- 지디넷 컬럼

1241년 몽골의 칸인 바투는 헝가리의 왕에게 항복을 하라는 서신을보낸다.  이에 헝가리 왕은 교황에게구원을 요청 하였지만 몽골군의 도착은 더 빨랐다.  유럽의 최강국이었던 헝가리의 군사들과 유럽 최정예 연합 기사단등 무려 20만 대군은 몽골군의 침입에 대항 하였고 결과적으로 처참하게 패하여 유럽에 몽골의 악몽을 깊이 새기게 되었다.

일설에 의하면 몽골 장수인 제베가 이끄는 2000명의 기병이 10만의 기사단을 라이프찌히에서 몰살 시켰다고도 한다. 사실여부를떠나 그만큼 강력한 군사력으로 압도를 한 것은 사실 이였을 것이다. 총 인구 100만에 가용 가능한 병사수가 20만인 몽골은 어떻게 대제국을 이루게되었을까? 또한 중세 유럽의 강력한 왕권국가들은 차례로 그들에게 무릎을 꿇을 수 밖에 없었을까? 우리의 예로는 병자호란시의 쌍룡전투에서 몽골기병 300에 의해 조선군 4만이 패한 것도 예가 될 수 있다. 전술이 없고 전략이 없는 대병력은그냥 제물이 될 수 밖에 없음을 이미 역사에서도 증명을 하고 있을 뿐이다. 그러나 유럽의 기사단 연합은동시대 최고의 역량과 조직화된 집단 이였다는 점에서 차별성을 가지고 있다. 지금의 IT 환경에서 공격과 방어의 입장은 유럽의 기사단 연합과 몽골군과의 대결에 더 깊은 유사성을 가지고 있다.

현재의 IT환경은 또 어떤 부분에서 몽골 기병이 활약하였던 중세와어떤 유사성이 있을까?

< 이미지 출처 http://www.mongolfilm.ru>

2012년인 지금에 이르러 800년가량 지난 이야기를 왜 꺼내는 것일까? 하는 의문을 지녀야 한다.

몽골기병은 이미 또 다른 전장인 사이버상에서는 이미 부활 하였고 활발하게 영토를 넓히고 있으며 거침이 없는 지금의상태에서 누가 상대 할 수 있을 것인가? 비유를 하자면 지금 전 세계를 떠들썩 하게 하고 있는 어노니머스와는격이 다른 세계정복자라고 해야 할 것이다. 눈에 잘 보이지 않으며 강력한 영향력을 갖춘 그들은 아직소수만이 인지하고 있을 뿐이다.

몽골기병의 사례는 13세기나 지금이나 들고 있는 무기만 달라졌을 뿐이지전술과 전략은 달라진 것이 없고 유럽에 새겨진 악몽과 같은 경험도 달라진 것이 없다. 몽골기병의 전술과전략은 지금의 시대에서 인터넷상을 유린하고 있는 공격자들의 전술, 전략과도 맞닿아 있으며 당대 최정예라고이름 붙여진 유럽의 기사단들의 몰락에는 전술적 대응의 실패로 전멸을 초래 하는 것과도 이어져 있다.  우선은 적의 정체에 대해서도 몰랐다는 것이 정답일 것이고 21세기인 지금도 마찬가지 일 뿐이다.

우리는 그들에 대해 얼마나 알고 있는가? 공격자들의 전략.

