I.사건 개요
2013년 3월20일 오후 12시 경 방송사와 금융기관의 내부 네트워크에 연결된 모든 PC를 공격하여 PC의 디스크 파괴를 통해 업무 전산망을 마비시키는 대형 보안사고가 발생하였음.
– 발생일시 : 2013년 3월20일 오후 12시 ~ 14시
* 공격대상기업 : 3개 방송사(공중파 2개, 케이블 1개)와 3개 금융기관(1금융권)
* 공격대상자원 : 기업 내부의 업무전산망에 연결된 모든 PC
* 공격방법 : PC에 악성코드를 유포하여 PC내의 디스크 파괴
* 공격결과 : 기업 내부의 업무 전산망 마비로 인한 업무 마비 및 중요 데이터 파괴
II. 사건 분석
3월20일 발생한 보안사고는 다음과 같은 절차에 의해 수행된 것으로 보임.
- 기업의 내부 전산망에 위치한 PC용 백신의 관리서버(A사 및 H사 개발 및 판매)가 “기업 내의 모든 업무용 PC에 파일을 배포하고 실행할 수 있는 취약성”이 있다는 점을 해커가 인지함
- APT 공격을 통해 6개 기업의 백신 관리서버(업데이트용)에 백신 업데이트 파일로 위장한 악성코드 파일 설치
- 백신의 관리서버가 업데이트 파일로 위장한 파일을 하위의 업무용 PC에 배포
- 업데이트 파일로 위장한 악성코드 파일을 실행 à 악성코드 감염
- 정해진 시간 (3월20일 오후 12시 ~ 14시)에 백신 프로그램을 강제 종료시키고 하드디스크 의 MBR 및 데이터 파괴 시작 (Windows Vista / 7 은 데이터영역도 파괴, XP는 일부 파괴)
- 하드디스크 파괴 후 PC 종료 메시지를 표시한 뒤 PC 강제 종료. PC 부팅 안됨.
상기 공격 과정을 도식으로 표시하면 다음과 같다.
상기 도식을 통해 다음과 같은 중요한 사실을 확인할 수 있다.
- APT 공격을 통해 기업의 내부 전산망에 위치한 백신관리서버(업데이트 배포서버)에 관리자 계정의 권한을 해커가 획득하였음.
- 해커가 상용 솔루션인 백신관리서버 솔루션의 동작구조를 이해하고 있으며 공격의 설계에 필요한 이 솔루션의 파일배포 취약점을 파악하고 준비하였음.
- 백신업데이트 파일로 위장한 악성코드가 PC에 배포된 뒤 백신 프로그램을 강제 종료하였음.
- 백신이 PC의 디스크를 파괴하는 신규 악성프로그램을 탐지 및 차단하지 못하였음.
3월20일 발생한 이번 보안 사고는 2년 전 이즈음 발생한 농협의 전산망 마비사태와 큰 유사성을 갖고 있다. 그 유사성은 바로 해킹에 악용된 취약점이 “상용 시스템 관리 솔루션”의 취약점을 악용하여 최종 공격을 수행하는 “명령코드”를 최종 공격 대상 기기로 보내 실행했다는 점이다.
농협 전산 사고의 경우 업계에서 많이 사용되는 “서버 장애 관리 및 모니터링 솔루션”의 관리자 권한을 APT 공격을 통해 획득한 뒤 수백 대의 서버에서 동시에 디스크를 파괴하는 명령을 실행한 것으로 추측되며 이번 사고도 “백신 업데이트 관리 솔루션”이 설치된 서버의 관리자 권한을 획득하여 내부 전산망의 PC의 디스크를 파괴한 것으로 보이는 매우 중대한 공통점이 있다.
III. 대응 방안
앞에서 살펴보았듯 전산망이 마비되는 대형 보안사고는 대부분 APT 공격을 통해 자행되는 경향을 보인다.
