"암호화폐거래소 피해사례를 보면 해커들은 지능형지속위협(APT) 기반으로 공격한다. 망분리를 반드시, 완벽하게 해야 한다. 그리고 APT 공격은 관리서버를 표적으로 삼는다. 여기로 악성코드를 배포하고 그 권한 탈취를 노리는 수법에 대비해야 한다. 물론 관련 솔루션 도입도 필요하지만, 도입했더라도 사고가 난 걸 보면 망분리와 관리서버 무결성을 갖추지 못했던 게 두드러진다."
국내외 잇따르는 암호화폐거래소 해킹사고 예방책으로 빈틈없는 망분리와 관리서버 무결성 확보를 통해 APT공격에 대비하라는 전문가 조언이 나왔다.
SK인포섹의 침해사고대응 전문가 조직 이큐스트(EQST)그룹의 이재우 그룹장의 메시지다.
이 그룹장은 최근 지디넷코리아와의 인터뷰에서 주된 암호화폐 거래소 해킹사고 원인과 전개양상이 APT 공격으로 수렴하는만큼, 해당 시나리오에 초점을 맞춰 사이버보안 체계를 갖춰야 한다고 지적했다. 단순히 보안기술만 도입할 게 아니라 구축이후 운영을 통해 온전한 보안효과를 달성할 수 있다는 점도 강조했다.
이큐스트그룹은 지난해 하반기 출범해 10개월가량 운영됐다. 인터뷰에서 이 그룹장은 10개월간 한국 대상 지능형 위협의 변화 양상, 그 사이 발생한 주요 암호화폐거래소 보안사고 배경과 운영업체 대상 권고, 상반기 발생 위협 중 대응이 까다로웠던 사건, 하반기 국내 사이버보안 이슈 전망, 이큐스트그룹 수장으로서의 소회와 향후 운영방향 등을 밝혔다.
이재우 그룹장과의 인터뷰를 1문1답으로 정리했다.
- 이큐스트 출범 이후 추적해 온 지능형 위협 동향을 알려 달라
"지난해까지 '북한발 공격'이 많았다. 대놓고 국내 기업을 공격한 뒤 개인정보를 유출시키고 했다. 4·17 남북정상회담 이후부터는 많이 변했다. 직접적인 정보유출로 이어지는 공격보다는 정보수집 활동으로. 또 랜섬웨어 이슈가 많았다. 지난해 '워너크라이'가 대표적이고 국내 호스팅업체 인터넷나야나를 감염시킨 사례도 있고. 버전4까지 등장한 '갠드크랩'이나, 에르메스, 크립토랜섬 등 꾸준히 발생하고 있다. 더불어 최근 피해규모가 수백억원대에 달할 만큼 암호화폐 거래소를 둘러싼 위협이 커졌다.
(종합하면) 북한발 공격으로 추정되는 해커그룹의 목적이 금전적 이익으로 움직였다. 전부터 수익을 추구했지만, 이제 현금보다 암호화폐에 더 관심을 보인다. 금융권 대비 거래소의 (뒤처진) 보안 수준 때문이다. 금융권보다 거래소를 뚫는 데 드는 노력은 적은데 기대 이익은 크다. 이 점은 해외도 마찬가지다. 일본에서도 암호화폐거래소 해킹으로 4천억원 규모 피해가 발생한 사고가 있었다. 그 위협의 중심은 APT공격이다. 먼저 내부 시스템 사용자 권한을 탈취한 뒤 접근통제 영역을 넘어서 코인 거래서버에 침투하는 식으로 탈취하는 양상을 보인다."
- 암호화폐 거래소 해킹 사고가 잇따르고 있는데, 조언을 한다면
"거래소 보안 체계에 금융권 수준 보안규제와 기술 적용이 안 된 상태다. 구축을 넘어 운영하는 단계로 넘어가야 보안체계가 온전히 동작할 수 있다. 하지만 실제로는 아직 도입한 기술이 금융권 수준도 아니고 따라서 그걸 운영하는 단계로 넘어가지도 못했다. 기술, 운영 차원에서 금융권 수준의 보안체계를 갖추려면 연간 50억원 이상의 투자가 필요하다. 그렇게 할 수 있는 거래소는 국내에 5~6곳 정도다. 나머지 40~50곳에 달하는 거래소는 그런 투자를 요구하는 보안수준을 도달하기 어려울 것으로 본다.