목축과 수렵으로 단련된 군사들과 대규모 사냥으로 길러진 조직적인 전술 행동력과 능수능란한 작전이 겸비된 그들앞에 온갖 철갑을 두르고 긴 창을 지닌 기사단들이 나타난다. 둔탁하고 느리며 정면승부만을 고집한다.  그들은 기사단을 둘러싸고 포위한 채로사정거리가 긴 활을 수시로 대열 속으로 발사를 하고 틈이 생겼을 경우에는 일거에 돌입하여 대열을 흐트러뜨리고 격파를 한다.  영화에서나 보던 이런 장면은 눈에 잘보이지는 않으나 인터넷상의 활발한 공격 흐름에서도 손쉽게 관찰이 되고 있다.  역할 분담이 된 공격자들과 수시로 빈틈을 노리고 배회하는 취약성 공격들.. 그러다 한 곳이라도 빈틈이 발견되면 일거에 점령하고 무장해제를 시킨다.  공격자들로부터 지키기 위해서는 모든 부분을 일정수준 이상 유지해야 하고한 눈이라도 잠깐 팔았다간 순식간에 제어권은 넘어가고 만다.

몽골기병의 특징은 다음과 같다.

기동성 , 무기 (강한활), 전술 (유인과 기습)

21세기판 몽골기병의 특징도 다를 바가 없다.

기동성 ( 관리자를 농락하는 치고 빠지기 ) , 무기 ( 강력하고 직접적인 취약성 공격), 전술 (악성코드의 대량 유포 및 탐지 회피 )

최소 4개국 이상으로 구성된 연합 기사단은 지금의 보안 분야의 대응정도 될 것이고 몽골기병은 현재의 인터넷을 유린하고 있는 공격자 정도 될 것이다.

공격자들이 너무나도 빨리 다녀가는 바람에 왔다 갔는지도 모르는 지금의 상황은 유럽을 휩쓸던 몽골기병이 칸의 죽음으로본국으로 귀국하여 사라진 그때처럼 정체도 몰랐었던 중세의 유럽과 다를 바가 없다.  신무기 ( 새로운 취약성)를 적극적으로 받아들이고 연구하며 치고 빠지며 기습을 하는 악성코드 유포 전략,하루에도 수 차례 이상을 침입하여 유포 경로를 변경하고 조작하는 기동성으로 무장한 공격자들은 거칠 것이 없다. 하물며 공개적으로 세계적인 기관과 기업들을 해킹하고 공개하는 어노니머스와 같은 그룹도 있는 판국에 그들보다몇 수 위인 공격자들은 조용히 그들의 실익을 챙겨가고 있다.

당대 최고로 구성된 기사단의 전멸은 많은 점을 시사한다. 같은 부류의싸움에서는 보다 튼튼한 장갑과 긴 창으로 무장하고 정면 충돌을 통해 우위를 점할 수 있다. 그러나 전략이다르고 근본적 구조가 다른 그룹과의 충돌은 치명적일 수 밖에 없다. 보다 뛰어난 사정거리의 활, 기마에 숙련된 환경, 사냥을 통해 길러진 협력 전술은 마치 기사단을사냥감처럼 구석으로 몰아 세우고 결국에는 전멸을 시키는 모양새와도 유사하다.

우리의 현실.

보다 강력한 시스템 보호 환경을 위해 잦은 업데이트를 하고 최신 판단 기술로 완벽한 보호를 다짐하고 있는 다양한보안 체계들이 있다. 그러나 공격자들은 상시적인 보완이 느릴 수 밖에 없는 Application에 대한 직접적인 공격과 권한 획득, 악성코드탐지 시스템의 우회와 회피를 통해 순식간에 침입을 하고 그 침입을 통해 목적을 달성한 이후 유유히 사라져 간다.  사라져간 이후에나 중무장을 한 전문가들과 보안제품들은 공격자를 추적하기시작한다. 이미 거기에는 쓰레기와 같은 접속 흔적만이 남아 있다.

왜 전 유럽이 몽골의 기병에게 유린 당했는지는 여러 의견들이 있겠지만 기동성과 전략, 뛰어난 무기가 큰 역할을 했음은 분명하다. 21세기인 지금의 현실도달라진 것은 없다.

