금융 보안 교육 - 금융권 APT 공격과 대응 방안

A. 금융권 APT 공격 사례

1. 지능화된 보안 위협 동향

1-1. 보이스피싱과 가상화를 이용한 세탁과정

먼저 보이스피싱을 통해 갈취한 피해금을 가상화폐를 통해서 자금 세탁 하는 과정입니다. 법원이나 금융기관 등으로 사칭한 보이스피싱을 통해 돈을 갈취한 후, 이를 대포통장으로 입금하고, 대포통장 명의인 개인정보로 개설된 거래소 계좌로 피해금을 이체합니다. 그리고 익명성 높은 가상화폐를 거래소에서 매수한 후 이를 금융사기범이 가진 익명의 다른 전자지갑으로 출금합니다. 해당 전자지갑을 이용해서 타 거래소에서 가상화폐를 매도 후 이를 현금화 시키는 방식으로 불법 자금 세탁이 이루어지고 있습니다.

 

보이스피싱과 가상화폐를 이용한 자금 세탁 과정

 

1-2. 가짜 앱 피싱 공격

가짜 앱 피싱 공격 과정을 보면, 고객에게 대출 안내 메시지를 발송해 고객이 대출 메시지내 전화번호로 연락을 하면 기존 대출에 대한 상환 안내를 하고 가짜 앱을 설치하도록 유도합니다. 고객이 대출 상환을 위해 금융회사로 연락을 하면 가짜 앱에 의해서 가짜 콜센터로 연결이 되는 것인데요. 이 때 상담원은 사기범 계좌번호로 대출 상환을 유도하고, 고객이 사기범 계좌번호로 대출 상환금액을 입금하도록 하는 것입니다.

 

가짜 앱 피싱 공격 과정

 

1-3. 이메일 첨부파일, URL 기반 공격

이메일 내 첨부파일이나 URL 등을 통해서 악성코드를 유포하려는 시도 역시 점차 치밀해지고 고도화되어 가고 있습니다. 특정 개인이나 기관을 사칭하여 악성코드를 유포하려는 시도는 계속되고 있고 최근에는 악성코드 기반 이메일 공격 중 첨부파일 기반 공격은 38%이고 URL 기반 공격은 62%로 악성코드 파일 첨부보다 URL 기반으로 유포하는 경우가 많습니다. 또한 제목에 'Re'를 붙여서 답장인 것처럼 위장하는 형태의 수법도 최근 자주 나타나고 있으며, 이메일 내 악성코드 없이 CEO 등 경영진을 사칭하여 직원에게 자금을 요청하거나 기업의 잘못된 송금을 유도하는 형태의 BEC 공격도 증가되고 있습니다.

 

URL, 첨부파일 기반 공격

 

1-4. BEC 공격

BEC에 대해 다음 사례를 통해 좀 더 자세히 살펴볼까요? 국내기업 A사가 인도기업 B사의 제품을 구매하는 계약을 체결하였습니다. 해커는 두 기업의 이메일을 해킹하여 계약내용을 파악하고 B사와 유사한 이메일 주소를 만든 후, 해커의 계좌를 위조된 인보이스에 작성하고 대금지금요청 메일을 A사에 보냈습니다. 결국 A사가 위조된 인보이스에 적힌 해커의 계좌로 현금을 송금하며 피해가 발생한 사례인데요. 이처럼 회사 간 계약에 관련된 이메일을 해킹하여 내용을 파악하고 합의된 계약을 이행하는 과정에서 상대방을 속여 금전적 이득 등을 얻는 공격을 BEC(Business E-mail Compromise) 라고 합니다.

 

BEC 공격

 

1-5. 랜섬웨어

랜섬웨어는 최근 몇 년 동안 사이버 공격에 활용되는 대표적인 악성코드입니다. ‘몸값’이라는 의미와 ‘제품’의 합성어로서 시스템을 사용 불가능한 상태로 변경하거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 금전을 요구하는 악성 프로그램을 말합니다. 랜섬웨어는 다양한 피싱 공격 등으로 배포될 수도 있는데요. 최근에는 악성코드 감염 사이트에 접속하거나 파일공유를 통해서 전파되는 등 점점 더 고도화되어 가고 있습니다. 세계 100여개국에서 취약한 PC를 감염시킨 워너크라이 랜섬웨어 사건은 윈도우 보안 취약점을 이용하여 인터넷 접속만으로도 랜섬웨어를 감염시키는 공격입니다.