운영사에 2가지를 권고하겠다. 우선 반드시 망분리를 해야 한다. 완벽하게 해야 한다. 최근 실제 발생한 사고사례를 보면 APT기반으로 공격할 때 이미 망분리가 된 인프라에서도 그 홀(보안허점)을 통해 침입한다. 보안망 PC 가운데 인터넷이 된다든지 가상사설망(VPN)을 통해 외부 접속이 가능한 시스템 등이 홀이 될 수 있다. 그리고 APT공격의 침입패턴을 보면 관리서버를 표적으로 삼는다. 악성코드를 배포하고 권한 탈취를 시도하는 시나리오에 대비해야 한다.
물론 APT보안솔루션을 도입하고 활용해야 할 필요도 있다. 하지만 이미 솔루션을 도입한 기업에서도 사고가 생긴다. 그런 사례를 보면 솔루션 활용과 더불어 관리서버를 무결하게 운영하고 망분리를 했어야 하는데 그러지 못한 게 허점으로 작용한 경우다."
- 거래소와 금융권 보안 메커니즘은 달라야 한다는 주장도 있다
"금융권 인프라에 비해 암호화폐 거래소 인프라는 간결하다. 금융권은 복잡하다. 구성이 다르니 보안 메커니즘을 다르게 적용해야 한다는 것도 맞는 얘기다. 다만 암호화폐 거래소 특성과 별개로 접근통제, 게이트웨이, 서버 등 보안상 안전한 운영이 전제되는 단위 시스템도 있다. 그런 단위 시스템의 보안 수준은 금융권 인프라와 같아야 한다. 전체 시스템이나 네트워크 보호 수준도, 기술적으로는 금융권 보안 수준을 추구해야 한다. 다만 보안 모델 운영과 메커니즘은 암호화폐 거래소에 맞는 걸로 해야 한다.
암호화폐를 콜드월렛과 핫월렛에 나눠 보관하고, 지갑에 (거래 체결시 개인키를 여러 개 써야 출금이 이뤄지는) 멀티시그를 적용하는 게 그런 예다. 좀 더 까다로운 보안성을 갖추려면 콜드월렛에서 핫월렛으로 옮길 때 1단계가 아니라 2단계 이상으로 중간단계를 늘릴 수도 있고, 거기에 멀티시그를 또 적용할 수도 있다. 거래소에 특화된 보안권고 중에는 이체과정을 4단계까지 늘리고 콜드월렛 전단계에 인터넷을 완전히 끊은 다음 그 구간을 넘기려면 3단계에 매번 1회용 USB 보안키를 쓰자는 식의 극단적인 제안도 있다."
- 암호화폐 거래소의 보안 수준을 판단하려면 뭘 봐야 할까
"결국 보안체계 운영의 적정성이 중요하다. 어떤 솔루션을 쓰느냐도 정확하게 평가돼야 하겠지만. 그런 점에서 거래소 전반에 금융권 수준의 보안체계가 수립돼야 할 것 같다.
- 암호화폐 거래소 대상 해킹 사고는 대개 어떻게 벌어지나
"APT공격을 통한 해킹 시나리오 경로는 3가지 유형 중 하나다. 첫째는 운영자에게 직접 스피어피싱을 시도하는 거다. 페이스북같은 곳에서 그의 정보를 수집하며 기회를 보다가 운영자 컴퓨터를 감염시키고 코인 거래서버에 접근하는 식이다. 둘째는 일반 이용자에게 운영자를 사칭해서 접근한 뒤 감염시키고, 그 시스템을 통해 정상 이용자로 접근한 뒤 관리서버에 침입하는 거다. 셋째는 인프라에서 외부에 오픈된 서버를 공격해서 다시 운영자 관리 영역을 찾아 들어가는 거다. 취약점과 기법은 다양하게 쓰일 수 있지만 경로는 이 정도가 대부분이다."
