본문 바로가기

Security Indicator/Insight

[컬럼] “좀비PC 1대가 대형유통업체를 벼랑으로 몰다!”

"좀비PC 1대가 대형유통업체를 벼랑으로 몰다!"

 

*zdnet 게재 컬럼입니다.

 

타겟의 대규모 정보유출과 관련 하여 유출된 카드당 배상 금액을 기본 건당 90$로 추정할 때 전체 4천만 건에 대해 36억$에 달할 것으로 예상되고 있다. 또한 건단 90$의 경우도 카드회사가 벌금으로 책정하고 있는 최소액수라는 점. 그 이외에도 개인정보가 7천만건 이상 유출된 점을 감안하면 피해 금액은 상상을 넘는 금액이 될 수도 있다. 이 사건의 시작이 내부로 침입된 악성코드 하나에 의한 것이라는 점을 감안하면 한국에서의 피해 및 정보 유출 사례와 비교 하였을 때 많은 격차를 느낄 수 밖에 없다.

 

 

1억건 이상에 달하는 금융이용자의 정보유출 사건과 비교하기는 어렵지만 해외 업체인 Target.com의 악성코드로 인한 4천만건 이상의 카드 정보 유출은 심각한 시사점을 깨닫게 해준다. 2014년 1월에 보도된 금융정보 유출의 경우 내부 시스템에 접근이 가능한 외부자에 의해 발생된 정보유출 사례라고 볼 수 있다. 그러나 Target의 경우는 내부 운영 시스템인 POS 단말기에 침입한 악성코드가 카드 관련 정보 및 신상 정보를 탈취하여 유출한 사례이기에 예의주시할 필요가 있다.

 

Target을 통해 유출된 정보는 초기에 4천만건에 달하는 카드 정보가 유출된 것으로 발표 되었으나 추가 확인된 결과에 의하면 전체 1억1천만건 (카드정보 4천만건, 개인정보 7천만건)에 달하는 소비자 정보들이 유출된 것으로 확인되고 있다. 분석 정보들이 추가로 확인됨에 따라 그동안 밝혀지지 않은 심각한 내용들과 기술적인 문제점들에 대한 내용들이 확인되고 있는 상황이다.

 

외신 (http://www.dailymail.co.uk/news/article-2541744/Pictured-Russian-teen-Target-hacking-attack.html)에 따르면 러시아해커에 의해 제작된 공격도구들이 이번 Target의 공격에 이용되었다는 점이 확인되고 있으며, 또한 Target이 운영하고 있는 미국 전역의 1,797개 매장의 POS 기계의 대부분인 4만여대의 POS 기계가 감염되어 정보 유출에 이용된 것으로 확인되었다. 사실상 공격자는 모든 정보 입력 기계에 대한 완벽한 제어권한을 가지고 있었다는 것이다.

 

맥아피에 의해 공개된 기술적분석(http://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/24000/PD24927/en_US/Threat_Advisory_EPOS_Data_Theft_v4.pdf) 을 살펴보면 대부분의 POS 기계들이 윈도우 운영체제를 사용하고 있었고, 내부망을 감시하는 보안도구나 이상증세를 관찰하는 모니터링이 전혀 없었음을 알 수 있다. POS 상에서 사용자가 카드를 긁는 거래가 발생되는 순간에 관련 거래의 내역을 탈취하여 별도의 파일로 저장하도록 하였으며, 그 누적된 정보들은 주기적으로 내부 파일공유나 FTP를 통해 특정 지점으로 모아지도록 되어 있었다. 그 이후에 누적된 데이터들을 공격자들은 한꺼번에 들고간 것이 이번 Target 해킹에 대한 설명이라 할 것이다.

 

 

 

공격자가 통제하는 서버와 감염된 PoS와의 관계 Source: Dell Secureworks.

