IBM Security 2015년 11월

IBM X-Force 보안 동향 및 위험 보고서 2015년 4분기

IBM Security Services 팀의 통찰력 있는 현실적 관점에서 사이버 범죄의 추세 및 보안 사고 포렌식 조사의 발전 동향을 조명합니다.

2 IBM X-Force 보안 동향 및 위험 보고서(2015년 4분기)

목차 개요

2 개요

3 사이버 범죄의 4가지 추세

13 보안 사고 포렌식 조사에서 “IOC”의 역할

18 X-Force 소개

19 도움 주신 분들

19 추가 정보

IBM® X-Force®의 2015년 마지막 호인 이번 보고서에서는

IBM Security Services의 전문가들에게 주목했습니다. IBM

Security Services 팀은 세계 각처의 다양한 산업 분야에서

고객의 사이버 보안 문제 및 사고를 해결하면서 폭넓은

경험을 쌓아 왔습니다. 각 고객 프로젝트를 통해 얻은

통찰력 있는 관점을 취합하여 방대한 지식 풀을 구축하며,

IBM 분석가들이 이를 활용하여 공통 요소를 파악합니다.

이러한 경험과 분석의 결과로 오늘날 사이버 범죄자가

노리는 보안 동향, 기술, 툴 및 고객 보안 환경에서 재현되는

허점이 종합적으로 드러납니다.

IBM Emergency Response Services(ERS) 팀에서 다루는

보안 사고 중 상당수는 올바른 보안 프랙티스의 기초적인

문제에서 비롯되므로 사실 예방 가능합니다. 세계 각처에서

일어나는 보안 사고의 상당수는 공통적인 특성과 패턴을

갖고 있습니다. 이번 보고서에서는 먼저 ERS 팀이 2015년

한 해 동안 관찰한 대표적인 4가지 추세, 즉 "양파 껍질

같은" 보안 사고의 증가, 랜섬웨어 공격, 내부자 위협,

경영진의 우선 과제가 된 보안 문제를 조명합니다.

이러한 보안 흐름에 주목하다 보면 몇 가지 중요한 질문이

떠오릅니다. 공격자가 기업의 방어 체계를 뚫고서 남겨

놓은 흔적을 어떻게 찾을 수 있을까요? 다행히도 공격자만

각종 툴을 자유자재로 사용하는 건 아닙니다. 이 보고서의

두 번째 기사에서는 공격이 발생했을 가능성을 나타내는

디지털 증거인 IOC(Indicator Of Compromise)를 다루는데,

이는 보안 사고 후 포렌식 분석에서 중요하게 쓰입니다.

여기서는 보안 팀이 지능형 공격자를 추적하고 보안 침해

수준을 평가하며 심각한 피해가 일어나기 전에 문제를

해결하는 데 IOC를 어떻게 활용할 수 있는가를 집중적으로

살펴보겠습니다.

보안 팀에게 참으로 어려운 한 해였습니다. 2015년에는

대기업과 중소기업 모두 내부자 위협, 악성 코드, 은폐형

툴과 변형 공격으로 계속 고전했습니다. IBM X-Force는

지난 일 년을 돌아보면서 많은 영역에서 개선의 필요성을

느낍니다. 다행히도 각 기업에서 더 강한 책임감을 갖고

몇몇 작은 변화를 시도하고 있으니 장기적으로 큰 효과를

얻을 수 있으리라 믿습니다.

IBM Security 3

사이버 범죄의 4가지 추세 어떤 종류의 보안 사고가 모든 산업 분야에 걸쳐 반복되고 있습니까? IBM ERS 팀과 함께 내부자의 시각으로 점검하십시오.

안 사고가 지난 몇 년 새 크게 증가했고 사이버

보안 전문가 대부분은 이 추세가 더욱 심화될

것으로 예상합니다. 하지만 여기서 우리가

주목하는 것은 뉴스 헤드라인을 장식하며 모두에게

알려지는 대규모 공격이 아니라 모든 업종의 모든 영역에서

데이터 유출을 막기 위해 분투하는 기업의 일상적인

모습입니다.

본 기사는 사이버 보안 수명에 관한 기본적 사실에서

시작해야 합니다. IBM ERS 팀이 다루는 보안 사고의

상당수는 올바른 보안 프랙티스의 기초적인 문제에서

비롯되므로 전적으로 예방 가능합니다.

여기서는 IBM이 파악한 보안 문제를 더 깊이 살펴보려

합니다. IBM은 전 세계에서 다양한 사고에 대처하고 있지만

그중 상당수는 공통적인 특성과 패턴을 나타냅니다. 이

보고서에서는 2015년에 확인된 4가지 주요 추세를

조명합니다.

• "양파 껍질 같은" 보안 사고

• 랜섬웨어 공격

• 내부자 위협

• 적극적으로 보안 위협을 다룰 필요성을 절감하는 경영진

추세 1: “양파 껍질 같은” 보안 사고의 증가 그 이름이 암시하는 것처럼 "양파 껍질형" 보안

사고는 겉으로 보여지는 사건을 조사하는 과정에서 제2의,

대개는 훨씬 더 큰 피해를 일으키는 공격이 드러나는

것입니다. 보안 팀은 조사 대상인 각 사건의 근본 원인을

규명하기 위해 포렌식 정보의 각 계층을 조심스럽게 벗겨야

합니다. 일반적으로 이 사고의 주범은 다음과 같이 두

가지입니다.

• 스크립트 키디(script kiddie). 단순한 공격자로서 쉽게 눈에

띄는 공격을 감행하며 적발되는 것을 개의치 않습니다.

일반적으로 스크립트 키디는 보안 팀에게 보안 문제를

알리는 최초의 사건을 일으키는데, 그에 따라 ERS 팀이

개입하는 단계로 이어질 수 있습니다.

• 은폐형 공격자(stealthy attacker). 훨씬 더 정교하고 신중한

해커로서 몇 주 또는 몇 개월간 들키지 않고 피해자의

네트워크를 장악해 나갑니다. 더 심각한 제2의 보안 사고가

이 공격자에 의해 발생합니다.

이와 같이 복잡한 다층적 공격의 경우 ERS 팀에서 발견하는

모든 사고 중에서도 사실을 확인하고 근본 원인을 규명하고

이벤트 타임라인을 생성하고 공격자의 네트워크 침입을

허용하는 문제점의 해결 방법을 제안하는 데 가장 많은

시간과 자원이 필요합니다.

보고서 소개:

본 기사는 IBM ERS에서 작성했습니다. 뛰어난 전문성을 지닌 ERS 보안 컨설턴트는 고객과 함께 보안 사고 대비, 방지, 대응을 지원합니다. 이 보고서는 현장 활동 컨설턴트의 종합적인 경험을 바탕으로 현재의 위협 및 보안 사건에 대한 더 깊이 있는 관점을 제시합니다.

누군가 회사 지원 팀에 전화를 걸어 어떤 웹 사이트 디자인이

변조되었음을 신고하면서 또는 시스템 관리자가 서버의 CPU

사용량 또는 발신 트래픽 양이 비정상적으로 많음을

확인하거나 서버에서 이상한 파일을 발견하면서 이러한 보안

사고가 모습을 드러낼 수 있습니다. 후속 조사 결과, 오래된

취약점 또는 구성 오류를 이용하여 서버를 감염시킨

공격자(스크립트 키디)의 소행임이 드러납니다. IBM이 조사한

수많은 감염된 시스템의 공통적 특징은 오래 전부터 패치가

제공되지 않은 구형 운영 체제 버전을 실행하고 있었다는

것입니다.

