2014년도의 타겟 공격 변화 양상

게시일: 2015-04-15 l 작성자: Trend Micro


2014년 연간 보고서: 표적 공격 동향

2014년도는 표적 공격 방식이 발전을 거듭한 해였습니다. 조직들이 새로운 버전의 Windows로 업그레이드함에 따라 64비트 멀웨어를 활용한 범죄도 늘어났습니다. 64비트 멀웨어의 사례로는 산업 제어 시스템(ICS)을 표적으로 한 범죄에 사용되었던 원격 액세스 트로얀(RAT)인 HAVEX와 Sony Pictures를 해킹한 악명 높은 멀웨어인 WIPALL이 있습니다.

새로운 버전의 Windows로 이전하면서 합법적인 도구/기능이 공격에 악용되는 일이 발생하였습니다. 이러한 예가 바로 Windows 7 및 이후 버전에서 제공되는 Windows PowerShell®인데 시스템 관리자가 그래픽 사용자 인터페이스(GUI)를 사용하지 않고도 다른 기능에 액세스할 수 있는 기능입니다. PowerShell 명령은 악성 파일을 다운로드받고 실행 정책을 우회하여 다운로드된 파일이 실행되도록 하는데 악용되었습니다.

TROJ_MDROP.TRX로 명명된 문서 익스플로잇 템플릿도 여러 표적 공격에서 발견되었습니다. 이 익스플로잇은 여러 범죄에 사용될 수 있기 때문에 지하 시장에서 가장 많이 판매되었습니다. 공격자들은 원하는 페이로드에 맞게 익스플로잇 템플릿을 간편하게 변경할 수 있었습니다. 우리가 조사한 자료에 의하면, 모든 조직들이 Microsoft Word®를 가장 널리 사용하기 때문에 전자메일 첨부파일로 가장 자주 사용되는 파일 역시 RTF와 DOC 파일인 것으로 나타났습니다.

그림1. 2014년 표적 공격에 가장 많이 사용된 전자메일 첨부파일 유형

구, 신규 취약점 공격

2014년에는 표적 공격에 다양한 제로데이 익스플로잇이 사용되었습니다. 일례로, CVE-2014-1761를 표적으로 한 두 건의 Taidoor 관련 제로데이 익스플로잇 공격이 대만 정부 기관과 교육 기관을 강타하였고 공격에 노출된 기간이 15일이나 지속되었습니다.

새로운 취약점을 악용할 경우 보안 업체들의 패치가 발표되지 않았기 때문에 더 효과적인 것으로 입증되었으며 제로데이 익스플로잇은 업체와 피해자들의 허를 찌를 수 있습니다.

새로운 취약점을 활용한다고 해서 공격자들이 기존의 취약점들을 배제시키는 것은 아닙니다. 사실 공격자들이 쉽게 구입할 수 있고 검증된 익스플로잇을 사용할 수 있다는 점에서 기존 취약점을 표적으로 하는 것이 더 안정적입니다.

MS12-027을 통해 패치되었음에도 불구하고 CVE-2012-0158은 여전히 공격자들이 선호하는 취약점이며 2014년 상반기 동안 표적 공격에 가장 많이 악용된 취약점이기도 합니다. 두 건의 유명한 캠페인인 PLEADOperation Pawn Storm(폰 스톰 작전)이 이 취약점을 악용하여 표적 네트워크에 침입하였습니다.

국제적 문제

2014년에도 공격자들이 가장 선호하는 대상은 정부 기관이었으며, 하반기에는 하드웨어/소프트웨어 회사, 가전제품 제조사 및 의료 기관을 표적으로 하는 공격의 수가 크게 증가하였습니다.

그리고 C&C 서버에 액세스하는 표적들이 국제적으로 널리 분포되어 있다는 점도 확인하였습니다. 아래의 히트맵에서 볼 수 있듯이 공격자들이 선호하는 표적은 이제 더 이상 미국, 러시아 및 중국에만 한정되지 않으며 대만, 한국, 프랑스 및 독일도 표적에 포함됩니다.

그림2. 2014년 표적 공격 배후의 C&C 서버와 통신한 국가들

위협에 대한 대응

표적 공격의 증가와 공격 용이성 그리고 방어의 어려움으로 인해 네트워크 담당자는 보안에 대한 사고 방식을 방어에서 탐지로 전환해야 합니다. 즉 블랙리스트 기술이 공격자의 접근을 확실하게 막아주지 못한다면 네트워크는 결국 표적 공격에 노출될 것입니다.

표적 공격과의 전투에서는 위협 인텔리전스를 구축하는 것이 가장 중요합니다. 외부 보고서와 내부 기록 및 실시간 모니터링을 기반으로 공격자가 사용하는 도구, 전술 및 절차를 파악한다면 행동 지침이 될 수 있는 강력한 보안침해지표 데이터베이스를 구축하는데 도움이 될 것입니다.

하지만 단순히 공격에 대해 이해하는 것에 그쳐선 안 됩니다. 사건 대응 팀을 구성하고 직원, 파트너 및 업체들을 대상으로 소셜 엔지니어링과 컴퓨터 보안에 대한 교육을 실시한다면 표적 공격으로 인한 위험을 예방하는데 도움이 될 수 있습니다.

보고서: 2014년 연간 보고서: 표적 공격 동향
원문: How Targeted Attacks Changed in 2014