특히 하나의 침투대상의 관리자권한을 APT 공격을 통해 확보하면 다수의 하위 공격 대상 장비로 공격을 실행하는 악성코드를 유포할 수 있는 “중앙 집중 관리 시스템”을 해킹하려는 시도가 증가할 것으로 예상된다.
이러한 공격을 차단하기 위해서는 “중앙 집중 관리를 위해 도입된 솔루션별 관리서버에 대한 보안 강화”가 필요하다.
이번 사고 사례에서도 알 수 있듯 중앙집중관리 솔루션들은 필수적으로 다수의 서버 혹은 PC에 에이전트(Agent)라 불리는 S/W를 설치하게 된다. 그리고 이 에이전트를 통해 서버나 혹은 PC의 다양한 정보를 수집하고 관리한다. 다음과 같이 매니저-에이전트의 구성을 갖는다.
농협사태와 320대란에 악용된 상용솔루션들의 매니저-에이전트 구성에서 보안취약성은 바로 매니저가 설치된 서버에 있다. 그리고 두 사건 모두 해커들은 “매니저”의 취약성을 파고 들었고
해당 취약성에 대한 공격이 성공하면서 모두 대형 보안 사고로 이어졌음에 주목해야 한다.
매니저가 설치된 서버에 대한 보안을 강화하기 위해서는 RedCastle SecureOS를 이용하여 다음과 같은 정책을 적용하여야 한다.
Windows의 주요 운영체제 폴더에서 새로운 파일의 생성/수정/삭제의 차단
악성프로그램/코드 및 운영체제 파일의 바이러스 감염 차단을 위해 필수적인 정책
Windows의 주요 설정 파일에 대한 수정 차단
파밍공격차단 및 악성프로그램의 자동 실행 차단 등
위협명령어(net.exe, taskkill.exe, cmd.exe, shutdown.exe, nc.exe, telnet.exe, ftp.exe등)에 대한 실행 차단
악성코드가 주요 서비스 및 백신 강제종료 차단, 해킹시도를 위한 명령어 실행 차단
악성코드 유포 및 외부 연결 시도 차단
웹브라우저 실행 차단
악성 코드 감염을 유도하기 위한 웹 호출 차단
방화벽을 이용한 Outgoing 세션 연결시도 차단
서버로부터 외부로의 취약한 서비스포트로의 외부접속 차단
방화벽을 이용한 netbios 연결 및 Microsoft-DS, SQL Server 서비스 접속 시도 차단
공유 접근 및 DB 접속을 통한 관리서버 해킹 시도 차단
터미널서비스 접속 제한
관리자 이외의 PC에서 원격접속시도 차단
관리솔루션이 설치된 폴더 및 관리솔루션의 관리하에 있는 폴더에 대한 타 계정/IP 등에서의 접근 제한
원격접속 등을 통해 접근하였을 경우 접근을 제한하여 APT 공격으로 관리 솔루션이 해킹되는 것을 예방.
VI. 결론
2년전 발생한 농협과 3월 20일 발생한 대형 보안사고를 통해 “관리 솔루션”의 도입이 대형 보안사고를 유발하는 커다란 취약성이 될 수 있음을 확인하였다.
하지만 “관리 솔루션”을 도입하지 않고 대형 다수의 시스템을 관리하는 것은 사실상 어렵다.
그렇다면 결론은 관리 솔루션 취약성의 공격으로 인한 대형 보안사고를 예방하기 위해서라도 관리 서버에 대한 보안을 강화하는 방법 밖에는 없다고 볼 수 있다. 특히 APT 공격을 통해 관리서버에 존재하는 관리자 계정의 권한이 탈취될 수 있다는 가정하에 공격을 저지할 수 있는 방법을 찾아야 하며 그에 대한 해답을 제공할 수 있는 보안강화 수단은 RedCastle과 같은 서버보안SW밖에는 없다고 볼 수 있다.