“수 년 간 잠복, IT관리자 ‘신상털기’로 ‘자격증명, 엑세스 권한’ 탈취”
중국발 ‘볼트 타이푼’ 등 특정 정부 지원 해킹 그룹 즐겨 쓰는 ‘수법’
[애플경제 이윤순 기자] 해커들은 특히 기업이나 조직의 IT직원의 모든 정보를 오랜 기간 동안 샅샅이 훑어낸 후, 이를 악용한 정밀 타격을 가하는 경우가 늘어나고 있다. 즉 “네트워크에 오래도록 잠복해있는 수법”이라는 얘기다.
특히 최근 국제적으로 문제가 되고 있는 중국의 ‘볼트 타이푼’(Volt Typhoon)도 그런 사례 중 하나다. 특정 정부기관의 지원을 받는 해커들은 대규모 위기나 분쟁이 발생할 경우 이런 ‘IT직원 신상털기’를 통해 획득한 정보를 이용, 주요 인프라에 치명적인 사이버 공격을 감행하는 것이다.
미․중 갈등이 심화되면서 최근 볼트 타이푼 등 중국발 해커들이 미국 정부나 기업을 공격하는 사례가 늘어나고 있다. 그러나 비단 미국 뿐 아니라, 이같은 수법은 세계적으로 활발하게 암약하는 해커들도 즐겨 쓰고 있다.
미 NSA, FBI, CISA 공동 조사보고서
이 경우 공격자는 시스템에 대한 액세스 권한을 얻기 위해 중요한 시스템 키를 보유하고 있는 네트워크 담당이나 IT 직원에게 밀착 접근한다. 이에 대해 최근 미국 국가안보국(NSA), FBI, 사이버보안 및 기반시설국(CISA)은 별도 경고문을 통해 중국 ‘볼트 타이푼’ 등 특정 국가의 지원을 받는 그룹이 중요 인프라 조직에 침투, 네트워크를 손상시킨 수법을 상세하게 소개하기도 했다.
이들 기관은 “통신, 에너지, 운송 시스템, 수자원 분야 전반에 걸쳐 해커들은 최소 5년 동안 일부 네트워크 내에서 엑세스 권한과 거점을 확보해 왔다”면서 “일부 피해 기업은 대규모 조직에 필요한 보안 기술이 거의 없는 소규모 기업들”이라고 지적했다.
이에 따르면 ‘볼트 타이푼’의 경우 대상 기업의나 네트워크 담당 혹은 특정 IT 직원에 대해 광범위한 사전 탐사를 한다. 여기엔 주요 네트워크 및 IT 관리자에 대한 모든 정보가 포함된다. 때론 주요 네트워크 및 IT 직원의 개인 이메일로 위장, 공격 무기로 삼기도 한다.
네트워크 관리자, IT관리자 웹 브라우징, 이메일 표적
해커들이 네트워크 관리자나 IT관리자의 웹 브라우징 데이터를 표적으로 삼는 경우가 많다. 그들의 브라우징 기록과 저장된 자격 증명을 모방하고, 개인 이메일 주소를 표적으로 삼곤 한다.
때로는 공격으로 인해 비정상적인 계정 활동에 대한 ‘보안 경고’가 뜨는 상황을 피하기 위해 정규 근무 시간 외에는 일부러 손상된 자격 증명을 사용하지 않는 경우도 많다. 조금의 의심이라도 피하기 위한 제스추어인 셈이다.
특히 IT 직원의 계정을 표적으로 삼는 수법이 가장 흔하게 쓰인다. IT직원의 계정은 흔히 보통의 사용자 계정보다 훨씬 더 넓은 액세스 권한을 갖고 있기 때문이다. 미 NSA 등은 “이는 관리자 계정이 반드시 다단계 인증과 같은 기술을 접목하는 등 각별히 보안에 신경써야 하는 이유”라고도 했다.
IT관리자 자격증명으로 VPN 통해 침투, “여러 차례 반복”
특히 해커들은 IT직원의 정보를 이용해 은밀하게 네트워크에 침투, 오랜 기간 잠복하면서 공격 기회를 노리는 것으로 파악되었다.
예를 들어 공용 네트워크 장비의 익히 알려진 취약점이나 제로데이 취약점을 악용, 네트워크에 대한 초기 액세스 권한을 얻는 경우도 있다. 이러한 취약점은 라우터, 가상 사설망 및 방화벽에 있을 수도 있다. 그 후 다시 VPN을 통해 피해자의 네트워크에 침투하는 것이다.
해커는 이를 통해 보안 이벤트 로그를 은밀히 추출하고, 사용자 계정 데이터나, 해시 형식의 비밀번호, 각종 민감한 데이터가 포함된 ‘Active Directory 데이터베이스’를 등 조금이라도 더 많은 정보를 탈취해낸다. 그런 다음 오프라인 비밀번호를 크래킹하는 기술을 사용, 이러한 해시를 해독하기도 한다.
이런 방법으로 특히 해커들은 OS에 접근하는 데 초점을 맞추기도 한다. 예를 들어 “서버실의 난방, 환기 및 공조 시스템을 조작하거나, 전기나 물 공급을 방해하고, 카메라와 센서 기능을 마비시키는 등 심각한 인프라 장애를 초래하기도 한다”는 것이다.
특히 바로 공격에 돌입하기보단, 때론 수 년 간이나 잠복, 탐색하면서, 꾸준히 엑세스 권한을 활용해 ‘결정타’를 노리기도 한다. 실제 산업계에선 최근 공격자가 획득한 관리자 자격 증명을 사용, VPN을 통해 네트워크에 연결하고, 다시 똑같은 자격 증명을 사용하여 RDP 세션을 열어 또 다른 통로로 잠입한 경우도 여럿 밝혀졌다.
심지어는 “9개월에 걸쳐 파일 서버, 도메인 컨트롤러, 오라클 관리 서버, VM웨어 vCenter 서버로 이동하면서, 수자원 관리와 관련된 운영 기술 자산을 장악한 경우도 있다”는 것이다.
그래서 “모든 기업들은 네트워크 IT 담당자와 관리자 등 핵심 직원을 대상으로 맞춤화된 보안 교육을 반드시 해야 한다”면서 “특히 해커들이 IT 직원의 개인 이메일 계정을 표적으로 삼는 만큼, 당사자에게 강력한 비밀번호를 사용하고 MFA를 통해 개인 이메일 계정을 보호하도록 해야 한다”고 권했다.