< Securelist.com  - Korea Stat >

주말마다 공격을 반복하는 공격자들의 흔적은 비단 다른 통계를 들지 않더라도 백신 회사인 카스퍼스키랩의 통계만을보아도 확인 할 수 있다. 대부분 트로이쟌과 키로깅, 백도어들이 유포되고 있으며 전 세계적 비율에서도 가장 월등한 비율이 한국에서 나타나고 있다.  분명한 것은 이 수치도 빙산의 일각일 가능성이 매우 높다는 점이다. 백신의 특성상 발견 이후 대응까지는 일정 시일이 소요 될 수 밖에 없기 때문이다.

< 빛스캔㈜ 발표- 실제로그 분석을 통한 악성코드 공격 성공률 - 60%>

위의 발표 내용을 보면 새벽 3시간 동안의 소규모 사이트 공격을 통해서도 34천대의 좀비 PC를 확보 하는 것을 확인 할 수 있다. 공격 성공률은 60%에 육박함을 확인 할 수 있다.

공격자들이 취약한 웹서버를 공격하여 얻는 이득은 4~5년 전만 하여도데이터베이스에 있는 정보를 탈취하여 팔거나, 내부에 침입을 하기 위한 경로 확보 목적이 다수였으나, 지금은 그 목적이 아니다. 이미 저장된 정보의 대부분은 탈취 되었거나보다 더 높은 가치를 가지지 못하기 때문이다. 공격자는 더 높은 가치를 가지고 있는 부분으로 공격 대상을전환 하였고 그 목적에 맞게 웹서버를 침입하고 (특히 방문자들이 많은 사이트가 대상이 된다. ) 악성코드를 사용자에게 배포 할 수 있도록 소스코드에 악성링크를 살짝 추가한다. 이후 정상적이라 믿는 웹 서비스에 접근 하는 모든 사용자들에게는 악성코드가 배달이 된다.  그리고 그 악성코드들은 사용자의 키입력과 ID/ Password를 부지런히 수집하고 전달 한다. 수익은 그이후에 발생이 될 뿐이다.

무엇이 필요한가?

공격자들이 떠난 이후에 둔한 움직임으로 그들을 추적하는 대군은 항상 뒤만 쫓아 다닐 수 밖에 없으며 기습적인공격에 의해 수시로 피해를 감내 할 수 밖에 없는 상황에 직면하고 있다.  그들이 떠난 자리에 폴리스라인을 쳐둔들 잡을 수 있겠는가? Chrome 브라우저에서 웹서핑시 나타나는 Malware Detected라는 붉은 경고로 공격자들의 기동성을 막기 위해서는모든 접근 가능한 웹 서비스에 대해 접근 금지를 해야만 가능 할 것이다.

지금 그들을 이겨내기 위해서는 전술의 변화와 발상의 전환이 심각하게 요구된다.

웹서비스의 문제점을 수시로 찾아내어 보완하는 프로세스와 도구 혹은 서비스가 필요하며 초기 단계에서 악성코드의확산을 감지하고 차단 할 수 있는 선제적 대응 도구가 절실히 필요하다. 그것이 공격자들이 가진 역량을이길 수 있는 무기이며 공격효과를 반감 시키는 변화가 될 것이다.  아직 시작도 되지 않은 대응일 뿐이지만 오래지 않아 출현하게 될 것이다.

지금 21세기판 몽골 기병들은 거침없이 그들만의 정복을 하고 있을뿐이다.  어쩌면 한국을 대상으로체계적인 훈련을 하고 있는 것인지도 모를 일이다. 그들이 무대를 옮기는 순간 정복은 한 순간이 될 것이다. 우리는 그 다음을 준비해야 하고, 지금의 현실을 극복할 방안을 마련해야만살아 남을 수 있을 것이다. 

-바다란 세상 가장 낮은 곳의 또 다른 이름 

 * 본 내용은 국내에서 처음으로 발견된 공격자의 악성코드 감염에 대한 성공률을 나타내는 최초의 자료이며, 현 시점의 정확한 데이터를  포함하고 있습니다. 