 

추가적으로 분석된 자료를 부분적으로 공개한 Dell의 시큐어웍스사와 시만텍의 리포트 및 Krebson Security 저널에 언급된 내용을 살펴보면 한국의 3.20 대란과 유사한 방식이 사용 되었을 것으로 추정되는 분석들도 있다. (관련기사 : http://www.informationweek.com/security/attacks-and-breaches/target-hackers-tapped-vendor-credentials/d/d-id/1113641?f_src=informationweek_gnews

Krebson Security 기사: http://krebsonsecurity.com/2014/01/new-clues-in-the-target-breach/

)

분석 내용에 따르면 Target 내의 모든 POS 시스템들은 Window Share가 활성화 되어 있었으며, 카드 정보를 한 곳으로 모으는데 이용된 계정은 "Best1_user" 이고 패스워드는 "BackupU$r" 이였다고 한다. Best1_user 계정은 BMC의 성능 관리 소프트웨어에서 사용이 되는 것으로 알려져 있다.

 

3.20의 VMS나 PMS와 같이 악성코드 배포 역할을 한 것으로 의심되는 것은 MS의 SCCM (System Center Configuration Manager) 프로그램으로 추정하고 있는데, 현재 MS의 Target IT 인프라 구조에 대한 사례 구성은 사라졌으나 그 구성도에는 SCCM 프로그램이 전체 POS 장비의 성능을 관리하는 형태로 이루어졌을 것이다. 추정에는 내부의 좀비 PC 확보 이후 주요 소프트웨어나 서비스에 대한 SQL Injection 공격을 통해 관련 정보와 권한을 획득 하였을 것으로 추정하는 내용도 확인 할 수 있다.

결론적으로 소매점 한 곳에 타켓화된 메일 등으로 침입 또는 직접 공격을 통해 권한 획득을 한 이후 내부의 중요 관리 소프트웨어에 대한 공격들이 있었을 가능성이 매우 높다는 점을 지적하고 있다. 

BMC의 성능 관리 소프트웨어에 대한 공격으로 계정 정보를 획득하고 MS의 SCCM 프로그램의 전체 연결 구조를 이용하여 전체 POS에 일괄적으로 악성코드를 배포한다. 그 이후 획득한 계정정보를 이용하여 한 곳으로 전체 데이터를 모으도록 하는 것이다.

일정 시점 이후에 모아진 데이터를 들고 러시아로 옮기는 것이 최종이다. 이 과정에서 어떤 모니터링 및 경고도 발생되지 않았으며, 모두 사건 이후에 잔뜩 남겨진 로그와 기록들을 기반으로 하여 분석을 하는 것을 볼 수 있다. 내부망에는 위험을 관찰할 체제들도 단지 "분리된 망"이기에 거의 없었다는 것을 알 수 있다. 망분리를 통해 보안성을 확보하고자 하는 많은 기업 및 기관들도 위험에 대해서 살펴 보아야 할 부분들일 것이다.

 

 

Target 에서의 대량 정보유출에서 우리는 몇 가지 교훈을 얻을 수 있다.

 

  1. 내부망 (사설IP)에서의 보호방안은 거의 없었다. – 망분리를 중점대책으로 위험을 제거하려는 우리의 입장에서는 고민해야될 부분이다.
  2. 사설IP 대역에 존재하는 4만여대에 달하는 POS 기계의 운영체제가 감염되는 동안 전혀 인지를 못한 상황
  3. 초기 침입은 외부와 연결된 망을 통해서 이루어졌을 것이나 초기 침입이 어디로부터 시작되었는지는 분석이 안되고 있다는 점.
  4. 결론적으로 내부망에 대한 감시체계와 외부와 연결된 접점에 대한 강력한 통제에 실패했다는 점을 꼽을 수 있다.

