이상준 지란지교시큐리티 연구소장

최근 경찰 수사를 통해 북한 해킹 조직들이 국내 방산업체 10여 곳을 상대로 전방위적 자료 해킹을 해 온 것이 사실로 드러났다. 북한의 해킹 공격은 하루 이틀이 아니다. 국정원 조사에 따르면 2023년 공공 타깃의 해킹 공격 시도는 일일 평균 162만 건이 발생했으며 그 중 북한 공격 비중은 80%에 달한다.

북한 해킹을 비롯한 악성코드 유포에 가장 많이 쓰이는 방법은 해킹 메일로 전체 중 74%를 차지한다. 이는 사회공학적 기법이 요구되는 메일 공격에 문화적(특히 언어적) 특징이 반영된 것으로 볼 수 있다.

이번 방산 해킹 사건의 정보 탈취 수법을 살펴보자. 외부망 직원 PC라 하더라도 관문 구간에 구축된 보안 장비의 보호를 받는 인트라넷 영역으로 워터링 홀 발생 가능성은 매우 낮다. 이에 따라 외부망 직원 PC를 장악하기 위한 악성코드 유포 수법은 대부분 해킹 메일을 이용한다. 이후 공격은 취약점 분석이나 장악된 직원 PC의 크리덴셜을 활용하는 것이 일반적이다.

라자루스 해킹조직의 해킹 수법(자료 출처:경찰청)

<이미지를 클릭하시면 크게 보실 수 있습니다>

최근 메일 시스템은 자체 보안 강화로 실행 파일 형태의 첨부 파일은 원천적으로 삭제하기 때문에 사용자에게 전달 자체가 불가하다. 따라서 해킹 메일의 첨부파일은 문서형 또는 이미지 파일일 수밖에 없다. 그 중 문서형 공격이 전체 공격 중 70%에 달한다.

외부망 직원 PC에는 백신(Anti-Virus)과 같은 보안 체계가 없었을까? 결론부터 말하자면 그렇지 않다. 전술한 바와 같이 외부망 직원 PC도 인트라넷 영역이기 때문에 반드시 백신 + α의 보안 체계가 구축되어 있어야 한다.

그럼에도 불구하고 사고가 발생한 이유는 알려지지 않은(Unknown) 신·변종 악성코드에 제대로 대응하지 못했기 때문이다. 결국 '알려지지 않은(Unknown) 위협 대응을 어떻게 할 것인가'가 최대의 보안 난제이다. 이 난제를 풀기 위해 '아무것도 신뢰하지 않는다'는 제로 트러스트 보안 패러다임이 등장했으며 기술적으로는 CDR이라는 무해화 기술이 주목받고 있다.

CDR(Content Disarm & Reconstruction) 기술은 문서 내에 악성코드로 악용이 가능한 영역(Active Content)의 악성 여부는 판단하지 않고(Signature-less) 제거하고 재조립하는 기술이다. 이미 알려졌거나, 알려지지 않은 모든 잠재적 악성코드에 대한 대응을 가능케 한다. 이 점에서 가트너는 CDR를 기존 백신, 샌드박스와 같은 보안 체계를 보완하는 대체재이자 알려지지 않은 위협 대응을 위한 현존하는 최적의 기술이라 말한다.

악성 여부를 판단하지 않는다는 점에서 CDR 또한 제로 트러스트 관점의 보안이라 할 수 있다. CDR의 제로 트러스트적인 특성을 정리하면 다음과 같다. △문서의 작성자 또는 발신자의 신뢰도와 무관하게 전수 처리한다 △문서 내 Active Content에 대한 악성 여부와 무관하게 전수 제거한다 △CDR 처리 이전과 이후 문서에 대한 정합성을 보장한다.

공격 메일에 의해 외부망 직원 PC가 해커에 장악된 이후의 공격은 APT(Advanced Persistent Threat)에 준하는 절차를 따르게 된다. 이를 기존 보안 체계가 탐지하고 차단하는 것은 거의 불가능에 가깝다. 실제로 피해 방산 업체 중 대부분은 지난 1~2월 경찰의 특별점검 전까지 해킹 사실을 전혀 인지하지 못했던 것과 같은 맥락이다.

정리하자면, 문서형 악성코드를 첨부한 공격 메일을 통해 외부망 직원 PC를 장악하는 것이 해킹의 시작이고 사실상 끝이다. 공격 요소가 내부로 유입되지 못하게 하는 방법으로 현재 가장 효과적인 방법은 접점 구간과 CDR의 연동 구축이다. 사용자에게 잠재적 공격 실행 요소인 Active Content가 제거된 첨부파일만 전송하는 체계 구축이 가장 현실적으로 필요하고 유일한 해킹 예방법이라는 것은 당연한 결론이다.

CDR를 통한 해킹 메일 예방 FLOW(자료 출처:지란지교시큐리티)

<이미지를 클릭하시면 크게 보실 수 있습니다>

라자루스의 공격 시작점은 메일이었다. 김수키는 그룹웨어 전자우편 서버를, 안다리엘은 협력 업체의 보안 취약점을 노렸다. 오늘날 기업·기관의 업무 환경은 내외부가 유기적으로 연결되어 있으며 다양한 문서 파일의 유입 경로가 존재한다. 공격 시 이 모든 연결점이 공격의 시작점이 될 수 있다. 그렇기 때문에 전방위적인 대응과 예방이 강조되는 것이다.

CDR의 활용 사례(자료 출처 : 지란지교시큐리티)

<이미지를 클릭하시면 크게 보실 수 있습니다>

클라우드, AI 활용 능력이 곧 국가의 디지털 경쟁력인 시대다. 모든 시스템 간의 유기적 연결, 활용의 극대화가 필수임을 뜻한다. 이 기조에서 보면 지금까지의 보안은 경계 보안으로 폐쇄성이 짙었다. 경계 보안 중 가장 강력한 보안 컴플라이언스였던 망분리는 정보 중요도에 따라 차등 정책을 부여하는 제도 개선 검토가 시작되었다. 제로 트러스트 실증 사업도 추진 중이다.

그러나, 정상적인 사용자 PC 장악 목적의 공격 메일, 해당 PC(정상 권한 보유 사용자)를 통한 추가 공격 대응법으로 명확한 답을 제시할지는 의문이다.

현재 국가기관을 비롯한 금융, 방산 업계는 망분리 의무 도입 대상이다. 일반 기업도 정보통신망법, 개인정보보호법, 전자정부법에 의해 정보 보안 대책 수립은 필수사항으로 컴플라이언스 준수가 요구된다. 망분리 제도가 개선된다고 하더라도 망간 중요·기밀 자료 전송에 있어서 '안전' 보장 중요도는 달라지지 않을 것이다.

'안전'을 완성함에 있어 백신이 능사가 아님을 이미 모두가 알고 있다. 다중 보안 체계를 구축해도 뚫리는 것이 현실이다. 이 시점에서 '안전'을 완성하는 마지막 한 조각이자 답은 CDR이 될 것이다.

이상준 지란지교시큐리티 연구소장 이상준 sjunee@jiran.com

[Copyright © 전자신문. 무단전재-재배포금지]