 

랜섬웨어

 

2. 인공지능 발전으로 인한 새로운 공격 유형

2-1. 딥페이크

최근 인공지능 기술이 발전하고 이를 활용하는 사례가 늘어나면서 인공지능 기술을 악용한 보안 위협이 점점 커지고 있습니다. 인공지능 공격은 악의를 품은 인공지능이 가짜 정보를 만들거나, 인공지능 학습 시 학습을 방해하고 학습 오류를 일으켜 편향된 결과를 발생하게 하는 특징이 있습니다. 최근 등장한 인공지능 기반의 딥페이크는 Deep Learning과 Fake의 합성어로 인공지능 기반으로 실제처럼 조작한 음성 및 영상을 통칭합니다. 실제로 이 기술을 활용한 금융 사기 거래가 발생되고 있는데요. 얼굴이나 목소리 등을 이용한 바이오 인증수단은 이런 딥페이크 공격에 매우 취약합니다.

 

딥페이크

 

딥페이크 관련 대표적인 알고리즘은 생성적 적대 신경망인 GAN입니다. GAN의 기본 원리는 인공지능끼리 서로 합성된 이미지, 음성 등의 품질을 비교하여 더 나은 쪽으로 성능을 개선하게 만드는 방법입니다. GAN은 이미지, 영상, 음성합성 등 다양한 분야에서 활용되고 있는데요. GAN에 대한 연구는 발전하여 기존 GAN을 보완하는 DCGAN, SRGAN이 등장하였고 엔비디아(NVIDIA)에서는 기존 GAN 모델들의 단점을 보완하는 StyleGAN을 발표하기도 하였습니다.

 

특히 StyleGAN이 등장하면서 기존 GAN에 비해 매우 향상된 이미지, 음성합성을 할 수 있게 되었습니다. 이는 더욱 정교한 딥페이크 기법으로 사이버 공격을 할 수 있다는 이야기입니다. 최근 딥페이크로 인한 범죄 사례 대부분은 연예인, 일반인 사진을 기반으로 포르노 등 음란물 동영상을 만들어 유통하는 것입니다. 그리고 인공지능을 이용하여 공격 대상의 다양한 정보를 수집 및 분석한 결과로 정교한 악성메일, 사이트를 활용한 스피어 피싱 기법이 나타나고 있습니다.

 

해당 기법은 공격 대상의 행동 및 주변 데이터를 분석하여 가장 속기 쉬운 경로로 공격을 한다는 점에서 매우 위험한 공격 방법입니다. 그 외 인공지능 기반 서비스에 대해서 학습 데이터를 교란시켜 올바르지 못한 인공지능 모델을 만든 후에 의도치 않은 동작을 유도하는 공격 방법이 있습니다.

 

3. 정치, 경제적 목적의 공격

최근 정치, 사회적 목적으로 특정 목표를 공격하여 무력화시킨 후 자신의 의도를 노출하는 공격이 일어나고 있습니다. 이런 특수한 목표를 가진 공격 및 운동을 핵티비즘이라고 하는데요. 핵티비즘은 해커(Hacker)와 정치행동주의를 뜻하는 액티비즘(Activism)의 합성어입니다.

 

3-1. 핵티비즘의 3가지 공격 유형

첫 번째는 정치적 크래킹(Political Cracking)입니다. 정치적인 목적으로 이루어지는 해킹으로 정치적 목적에 관련된 정보 탈취, 사이트 손상, 서비스 거부 공격, 정보 절도, 사보타주 등 실제 불법적인 행위를 일으키는 공격입니다.

 

두 번째는 행위적 핵티비즘입니다. 이는 예술적 행위자에 의해 수행되며 광범위한 이슈를 포함하여 세계화, 인권과 같은 오프라인 이슈에 초점을 맞추며, 가상 농성이나 사이트 패러디 같은 합법과 불법의 판단이 모호한 가벼운 해킹 행위를 말합니다.

 

마지막으로 정치적 코딩 방법이 있습니다. 이는 정책 기만을 위한 소프트웨어 상품을 개발하는 활동이 주를 이룹니다. 정치적 코더들은 전형적으로 익명을 사용하며 개발된 소프트웨어는 개방형 소스입니다. 행위적 핵티비즘과 유사하게 특정 시스템에 위해를 가하지 않는 풍자적 퍼포먼스에 해당하여 합법과 불법의 기준이 모호합니다.