- 올해 상반기 발생 위협 중 기업 입장에서 대응이나 예방이 까다로웠던 사건은
"하나는 랜섬웨어다. 그 피해가 발생하면 해당 기업의 주요 자료와 파일이 이미 암호화돼버린 상태가 된다. (다른 악성코드와 달리) 이미 피해가 발생한 이후에 우리가 들여다보고 대응할 수 있는 게 별로 없다. 기업에 랜섬웨어가 감염된 사례 보면 자체 보안을 뚫렸다기보단 협력업체 쪽의 통제를 잘 못해서, 또는 (보안취약점) 패치관리가 안 돼서 그걸 통해 당하는 경우가 많다. 또 하나는 해외서 발생한 멤캐시드(memcached) 분산서비스거부(DDoS) 증폭 공격. 다만 직접적인 피해는 '깃허브'에 몰렸고 국내엔 실제 문제를 일으킨 곳이 없었을 거다.
상반기 국내 제조사 중 한 곳이 실제로 협력업체 인프라를 통한 랜섬웨어 감염을 겪었다. 이 회사가 운영하는 프라이빗 클라우드를 중국 현지 사업장에서도 접근할 수 있게 망을 열어놓은 게 화근이었다. 서버메시지블록(SMB) 취약점의 일종인 '더블펄사'를 통해 악성코드에 감염당했다. 클라우드상의 가상머신(VM) 300대 가량에 암호화폐 채굴 악성코드가 설치, 구동됐다. 예방하려면 1차적으로 접근통제가 중요하다. 해외서 국내로 들어오는 망을 인터넷으로 직접 쓰게 하기보단 VPN에 소켓통신같은 걸로 연결되게 해야 한다."
- 하반기 국내 위협 전망은
"새로운 소프트웨어(SW) 보안취약점 상당 비중이 오픈소스와 관련돼 있다. 지난해 아파치 스트럿츠(Struts) 취약점을 통한 해킹사고가 많이 있었다. 올해도 많이 나올 거다. 랜섬웨어 공격도 함께 지속되고 있다. 해커가 돈의 흐름을 쫓아다니고 있기 때문에, 암호화폐 거래소 역시 계속 공격 대상이 될 거다."
- 하반기 이큐스트그룹 운영방향은
관련기사
- SK인포섹 "시스템 구축 초기부터 오픈소스 보안 고려해야"2018.07.10
- SK인포섹, 오픈소스SW 22종 사용 보안가이드 발간2018.07.10
- 6·13지방선거 사이버위협, 어떻게 대비하나2018.07.10
- "사이버범죄 대응 첩보, 다크웹에서 찾겠다"2018.07.10
아마존웹서비스(AWS)를 비롯한 클라우드 인프라나 사물인터넷(IoT) 인프라로 보안위협 진단 영역을 확대할 계획이다. 시나리오기반 공격 모니터링도 검토 중이다. 다크웹 관련 위협정보 데이터를 지속 수집하고 있는데, 변화가 큰 어니언(onion) 사이트를 더 잘 추적할 수 있게 하려고 한다. 자체 기준으로 공격자 그룹을 식별하고 동향 파악과 이슈 추적하는 것도 지속할 예정이다. 고객들 목소리 듣고 만든 오픈소스 보안가이드는 내용을 더 보강한 후속 버전을 만들 계획이고 활동도 더 체계화, 고도화하려고 노력 중이다.
이큐스트그룹의 위협 진단 영역을 확대는 자동차같은 새로운 위협대상 시스템의 해킹과 같은 주제를 예로 들 수 있다. 시나리오기반 공격 모니터링 강화 배경은, 현재 수행 중인 '모의해킹'은 금융위원회 보안관련 규정에 맞춰 점검하는 형태라 현실과 맞지 않는 상황도 있어서. 취약점 하나를 깊숙이 파고드는 시나리오기반 모니터링을 수행할 필요도 있다."
