March 23,2019

정보 노리는 손길, 다양하고 집요해

정보 탈취 공격, 갈수록 늘어나

FacebookTwitter

정보를 탈취하기 위한 악성 공격이 갈수록 늘어나고 있다.

지난 7월 한국인터넷진흥원(KISA)이 발표한 ‘2018년 상반기 은닉사이트 탐지 동향 보고서’에 따르면 악성코드 유형 중 ‘정보 유출’이 33.6%로 가장 높은 비율을 차지했다. 2위인 다운로더 악성코드(24.5%)보다 1.3배나 높은 수치다.

정보 탈취 공격이 날로 증가하고 있다.  ⓒ Flickr

정보 탈취 공격이 날로 증가하고 있다. ⓒ Flickr

정보유출 악성코드는 네 분류로 나눌 수 있다.

그중 가장 높은 비율을 차지한 것은 ‘계정 정보’로 25.3%를 기록했다. 다음으로는 ‘기기 정보’가 5.8%, ‘금융 정보’가 2.1%의 비율을 차지했다. 사용자가 입력하는 정보를 탈취하는 ‘키로깅’은 0.4%에 불과했다.

악성코드만이 아니다. 정보 탈취를 위한 해킹 공격 발생 비율 또한 높다.

2016년 버라이즌(Verizon)이 발간한 ‘데이터 유출 조사 보고서(Data Breach Investigations)’는 해킹의 63%가 계정 정보 탈취와 관련이 있다고 언급했다.

최근에도 정보 탈취 공격이 이뤄졌다. 지난 8월 12일 네이버를 사칭한 메일이 여기저기 뿌려진 것이다. 해당 메일에는 ‘8월 8일 네이버 메일 서버가 해킹 당했다’라는 내용이 있다.

그리고 ‘수신자 계정이 해킹됐는지를 확인시켜준다’고 속이면서 ‘내 휴대폰 번호 확인하기’라는 링크 클릭을 유도했다. 물론 링크를 클릭하면 자동으로 악성 사이트에 접속된다.

정보 탈취를 시도하는 해킹 공격

IT 시대에 정보는 중요 자산이다. 정보가 해킹 공격 목표가 되는 것은 당연한 현상이다.

대표적인 해킹 사례로 미국 연방 인사 관리국 사고가 있다. 이 해킹으로 2150만 명의 공무원 개인 정보와 560만 개의 지문 정보가 유출되었다.

해킹으로 정보 유출 피해를 입은 ‘미국 연방 인사 관리국’  ⓒ 위키미디어

해킹으로 정보 유출 피해를 입은 ‘미국 연방 인사 관리국’ ⓒ 위키미디어

국내에서 가장 큰 정보 유출 사고로는 SK컴즈 해킹 사고가 꼽힌다. 2011년 7월 네이트 개인정보가 해킹으로 유출됐는데, 이로 인해 3500만 명이 피해를 보았다.

그런데 정보 탈취 자체가 해킹의 최종 목적이 아닌 경우도 많다. 정보는 더 높은 목표를 위한 해킹 성공의 열쇠와도 같다. 특히 계정(Credentials) 정보가 그렇다.

계정 정보는 시스템의 접근성을 책임지는 역할을 한다. 다시 말해, 특정 시스템에 접근하기 위해서는 계정 정보가 필요하다.

그런데 여기서 문제점이 있다. 계정 정보만 있으면 누구든지 접근할 수 있다는 것이 시스템 접근의 취약점인 것이다.

그래서 목표 시스템 접근을 위해 해커는 공격 대상 기관의 내부에 침투하면 정보부터 탈취한다.

물론 한 번에 목표 시스템에 접근할 수 있으면 좋다. 그러나 해커가 노리는 시스템의 경우, 중요 시스템인 경우가 많으므로 보안이 견고하다.

때문에 해커는 보안이 취약한 곳부터 시작해서 주위 정보를 모으면서 목표 시스템에 접근하는 전략을 취하는 경우가 많다. 이를 ‘래트럴 무브먼트 (Lateral Movement)’라고 부른다.

앞서 사례로 언급한 미국 연방 인사국 해킹 또한 래트럴 무브먼트 방식에 의해 이뤄졌다. 해커는 먼저 침투하기 쉬운 인사국 협력사 시스템을 해킹한 뒤, 목표 시스템인 ‘인사 관리 시스템’에 접근했다.