보

4 IBM X-Force 보안 동향 및 위험 보고서(2015년 4분기)

그러나 감염된 시스템을 분석하는 과정에서 조사 대상

공격과 전혀 관련 없는 사실이 드러나 그 즉시 사고의

범위가 확대됩니다. 이를테면 분석된 시스템의 백도어

출처가 인터넷이 아니라 해당 고객의 다른 서버인

경우입니다. 또는 SSH(Secure Socket Shell) 로그를

조사했더니 서버 관리 담당자가 없는 국가에서 의심스러운

로그인이 발견되었고 최초의 보안 사고가 일어나기 전 몇

개월간 이 로그인이 반복된 경우입니다. 조사의 범위가

확대되어 더 많은 시스템이 포함되면서 전혀 다른 양상으로

전개됩니다. 최초에 적발된 공격자보다 훨씬 정교하고

은밀한 제2의 공격자 그룹이 몇 개월 전부터 서버를

감염시켰고 경우에 따라서는 인터넷 접속 서버에서 내부

네트워크로 이동하기까지 했습니다.

이 제2 그룹이 구사하는 기술과 툴은 스크립트 키디가

사용하는 것과는 전혀 다릅니다. 목표도 서로 다릅니다.

스크립트 키디는 인터넷을 돌아다니며 "쉬운 목표", 즉

빠르고 쉽게 감염시킬 수 있는 서버를 찾으며, 그런 서버를

발견하면 한시적으로 악용하면서 스팸 메일을 전송하거나

인터넷의 다른 서버를 스캔합니다. 또는 웹 사이트를

변조하고 적발되면 다른 표적으로 이동합니다. 이 스크립트

키디는 자신의 흔적이 드러날까 염려하지 않습니다.

이와 달리 은폐형 공격자는 스크립트 키디가 노린 것과

동일한 취약점을 이용하여 시스템 액세스 권한을 확보할

때도 있지만 훨씬 더 정교한 상용 툴, 악성 코드/루트킷,

백도어의 조합을 사용하여 몇 주에 걸쳐 세력을 확대하면서

클라이언트 네트워크에 대한 액세스 레벨을 높이고 다른

시스템도 감염시킵니다. 한층 더 효과적으로 흔적을 숨기고

타임스탬프 조작과 같은 포렌식 무력화 기술을 구사하면서

최대한 오랫동안 정체를 숨깁니다. 게다가 이들의 최종

목표는 데이터 유출, 산업 스파이 활동 등으로 훨씬 더

위험합니다.

이와 같이 지능적인 공격자가 장기적 은폐를 통해 성공을

거둘 때도 많지만, IBM 팀에서 확인한 다음과 같은 분명한

신호를 포착하면 조기에 그 활동을 적발할 수 있습니다.

• 인터넷에 연결된 웹 서버에서 안티바이러스 소프트웨어가

트로이 목마 또는 해킹 툴에 대한 경보 발효. 안티바이러스

툴은 자동으로 트로이 목마를 삭제하도록 설정 가능한데,

그 때문에 방심할 수도 있습니다. 일단 트로이 목마가 어떤

경로로 서버에 침입했는가라는 중요한 문제가 미해결

상태로 남습니다. "이 경로"를 파악하면 향후 감염을 막을

올바른 대책을 세울 수 있습니다. 실제로 안티바이러스

경보가 은폐형 공격자의 첫 서버 감염 시도를 알려주는

것일 수도 있습니다.

• 예기치 않은 서버 재시작 또는 그 밖의 비정상적인 동작.

서버가 오작동하면 대개는 그 문제의 해결에 주력합니다.

보안에 주의하는 팀이라면 한 걸음 더 나아가 그 문제가

어떻게 시작되었는지 고민할 것입니다. 예를 들어 IT 팀이

비정상적인 동작을 유발하는 정체 불명의 소프트웨어를

서버에서 발견합니다. 이 소프트웨어를 제거하면 문제가

해결됩니다. 그 소프트웨어가 어떻게 유입되었는가를

밝히는 것도 그에 못지않게 중요합니다. 문제의 서버 및

네트워크에 연결된 다른 서버에서 활동 중인 악성 코드

킷이 주범일 수 있습니다. 이는 보안 침해가 일어났다는

확실한 징후입니다.

• 의심스러운 로그 기록. SSH 로그에 기록된 루트 로그인을

조사해야 합니다. 여기서 2가지 문제 징후를 발견할 수

있습니다. 먼저 허가받은 사용자가 인터넷에서 '루트'에

곧바로 로그인해서는 안 됩니다. 만약 그런 로그인이

있다면 SSH 설정이 조작되었을 수 있습니다. IP 주소의

위치도 무단 액세스의 단서가 될 수 있습니다. 합법적인

관리자가 없는 국가가 출처라면 의심하십시오.

• 사용자 계정 잠금. 많은 사용자가 계정이 잠겼다며 계정

초기화를 요청한다면 관리자는 보안 팀에 경보를 발효해야

합니다. 누군가가 사전(dictionary) 공격, 무차별(brute force)

공격 등의 기술로 사용자 비밀번호를 "크랙"했을 가능성이

있습니다. 공격자는 거침없이 다음 행보에 나서 인터넷

접속 서버를 스캔하여 훔쳐낸 자격 증명을 사용할 또 다른

곳을 찾아낼 수 있습니다.

IBM Security 5

이러한 공격이 가능했던 이유

이와 같은 사고는 크게 2가지 원인에서 비롯될 수

있습니다.

• 문제 1: 오래되고 패치가 없는 시스템이 인터넷에

노출되어 있음. IBM이 조사한 많은 사례에서 최초의

진입점은 대개 지원이 종료되었고 몇 년째 패치도

적용되지 않은 구형 운영 체제를 실행 중인 인터넷 접속

서버였습니다. 이는 패치 관리 절차가 부실하고

네트워크에 구축된 시스템에 대한 통제가 전반적으로

이루어지지 않음을 의미할 수 있습니다.

• 문제 2: 고객에게 네트워크에 대한 가시성 부재. ”양파

껍질형” 공격의 피해자가 된 고객은 대개 네트워크의

현재 상황을 모니터링하지 않았습니다. 안티바이러스

소프트웨어를 실행했고 방화벽을 사용했으며 침입 방지

시스템을 도입한 곳도 있지만 이러한 보안 디바이스에서

생성하는 경보가 제대로 관리되지 않았습니다. 따라서

중요 서비스가 중단되는 경우에만 어느 정도 조사와

조치가 이루어졌습니다. 이러한 가시성 부재로 손쉬운

표적이 되면 오랫동안 각종 악성 활동이 은밀하게

이루어지곤 합니다. 스크립트 키디 사건이 없었다면

고객은 어떤 문제도 눈치채지 못했을 것입니다.

영향

스크립트 키디 공격에 감염된 시스템은 운영 팀이 며칠의

시간과 수고로 복구할 수도 있으나, 근본 원인을 찾고

은폐형 공격자의 행적을 완전히 파악하여 해결하려면 몇

개월이 걸리기도 합니다. 그 사이에 공격자는 들키지 않고

네트워크를 돌아다니면서 고객의 "중요 기밀 자산"에

접근할 수 있게 됩니다.

대비할 수 있는 방법

• 시스템을 최신 버전으로 유지. 시간을 내어 업데이트를

확인하고 신속하게 적용하십시오. 운영 체제도 최신

버전으로 유지해야 합니다. 정기적으로 업데이트되지 않는

구형 시스템이라면 인터넷에 연결하지 마십시오.

• 네트워크의 현재 상황에 대한 가시성 강화. 침입 방지,

SIEM(Security Information and Event Management),

네트워크 트래픽 모니터링 기능을 제공하는 제품을

복합적으로 도입하는 방법도 있습니다.

• 내부 보안 운영 센터 구축(또는 매니지드 보안 서비스

업체에 아웃소싱). 보안 시스템에서 생성되는 경보와

이벤트를 모니터링하고 모든 "비정상적인 결과"를

조사하고 후속 조치를 취합니다.

• 운영 절차 수립. 서버 재시작, 계정 잠금, 안티바이러스

소프트웨어 경고 발표 등 공통적인 이벤트에 대응하는

절차를 마련합니다. 내부 워크스테이션에서 발생한

이벤트와 인터넷 연결 서버에서 일어난 동일한 이벤트를

서로 다르게 처리해야 하는 경우도 있습니다.

