APT-3 (APT 공격의 사례)
APT 공격의 대표적인 사례에는 무엇이 있나요?
앞의 글에서 설명한 공격 기법을 통해 실제 어떤 공격 사례가 있는지 살펴보도록 하죠. 일명 "320 전산대란"으로 알려진 침해사고도 전형적인 APT 공격의 일종입니다. 2013년 3월 20일 KBS, MBC, YTN 등 주요 방송사와 은행, 카드 회사 등의 전산망이 마비되었던 사건입니다. 3월 20일 오후 2시 10분경부터 주요 방송사들의 컴퓨터가 일제히 작동을 멈췄습니다.
직원들의 PC는 정상작동 중에 재시작이 필요하다는 메시지 창과 함께 재부팅을 요구하거나 갑자기 자동으로 재시작이 되었으며, 이후에 부팅이 안되거나 작동이 멈춘 채 재부팅하라는 메시지만 띄우는 상황이 발생되었습니다.
비슷한 시간 신한은행의 창구거래, ATM 거래가 모두 중단되었습니다. 우리은행의 경우 DDoS 공격을 받았으나 보안장비를 통해 방어해 냈습니다. LG유플러스의 그룹웨어도 해킹당했다는 소식이 알려졌습니다. 이런 현상들이 동시 다발적으로 이루어졌다는 점에서 고의적인 공격일 가능성이 거의 확실시되었으며, 보안업체에서는 MBC.EXE KBS.EXE라는 파일이 돌아다녔다고 확인하는 것으로 보아 계획된 공격의 정황이 농후해졌습니다.
사고가 발생된 이후 피해를 본 6개 기관의 컴퓨터 32,000대가 모두 동일한 해킹그룹(후이즈팀)의 이름이 들어간 악성 코드가 발견되어 이 팀의 정체가 무엇인지, 북한과의 연계 가능성이 있는지 등이 조사되었습니다. 악성코드는 PC 부팅에 관여하는 MBR(마스터 부트 레코더) 영역뿐만 아니라 C드라이브 영역을 모두 더미 값(숫자 0이 반복되는 값)으로 여러 번 반복해서 덮어쓰기 하여 PC가 부팅하지 못하고 부팅이 되더라도 데이터 복구가 불가능하게 만드는 방법을 사용하는 것으로 확인되었습니다.
사건 발생 하루가 지난 상황에서 방송통신위원회는 방송국에서 사용 중인 하우리의 바이로봇, 안랩의 V3등의 바이러스 백신 업데이트 서버를 통한 악성코드가 유포된 것이 직원 P의 작동 불능 원인으로 지목했습니다. 백신 업데이트 서버는 모든 PC가 신뢰하여 의심 없이 파일을 받아서 설치하는 것을 악용하여 전체 PC를 손쉽게 감염시킨 것입니다. PC를 사용할 수 없는 기간 동안 MBC 라디오는 실시간 사연을 팩스와 휴대전화로 받았고, KBS는 PC 스크린에 대본을 띄우지 못해 DJ옆에 작가들이 붙어 앉아 실시간으로 대본을 써서 방송을 했다고 전해지고 있습니다.
아래 <그림 1>과 같이 민관군 합동대응팀의 분석 결과 8개월 전부터 북한의 정찰총국이라는 기관에서 국내에 내부거점을 구축한 이후 다양한 악성코드를 활용하여 방송국의 백신 배포서버에 침투하여 공격을 수행한 것으로 결론 내렸습니다. 이 해킹그룹은 오랫동안 조직의 정보를 탈취하는 것보다 전산자원을 파괴하여 공격능력을 과시하는 것이 최종 목표였던 것으로 파악되었습니다.
사건 발생 이후 재발방지를 위해 다양한 PC 관리 서버의 취약점을 개선하고, 개선된 백신을 사용하여 악성코드의 탐지능력을 높이고 업무자료의 주기적인 백업을 통해 PC에 문제가 있더라도 빠른 시간 내에 복구가 가능하게 하는 등 많은 개선을 이루어졌습니다.
< 그림 1 > 320 방송-금융권 전산마비 개요 (출처: 연합뉴스)다음으로 살펴볼 공격 사례는 "평창 동계올림픽 개막식 공격"입니다. 평창 이전의 올림픽 기간에도 DDoS 공격은 발생한 적이 있지만 평창올림픽은 2018년 2월 9일 오후 8시 개막식 시작에 맞추어 악성코드를 통해 올림픽 운영에 필요한 핵심 서버 50여 대가 파괴되었습니다. 이로 인해 올림픽 관련 웹 사이트 마비, 올림픽 현장 와이파이 서비스 중단, 미디어센터 IPTV 중단되고, 8시 이후에 개막식 티켓 발행이 중단되어 일부 좌석이 비어 있는 채로 개막식이 진행되었습니다.
다행인 것은 운영망과 방송망이 분리되어 있어 개막식 중계방송에는 문제가 없었다는 점입니다. 여기에 사용된 악성코드를 분석해 보니 초기에는 북한과 연관된 것으로 보여, 북한이 이번 공격의 배후로 지목되었으나 미국 정보당국에서는 러시아 해외 정찰국이 실제 공격의 배후 인걸로 결론 내렸습니다. 즉, 러시아가 북한이 공격한 것으로 위장한 "위장전술 작전"을 수행한 것이라고 밝혀졌습니다.