하루에 좀비 PC를 몇대를 만들 수 있는지는 단지 공격자의 의지에 달렸을 뿐인 지금의 상황을 정확하게 보시길 바랍니다. 방문자 10명중 6명이 감염이 되는 지금의 시대는 말 그대로 혼란이겠죠. 겉으로는 평온해 보여도 속으로는 매우 심각한 상태인데 이제 언제든 밖으로 드러나도 이상하지 않은 상황이 되어 버렸습니다.

우리의 인터넷의 현 주소입니다. 방문만 하여도 열에 여섯은 감염 되는 현실이 중세의 페스트가 아니고 무엇일까요? . 예전에 지디넷 컬럼으로 썼던 디지털 페스트의 현실화를 입증하는 데이터네요.

자..그럼~
 -----------------
 

국내의 웹 서비스를 통한 악성코드 유포와 감염에 대한 실태 – 2012년 2월 11일 사례 조사

공동 분석 기관:  빛스캔 – KAIST 사이버보안연구센터

2012년 1월부터 빛스캔㈜에서는 KAIST 사이버보안연구센터와 공동으로 웹 서비스상에서의 악성링크 판별과 사용자 PC에 설치되는 최종 악성코드에 대해서 분석을 진행해 오고 있다. 공동 분석을 진행 중 2012년 들어 악성코드 유포 행위가 가장 극심했던 2월 11일 새벽에 공격자가 생성한 흔적(로그)을 발견하게 되었고, 이 로그에는 유포 시간대에 접속한 모든 사용자에 대한 기록들이 저장이 되어 있었다. 로그를 분석한 결과 국내에서 몇 년 전부터 꾸준하게 발생되어 오고 있는 웹서비스를 통한 악성코드 유포가 얼마나 많은 효과를 거두고 있으며 왜 지금도 멈추지 않고 계속 되고 있는지를 확인 할 수 있었다. 2월 11일 새벽 3시간 동안 발생된 기록의 단면을 통해 국내의 악성코드 유포에 대한 피해여파와 대책의 효율성에 대해 고려해야 할 시점이다.

일반적으로 공격자들은 공격의 효과와 유효성 검증을 위해 접속자에 대한 로그를 항상 유료화된 통계 사이트로 전달해 오고 있어서 공격의 효과를 대응 측면에서 판단하는 것이 매우 어렵고 공격의 전체적인 규모를 파악하는 것이 불가능하였다. 또한 여러 사이트를 동시에 해킹 하고 악성코드 유포를 시도한 이후에 통계 사이트를 통해 관리와 기록을 함으로써 공격의 효율성을 높이고 있는 상황에서 실질적인 공격의 피해와 범위를 살펴 보는 것은 사실상 불가능한 부분이라 할 수 있다.  본 분석의 결과로 국내에서 일상적으로 발생 되고 있는 웹 서비스를 통한 악성코드 유포의 심각성에 대해 환기가 되었으면 한다.
 

<공격자들이 주로 사용하는 통계 사이트 – Referer 체크를 통해 접속자 실시간 관찰>

2월 10일부터 12일까지(3일) 최근 몇 년 이내에 가장 큰 규모로 다양한 악성코드를 유포한 주말기간 이였으며 이 당시에 발견된 악성 링크들만 30여 종 이상이고 특히 하나의 악성링크가 50여 곳 이상의 웹서비스들에서 중계되는 사례도 발견이 된 시기이다. 이번에 발견된 공격흔적은 이 중에서도 소규모에 해당하는 서비스들을 공격하여 감염을 시킨 흔적들이며 중소 언론사 한곳과 게임 커뮤니티 사이트 두 곳의 방문자들에게만 감염이 되도록 되어 있었다. 다른 큰 규모의 공격들에 대해서도 분석이 된다면 국내의 실질적인 현실에 대해서 보다 더 정확하게 인지 할 수 있겠으나 공격자의 실수가 없다면 파악을 한다는 것은 절대적으로 불가능한 사안이다. 우리는 이 작은 사례를 통해서 국내의 IT환경에 대한 직접적인 위험을 인지해야 하며 적극적인 대책을 적용 해야만 할 시기에 직면했음을 알아야 할 것이다. 전체의 피해 사례는 더 크고 대규모 일 수 밖에 없다. 지금 이 순간에도 말이다.