• 로깅 수준이 적절한지 확인. 로그를 중앙에 저장하여

변조를 어렵게 하는 한편 보안 사고 시 쉽게 액세스할 수

있게 합니다.

• 정기적으로 침입 테스트 훈련 실시. 신속하게 해결해야 할

취약점이 있는 시스템과 애플리케이션을 찾아냅니다.

6 IBM X-Force 보안 동향 및 위험 보고서(2015년 4분기)

추세 2: 랜섬웨어의 해 2015년에 ERS가 가장 많이 발견한 감염

시나리오는 랜섬웨어였습니다. 그 이름이

암시하는 것처럼 사용자로부터 뭔가를 훔쳐내고 돌려주는

대가로 금품을 요구하는 악성 코드 유형입니다.

랜섬웨어는 크게 두 그룹으로 나눌 수 있습니다.

• 첫 번째는 그냥 시스템을 잠그고 사용자를 속여 금품을

제공해야 잠금을 풀 수 있다고 믿게 하는 것입니다.

사실상 감염된 시스템이 어떤 피해도 입지 않고 어떤

정보도 사라지지 않으므로 상대적으로 덜 위험한

랜섬웨어입니다.

• 두 번째는 시스템 하드 드라이브에 있는 파일을 실제로

암호화합니다. 금품을 제공하고 파일 해독용 키를 받을

방법을 안내하는 텍스트 파일이 하드 드라이브에

남겨집니다. 암호화를 해독하는 것이 여의치 않을 때가

많고 금품을 제공하고도 정보를 잃을 가능성이 있기

때문에 더 위험한 랜섬웨어 유형입니다. 그중에서도 특히

파괴적인 버전은 감염된 컴퓨터의 하드 드라이브에 있는

파일뿐 아니라 네트워크의 공유 파일도 암호화하여

사용자가 속한 조직의 파일을 표적으로 삼습니다.

컴퓨터 보안 업계에서는 랜섬웨어가 수익성 좋은 불법적

사업이라는 인식이 확산되어 있으며, 대부분의 벤더는

랜섬웨어가 2015년 말 및 그 이후에도 보편적인 위협으로

남아 모바일 디바이스까지 노릴 것으로 예상합니다.

최근에는 데이터베이스에서 웹 애플리케이션과 관련된 특정

필드를 암호화하는 악성 코드까지 등장했습니다.1 즉

애플리케이션에 악성 코드가 유입되는데, 이 코드는

애플리케이션의 요청에 따라 드나드는 데이터를 현장에서

암호화하고 해독합니다.

공격자는 몇 주 또는 몇 개월 동안 악성 코드를 실행했다가

데이터를 해독할 키를 삭제하는 수법으로 데이터베이스의

일부가 해독 방법 없이 계속 암호화 상태로 남게 만듭니다.

이 시점에서 웹 애플리케이션은 더 이상 작동하지 않고

공격자는 데이터 해독 키에 대한 대가를 요구합니다.

암호화된 데이터를 백업으로도 복원하지 못하는 이러한

랜섬웨어 공격 유형은 매우 위험합니다. 이 공격이 더

보편화될 것인가는 아직 확실하지 않습니다.

이러한 공격이 가능했던 이유

랜섬웨어의 성공을 위해 공격자는 각종 보안 및 절차

결함을 노립니다. 한 해에 여러 차례 감염되는 고객도

있었습니다. 감염의 원인 중 일부는 제거하고 해결했지만

최초 감염을 허용한 근본적인 원인이 전혀 해결되지 않았기

때문입니다.

• 문제 1: 데이터를 백업하지 않음. 어떤 고객이 랜섬웨어

공격을 당했을 때 ERS 팀에서 가장 먼저 묻는 것은

"암호화된 파일의 백업이 있습니까?"입니다. 대개는

"없다"고 대답합니다. 귀중한 파일을 잃을까 염려된다면

이제는 귀사의 백업 방법론을 재검토할 시점입니다.

• 문제 2: 부실한 패치 절차. ERS 팀은 어떻게 랜섬웨어가

고객의 환경에 침입할 수 있었는지 밝혀달라는 요청을

많이 받습니다. 대개는 잘못된 패치 관리 때문입니다. 몇

시간 내에 적용해야 할 심각도 높은 소프트웨어 패치가 몇

개월이 지나서야 적용되거나 아예 적용되지 않을 때도

있습니다. 잘 알려진 랜섬웨어 감염 벡터 중 하나는 패치

없는 운영 체제 취약점에 대한 익스플로잇 공격인데, 이를

통해 공격자는 잠그려는 시스템 자원 또는 암호화하려는

데이터에 대한 액세스 권한을 확보합니다.

• 문제 3: 사용자의 인식 부족. 많은 보안 전문가들은

사용자가 가장 약한 고리라고 생각합니다. 사용자가

컴퓨팅 보안 프랙티스를 인식하고 있지 않으면 순식간에

잘못된 링크를 클릭하거나 위험한 웹 사이트를 방문하는

것만으로도 막대한 비용을 투자한 정보 보안 기능을

무력화할 수 있습니다. ERS 팀은 랜섬웨어 관련

프로젝트에서 사용자의 인식 부족이 중대한 결점으로

작용한 경우를 많이 봤습니다. 큰 비용을 들이지 않고 직원

교육을 철저히 수행함으로써 기업의 보안 투자 효과를 몇

배로 늘릴 수 있습니다.

IBM Security 7

영향

기업의 규모 및 준비 수준에 따라 달라집니다. 귀중한 지적

재산을 잃은 고객이 있는가 하면 며칠간 또는 몇 주간

영업하지 못한 것으로 끝난 더 운 좋은 케이스도 있습니다.

최악의 경우 (대개는 중소기업에서 일어나는 일이지만)

랜섬웨어 공격이 막대한 피해를 주어 회사가 문을 닫는

경우도 있습니다.

랜섬웨어 감염 벡터 추정

그림 1. IBM ERS 팀은 3대 주요 벡터를 통해 랜섬웨어에

감염된다고 추정합니다.

대비할 수 있는 방법

이러한 위협이 노리는 공격 벡터(그림 1 참조) 때문에 가장

효과적인 장기 전략은 패치 절차 및 컴퓨팅 보안 프랙티스를

집중적으로 강화하는 것입니다. 전사적 차원에서 컴퓨팅

보안 프랙티스에 대한 교육 프로그램을 마련하십시오.

이를테면 모든 직원이 피싱 시도의 단서를 발견할 수 있어야

합니다.

모든 사용자는 뭔가를 클릭하기 전에 스스로에게 다음과 같이

물어봐야 합니다.

• 이 이메일 또는 커뮤니케이션의 출처는 믿을 수 있는가?

• 내가 요청한 첨부 파일 또는 링크인가?

• 회사 X에 대해 받은 링크가 진짜 그 회사 사이트로

연결해주는가?

어느 하나라도 "아니요"라는 답이 나온다면 그 즉시 빠르고

쉬운 방법으로 의심스러운 이메일을 신고해야 합니다. 그러면

보안 팀이 반복 추이를 파악하여 대규모 공격인지 판정할 수

있습니다.

보안 교육을 보완하는 또 다른 예방 조치도 있습니다.

• 메일 서버에서 이메일 헤더를 검사하는 등 안티피싱

기술을 사용하여 피싱 시도를 차단하고 피싱 이메일이

수신자에게 도착하는 것을 막을 수 있습니다.

• 다른 모든 대책이 실패했다면 바이너리, 프로세스, 연결과

관련된 이상을 찾아내는 소프트웨어로 랜섬웨어를 비롯한

여러 유형의 악성 코드를 식별할 수도 있습니다.

•

스피어 피싱 이메일

드라이브바이 감염

패치 없는

취약점

8 IBM X-Force 보안 동향 및 위험 보고서(2015년 4분기)

사용자 인식에서 한층 더 발전한 보안 프랙티스를 정착시켜

랜섬웨어 사고로부터 복구하고 영향 분석을 수행할 수

있습니다.

