시스코시스템즈의 '탈로스(Talos)'는 세계 각지에서 발생한 침해사례와 공격 활동을 추적해 보안위협 예방을 돕는 조직이다. 탈로스는 지난 2월 중순 평창 동계올림픽 개막식중 네트워크 운영장애를 야기한 악성코드 특징과 초기 감염 피해를 분석한 보안연구원 그룹이기도 하다.
탈로스는 한국을 비롯한 세계 각지에서 발생하는 사이버위협 동향을 모니터링하고 공격사례와 데이터를 수집, 분석한다. 이 정보를 활용해 시스코의 고객사를 보호하는 데 활용한다. 280여명 규모의 보안전문가들이 일하고 있으며 때로는 외부 조직 보안전문가들과도 협력하고 있다.
나름대로 규모가 상당한 탈로스 보안연구원들에게도 침해사례 정보 공유는 까다로운 일이다. 기업이 자신들에게 발생한 해킹피해 공개를 꺼리기는 한국이든 미국이든 다를 바 없다는 지적이다. 지난달 방한한 탈로스 소속 보안전문가 얼 카터 연구원(보안리서치엔지니어)의 얘기다.
카터 연구원은 약 20년전 미국 텍사스 샌안토니오 미공군정보전센터 네트워크보안담당자였다. 이후 탈로스 팀 합류 전 15년간 시스코의 보안리서치운영(SRO) 조직에서 시스코 기술, 제품, 서비스 보안위협 탐지업무를 맡았다. 제품담당팀의 장비와 소프트웨어를 강화해 탐지된 보안위협을 줄이는 작업을 도왔다. 네트워크보안 관련 시스코 출간서적 6권 집필에 참여했고 회사 내부 보안과정을 개발했다.
아래는 카터 연구원과의 1문 1답 인터뷰.
- 탈로스는 여러 팀으로 구성된 것 같은데, 어떻게 구성돼 있고 각각 무슨 역할을 하나
"일단 내 소속은 20명 정도 규모의 '아웃리치' 팀이다. 팀 본연의 업무는 '위협헌팅'이다. 상위 1% 공격자가 요즘 어떻게 공격하고 있는지 파악해 차단하고 고객을 보호하는 역할이다. 대외적으로는 그런 공격 동향을 널리 전파하는 역할을 한다. 블로그, 백서, 컨퍼런스 발표, 고객 미팅으로 위협상황 정보를 제공한다.
탈로스는 전체 6개 팀으로 구성돼 있다. 그중 위협환경을 살피고 새로 등장한 공격을 모니터링, 탐지하는 '쓰렛인텔리전스'팀이 있다. 이 팀이 찾아낸 위협정보를 '디텍션&리서치'팀이 넘겨받는다. 이 팀 소속 맬웨어 분석가, 리버스엔지니어들이 맬웨어를 분해하고 동작특성을 파학한다. 이 정보는 다시 쓰렛인텔리전스팀으로 넘어가서 실제 고객보호를 위한 기술에 적용된다.
우리가 이 과정을 통해 미처 시그니처를 만들지 못한 새 위협이 탐지될 때 '엔진개발팀'이 침입방어시스템(IPS)의 새 엔진을 개발한다. 또 고객 네트워크 레이어에 알려지지 않은 제로데이 취약점을 찾는 '취약점'팀이 있다. 지난해 취약점팀에서 새로운 취약점 230건을 발견했다. 발견된 취약점은 제품공급업체에 전달되고 우리는 그 취약점이 수정되기 전에 우리 IPS용 시그니처를 개발한다.
마지막은 하나는 '오픈소스'팀이다. 우리는 보유 정보를 외부 커뮤니티에 공개하는 게 침해사고대응팀(CERT) 리더 역할이라 생각한다. 웹사이트로 최신정보와 툴을 공개하고, 그게 제대로 유지관리되게 만들어야 한다고 생각한다. 위협행위 관련 IP주소와 악성여부가 확인된 도메인을 비롯해 취약점보고서 등이 우리 웹사이트를 통해 제공된다. 오픈소스팀은 이 내용 업데이트만을 전담한다."