러시아가 평창 올림픽을 대상을 사이버 공격을 벌일 만한 동기는 충분했습니다. 이전 하계올림픽에서 러시아 당국이 선수들에게 조직적으로 금지약물을 복용시킨 것이 확인되어 평창올림픽에는 러시아 국적으로 경기에 출전할 수 없도록 제한한 것이 이번 공격의 동기로 추정되었습니다.
공격을 분석한 결과 아래 <그림 2>와 같이 개막식 1개월 전인 1월에 올림픽 운영전 산실과 연결된 라우터를 해킹한 이후에 이를 통해 내부 PC 300여 대를 감염시키고 내부에서 사용하는 44개의 계정 정보를 탈취하여 서버 접근 권한을 획득하고 개막식 시작 시간에 맞추어 서버 내의 데이터를 복구 불가능하게 지워버린 후 부팅이 불가능하게 파괴한 것으로 확인되었습니다.
< 그림 2 > 평창 동계올림픽 개막식 사이버 공격 순서 (출처: 수산 INT)다행스러운 점은 올림픽운영팀이 이런 경우를 대비하여 데이터를 사전에 백업하고 재해복구훈련을 여러 차례 실시하면서 비상상황에 대비한 점입니다. 공격 발생 이후 다음날 경기 시작 전인 오전 8시까지 파괴된 모든 시스템을 복구되었습니다. 그리고 시스템의 모든 계정 정보를 바꾸고, 발견된 악성코드를 탐지하고 제거할 수 있는 백신을 긴급하게 제작하여 시스템에 적용하였습니다. 320 전산대란 때 복구에 9일이 걸린 것에 비해 이번 공격은 12시간 만에 복구된 것은 올림픽조직위원회의 철저한 사전대비가 있었기에 가능한 것이었습니다.
마지막으로 이러한 APT 공격이 어떤 산업별로 얼마나 빈번하고 오랫동안 이루어지는지 알아보도록 하겠습니다. 아래 <그림 3>은 APT 방어 장비 벤더에서 전 세계에 설치된 자사 장비에서 탐지하는 APT 공격 경보를 바탕으로 작성한 자료입니다. 침해 통지 항목에서 "외부"는 조직이 APT 공격을 당한 사실을 외부 기관에서 통보받은 경우를 의미하고, "내부"는 조직이 공격을 당한 사실을 독자적으로 탐지한 경우를 의미합니다.
2011년 내부에서 직접 탐지한 경우가 6% 정도였으나 2019년 47%까지 개선된 것을 확인할 수 있습니다. 그동안 여러 다양한 APT 공격 탐지장비 도입과 강화된 보안 규정을 준수하고 보안조직을 보강한 것이 내부 탐지 역량이 강화된 결과로 나타난 것으로 볼 수 있습니다.
< 그림 3 > APT 공격의 내부, 외부 별 탐지 건수 (출처 : FireEye M-Trend 2020)아래 <그림 4>은 APT 공격이 최초로 침입한 이후 탐지될 때까지 얼마나 소요되었는지를 나타내는 표입니다. 항목의 숫자는 공격이 얼마나 지속되었는지를 평균값으로 나타낸 것입니다. 2011년 평균 416일 동안 공격이 지속되었지만, 2019년에는 평균 56일 만에 공격이 탐지되었습니다. 내부에서 탐지된 시간은 평균 30일이 걸렸으나, 외부에서 탐지된 경우는 141일이 소요되었습니다. 외부에서 탐지하는 경우는 공격을 시작하는 거점이나 경유지, C&C 서버가 발각되어 조사하는 중에 공격 목표가 확인되는 경우가 많기 때문에 더 많은 시간이 소요되는 것으로 생각됩니다.
< 그림 4 > APT 공격의 내부, 외부 별 탐지에 걸린 시간 (출처 : FireEye M-Trend 2020)아래 <그림 5>는 특정 산업을 표적으로 한 APT 공격이 얼마나 탐지되었는지를 나타내는 그림입니다. 탐지가 많이 된다는 의미는 그만큼 가치가 있는 데이터를 많이 생산한다는 의미 일수도 있고, APT 방어 장비 등 보안 인프라가 비교적 체계적으로 갖추어져 있다고도 볼 수 있습니다. 엔터테인먼트/미디어 산업의 경우 2015년 3위에서 2019년 1위까지 계속 TOP 5 안에 포함되는 산업군으로 APT공격자 입장에서는 선호되는 목표이기 때문에 해당 산업군의 보안담당자는 좀 더 APT 공격에 대한 강화된 대처 방안을 마련해야 할 것으로 생각됩니다.
< 그림 5 > APT 공격 대상에 대한 산업별 통계정보 (출처: FireEye M-Trend 2020)다음 글에서는 이러한 APT 공격을 조사하는 과정에서 밝혀진 공격 그룹의 실체와 공격의 주요 도구인 악성코드에 대해서 알아보고, APT 공격을 탐지하고 차단하기 위한 대응방안에 대해서 알아보도록 하겠습니다.
