블로그

지란지교시큐리티의 생생한 최신 소식과 알림을 전달합니다.

[보안코멘터리] 이상한 변호사 우영우의 국내 대표 쇼핑몰 ‘라온’ 해킹 사건, 제이스가 리뷰해 본다
제이스2022-08-23
[그림] 이상한 변호사 우영우에 등장한 스피어피싱

 

바로 지난주죠, 요새 가장 핫한 드라마 ‘이상한 변호사 우영우’가 대단원의 막을 내렸습니다. 드라마를 시청했던 많은 분들은 여전히 ‘우영우앓이’ 중인데요.

 

 

마지막 에피소드를 남겨둔 15화에선 ‘스피어피싱’을 당한 국내 대표 쇼핑몰 ‘라온’이 우영우 변호사가 일하는 법무법인 한바다를 찾는 이야기로 그려졌습니다.

 

 

 

 

과연 한바다 변호인단이 변론해야 하는 라온은 어떤 일을 겪었던 걸까요?


 

 

이야기는 늦은 밤, 라온 사무실로부터 시작됩니다.

 


4천만이 넘는 사용자가 이용하는 국내 대표 쇼핑몰 라온의 DB 관리자는 남동생이 보낸 메일을 열람하게 됩니다. 취준생(취업준비생)인 남동생이 보낸 자소서(자기소개서)메일이었습니다. 평소 라온 관리자는 동생의 자소서를 봐주기로 이야기를 해왔던 터라 별 의심 없이 메일을 열어 첨부된 ‘자소서.doc’ 파일을 다운로드하게 됩니다. 문서 실행 후 화면을 보기 위해 상단 도구바의 ‘콘텐츠 사용’ 버튼을 클릭했으나 아무것도 열리지 않자 순간 동생이 잘못 보냈다고 생각하고 맙니다. 노트북을 덮고 퇴근하며 동생에게 전화를 하니 정작 동생은 이메일을 보낸 적이 없다는 사실을 알게 됐지만 이미 해커의 스피어피싱 공격을 당한 후였습니다.

 

 

 

 

 

실제 드라마 속 대화를 통해 지란지교시큐리티의 마케터 제이스가 바라본 보안코멘터리 지금 시작합니다.

 

 

 

- 한바다 변호사들과 상담 중인 라온 대표들- 
 

 

라온: 해커가 우리 DB 담당자랑 그 담당자 남동생이 주고받는 이메일을 해킹해서 두 사람이 평소 나눴던 그 대화내용을 다 파악하고 있었어요. 남동생 말투까지 똑같이 흉내 내가지고 이메일을 보냈더라구요. 

 

 

 

제이스: 자, 여기서 짚어야할 점은 해커가 라온의 DB 담당자와 남동생의 평소 나누는 대화를 알고 있었다는 점입니다. 남동생의 말투를 똑같이 흉내 냈다는 점, 즉 타겟을 분석하고 심리적으로 공략하여 이메일을 열람하도록 유도했는데요.
 

 

스팸 메일을 대량으로 유포하는 방식이 아닌 특정 타겟을 대상으로 공격하기에 낚시 방법에 빗대어 스피어피싱(Spear-Phsing) 공격이라고 합니다.

 

 

[그림2] 사회공학적 해킹 기법의 스피어피싱

 

 

이러한 방법은 '사회공학적 해킹' 기법인데요, 


사회공학적 해킹이란 사람의 심리를 공략하여 원하는 정보를 얻는 공격 기법으로 시스템이 아닌 사람에게 접근해 신뢰를 얻은 뒤 기밀 정보를 탈취하는 사이버 범죄입니다. 인간의 심리 변수를 공략한 사회공학적 기반의 공격 수법은 갈수록 지능화되고 고도화될 수밖에 없습니다.

 


메일을 열람하게 만드는 제목부터, 신뢰할 만한 발신자 사칭부터, 문서를 다운받게 만드는 것부터, 열람 후 악성코드를 스스로 설치하는 버튼을 클릭하게 만드는 것까지 모든 것에 사회공학적 해킹 기법이 심겨 있습니다.

 

타겟을 분석하고 잠복하고 악성코드를 감염시킬 때까지 집요하게 공격하기 때문에 아무리 조심해도 걸려들 수밖에 없는데요. 이러한 공격에 대한 대응 방안들이 발표되고 있고 지침도 나오지만 근본적인 해결책이 될 수는 없습니다.
 

그렇다면 이를 막을 수 있는 근본적인 방법은 존재하지 않는 걸까요. 좀 더 대화를 보고 이야기를 나눠보죠.

 

 

 

 

 

라온: 악성코드 첨부파일을 심어 놓은 첨부파일 확장자가 설치파일이 .exe였으면 우리 DB 담당자도 조금 경계를 했었을텐데 이게 .doc(워드파일)니까 별 의심을 안했던거죠.
 