• 악성 파일을 삭제하거나 정리하지 않고 검역소에

격리하도록 안티바이러스 소프트웨어를 설정합니다.

그러면 나중에 필요할 때 분석할 수 있습니다.

• 네트워크에 연결된 엔드포인트 간의 개방 공유가 정말

필요한지 검토하고 가급적 비활성화하여 랜섬웨어가

노릴 공격 범위를 줄입니다.

• 정기적으로 백업을 생성하고 테스트합니다. 그러면

랜섬웨어 사고가 발생하더라도 빠르고 효과적으로

복구하여 정보 손실 및 복구 시간을 최소화할 수

있습니다.

복구 단계에서 사용 가능한 백업이 없다면 다른 방법으로

데이터를 복구할 수도 있습니다.

• 파일의 사본을 만들어둔 다음 파일을 암호화하고 원래

파일을 삭제하는 랜섬웨어 변종에는 복구 소프트웨어

또는 전문 서비스가 효과적일 수 있습니다. 하드

드라이브에서 컨텐츠가 변경되는 빈도 및 궁극적으로는

문제를 탐지한 시점부터 파일 복구 시도 시점까지

경과한 시간에 따라 성패가 결정됩니다.

• Microsoft Windows Volume Shadow Copy Service가

도움이 될 수 있습니다. 악성 코드에서 대개는 복구

시도를 방해하기 위해 파일을 암호화할 때 볼륨 섀도

복사본을 삭제하지만, 때때로 그 삭제가 실패하여 악성

코드에 감염된 파일의 복구가 가능해집니다.

보안 사고 억제 단계에서는 중요 폴더 및 파일에 대한

로깅을 활성화함으로써 랜섬웨어가 유포된 초기 지점을

신속하게 파악하고 네트워크 차원에서 그 랜섬웨어를

억제하기 위한 방법을 제안할 수 있습니다. 피해의 범위를

파악하려면 상세한 로그 및 네트워크 데이터도 꼭

필요합니다. 중요 파일 및 폴더에 대한 로깅에서는 다음

항목을 모니터링해야 합니다.

• 어떤 사용자가 액세스하는가

• 어떤 사용자가 변경하는가

• 네트워크의 어디서 액세스되는가

추세 3: 악의적 내부자의 위협 ERS 팀은 2015년에 이유를 알 수 없는 네트워크

장애와 관련하여 가동 중단을 막고 근본 원인을

규명해달라는 지원 요청을 여러 번 받았습니다. 증상은

라우터의 구성이 지워졌거나 방화벽 규칙이 무단으로

변경되는 등 다양했습니다. 일시적인 현상으로 몇 시간

내에 별다른 조치 없이 정상화된 적도 있지만, 문제가 계속

반복되곤 합니다.

그러한 문제가 변화무쌍하다는 점 및 그 실제 속성과

"일반적인" 서비스 장애를 구별하는 어려움 때문에 몇

주가 지나서야 보안 사고로 공표하고 ERS 팀이 투입된

적도 있습니다. .

어떤 경우에는 다행스럽게도 공유 관리 계정의 사용

때문에 일어난 사건임이 밝혀졌지만 그 출처를 파악하기

어려웠습니다. 로그가 전혀 없어 장애의 원인을 밝히는

것이 불가능한 최악의 상황도 있었습니다.

ERS 팀 조사에서 일련의 패턴이 나타났습니다.

• 관리자 권한을 가진 공유 계정이 있었습니다.

• 팀원들끼리 거리낌없이 비밀번호를 공유했습니다.

• 비밀번호는 대개 만료되지 않도록 설정되었습니다.

• 비밀번호가 "쉬웠습니다."

공통점은 책임 소재가 불분명했다는 것입니다. 잘못된

비밀번호 정책은 직원 퇴사시 보안 절차에서도 심각한

영향을 미칩니다. 퇴사한 시스템 또는 네트워크 관리자가

그 개인 계정을 비활성화하면서 업무상 자주 사용했던

하나 이상의 공유 계정으로 네트워크에 무단 접속하여

활동하는 것을 막지 못했습니다. 결국 회사에 좋지 않은

감정을 지닌 채 퇴사한 직원이 그 분노를 표출할 강력한

수단을 가진 셈이었습니다. 그러한 직원은 그저

네트워크에 다시 들어가기만 하면 되었습니다.

IBM Security 9

IBM이 조사한 악의적 내부자에 의한 공격 대부분에서는

불만을 가진 직원이 "퇴사를 준비하면서" 나중에 회사

네트워크에 액세스할 수 있도록 LogMeIn, TeamViewer와

같은 원격 관리 툴(RAT)을 설치합니다. 그러한 툴은

인터넷과의 아웃바운드 연결만 설정하므로 방화벽에서

거의 모니터링하거나 차단하지 않습니다. RAT가 여러

서버에 설치된 적이 많습니다. 유효한 (공유) VPN 계정이

사용된 적도 있는데, 공유 계정 중 하나가 발견되자

문제의 직원은 네트워크에 연결하는 방법을 바꿨습니다.

하나 이상의 공유 계정, 관리자의 네트워크 지식, 유효한

VPN 계정 또는 RAT와 같은 수단을 복합적으로

구사한다면 오랫동안 막대한 피해를 입힐 수 있습니다.

이러한 공격이 가능했던 이유

• 문제: 책임 소재 불분명. 공유 계정 및 불분명한 책임

소재가 근본 원인이었습니다. 공유 계정을 일상적으로

구현하고 사용하다 보니 퇴사시 보안 절차가 거의

무용지물이 되었습니다.

영향

악의적 내부자의 활동 때문에 정상적인 업무가 중단되고

다른 피해도 일어날 수 있습니다. 피해가 오래가지 않더라도

IT 운영 팀은 문제의 사원이 일으킨 사태를 조사하고

해결하는 데 많은 시간을 보내기도 합니다.

대비할 수 있는 방법

퇴사하는 직원에게서 지식을 빼앗을 수는 없지만 그

지식이 악의적 목적으로 사용될 위험을 최소화하는

방법이 있습니다.

• 명확한 책임 소재 및 올바른 비밀번호 정책

– 모든 관리자가 각자의 사용자 이름과 비밀번호를

갖고 일반적인 관리 업무에는 항상 그 사용자

이름과 비밀번호를 사용해야 합니다. 이 규칙은

모든 직원에게 적용되지만 네트워크 또는 인프라에

대한 관리자 권한이 있는 사용자에게는 특히

필수적입니다.

– 팀원끼리 비밀번호를 공유하는 것은 금지해야

합니다.

– 공유 관리 계정을 금지할 필요는 없지만 최소한으로

제한해야 합니다. 그 계정의 사용 및 계정 활동을

면밀하게 모니터링해야 합니다.

– 비밀번호는 정기적으로 재설정해야 합니다.

• 퇴사시 보안 절차를 엄격히 시행해야 합니다.

– 자발적이든 아니든 퇴사하는 직원의 모든 자격

증명은 퇴사 즉시 비활성화해야 합니다.

이러한 기본 정책은 항상 시행되어야 합니다. 그 밖에도

다음과 같은 권장 사항이 사건에 대한 포렌식 조사 및

분석에 도움이 될 수 있습니다.

• 모든 네트워크 디바이스 및 서버는 공용 NTP(Network

Time Protocol) 서버와 시간을 동기화해야 합니다. 그러면

로그의 타임스탬프가 일관성을 가지며 상관 분석이

가능해집니다.

• 모든 서버 및 네트워크 디바이스에서 적정 수준의 로깅을

활성화해야 합니다. 로그에는 적어도 다음과 같은 정보가

기록되어야 합니다.

– 로그인 시간

– 로그인에 사용한 계정

– 로그인 소스

– 사용자 전환(예: 사용자 X가 super-user root로 전환)

– 사용자가 수행한 활동(가급적)

– 신규 계정 생성, 특히 super-user 계정

• 공격자가 로그를 변조할 가능성을 방지하기 위해 중앙의

전용 서버에 저장해야 합니다. syslog 서버로 최소한의

요구 사항이 해결됩니다. 이벤트 상관 분석과 같은 부가

기능을 제공하고 전반적으로 네트워크 감독을 강화하는

SIEM 시스템이 바람직합니다.

