APT-10 (APT 공격 가상 시나리오)

이번 글에서는 다양한 단계를 통해 수행되는 APT 공격에서 조직 내 침투 단계부터 침투 후 내부 확산단계에 이르는 과정을 가상 시나리오를 통해 설명하고 어떻게 공격을 탐지하여 방어할 것인가에 대해 알아보도록 하겠습니다.

APT 공격 방식은 다양한 산업군에서 일어날 수 있는데 방송국에서 일어날 수 있는 APT 공격을 통한 방송시스템 가상 공격 시나리오를 예상해 보겠습니다. 공격자는 인터넷을 검색하던 중 방송국의 전산실 엔지니어로 재직 중인 사람의 블로그를 검색하다가 회사 이메일을 알게 되었습니다. 해당 엔지니어가 자신의 개인 블로그에 캡처된 화면이 포함된 글을 올리면서 자신의 PC 화면을 캡처해서 올렸는데 화면 가장자리에 작게 보이지만 본인의 이메일이 포함된 내용이 캡처되어 게시글에 같이 노출된 것입니다.

공격자는 확인된 이메일로 "택배 배송 조회"라는 이름으로 URL을 첨부하여 이메일을 보냈으나, 엔지니어는 해킹메일인 것을 인지하고 이메일을 바로 삭제하였습니다. 공격자는 다시 한번 "방송시스템 최신 공격동향"이라는 이름의 이메일에 "5G 시대의 방송시스템 보안 위협 실태"라는 이름의 워드 파일에 악성코드를 삽입시켜 전송하였습니다. 평상시 같으면 무시했을 이메일이었지만, 마침 그때 전산팀에서 보안 강화를 주제로 세미나를 준비 중이었는데 관련 자료를 수집 중이던 엔지니어는 자기도 모르게 해당 파일을 열어보게 되었습니다.

나름 참고할 만한 내용이 포함되어 있어 만족하며 데이터 폴더에 저장도 해 두었습니다. 그런데 알고 보니 워드 파일을 열어보면서 같이 첨부되어 있던 익스플로잇이 작동하면서, 악성코드가 엔지니어의 노트북에 설치되고 만 것입니다.

설치된 악성코드는 사전에 설정된 공격자의 서버로 침투 성공 메시지를 보내게 되고, 공격자는 악성코드를 통해 감염된 PC의 화면뿐만 아니라 저장장치에 접근이 가능하게 되었습니다. 바탕화면을 보니 "패스워드 리스트-2102"이란 이름의 텍스트 문서가 보여 클릭해 보니 전산실에서 직접 관리하는 각종 장비와 주요 서버에 대한 계정 정보를 확인할 수 있었습니다. 공격자는 AD서버의 관리자 계정 정보를 확인하고 감염된 PC를 통해 AD서버에 접속하여, 사내 업무망뿐만 아니라 방송제작 망, 송출망에 있는 주요 서버의 IP주소와 접속 계정 정보를 확보하게 되었습니다.

먼저 방송제작 망에 있는 서버를 확인해 보니 영상편집 서버가 눈에 띄어 AD서버를 통해 접근해 보니 다량의 편집본과 원본 방송 데이터가 보관되어 있는 것을 확인하였습니다. 한 달에 걸쳐 샅샅이 방송 데이터를 검색해 보니 최근에 인기가 높은 리얼리티 연애 방송의 데이터가 눈에 들어왔습니다. 공격자도 평상시 즐겨 보고 있던 프로그램인데, 아직 방송도 되지 않은 편집본이 있어 공격자는 방송 전 영상을 미리 확보할 수 있었습니다. 그뿐만 아니라 편집되기 전의 미방영 영상도 찾아볼 수 있었습니다. 이렇게 확보된 다량의 영상 데이터를 공격자는 확보한 영상을 추적을 피하기 위해 토렌트를 통해 조금씩 공유하여 유출하기 시작하였습니다.