 

외부와 연결이 분리된 망에서는 분리된 것 자체가 강력한 대책으로 인식을 할 수 밖에 없다. 강력한 대책인 망분리가 되었을때에도 전제되어야 하는 것은 작은 가능성일지라도 내부로 유입된 악성코드가 있을 경우에 대한 대책이 무엇이 있느냐 하는 것이다. Target의 POS 기계 감염에 이용된 악성코드의 경우에도 초기 감염시에 주요 백신의 탐지를 우회하여 감염된 정황이 확인된 바 있다.

 

내부로 유입된 악성코드가 무방비로 노출된 주변 시스템을 감염시키고 확산을 하는 중에도 모니터링 및 관찰을 할 수 있는 도구와 체계가 없었기에 Target에서 운영하는 대부분의 POS 시스템에 감염이 된 상태조차 인지하지 못한 것이다. 정보를 전송하는 단계에서는 암호화가 적용 될 수 있으나 기록되는 단계에서는 평문으로 기록이 될 수 밖에 없다. 악성코드들은 POS 시스템에서 입력되는 모든 카드정보와 개인정보를 그대로 수집하여, 특정 위치로 옮겨둔 이후 한번에 모두 가져간 것이 사건의 전말이다.

 

한국은 과연 문제가 없다고 할 수 있을까?

 

2013년 8월 하순경에 국내를 대상으로 웹을 통한 악성코드 감염 시도를 다수 시행한 공격자들을 역으로 추적한 결과는 국내도 이미 문제의 범위에 들어와 있을 수 밖에 없다는 것을 알 수 있다. 여러 정보들이 확인 되었지만 POS에 관련된 문제로만 국한해 보면 타겟의 사례는 지금 당장 국내에 발생된다 하여도 그리 낯설치 않을 것 같다.

 

<그림 1. 2013년 8월 중국 공격자 서버에서 발견된 좀비 PC 관리 프로그램>

 

공격자가 운영하는 C&C (원격제어 서버) 서버에서는 단 일주일간의 로그 기록이 남아 있었는데 그 로그 기록에는 공인 IP만 2만여 개 이상이 존재함을 확인 되었다. 공인 IP만 2만여 개 이상이라는 것은 2만여 곳 이상의 기업/기관 내에 감염된 좀비 PC들이 존재하였음을 의미한다.

 

<표 . 2만여 개의 공인 IP 국가별 분석 결과 >

 

단 한대의 감염된 좀비 PC가 3.20 대란의 시발점이 되었으며, 단 한대의 감염된 좀비 PC가 거대 유통사인 타겟을 벼랑으로 몰아가는 시점에서 과연 우리는 좀비 PC들에 대한 대응과 감염예방에 대해 어떤 노력을 기울이고 있을까?

 

메일을 통한 악성파일 감염은 현재 기술로도 충분한 해결 방안을 만들 수 있을 것이다. 또한 메일이 몇 분 늦어진다고 항의하지도 않는 상황에서는 더더욱 해결 하기에는 어려움이 없을 것이다. 그러나 웹은 어떻게 해야 할까?

 

접속을 몇 분이나 지연 시키고 위험성을 찾아내고 검증한 뒤에 방문을 할 수 있을까? 불가능한 이야기이다. 선제적인 탐지와 전역적인 대응 체계의 구축을 통해 보다 더 빨리 찾을 수 있어야 한다. 또한 공격링크에 대한 블랙리스트를 상시적으로 갱신하고 차단함으로써 감염을 예방 할 수 있다. 매 주마다 200~300개의 공격링크가 생성이 되고, 2000에서 3000여개의 웹서비스들이 방문만 해도 감염되는 상황에 노출된 한국은 이제 단순한 좀비 PC에 대한 탐지와 제거를 넘어서 예방이 되어야만 생존 할 수 있는 환경이다.

 

단 한대의 좀비PC가 세계적 기업을 한번에 끝내는 상황을 목격하고 있는 상황에서, 우리는 지금이 순간에도 무감각하다. 타겟이 한국에 있었더라면 600만원 과태료로 끝나지 않았을까? 우리 개인정보들의 가치는 대체 얼마일까?

 

 

-바다란