 

3-2. 핵티비즘 사례

대표적인 핵티비즘의 사례로는 2013년 해킹그룹 어나니머스가 북한 대남선전 사이트인 '우리 민족끼리'의 회원정보를 해킹한 사건이 있습니다. 어나니머스는 해킹 후 북한에게 자신의 소행임을 밝히며 유출한 개인 정보를 공개하지 않는 조건으로 핵무기 생산 중단, 북한 시민의 자유로운 인터넷 접속 허가 등 총 5개의 요구 사항을 제시하였다고 합니다.

 

어나니머스 그룹은 위키리스크 대표인 줄리안 어샌지의 체포에 항의하여, 특정 정당의 웹 사이트를 해킹 후 2천여 명의 개인 정보를 탈취하고 정당을 비판하는 메시지를 남기기도 하였습니다. 또한 이라크 전쟁 발발 시 미국의 정부기관과 해외참전 군인 단체, 군 등이 운영하는 웹사이트를 공격하기도 하였으며 역사 교과서 왜곡, 독도 영유권 문제, 어업 협정 등 한일 양국 간 이슈 발생 시마다 일본 해커들에 의해 DDoS, 정보 탈취 등 해킹이 발생되고 있습니다.

 

그 밖에도 정치, 사회적 이유 및 목적으로 이루어지는 핵티비즘은 오래전부터 지속해서 이루어져 왔습니다. 기술이 발전하고 세계적으로 정치, 사회 갈등이 심화되면서 핵티비즘 공격은 날로 고도화되고 확대되고 있습니다.

 

 

B. APT 공격

1. 개요 및 특징

APT 공격이란 특정 공격 목표에 대해 광범위한 방법으로 지속적으로 정보를 수집하고 취약점을 파악하여 이를 바탕으로 공격하는 것을 말합니다.

 

APT 공격의 특징을 보면, 첫 번째로 APT는 특정 표적에 위협을 가하는 공격 방법입니다. 불특정 다수가 아닌 명확한 표적을 정하여 정보를 수집한 후 공격을 감행하는 것입니다. 표적이 명확하다 보니 해당 표적에 대한 맞춤형 침투 및 공격이 가능해집니다.

 

두 번째는 진보된 기법을 사용한다는 것입니다. 한 가지 기술만이 아닌 Zero-day 취약점, 스피어- 피싱 등 다양한 보안 위협 공격 기술이 사용됩니다. 세 번째는 지속성입니다. 공격의 목적을 달성하기 위해서 끊임없이 새로운 공격 기술을 사용합니다. APT 공격을 감행하는 단체는 주로 분명한 목적과 동기를 가진 전문 조직입니다.

 

해당 조직을 APT 해킹그룹이라고 부르기도 하는데요. 이 조직은 APT 공격을 감행하기 위해 다양한 공격을 준비하고 치밀한 사전 준비를 합니다. 효과적인 APT 공격을 위해 해커그룹에서는 제로데이 (Zero-Day) 공격을 선호합니다. Zero-day 공격은 보안패치가 나오기 전 운영체제 등 소프트웨어의 취약점을 집중적으로 공략하여 침투하는 방법입니다.

 

APT 공격은 과거부터 지금까지 지속적으로 발생하고 있으며 공격 방법 역시 매우 고도화되고 있어 다방면의 취약점을 보완할 수 있는 치밀한 대응이 요구되고 있습니다.

 

2. APT 공격 사례

2-1. 스턱스넷

가장 대표적인 APT 공격은 스턱스넷(Stuxnet) 공격입니다. ‘사이버 미사일’로 알려져 있는 이 사건은 2010년 악성코드를 이용해 이란 원자력 발전소의 스카다(SCADA) 시스템을 임의로 제어하여 원자력 발전소를 일시 중지시킨 사건인데요. 해당 사건은 원자력 발전소 내부에서 사용하는 독일 지멘스사의 소프트웨어 구조를 정확하게 파악하여 관련 파일을 변조하는 등 여러 공격 방법을 사용하였으며 4개의 제로데이 취약점을 활용하여 공격하였습니다.