10 IBM X-Force 보안 동향 및 위험 보고서(2015년 4분기)

보안 사고 억제 단계의 조치

LogMeIn, TeamViewer와 같은 상용 RAT는 앙심을 품은

전직 관리자가 네트워크에 접근하기 위해 흔히 사용하는

수단입니다. 이러한 툴의 작동 방식은 TeamViewer와 거의

비슷합니다.

• 공격자 컴퓨터에 RAT 클라이언트가 설치되어 있습니다.

• 공격자가 연결하려는 타깃 컴퓨터에 RAT 서버가

설치되어 있습니다. 이는 고객 네트워크의 서버 중

하나일 것입니다.

• 인터넷에 랑데부 서버 또는 마스터 서버가 있는데, RAT

소프트웨어 개발사에서 관리합니다.

• RAT 클라이언트와 서버 모두 인터넷의 마스터 서버와

TCP 연결을 설정합니다. 그러면 클라이언트와 서버 간의

가상 연결이 생성되고 공격자가 이를 통해 RAT 서버를

실행하는 컴퓨터를 원격으로 제어할 수 있게 됩니다(그림

2 참조).

• 클라이언트와 서버가 마스터 서버에 연결되면 네트워크

환경 및 방화벽 규칙의 변화에 적응할 수 있으므로

이러한 연결을 차단하기가 매우 어려워집니다.

조사 과정에서 허가받지 않은 RAT가 발견되었거나 그

가능성이 의심될 경우 가장 효과적인 조치방안은 도메인

이름 서버를 사용하여 모든 알려진 RAT 마스터 서버(예:

teamviewer.com, master*.teamviewer.com, logmein.com,

gotomypc.com)에 대한 액세스를 차단하는 것입니다.

안타깝게도 새로운 RAT가 자꾸 생겨나고 있으며 기존

RAT도 인프라를 바꾸면서 계속 마스터 서버를 추가하거나

삭제하므로 이 방법의 실효성이 떨어지고 있습니다.

RAT 클라이언트와 서버의 연결

그림 2: RAT 클라이언트(이 그림에서는 TeamViewer)와 RAT 서버 간에 인터넷 연결이 설정되면

공격자는 RAT 서버 소프트웨어를 실행하는 컴퓨터를 원격으로 제어할 수 있습니다.

TCP 연결 #1 TCP 연결 #2

TeamViewer 클라이언트(TC) TeamViewer

마스터 서버 (TMS)

TeamViewer 서버(TS)

가상 연결

IBM Security 11

추세 4: 보안 문제에 대한 경영진의 인식 향상 ERS 팀은 지난 몇 달간 관리 감독의 책임을 가진

이들, 즉 경영진, 이사회, 감사 위원회 등이 해당 기업의

보안 실태에 대해 더 많은 질문을 하고 있음을 알게

되었습니다. 최근 여러 유명 기업의 대형 보안 사고가

잇달아 터지고 있는 만큼 이는 좋은 현상입니다. 현재 ERS

고객의 질문은 주로 다음에 관한 것입니다.

모의 탁상 훈련

탁상 훈련은 기업에서 보안 비상 사태에 대비하는 효과적인

방법 중 하나입니다. ERS 팀은 고객을 위해 스트레스

테스트, 교육 시나리오, 기술 및 비기술 토론, 복합 기능

검토 등 다양한 모의 탁상 훈련을 지원했습니다. 이러한

유형의 모의 훈련을 처음으로 시도하는 곳이 많습니다.

사고 대응 계획

기업들은 컴퓨터 보안 사고에 대비한 계획 수립을

중요하게 여기기 시작했습니다. 보호 및 예방에 상당한

투자를 했음에도 불구하고 보안 위협을 피할 수 없음을

인정하는 곳이 많습니다. 따라서 신속하고 효율적으로

대처할 능력을 갖추느냐에 따라 짧은 시간 내에 해결하여

피해를 최소화할 수도, 장기적인 재해로 확산될 수도

있습니다. 대개 경영진의 관심사에 따라 기업의 사고 대응

계획이 마련되고 있습니다. 이미 계획을 마련한 고객은

장점을 키우고 단점을 파악하기 위한 써드파티 검토를

ERS에 의뢰합니다.

엔터프라이즈 정보 시스템 리스크 평가

경영진은 보안 침해로 인해 막대한 비용이 발생할 수

있음을 인식하고(그림 3 참조) 위협 곡선에 미리 대비하는

데 더욱 주력하고 있습니다. 많은 정보 보안 기술이 이미

침입한 악성 소프트웨어나 공격자를 탐지하는 데 중점을

둡니다. 종합적인 리스크 영역을 최소화하려는 ERS 고객은

리스크를 줄이고자 악의적 공격자가 노릴 만한 리스크

요소(예: 알 수 없는 프로세스를 실행하거나 해외 시스템과

통신하는 정보 시스템)를 찾아내기 위한 환경 평가를

의뢰하고 있습니다.

데이터 유출의 평균 비용 (백만 달러)

그림 3: 단 한 차례의 데이터 유출 사고로 최대 평균 653만 달러의 비용이 발생할 수 있습니다.

- 2015년 데이터 유출 비용 연구: Ponemon Institute 글로벌 분석(IBM 의뢰)

12 IBM X-Force 보안 동향 및 위험 보고서(2015년 4분기)

결론

오늘날 기업들은 기본으로 돌아가고 있습니다. 2015년의

주요 사이버 보안 추세, 즉 네트워크에서 은폐형 공격자를

탐지하는 어려움, 랜섬웨어 공격, 악의적 내부자 위협,

기업의 보안 실태에 대한 경영진의 관심 증가는 "보안의

기초"에 중점을 두면 대체로 해결할 수 있습니다. 패치 관리,

사용자 교육, 올바른 비밀번호 절차, 표준 보안 프랙티스를

고려하십시오. 이러한 요소를 근간으로 한 심층 방어

전략으로 현재 및 미래의 리스크를 줄일 수 있습니다.

무엇보다도 대비가 중요합니다. 전사적 차원에서 리스크를

줄여 공격의 기회를 최대한 제한하되 언젠가는 공격이

일어날 것임을 인정하고 신속하고 일관성 있게 대응하도록

방어 체계를 구축하십시오. 여기서 전문가의 도움이 효과를

발휘합니다. 경험 많은 사고 대응 전문 컨설턴트가 가장

효과적으로 공격을 억제, 제거하고 복구하며 근본 원인을

규명하고 재발을 방지하는 방법을 제안할 수 있습니다.

IBM Security 13

보안 사고 포렌식 조사에서 "IOC"의 역할 공격자들은 네트워크 곳곳에 디지털 증거를 남겨놓곤 합니다. 어떻게 침입을 탐지하고 대응 준비를 할 수 있는지 알아보십시오.

표는 어디에나 있습니다. "엔진 경고등"은

자동차의 어느 시스템에 고장이 발생했는지

알려줍니다. 휴대폰은 배터리가 부족해지면

경고합니다. 주택 보안 시스템은 침입자를 탐지하면 경보를

울립니다. 가정용 컴퓨터는 어떤 디바이스나 소프트웨어가

오작동을 일으키면 경고 메시지를 표시합니다. 설계의

관점에서는 단순해 보입니다. 무엇을 찾아야 하는지 알고

있고 이를 위한 모니터링 제어 기능을 설계하면 됩니다.

하지만 네트워크 또는 운영 체제 침입을 확실하게 탐지할

책임을 맡았다면 어떨까요? 침입을 알려주는 신뢰도 높은

아티팩트를 사용하는 식별 시스템을 구축하고 있다면

어떨까요? 결코 간단하지 않습니다.

