면 대안은?..

 

Security라는 점을 전술적으로 이해를 하는 것이 필요합니다. 단기전술과 장기전술이 있고 또 전략적으로 안정적인 포지셔닝을 하기 위해 가장 중요한 요소라는 점을 인지해야만 가능합니다. 기업이든 국가든 기관이든 마찬가지 입니다. 공격자의 입장이 아닌 방어자의 입장에서 보면 그렇습니다. 전술적으로 가치를 지니는 지점에는 강화되고 전문화된 인력집단을 활용하여 체계적인 대응 및 일사분란한 Process 만이 위험요소를 줄이게 될 것입니다.

새로운 취약성에 대한 연구도 하여야 하고 지속적인 위험 노출 범위를 위해 내부직원들에 대해 불편을 감수하게도 만들어야 하고 그리고 욕도 먹어야 합니다. 그러나 절대 뜻을 굽혀서는 안되는 이중적인 상황에 처할 수도 있습니다. 그리고 그 누구에게도 인정받지 못할 수도 있습니다. 그러나 해야만 생존이 가능합니다.  ~~

 

왠지 과격한 헤드라인을 보니 대안 부분도 조금 과격하게 나가는 것 같습니다만... 기술적인..즉 계량이 가능한 대책만 가지고는 어려우며 전략적이고도 강력한 의지가 있는 상황에서 전반적인 대응체제를 갖추는 것이 해결책이 될 수 있다고 봅니다. 그러기 위해서는 뛰어난 인력은 필수 이겠지만.. 현재 국내의 상황은 그다지 좋아 보이지만은 않습니다.

 

^^;.  오늘은 여기까지 입니다.