한편 공격자는 송출망의 송출서버에도 접근할 수 있게 되었습니다. 송출서버가 어떻게 작동하는지 배경지식이 없어서 3개월 동안 서버의 동작 방식도 확인하고 프로그램 이름을 확인하여, 인터넷을 통해 프로그램 매뉴얼은 확보하고, 송출 프로그램이 어떻게 작동하는지 익숙해지게 되었습니다.

그러던 중 평소 다크 웹(Dark Web:인터넷판 암시장-블랙마켓)을 통해 해킹 툴을 찾다가 새로운 게시글을 보게 됩니다. 내용은 공중파 방송국, 대기업 전산실, 은행의 운영시스템에 대한 접근권한을 제공해 주면 중요도에 따라 최고 1억 원을 주겠다는 제안이었습니다. 마침 공격자는 평소에 봐 두었던 새로 나온 외제차가 생각이 났고, 이 정도 금액이면 충분히 새 차를 장만할 수 있겠다는 생각이 들게 되었죠. 고민에 고민을 거듭하다 해당 게시글에 있는 이메일로 송출서버에 대한 접근 정보를 제공해 주는 대가로 1억을 요구하게 되었습니다.

협상을 통해 8천만 원을 비트코인으로 받기로 하고, 방송국의 송출서버, 접근 정보 및 송출 프로그램의 동작 방식을 정리한 문서를 전달하게 됩니다. 우선 송출서버 한대에 대한 접근 정보를 받은 구매자는 송출서버의 구조와 동작상태를 확인한 후 가지고 있는 정보가 쓸만하다는 것을 확인하고 약속한 비트코인을 전달하고 나머지 송출 서버의 접근 정보와 동작 방식을 정리한 문서를 공격자로부터 전달받게 됩니다.

송출 서버의 접근 정보를 획득한 구매자는 이웃 국가의 정보기관과 관련이 있는 해커집단이었습니다. 이 해커집단은 송출 시스템에 접근하여 송출 서비스를 중단시킬 수 있는 방법을 확인하고, 정보기관에 보고하게 됩니다. 마침 이웃국가는 우리나라와 여러 가지 문제로 마찰을 빚고 있는 와중이었습니다. 이웃 국가의 최고 의사 결정자는 이번 봄에 있을 대통령 선거에 개입하여, 영향력을 과시해야겠다고 결정하고 가능한 수단을 강구하라고 지시했습니다.

마침 정보기관은 확보하고 있던 방송국 송출 시스템의 이용하여 대통령 선거 개표방송을 중단시키는 방식으로 개입이 가능하다고 보고하게 되고, 해당 계획은 실행에 옮겨지게 됩니다. 선거 개표방송 시작 시간인 18:00이 되자 송출 시스템 서버 5대의 저장장치가 모두 포맷되고 재부팅이 되면서 방송 송출이 중단된 것입니다.

송출 담당자는 갑자가 송출이 중단된 것을 확인하고 송출서버에 접근을 시도했지만 접근이 되지 않았습니다. 서버실에서 직접 콘솔에 접속해 보았지만 서버는 검은색 화면만 표시할 뿐이었습니다. 다행스럽게도 선거 개표방송을 준비하면서 만일의 사태에 대비해 전날에 송출서버를 백업해 두었던 것이 희망이었습니다. 백업시스템 담당자가 급히 송출서버의 복구를 시작하였으나, 복구에는 1시간이 소요되었습니다. 복구가 된 이후에도 연계시스템과의 테스트 및 설정 확인해 1시간이 추가로 흘렀습니다. 최초 원인 파악에 1시간을 포함해서 개표방송이 복구되는데 모두 3시간이 걸린 것입니다.

사후공격대응팀이 확인해 보니 공격자는 전 세계 15개 국가의 20개 시스템을 경유하여 송출서버에 접근한 것으로 밝혀져 정확한 공격자의 신원파악은 실패하였습니다. 단지 최근 여러 가지 문제로 대립 중인 이웃국가가 후원하는 공격집단이 공격자가 아닌지 심증을 가질 뿐이었습니다.

아래 <그림 1>은 위에서 설명한 가상 공격 시나리오를 간략하게 정리하여 표시한 내용입니다.

< 그림 1 >  APT 공격을 통한 방송시스템 가상 공격 시나리오