- 위협정보를 제공하려면 실제 고객 침해사례를 다뤄야 할텐데, 어려움은 없나
"정보공유를 꺼려하는 건 전체 정보보안관련 산업 환경에서 일반적인 일이다. 전반적인 분위기가 그렇다. 언론에 잘못 보도되면 기업 평판에 부정적인 이미지가 덧씌워지기 때문에, 위협정보를 잘 공개하지 않게 된다. 다만 탈로스는 특정 기업에 귀속되지 않고 업계 전반에 걸친 정보를 더 자신감있게 공개할 수 있어 유리한 입장이라고 생각한다.
고객 관련 데이터는 승인을 받아 공개한다. 대부분은 위협관련 정보라서, 그 자체에 초점을 맞춰 데이터를 기밀처리(sanitize)한 다음 노출시킬 수 있다. 어디서 나간 메일이라든지 고객명이 누군지 알 수 있는 내용을 제거하는 식으로. 이렇게 정보를 기밀처리해 다른 고객들에게 제공하는 이유는, 그 네트워크에도 동일한 위협이 영향을 미칠지 판단하는 데 중요하기 때문이다.
과거 랜섬웨어 '샘샘(SamSam)' 확산 사례를 우리는 '의료산업' 대상 공격이었다고 못박은 적도 있다. 실제 많은 피해 대상이 의료기관이었고, 그들의 웹서버 구축방식이 비슷했다. 업계 전체가 동일한 문제로 공격에 노출돼 있었다. 그 정보를 명시함으로써, 당시 아직 공격받지 않았던 의료기관더러 미리 조사하고 대비하라는 뜻을 전하려 했다."
- 위협정보를 수집하고 공개하는 과정에 첩보나 안보 관련 국가기관이 개입하진 않나
"(침해사례 당사자가 아닌) 주요 정부기관과 직접 일하는 경우는 없다.
'우리가 위협을 받았고 우리에게 맬웨어의 공격이 있었다'는 점을 밝힐지, 관련 세부 정보를 공개할지. 최종적으로 결정하는 건 그 침해를 당한 기업이다. 다만 주에 따라서 의무를 부과하는 법은 다를 수 있다. 침해사고 발생시 어떤 주의 법은 그 영향을 받는 모든 사람에게 공개하게 돼 있다. 그외엔 기업 스스로 공개 여부를 결정한다. 대부분 부정적 이미지 형성을 우려해 공개하지 않는다.
기업은 위협을 파악했을 때 우리같은 보안전문가를 고용해 조사를 벌이고 회사를 보호한다. 우리 고객사가 위협을 파악했을 땐 시스코 CERT가 대응한다. 사법기관이 개입할 때도 있는데, 프로세스가 전혀 다르다. 기업을 대상으로 공격이 벌어졌고, 재정손실이 발생했다면, 미국 연방수사국(FBI)같은 곳에 연락할 수 있다. 기업 스스로 판단해서 그들을 개입시킬 것인지 말 것인지 결정하게 된다.
(침해사례 당사자가) 정부기관이라고 해도 정보 공개를 위해 검토받고 승인하는 과정은 별다르지 않다. 다른 고객과 파트너의 침해사례를 다룰 때와 마찬가지다. 공개하려는 정보의 주체가 어떤 파트너나 고객사냐에 따라, 우리가 접근할 수 있는 데이터는 엄격하게 제한돼 있다."
■ "한국 겨냥한 공격, 첨단화하고 있어"
- 한국의 보안위협 상황을 어떻게 보나
"한국지역만을 대상으로 '위협 헌팅'을 수행해 볼 시간을 따로 얻지 못했다. 다만 한국 고객사들로부터 한국 고객들도 타국과 크게 다르지 않다는 인상을 받았다. 위협 상황이 워낙 빠르게 변화하고 있어 일일이 대응하기 어려워하고 있다. 네트워크를 어떻게 보호할 것인지에 관심이 많다. 이들을 겨냥한 공격이 첨단화하고 있어 놀랐다. 한국의 위협지형에 대해선 세계 각지 동료들이 긴밀하게 모니터링 중이다."