로그파일의 사이즈는 55M , 활성화된 시간은 2012년 2월 11일 00:23:46 ~ 03:24:30 이며 총 3시간에 걸친 기록이다. 총 로그의 카운트는 270,384회이다.

중복된 방문자를 제외한 Unique IP의 수치 통계는 다음과 같다. ( AWSTAT 활용한 통계)

웹로그 27만 여개 중에서 고유 방문자는 56,995명이며 해당 방문자들은 평균 2회 가량의 페이지를 자동으로 방문한 것으로 나오고 있다.

고유 방문자가 실제 감염 대상으로 볼 수 있으며 해당 악성링크 사이트에 존재하는 exe 파일을 제한 없이 사용자 PC에 설치된 횟수가 악성코드 감염 PC 갯수로 판단할 수 있다.

 유포된 악성파일 자체는 게임계정 탈취와 키로깅을 주목적으로 하고 있으며 국내 주요 백신에서는 탐지가 되지 않음을 확인 하였다. 공격 코드는 IE 버전별 Flash 취약성, IE 자체의 취약성, Windows Media Player 취약성, Oracle Java 관련 취약성이 활용 되었으며 본 로그 상에서는 Oracle Java 관련 취약성 공격 성공률은 1385회 정도를 보이고 있다. 그 외의 IE, Flash 취약성과 Windows Media Player관련 취약성 공격이 공격 성공의 대부분을 차지하고 있음을 알 수 있다.

사용자의 Flash 버전 및 IE의 버전, java, Windows Media player에 대한 공격코드가 각각 방문자의 PC환경에 맞추어서 공격이 발생되도록 되어 있고 최종적으로는 악성파일을 방문자 PC에 설치하여 좀비 PC로 만드는 것을 목적으로 하고 있다. 공격된 취약성의 종류는 다음과 같다.

좀비 PC를 만들기 위해 공격자들은 환경에 맞는 공격코드들을 세트 형식으로 운용을 하고 있으며 방문자의 다양한 PC 환경에 맞추어 여러 취약성들을 나누어서 공격하도록 되어 있다. 최종적으로는 악성코드의 설치에 여러 취약성을 이용하는 형태를 띄고 있다. 더구나 이 모든 악성코드들은 국내의 사용 비율이 높은 백신들에 대해서는 이미 우회 테스트를 한 상태에서 내려와서 실시간 대응은 매우 어려운 환경이며 악성코드 파일 자체가 다운로드 된 것은 제한 없이 방문자 PC를 좀비 PC화 했다는 것을 의미한다. 각 취약성에 대한 보안업데이트들은 충분히 나와 있으나 현재 상태에서도 국내의 일반적인 PC 환경은 업데이트 미비로 인한 피해도가 매우 높음을 알 수 있다. 업데이트가 출현한 상태에서도 성공률이 60%인데, 업데이트도 나오지 않은 제로데이 공격이면 성공률은 90% 이상으로 높아질 것으로 보인다. 그러나 현재 상태에서도 충분히 공격자는 소기의 목적을 달성 하고 있다고 볼 수 있다.

l  분석 데이터

접속횟수의 기준은 레퍼러(Referer)를 기준으로 한 수치이며 중소 IT 전문 언론사를 통한 새벽 시간대의 유입도 상당히 높은 수준임을 볼 수 있다. 더불어 게임 커뮤니티의 접속은 공격 시작 시간이 새벽임에도 불구하고 접속률은 매우 높은 통계를 보이고 있다.

