제품문의

02-6011-1377

보안관제센터

02-6011-2337

FAX

02-463-1376

E-mail

iamguide
@cmtinfo.co.kr

보안공지

공지사항

대규모 사이버공격 루트, 중앙관리 솔루션의 취약점 4

페이지 정보

작성자 최고관리자 작성일18-10-24 18:40 댓글0건

본문

[보안뉴스 김경애 기자] 2013년 언론·금융 등의 주요 전산망 및 시스템을 마비시킨 3.20 사이버테러, 2014년 특정분야 종사자 악성코드 유포 사건, 2015년 대학병원 전산망 해킹 사건, 2016년 Gh0st RAT 사건, 2017년 ATM 기기 해킹을 통한 금융정보 유출 사건. 이는 모두 중앙관리 솔루션을 악용한 대규모 사이버공격 사례라고 할 수 있다. 이렇듯 중앙관리 솔루션이 사이버공격의 주요 루트로 악용되고 있다.  


각 기업에서 도입 및 운영하고 있는 중앙관리형 소프트웨어는 패치관리, 자산관리, 보안관리 등 다양한 목적을 위해 사용되는 것으로, 중앙관리 시스템은 이러한 소프트웨어의 특정 명령어를 통해 일괄적으로 패치 또는 정책을 설정하는 시스템이다. 

칼을 잘 사용하면 맛있는 음식을 만들 수 있는 유용한 도구가 되지만, 잘못 사용하면 흉기로 바뀌어 사람의 목숨을 위협하기도 한다. 최근 몇 년간 국내 전산망을 마비시키고 금융 피해를 입힌 대규모 사이버 공격에 악용된 중앙관리 솔루션 취약점 역시 그러한 경우다. 

특히, 북한이 공격 배후로 드러난 ATM 해킹사건의 경우 해커 조직이 2016년 9월부터 2017년 3월까지 A사에서 운영 및 관리하는 현금 자동입출금기인 ATM 63대를 악성코드에 감염시켜 238,073건의 전자금융거래 정보를 탈취했다. 

이들은 2016년 10월 30일 백신관리 서버에 침입, 취약점을 이용해 ATM 기를 감염시키고 테스트했다. 이어 2017년 2월 20일부터 3월 12일까지 FTP 업데이트 서버의 업데이트 모듈을 조작해 9회 침입했으며, ATM 기 63대를 추가 감염시켜 카드정보를 C&C(명령제어) 서버에 수집했다. 

이들은 특정 VPN에 접속해 악성코드를 유포한 뒤 PC 63대 등을 감염시키고 트랙정보, 카드 명의자 이름, 주민번호, 유효기간, 카드번호, 카드 발급사, 은행 잔액, IC칩 정보(계좌정보), 비밀번호 등 금융정보를 탈취해 C&C 서버로 전송했다. 금융거래 내역 1년치 가량의 분량을 저장했으며, 최종 가공돼 유통된 정보는 연번, 카드번호, 주민번호, 계좌번호, 잔액, IC칩 정보 등이다. 

주요 악성코드 종류는 exe, Apache.exe, atm exe, Update.exe, java.exe, javaupdate.exe 등 총 17종이다. 해당 악성코드는 C&C 서버에 열려 있는 FTP로 IC카드, 거래전표 등 주요정보를 유출했다. 또한, 서버용 악성코드인 GhostRAT는 지난해 유령쥐 사이버테러에 사용됐던 RAT 악성코드로, C&C 서버 명령에 따라 감염 PC 정보 수집 및 추가 악성코드 다운로드 등의 업무를 수행했다. 

그렇다면 중앙관리 솔루션의 어떤 취약점이 사이버공격에 악용되는 것일까? 이와 관련 경찰청 사이버안전국 이지용 수사관은 24일 개최된 ‘금융정보보호 컨퍼런스 FISCON 2018’에서 중앙관리 솔루션 위협으로 △웹페이지에서 관리자 비밀번호 설정이 취약한 경우 △클라이언트에서 상시 오픈 포트가 존재하는 경우 △무결성 검증을 안하는 경우 △관리 비밀번호를 파일에 저장해 운영하는 경우 △고객의 요청에 의해 위험기능을 추가해 운영하는 경우 중앙관리 솔루션이 보안위협으로 작용할 수 있다고 지적했다.

이지용 수사관은 “ATM 해킹 사건의 경우 C&C 서버가 대부분 국내에 있어 확보할 수 있었다. 하지만 사이버공격 특성상 영장발부 후(5일 이후) 찾아가 조사해보면 이미 사이버상에서 추적할 수 있는 모든 흔적은 사라진다”며 “해커는 우리가 알고 있는 공격 수법 외에 특이한 공격 방법을 많이 사용한다. 특히, VAN 사의 경우 개발자가 개발과정에서의 관리가 미흡했다. 개발자는 개발시 어떤 문제가 발생하는지 로그를 남기는데, 최종 릴리즈할 때는 로그를 남겨선 안 된다. 해커는 이를 노리고 집요하게 해당 로그를 찾아냈다. 또한, ATM 기는 일반 인터넷과 통신되면 안 되는데, 해당 ATM 기는 윈도우 업데이트를 이유로 연결돼 있었다”고 밝혔다.

이어 그는 “기업에서는 중앙관리 솔루션의 운영 유무를 파악하고, 만약 있다면 어떤 버전이고, 얼마나 사용했는지 그리고 어떤 취약점이 있는지 등 꼼꼼히 살펴 피해를 예방할 것”을 당부했다. 
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>