- 지난해 5월 시스코와 한국인터넷진흥원(KISA)이 사이버위협 공동대응협약을 맺은 뒤 10개월간 업무에 변화가 있었나 [☞관련기사]
"한국에 대한 우리 업무방식이 달라지진 않았다. 대신 더 다양한 데이터 소스를 확보할 수 있었다. 새로운 데이터만큼 새로운 위협을 탐지할 여지가 늘고 큰 그림을 보는 데 도움을 얻을 수 있다. 지금은 공격이 벌어지길 기다렸다가 맬웨어가 출현했을 때 모두 달려들어 분석한다는 문제가 있다. 한 그룹이 분석해 그 지식을 다른 이들과 공유하면 나머지 사람들을 보호할 수 있다. 정보공유가 시급한 이유다. 하지만 공유하는 정보는 방어하는 사람들만이 아니라 공격자에게도 도움이 된다. 그들도 공유된 정보를 이용할 수 있게 된다는 어려움은 있다."
- 최근 공유활동을 보면 탈로스가 지난 2월 평창동계올림픽 악성코드(올림픽파괴자)를 먼저 분석했고, [☞관련기사] 최근(3월)엔 카스퍼스키랩이 공격 전말을 다뤘는데 [☞관련기사]
"아직 카스퍼스키랩 최신 보고서를 읽어 보진 못했다. 공격대응상황은 모두 마찬가지다. 우리는 올림픽파괴자가 전파되는 형태의 핵심내용을 처음으로 파악해 다른 이들을 위해 최대한 빨리 공개했다. 다른 조직 연구자는 공개된 정보를 바탕으로 추가 발견된 사항을 공개함으로써 전체 공격 활동을 더 명확하게 만든다. 우리도 과거 다른 전문가의 위협정보에 추가지식을 더해 보안 커뮤니티에 기여한 적이 있다."
-탈로스는 평창올림픽 침해사례의 공격자 침투경로를 놓고 가설을 세우거나 분석을 하진 않았나
"확실히 뒷받침할 수 있는 증거가 없어 발표하지 않았다. 이 분야에 추측이 많아지면, 거짓 정보가 횡행할 수 있다. 랜섬웨어 '워너크라이'도 최초 유포처에 이메일을 사용해 침투한 것이 아닌가하는 추측이 있었다. 그로 인해 많은 자원이 낭비됐다. 실제와 다른 정보를 공개하면 (대응하는 실무자, 후속 분석을 수행할 보안전문가들이) 자원을 낭비하게 된다. 추측을 하려면 그만큼 확실한 증거가 있어야 한다."
- 그토록 '확실한 증거'라 인정하려면 어떤 요소를 갖춰야 하는지
"(악성코드의 침입 경로를 예로 들면) 맬웨어가 확실하게 특정 이메일에 첨부돼 왔다는 것을 봐야 한다. 웹서버 로그에서 맬웨어는 이 사이트를 통해 다운로드 됐다는 기록이 있어야 한다. 이러면 우리는 네트워크 침입이 이 벡터(공격자가 침해대상에 사용한 접근수단)로 이뤄졌다고 발표한다. 반면 맬웨어만 존재하고 어떤 이메일로 침투했는지 그런걸 파악 못할 땐, 벡터를 '미확인'이라고 결론짓는다."
- 카스퍼스키랩은 평창올림픽 공격자의 침투방식을 스피어피싱 이메일 악성문서로 규명했는데 설득력 있다고 보나
"가능한 여러 결론 중 하나다. 올림픽파괴자 공격 이후 많은 추측이 난무했다. 배후가 러시아다, 중국이다, 북한을 배후로 둔 라자루스라는 공격그룹이다, 그들이 쓰는 것과 비슷한 컴포넌트를 찾아내면 그런 결론을 내기는 쉽다. 하지만 공격자는 그런 공격그룹의 특징을 일부러 꿰어맞출 수 있기 때문에 진상을 파악하긴 어렵다. 여러 시나리오가 가능하지만 그중 유력한 이론이 있을 뿐, 확실히 증명되는 건 아니다."
■ "확실한 정보 없다면 공격 배후 추정 신중해야"
- 여러 사이버보안업체 전문가들이 특정 침해사례의 배후 추정은 신중해야 한다고 말하곤 하는데 업계가 그걸 멈추지 못하는 이유는 뭘까
"대개 언론의 주목을 받기 위한 시도라고 본다. 어떤 침해사례가 발생했을 때 그 공격은 일종의 지능형지속위협(ATP)이고 어떤 피해를 입혔으며 결론적으로 특정 국가를 배후로 지목할 근거는 없다, 이런 식으로 설명하는 기사보다는 (배후가) '북한이다' '러시아다' 이렇게 지목하는 게 훨씬 관심을 받기 쉽기 때문 아닐까 생각한다.