<접속 IP 통계 >

국내 IT관련 언론사 한 곳과 국내의 게임 커뮤니티 사이트에 대한 공격이라 92% 이상의 접근 IP가 국내의 IP임을 확인 할 수 있다. 방문자들의 운영체제 비율은 95.2% 가량이 Windows 운영체제임을 보이고 있다.

악성링크에 연결된 브라우저별 접근 정보는 다음과 같다.

여전히 국내에서는 Windows 플랫폼과 Internet Explorer의 사용비율이 높음을 볼 수 있다. 그리고 본 통계치는 공격자에 의해 수집된 로그를 기반으로 하였고 특정 커뮤니티와 제한된 시간이라는 제약이 있어서 전체적인 평균을 대변 하기는 어려움이 있는 자료이다.  최근 공격 동향으로는 Flash에 대한 공격이 매우 자주 발생 되고 있고 계속 변화되고 있어서 비단 IE와 Windows 의 사용비율이 높다고 하여 감염이 높은 것으로 보기에도 어려움이 있다.

긴급하게 국내의 PC 환경에서 필요한 부분들은 각 어플리케이션에 대한 업데이트가 필요하며, 업데이트 출현 이전이라도 (Flash와 Java의 경우) 공격이 발생 되었을 경우 차단 할 수 있는 방안들에 대한 진지한 모색이 필요하다. 사후 대응으로는 현재의 심각한 상황을 넘기기엔 힘겨워 보인다.

결론적으로 악성코드 감염 비율로 살펴 보았을 때 Flash, IE, Java, Windows Media에 대한 복합화된 공격의 성공률은 현재 60% 수준으로 볼 수 있다. 공격자들은 단일 취약성을 공격하는 것이 아닌 여러 취약성을 동시에 공격하여 이 중 하나만 문제가 있어도 바로 권한을 획득하는 형태로 공격 형태가 갖추어져 있으며 그 결과로 악성코드를 중계하는 모든 웹서비스의 방문자중 60% 가량은 좀비 PC화가 된다. 국내의 대규모 커뮤니티 및 파일 공유 사이트의 방문자들중 60% 가량은 좀비 PC일 가능성이 매우 높다는 것을 증명하는 최초의 증거이다.  문제 원인으로는 여전히 각 취약성별 업데이트가 제대로 이루어지지 않고 있다는 것과 국내에서 주로 사용 되고 있는 백신 제품들에 의한 차단 효과가 그리 높지 않음을 의미 하며, 또한 Java와 Flash 같은 개별 제품의 업데이트에 의존하는 어플리케이션들도 지금과 같은 수동적인 업데이트 방식과 늦은 대응으로는 한계가 있을 수 밖에 없다는 것을 증명한다.

악성코드 및 악성링크에 대한 공동 분석을 주도 했던 전 상훈 빛스캔㈜ 기술이사는 “ 그 동안 알려지지 않았던 웹을 통한 악성코드 유포의 결과와 위험성에 대한 실제적인 데이터가 발견 되어 국내의 상황이 생각보다 심각함을 확인 할 수 있었고, 현재의 대응 수준보다 더 선제적이고 빠른 대응이 시급하게 요구 되는 상황이다.” 라고 분석의 결과와 의미를 정리 하였다.

* 국내 환경에서 발생되는 실질적인 공격과 위험성에 대한 조사와 대응을 위해 빛스캔㈜와 카이스트 사이버보안연구센터에서는 공동으로 위협정보 제공 서비스를 3월부터 운영을 할 예정입니다.  제한된 고객사 (기업, 기관 등의 실무 보안조직과 운영 조직이 있는 경우에 필요한 정보임)에 한해 유상으로 서비스를 시작 할 예정이므로 샘플 보고서와 서비스에 대한 안내가 필요한 기업은 info@bitscan.co.kr 로 메일로 문의 바랍니다.