다양한 정보 탈취 해킹 수법

지금까지 정보 탈취 해킹 현황과 그 동기를 살펴보았다. 그럼 해커들은 어떤 수법으로 정보를 탈취하는 것일까? 크게 6가지 방법이 있다.

첫 번째, 가짜 사이트를 유포해서 정보를 탈취할 수 있다. 이러한 사이트를 ‘피싱 사이트 (Phishing Site)’라고 부른다.

해커는 특정 사이트와 유사한 사이트를 만든 다음, 가짜 사이트로 접속하도록 유도한다. 네이버 사칭 해킹처럼 스팸 메일로 링크 접속하도록 하거나, 특정 사이트의 주소와 유사하게 만들어 실수로 접속하도록 유도할 수 있다.

지난 6월 페이스북과 유사한 사이트를 만들어 1000여 건의 계정을 탈취한 해커가 일산 동부 경찰에 검거됐다. 경찰에 따르면 이 해커는 작년 9월부터 올해 4월까지 페이스북 피싱 사이트를 운영해 계정 정보를 탈취했다.

두 번째, 사용자 시스템의 사이트 접속을 제어해 피싱 사이트로 이끄는 방법이 있다. 정상 사이트에 접속해도 강제로 피싱 사이트에 접속되는 것이다. 이를 파밍(Pharming)이라고 한다.

작년 6월 보안 전문 기업 팔로알토(Palo Alto)는 2017년 상반기에 금융 정보 탈취 목적으로 일어난 파밍 공격이 2000여 건에 달한다고 발표했다.

세 번째, 악성코드를 심어서 정보를 유출할 수 있다. 사용자 시스템에 악성코드를 잠입시켜 모든 행위를 해커에게 전달하는 것이다.

필자가 보안 전문가 활동을 하면서, 해외에서 사용자 정보를 탈취하는 은닉형 악성코드를 발견한 적이 있다. 이를 분석한 결과, 시스템 입력 정보, 기기 정보, 계정 등을 탈취하는 것으로 확인했다.

악성코드를 심어서 정보를 탈취할 수도 있다. ⓒ Flickr

악성코드를 심어서 정보를 탈취할 수도 있다. ⓒ Flickr

네 번째, 통신을 중간에 가로채어 정보를 탈취할 수 있다. 이를 ‘중간자공격 (MITM)’ 이라고 한다.

2014년 10월 중국 야후를 비롯한 주요 사이트를 대상으로 한 중간자공격 피해가 있었다. 당시 해커는 해당 사이트 접속 시에 입력하는 계정 정보를 중간에 탈취해 간 것으로 분석됐다.

다섯 번째, 무작위로 값을 입력해 정보를 탈취하는 수법이 있다. 이러한 수법은 계정 정보 탈취에만 국한되는데, 이를 ‘무작위 대입(Brutal Force)’이라고 한다.

요즘에는 이러한 방법으로 계정 정보를 탈취하기가 쉽지 않다. 무작위 대입으로 계정 정보를 탈취하기 위해서는 옳은 계정 정보를 입력할 때까지 계속 무작위로 값을 입력해야 한다.

때문에 시간이 오래 걸리기 마련이다. 게다가 보안성을 갖춘 시스템이라면 연속으로 계정 정보를 입력하는 것을 제한하고 있다.

마지막으로 계정 정보를 재활용하는 경우다.

해커는 추가 이익을 얻기 위해 범죄 사이트에 계정 정보를 판매하는 경우가 많다. 그리고 이를 구매한 해커는 사용자의 계정을 여러 사이트에 입력해, 똑같은 계정을 다른 사이트에도 사용하는지를 확인한다. 이러한 수법을 ‘크리덴셜 스터핑(Credential Stuffing)’이라고 한다.

많은 사람들이 여러 군데에 같은 계정 정보를 사용한다. 그래서 이러한 수법으로 피해를 보는 경우가 종종 발생한다.

이렇게 해커들은 수많은 방법을 활용해 정보를 탈취하려 한다. 이는 정보가 그만큼 값비싼 자산이기 때문이다. 따라서 정보 탈취 공격에 경각심을 가질 필요가 있다.

의견달기(0)