"IOC(Indicator Of Compromise)"라는 용어는 정부 기관 및

방위산업체에서 지능형 지속 위협(Advanced Persistent

Threat, APT)을 식별하려는 과정에서 처음으로

사용되었습니다. 2007년부터는 정보 보안 업계에서

보편적인 용어가 되었습니다. IOC는 공격이 일어났을

가능성을 나타내는 디지털 증거로서 보안 침해 이후의

포렌식 분석에서 중요하게 쓰입니다.

IOC가 발전된 것이 "IOA(Indicator Of Attack)"입니다.

IOA는 사용된 악성 코드 또는 익스플로잇과 상관없이

공격자의 의도를 밝히는 데 중요한 역할을 하며, IBM

파트너인 CrowdStrike를 필두로 하여 차세대 보안

솔루션에서는 IOA 기반 방식으로 바뀌는 중입니다. IOA는

향후 IBM X-Force 연구 보고서에서 다룰 것입니다.

여기서는 IOC를 집중 조명합니다. IOC의 중요성을 살펴보고

지능형 보안 위협으로부터 엔터프라이즈 네트워크 환경을

효과적으로 보호할 방법을 모색합니다.

IOC

IOC는 네트워크의 보안이 침해되었음을 알려주는,

컴퓨터에 남겨진 증거입니다. 조사관은 대개 일상적인 정기

검사 과정에서 의심스러운 사고가 발견되었음을 알게 되면

또는 네트워크에서 의심스러운 활동이 발견된 후에 이

데이터를 수집합니다. 의심스러운 파일을 탐지하고 격리할

또는 의심스러운 트래픽을 차단할 더 지능적인 툴을

개발하고자 이 정보를 수집합니다.

IOC가 정확히 무엇인지 그리고 네트워크의 이상을

탐지하는 데 어떻게 활용할 수 있는지 알아보겠습니다.2

비정상적인 아웃바운드 네트워크 트래픽

네트워크 경계에서 보이는 비정상적인 트래픽의 패턴은

반드시 조사해야 합니다. 최신 공격 기법 때문에 공격자를

네트워크에서 차단하는 게 어려워졌지만, 아웃바운드

트래픽은 훨씬 더 수월하게 탐지됩니다. 감염된 서버에서

보내는 C&C(Command and Control) 트래픽이 드러날 수

있으며, 그러면 피해자가 데이터 유출 또는 피해가

발생하기 전에 대응하는 것이 가능해집니다.

특별 권한 사용자 계정 활동의 이상

공격자가 종종 해킹한 사용자 계정의 권한을 높이려

합니다. 특별 권한 계정에서 비정상적인 활동이 있는지

모니터링하면 만일의 내부자 위협을 발견할 뿐 아니라

허가받지 않은 소스가 장악한 계정을 알아낼 수도

있습니다. 액세스한 시스템, 액세스한 데이터 유형 및 볼륨,

활동의 시점에 주목하면서 만일의 보안 침해에 대한 조기

경고를 발효할 수 있습니다.

지리적 변칙성

로그인 패턴의 변칙성은 감염의 합리적 증거가 될 수

있습니다. 귀사가 영업하지 않는 지역과 연결되었다면 기밀

데이터 유출의 가능성이 의심됩니다. 짧은 시간 동안 여러

IP에서 로그인한 것으로 나타난 계정과 위치 태그를

연계하면 해당 활동을 더 면밀하게 조사할 충분한 근거가

될 수 있습니다.

지

14 IBM X-Force 보안 동향 및 위험 보고서(2015년 4분기)

기타 로그인 위험 신호

로그인 실패 횟수 또는 존재하지 않는 계정의 로그인 시도

횟수가 너무 많다면 공격자가 자격 증명을 알아내려 하고

있음을 의미합니다. 특히 평소에 야근하지 않는 직원의

사용자 이름으로 로그인하려 한다면 주의하십시오. 그

직원이 아닌 공격자일 수 있습니다. 이는 조사해야 할 위험

신호입니다.

데이터베이스 읽기 볼륨 급증

공격자가 데이터베이스 스토리지에 침입했다면 그 데이터,

특히 신용카드 테이블 데이터를 빼내느라 읽기 볼륨이 해당

테이블의 평소 수준보다 훨씬 많아질 것입니다.

대형 HTML 응답 크기

데이터베이스에 대해 SQL 인젝션 공격을 구사하면 HTML

응답의 양이 평소보다 많아집니다. 예를 들어 평소에는 약

200KB 수준인 쿼리에 대해 20MB의 응답이 발생한다면

공격자가 SQL 인젝션 공격에 성공했고 전체 신용카드 또는

사용자 계정 테이블을 덤프했을 가능성이 있습니다.

동일한 파일에 대한 많은 수의 요청

공격자가 네트워크에서 괜찮은 표적(예: PHP로 작성된

취약한 웹 애플리케이션)을 발견하면 특정 파일에 집중하여

여러 공격 문자열을 시도합니다. 단일 소스에서 어떤 파일,

이를테면 "anyfilename.php"에 많은 양의 요청을

생성한다면 즉시 의심해야 합니다.

불일치 포트-애플리케이션 트래픽

비 표준 포트에서 통신이 일어난다면 C&C 트래픽이 "정상"

애플리케이션 동작으로 위장하는 것과 같은 사기 행위를

의미할 수 있습니다.

의심스러운 레지스트리 변경

악성 코드는 대개 레지스트리를 수정하여 시작 프로세스를

실행하거나 운영 데이터를 저장하는 방법으로 시스템이

재시작하더라도 계속 유지되곤 합니다. 반드시 명확한 기본

레지스트리 스냅샷을 만들고 이 "템플릿"에서 레지스트리

기반 IOC에 해당하는 변경이 일어나는지 살펴보십시오.

DNS 요청 비정상

특정 호스트의 DNS 요청이 갑작스럽게 증가하면 악성

활동을 의미할 수 있습니다. 외부 호스트에 대한 DNS

요청의 패턴을 주시하고 이를 해당 지역 및 호스트 평판

데이터와 비교하십시오. 위협 인텔리전스 툴과 연결되는

필터링 솔루션은 C&C 인프라와 통신하고 있는지 밝혀내어

악성 코드 탐지 및 완화를 지원할 수 있습니다.

예기치 않은 시스템 패치

시스템에 패치를 적용하는 것은 네트워크에서 일어나는

가장 일반적인 트랜잭션 중 하나이지만, 주기에서 벗어나

중요 시스템의 패치를 제공한다면 악성 활동일 가능성이

있습니다. 공격자는 어떤 시스템을 감염시키면 다른 어떤

그룹에도 빼앗기지 않도록 패치를 적용하고 강화하여 다른

공격자의 접근을 막습니다.

IBM Security 15

잘못된 위치의 데이터 번들

공격자가 데이터 추출에 앞서 방대한 양의 데이터를

저장하는 경우가 많습니다. 그래서 뜻밖의 위치, 이를테면

Windows 서버에서 휴지통의 루트 디렉토리, Linux

시스템에서는 임시 파일이나 캐시 데이터가 있는

디렉토리에 숨겨 놓으려 합니다.

초인적 동작의 웹 트래픽

클릭 사기(click-fraud) 공격에 감염된 시스템은 사용자가

브라우저에서 가능한 수준보다 훨씬 빠른 속도로 방대한

양의 웹 트래픽을 생성할 수 있습니다. 사용자가 규정된

브라우저를 사용해야 하는 기업 네트워크에서는 내부

지시와 일치하지 않은 사용자 에이전트 문자열을 찾으면

악성 웹 트래픽 식별에 도움이 될 수 있습니다.

IOC 검색

IOC를 찾으면 지능형 공격자 추적이 더 용이해집니다.3

심층 방어 라이프사이클(그림 4 참조)에서 로드맵을

제공합니다. 이 단계 중 일부 또는 전부를 수행해 보십시오.

심층 방어 라이프사이클

1단계: 공격 툴 및 방법 문서화

• 무엇이 정상에 해당하는지 파악하기 위해 네트워크

트래픽 패턴을 프로파일링합니다. 주요 프로토콜, 특히

DNS, HTTP와 같이 공격자가 이용하는 프로토콜에

중점을 둡니다.