사람들이 미국 정부를 배후로 두고 있다고 여길 수도 있는 섀도브로커즈(The Shadow Brokers)도, 그 배후를 단정할 수 있는 정확한 정보는 없는 것이다. 몇 년 전 스턱스넷 사건도 마찬가지다. 최종적으로 기사화된 내용을 보면 '미국과 이스라엘이 배후에 있었던 것'이라고 표현됐지만 그것도 확실하게는 모른다. 가능한 추정 방식은 그 활동으로 누가 가장 많은 이득을 얻을지를 근거삼아 '논리의 도약'을 하는 정도다."
- 시스코 제품이 섀도브로커즈 배후세력이라 불리는 미국 국가안보국(NSA)의 백도어 주입같은 감청활동 피해를 입었다던 과거 보도는 어떻게 보나 [☞관련기사]
"나도 자세히 모르고 언론을 통해 보도된 내용만 안다. 서플라이체인(Supply Chain, 공급망) 공격을 받을 수 있다고 생각한다. 서플라이체인 공격은 실제로 발생한다면 심각한 침해를 야기할 수 있기 때문에, 시스코는 서플라이체인을 보강해 그런 시도를 못하도록 막고자 한다. 보안성을 갖춘 디바이스, 별도의 강화된 선적 절차를 통해서. 그럼 중간에 누구도 장비를 손에 넣지도, 거기에 뭔가를 심지도 못할 것이다.
하드웨어의 칩이든 소프트웨어(SW)든, 서플라이체인을 강화할 필요가 있다. 물리적으로 그런 문제가 생길 가능성 여부는, 어떤 제품이냐에 따라 다르다. 어떤 제품은 부팅시 승인된 SW만을 구동하게 하는 시큐어부팅 기술을 적용받고 있다. 이런 제품은 중간에 악성코드를 심기 어려울 것이다. 제품별로 어떤 세이프가드(Safeguard, 안전장치)를 갖고 있느냐가 중요할 거 같다."
- 인텔 중앙처리장치(CPU) 보안결함을 찾아낸 구글 '프로젝트제로'처럼 하드웨어 취약점 분석 활동도 하고 있는지, DDoS 위협동향 파악 현황은 어떤지 궁금하다
"하드웨어에 다양한 종류가 있을 것이다. 우리는 칩보다는 사물인터넷(IoT) 기기의 취약점을 중점적으로 살핀다. 의료기기, 카메라, 온도조절기 같은 하드웨어. 과거에는 불가능했지만, 이제 이들도 인터넷에 연결될 수 있다. 요즘 축구공도 네트워크에 연결될 수 있다는데, 아직 그것까지 검토해 보진 못했다. 비행기 관련 내용도 연구해본 적은 없지만, 기내 비디오시스템 해킹 사례가 보도됐던 적도 있다.
관련기사
- 시스코 "IoT 기기 보안, 제품 만들때부터 챙겨야"2018.04.10
- 파괴형 악성코드, 올림픽 개회식 방해 목적2018.04.10
- 한국 노린 악성HWP 공격, 더 교묘해졌다2018.04.10
- "윈도 최적화SW 악성코드, 삼성·MS 지적재산 노렸다"2018.04.10
탈로스인텔리전스 블로그에 DDoS 무기 개발에 쓸 수 있는 SSH 공격을 다룬 글을 2015년 4월 '위협 스포트라이트: SSHPsychos)'라는 제목으로 게재했다. 중국 온라인 DDoS 플랫폼의 부상을 다룬 글 (Booters with Chinese Characteristics: The Rise of Chinese Online DDoS Platforms)도 2017년 8월 공개했다.
지난 1월 발행한 '위협요약'같은 포스트를 통해서도 DDoS 공격을 다뤘고 3월에는 팟캐스트(Beers With Talos)로 DDoS와 악의적 인증방식에 대한 고찰이라는 제목의 방송을 내보냈다. 우리가 분석한 위협은 대부분 기기 접근에 이용되는 1단계 페이로드(Payload, 전달되는 악성코드의 일부)인데, 이게 향후 DDoS 공격 실행에 사용되는 추가 페이로드를 내려받는 데 이용될 수 있다."