 

본 사건을 좀 더 구체적으로 살펴보면, 목표는 지멘스사의 SIMANTIC PSC7 프로세스 통제 시스템의 컴포넌트 중 WinCC(시스템 운영자 통제 및 모니터링 시스템)와 Step7(개발 환경)이 타깃이었습니다. 전파를 위해 윈도우 서버 서비스 취약점인 MS08-067를 이용해 공유폴더를 공격했으며 윈도우 쉘 LNK 취약점인 MS10-046를 이용해 USB를, 윈도우 프린트 스플러 서비스 취약점인 MS10-061로 공유 프린터를 전파 개체로 활용했습니다.

 

또 지멘스 SIMANTIC WinCC 기본 패스워드 취약점인 CVE-2010-2772를 활용해 WinCC 감염을 시도했고 안전하지 않은 라이브러리 로딩으로 인한 원격 코드 실행 취약점을 이용해 Step7 프로젝트 파일을 감염시켰습니다. 관리자 권한을 획득하기 위해서는 윈도우 Win32K 키보드 레이아웃 취약점 MS10-073을 활용했으며 작업 스케줄러의 취약점으로 인한 권한 상승 문제점 MS10-092를 이용했습니다. 그리고 디바이스 드라이버 설치를 위해서 Realtek과 Jmicron사에서 훔친 디지털 인증서를 이용하기도 했습니다.

 

2-2. 오퍼레이션 오로라

오퍼레이션 오로라(Operation Aurora)라 불리는 사건은 2011년 구글, 어도비, 주니퍼, 야후 등 34개 업체를 대상으로 광범위하게 기업 내부 기밀을 탈취한 공격 사건입니다. 해커는 인터넷 익스플로러(IE)의 제로데이 취약점을 이용하였으며 기업 임직원에게 취약한 웹페이지의 주소를 전송해 악성코드를 감염시켰습니다. 형식은 이메일에 악성코드가 포함된 웹 페이지 링크를 전송해 해당 웹페이지를 접속하면 악성코드에 감염되도록 한 것인데요. 또 백신 프로그램을 우회해 특별히 제작된 원격 제어형태의 악성코드를 이용하고 감염 시 대만에 위치한 C&C 서버에 SSL을 통한 백도어를 접속, 내부정보 유출을 위해 내부망에 존재하는 취약한 시스템을 탐색해 공격하였습니다.

 

2-3. 나이트 드래곤

나이트드래곤(Night Dragon)공격이라는 침해사고는 2009년 11월 무렵부터 최소 1년 넘게 조직적으로 카자흐스탄, 그리스, 대만과 미국에 있는 글로벌 오일, 가스 및 석유·화학 제품 업체들을 타깃으로 조직적으로 진행된 사건입니다. 웹서버 해킹, 악성코드 제작 및 유포, 다양한 해킹 툴들이 사용되었습니다. 최초 맥아피에 의해 발견되었는데, 이 공격을 통해 정유 및 가스 입찰관련 자료와 유전 탐사 정보, 스카다 시스템 설정 정보 등이 유출된 바 있습니다. 다음은 아이스포그 공격입니다.

 

2-4. 아이스포그

아이스포그 공격은 2011년부터 소규모 사이버 용병 그룹이 일본과 대한민국의 정부출연연구소, 방위산업체, 조선 해양사, 통신사 및 고도의 기술을 보유한 회사 등을 타겟으로 활동하고 있는 APT 공격입니다. 스피어 피싱 이메일을 이용하여 이메일에 첨부된 악성코드를 열거나 악성 웹사이트를 방문 시 시스템을 감염시킨 뒤 감염 시스템의 특성을 파악하고 확인하기 위해 폴더 목록, 어댑터 목록, IP구성, 네트워크 정보 등을 탈취합니다.

 

2-5. 붉은 10월 공격

붉은 10월 공격 역시 동유럽과 중앙아시아의 에너지/원자력 기관, 교역/항공 우주 산업 전반을 표적으로 삼고 정보를 유출한 공격입니다. 감염된 MS Office 제품의 파일을 메일로 첨부하여 보냄으로써 표적 시스템에 침입하였습니다. 처음 유출된 정보를 바탕으로 동일 네트워크의 다른 기밀 시스템에 침입 하였으며 주로 IPhone, Nokia, Windows Mobile를 OS로 사용하는 스마트 기기의 데이터와 USB 정보를 유출하였습니다.