• 로그 파일 항목을 수집하고 검사합니다. 로그 관리,

SIEM 시스템과 같은 툴은 이러한 작업을 상당 부분

자동화할 수 있으며 데이터 패턴을 시각화하고

의심스러운 활동을 탐지하는 인터페이스를 제공합니다.

• IOC를 찾는 데 메타데이터를 활용합니다.

• 악성 툴을 분석하고 최신 리포지토리를 유지하는 조직의

IOC 데이터 피드를 구독합니다.

2단계: 공격자 활동 검색에 수집 인텔리전스 활용

1단계에서 수집한 데이터(IOC, 정상 동작과의 편차

포함)를 사용하여 공격자 활동을 검색하도록 보안 방어

툴을 구성합니다. 이러한 구성에는 다음 항목에 대한 차단

또는 경고가 포함될 수 있습니다.

• 공격 호스팅으로 평판이 나쁜 의심스러운 IP 주소 범위

또는 지역(IP 평판)의 활동

• 취약점 익스플로잇 시도: 대개 침입 방지 시스템(IPS) 및

엔드포인트 보안 시스템은 익스플로잇 활동을 나타내는

패턴에 대해 경고를 발효하며 특정 취약점과 알려진

익스플로잇을 식별할 수도 있습니다.

• 유명 공격용 툴의 해시: 공격자가 피해자의 환경에

거점을 잡고 나서 가장 먼저 하는 일은 툴킷을

업로드하는 것입니다. 그러면 계속 해당 조직에 계속

침투할 수 있습니다.

• 로컬에서 생성된 새 사용자 이름

• 다른 시스템에서 조사한 사용자 이름

그림 4. 지능형 공격자를 추적하는

"심층 방어" 라이프사이클 방식

문서화 검색

조사 반복

심층 방어

조치

16 IBM X-Force 보안 동향 및 위험 보고서(2015년 4분기)

3단계: 보안 사고 조사, 감염 수준 평가

• 분명한 것부터 시작: 시스템 IP, DNS, 사용자,

타임스탬프. 영향을 받은 시스템 또는 애플리케이션

수, 시스템 또는 애플리케이션에 대한 액세스 시도

횟수, 공격자가 성공한 침입 단계를 확인합니다.

• 다른 이벤트가 발생했는지 확인하기 위해 타임라인을

마련합니다. 타임스탬프가 있는 모든 파일(로그, 파일,

레지스트리), 이메일 커뮤니케이션 및 메시지 내용,

시스템 로그온/로그오프 이벤트에 대한 정보, 특정

인터넷 문서 또는 사이트에 액세스했음을 나타내는

지표, 채팅 룸 또는 기타 협업 툴에서 확인된 사람과

커뮤니케이션한 내용을 조사합니다. 그중 일부는 개인

정보 보호에 관한 회사 정책 또는 현지 법률이 적용될

수 있습니다. 진행하기 전에 소속 조직의 정책을

확인하십시오.

• 문서 파기의 증거를 확인합니다.

• 작업 디렉토리 내에서 패턴을 나타내거나 특정

호스트와 계정을 사용하는 등 사고 관련 IOC를

찾습니다. IOC Finder 4와 같은 툴을 검색에

활용합니다.

4단계: 조치

다음을 식별합니다.

• 감염된 호스트 및 사용자 계정

• 능동(beaconing) 및 수동(listening) 추출 지점

• 기타 액세스 지점 - 웹 서버, VPN, 터미널 서비스

다음을 수행합니다.

• 비밀번호 재설정

• 추출 지점 제거

• 액세스에 이용되는 취약한 시스템에 패치 적용

• 사고 대응 팀 가동

• 조치방안 전술의 성공을 위해 지속적으로 IOC 검색

• 공격자가 돌아올 경우 경보를 발효하도록 트리거

지점 설정

IOC 개발 기술

창의적으로 IOC 개발에 나서보십시오. 최상의 IOC라면

다음 속성을 가져야 합니다.5

• IOC는 의심스러운 특성 때문에 수집 대상이 된 특정

공격자 활동만 식별합니다. 예를 들면 MD5 합계(해시),

파일 이름, 크기, 생성일, 기타 파일 속성을 기준으로

특정 파일을 찾습니다. 메모리에서 특정

엔티티(프로세스 정보, 실행 중인 서비스 정보)를

찾습니다. Windows 레지스트리에서 특정 항목 또는

항목 세트를 찾습니다. 이러한 방식을 다양한 조합으로

구사하면 개별 아티팩트를 검색하는 것보다 매칭 능력을

높이고 오탐지를 줄일 수 있습니다.

• IOC는 단순하고 수집 및 계산이 용이한 정보를

평가합니다.

• IOC는 공격자가 전술, 툴, 접근 방법론을 바꾸지 않고는

피하기 어렵습니다.

효과적인 지표 생성

위협 정보를 설명하는 데 쓰이는 일부 다른 데이터 표준과

달리 어떤 위협의 인스턴스(예: 악성 코드)와 그 설명에

사용된 데이터 표준은 1대1 매핑 관계가 성립하지 않습니다.

"OR 파일 이름 = *.bat"라는 IOC는 많은 파일을

식별하겠지만 지표로는 미흡합니다. 시스템의 모든 실행

배치 파일과 매칭하므로 다수의 오탐지가 생성되기

때문입니다. 가장 높은 정탐지율과 가장 낮은 오탐지율을

동시에 달성하는 IOC가 더 효과적입니다(정상 시에

시스템에서 볼 수 있는 것 또는 침입과 무관한 것에 플래그

지정).

IBM Security 17

더 복잡한 활용 사례와 기법에서는 다음 방법을

변형하거나 조합하여 사용합니다.

• 운영 체제 또는 네트워크의 한 부분에서 특정 파일

아티팩트만 찾기보다는 위협 인텔리전스 공유를 위한

개방형 프레임워크인 OpenIOC의 로직을 활용하여

아티팩트 그룹을 조합함으로써 여러 악성 코드 계열

또는 기타 침입 툴의 공통적 아티팩트 그룹에 대한

매치를 생성할 수 있습니다.

• 사고 대응 담당자는 특정 악성 파일까지 추적해

가기보다는 디렉토리에 있는 것으로 확인된 파일의

화이트리스트를 만들고 그 파일에 없는 모든 파일을

잡아낼 수 있습니다. 이는 POS 단말기, 산업 제어

시스템, 신용카드 데이터/개인 식별 정보(PII)/기타

기밀 데이터가 있는 시스템 등 활동이 제한적인 중요

시스템에서 특히 효과적이고 중요합니다.

• 파일 시스템, 레지스트리, 운영 체제의 기타 영역에서

적대적인 공격자가 침입 과정에서 자주 사용하는

위치를 찾습니다. 초기 익스플로잇 또는 감염과

무관하더라도 찾습니다.

• 변경하거나 수정하려면 비용 부담이 커서 공격자의

툴이나 툴킷에서 두고 간 아티팩트 세트를 찾습니다.

• 측면 이동용 시스템에서 직접적으로 감염되지는

않았지만 정상적인 사용 패턴을 벗어난 활동을

나타내는 공격자 활동의 징후를 찾습니다.

실제 IOC는 위 유형 중 무엇이든 결합할 수 있습니다. 또는

단일 유형만 사용할 수도 있습니다. 조사관은 조사의

필요에 맞게 IOC를 맞춤 구성합니다. OpenIOC의 유연성

덕분에 상황의 변화에 따라, 새 지표를 작성할 필요 없이

맞춤 구성할 수 있습니다.

IOC 공유 및 탐지 툴

위협 데이터를 신속하게 배포함으로써 서둘러 IOC를

식별하고 공격을 방어할 수 있습니다. IOC 기반 위협 정보

수집 및 저장에 대한 관심이 높은 만큼 네트워크 보안

전문가는 새로 개발된 무료 또는 오픈소스 툴을 활용하여

네트워크의 지능형 위협을 신속하게 탐지, 억제, 조치할 수

있습니다.

• IBM X-Force Exchange

• OpenIOC

• IOC Bucket

• MISP

• Mandiant IOC Finder

• ESET IOC Repository

• TAXII

• Splunk SA-SPLICE

• CybOX

• GitHub(원격 실시간 포렌식용 google/grr Rapid

Response)

IOC를 활용하면 공격자가 귀사의 보안 방어 체계를

침입하면서 남겨 놓은 흔적을 찾아낼 수 있습니다. 이는

지능형 위협을 막아내기 위해 지능형 전술을 가장

효과적으로 구사할 수 있는 방법 중 하나입니다.

18 IBM X-Force 보안 동향 및 위험 보고서(2015년 4분기)

X-Force 소개 정교화된 위협은 모든 곳에 도사리고 있습니다. IBM 전문가의 통찰력을 활용하여 위험을 최소화하십시오.

BM X-Force 연구 개발 팀은 취약점, 익스플로잇, 활성

공격, 바이러스 및 기타 악성 코드, 스팸, 피싱, 악성 웹

컨텐츠 등을 포함한 최신 보안 위협 동향을 연구하고

모니터링합니다. X-Force는 고객 및 일반 대중에게 새롭게

나타난 치명적인 위협에 대한 정보를 제공할 뿐만 아니라,

IBM의 고객을 이러한 위협으로부터 보호하기 위한 보안

컨텐츠도 제공합니다.

IBM Security Services: 비용과 복잡성을 줄이면서

엔터프라이즈 환경 보호

IBM Security Services는 인프라, 데이터, 애플리케이션

보호부터 클라우드 및 매니지드 보안 서비스까지 다양한

범위의 전문성을 통해 귀사의 중요한 자산을 안전하게

지킵니다. 업계 최고의 인재를 고용하여 세계에서 가장

복잡한 네트워크도 보호하고 있습니다.

IBM은 고객의 보안 프로그램 최적화, 지능형 위협 차단,

데이터, 클라우드, 모바일 보호를 지원할 서비스를

제공합니다. 귀사가 IT 보안 침해를 겪은 경우 IBM

Emergency Response Services가 현장에서 실시간으로

인텔리전스 수집, 억제, 제거, 복구, 컴플라이언스 관리 등을

지원할 수 있습니다. IBM Active Threat Assessment 컨설팅

서비스와 함께 귀사의 인프라 또는 브랜드가 심각한 피해를

입기 전에 은밀하게 활동 중인 사이버 위협을 찾아낼 수

있습니다. IBM Incident Response Planning은 사이버 공격에

대처하고 그 피해를 최소화하도록 적합한 프로세스, 툴,

자원을 포함하는 사이버 보안 사고 대응 계획(Cyber-Security

Incident Response Plan, CSIRP)을 마련하도록 지원합니다.

IBM Managed Security Services와 함께 업계 최고의 툴,

보안 인텔리전스, 전문성을 충분히 활용하면서 사내 보안

자원보다 훨씬 저렴한 비용으로 귀사의 보안 수준을 강화할

수 있습니다.

I

IBM Security 19

도움 주신 분들 추가 정보

IBM X-Force 보안 동향 및 위험 보고서는 IBM의 전사적인

협업을 통해 제작되었습니다. 본 보고서의 간행과 관련하여

관심을 가지고 공헌해 주신 다음 분들께 감사의 말씀을

드립니다.

IBM X-Force에 대한 추가 정보를 확인하려면

ibm.com/security/xforce/를 방문해 주십시오.

도움 주신 분 직위

David M. McMillen IBM Security Services 수석 보안 위협 분석가 Leslie Horacek IBM X-Force Threat Response 관리자

Luca Pugliese IBM Emergency Response Services 보안 컨설턴트

Michelle Alvarez IBM Security Services 보안 위협 분석가 및 에디터

Pamela Cobb IBM X-Force & Threat Portfolio 전 세계 포트폴리오 마케팅 관리자

1 “RansomWeb: emerging website threat that may outshine

DDoS, data theft and defacements?” High-Tech Bridge Security Research, 2015년 1월 28일.

https://www.htbridge.com/blog/ransomweb_emerging_webs

ite_threat.html

2 Erica Chickowski, “Top 15 Indicators of Compromise,”

InformationWeek: Dark Reading, 2013년 10월 9일.

http://www.darkreading.com/attacks-breaches/top-15-

indicators-of-compromise/d/d-id/1140647

3 Lucas Zaichkowsky, “Hunting for Indicators of Compromise,

RSA Conference 2013, 2013년 2월 28일.

https://www.rsaconference.com/writable/presentations/file_u

pload/end-r31.pdf

4 Mandiant IOC Finder, http://www.mandiant.com/resources/

download/ioc-finder/

5 Nigel Willson, “APT Detection Indicators – Part 1,” Nige the Security Guy, 2013년 12월 12일. https://nigesecurityguy.

wordpress.com/2013/12/12/apt-detection-indicators-part-1/

재활용하십시오

© Copyright IBM Corporation 2015

IBM Security

Route 100

Somers, NY 10589

Produced in the United States of America

2015년 11월

IBM, IBM 로고, ibm.com 및 X-Force는 전세계 여러 국가에 등록된

International Business Machines Corp.의 상표입니다. 기타 제품 및

서비스 이름은 IBM 또는 타사의 상표입니다. 현재 IBM 상표 목록은 웹

"저작권 및 상표 정보"(ibm.com/legal/copytrade.shtml)에 있습니다.

Microsoft 및 Windows는 미국 또는 기타 국가에서 사용되는 Microsoft

Corporation의 상표입니다.

Java 및 모든 Java 기반 상표와 로고는 Oracle 및/또는 그 계열사의 상표

또는 등록상표입니다.

이 문서는 최초 발행일을 기준으로 하며, 통지 없이 언제든지 변경될 수

있습니다. IBM이 영업하는 모든 국가에서 모든 오퍼링이 제공되는 것은

아닙니다.

이 문서의 정보는 상품성, 특정 목적에의 적합성에 대한 보증 및 타인의

권리 비침해에 대한 보증이나 조건을 포함하여(단, 이에 한하지 않음)

명시적이든 묵시적이든 일체의 보증 없이 "현상태대로" 제공됩니다.

IBM 제품에 대한 보증은 제품의 준거 계약 조항에 의거하여 제공됩니다.

법률과 규정을 준수하는지 확인해야 할 책임은 고객에게 있습니다.

IBM은 법률 자문을 제공하지 않으며 IBM의 서비스나 제품을 통해 관련

법률이나 규정에 대한 고객의 준수 여부가 확인된다고 진술하거나

보증하지 않습니다. IBM이 제시하는 방향 또는 의도에 관한 모든

언급은 특별한 통지 없이 변경될 수 있습니다.

우수 보안 관리제도에 대한 설명: IT 시스템 보안은 귀사

내/외부로부터의 부적절한 접근을 방지, 감지, 대응함으로써 시스템과

정보를 보호하는 일을 포함합니다. 부적절한 접근은 정보의 변경, 파괴

또는 유용을 초래하거나, 타 시스템에 대한 공격을 포함한 귀사

시스템에 대한 피해나 오용을 초래할 수 있습니다. 어떠한 IT

시스템이나 제품도 완벽하게 안전할 수 없으며, 단 하나의 제품이나

보안 조치만으로는 부적절한 접근을 완벽하게 방지하는 데 효과적이지

않을 수 있습니다. IBM 시스템과 제품은 합법적이며 종합적인 보안

접근방법의 일부로서 고안되며, 이러한 접근방법은 필연적으로

추가적인 실행절차를 수반하며 가장 효과적이기 위해서는 다른 시스템,

제품 또는 서비스가 필요할 수도 있습니다. IBM은 시스템과 제품이

임의의 당사자의 악의적 또는 불법적 행위로부터 영향을 받지

않는다는 것을 보장하지는 않습니다.

WGL03099-USEN-00