권민우 변호사: 예 저도 워드파일로 악성코드를 유포할 수 있는지 몰랐습니다.
 

라온: 네, 가능합니다. 특정 대상을 공격하기 위해 특별 제작된 악성코드라서 백신에도 탐지가 되지 않고요. 

 

 

 

 

 

제이스: 잠깐만요! 여기가 키포인트!! 악성코드를 유포할 수 있는지 몰랐다는 사실. 이제는 악성코드가 나 악성코드요, 하고 접근하지 않습니다. 실제 우리가 일상 업무 속 사용하는 오피스 문서를 통해서 악성 위협들이 배포되고 있습니다.

 

 

 

왜 백신 프로그램은 드라마 속 해킹과 악성코드 감염을 막지 못했던 걸까요?

 


백신으로는 시그니처(Signature) 기반의 악성 위협을 방어할 수 있습니다. 시그니처 기반 탐지 방법은 알려진 악성 위협 요소를 식별하고 이미 발견되고 정립되어진 공격패턴을 미리 입력하여 해당 패턴에 해당되는 트래픽과 요소를 걸러내는 방식입니다.
그렇기에 특정 타겟을 공략하여 새롭게 갱신되고 만들어지는 것까지 탐지하기엔 한계가 존재합니다. 

 

아는 것만 막을 수 있는 것이 아닌 모르는 것도 막을 수 있어야 합니다. 

 

드라마 속 스피어피싱 이야기는 실제 국내 대형 쇼핑몰 고객 정보 해킹 사건을 모티브로 제작되었다고 하는데요.
실제로는 악성코드 감염은 PC 이용자의 지인 사진이 담긴 화면 보호기 파일로 위장하여 접근했습니다. 


PC 사용자는 가족사진으로 만들어진 화면보호기 실행파일을 지인을 사칭한 메일 계정으로부터 전달받아 화면 보호기 첨부파일을 열었다가 악성코드에 감염되었습니다. 여기서 문제는 실제 가족사진 화면 보호기가 정상적으로 작동되며 뒤에서 악성코드를 감염시켰기에 2만여 고객들의 개인정보가 빠져나가는 동안 PC 사용자는 바로 인지하지 못했다는 점입니다.

 


인간 심리를 터치하며 지능화되고 집요해진 신종 사이버 사기 수법을 강력히 차단하는 방법이 필요합니다.

 

 

 

 


우영우 변호사: 해커는 잡혔습니까


라온: 아뇨, 경찰에선 북한 경찰총국이 한 짓 같다던데 아직 확실하지 않습니다.

 

 

 

 

제이스: 이 부분에서도 드라마 상 북한 해킹으로 추측 했지만 실제로도 국가적 차원의 해킹 공격이 활발히 일어나고 있습니다. 북한과 러시아 등 국가적 차원에서 지원받아 정부, 공공부문을 겨냥한 공격과 가상자산을 노린 금융권 대상 공격의 비중이 갈수록 높아지고 있습니다. 

 

드라마는 북한 소행으로 위장한 개인의 해킹 시도로 일단락되었지만, 실제 정부기관들은 국가 지원을 받은 해킹 그룹들의 표적이 되고 있습니다. 이러한 타겟형 메일 공격을 통해 국가 기밀이 탈취될 수 있어 심각한 결과가 초래되기도 합니다.

 

 

 

[그림3] 북한 ‘사이버 해킹 조직’…‘러시아 범죄 조직’ 협력, VOA 뉴스

 

 

 

라온: 더 큰 문제는 방송통신위원회입니다. 저희한테 과징금을 무려 3천 억원이나 부과했습니다. 그래서 저희가 변호사님들 찾아온 거고요.

 

 

 

제이스: 눈여겨 보아야할 점은 개인정보보호법 강화로 개인 정보 유출 과징금이 매우 높게 책정되고 있다는 점입니다. 드라마에서는 방송통신위원회가 정보통신망법으로 제재하는 것으로 나왔으나, 2020년 법 개정과 기구 개편으로 현재는 개인 정보보호위원회가 개인정보보호법에 의거해 제재하고 있어 정보 유출에 대해 더욱 엄중히 책임을 묻고 있습니다. 

 

 

 

 

 

라온: 해커가 우리 관리자의 PC에 침입했을 때 DB 접속 터미널이 그대로 띄워져 있었어요. 로그인이 되어있는 상태였죠, 그러니까 해커 입장에서는 서버에 접속하기 위해서 관리자의 ID랑 패스워드를 탈취하는데 수고를 던 셈이죠. 방통위가 문제 삼은 게 바로 이 부분입니다. DB 서버에 ‘아이들 타임아웃(Idle Timeout)’ 설정을 제대로 안해놨다는 거죠. 


장승준 변호사: 아이들 타임아웃이란게 최대 접속 시간 제한 말씀하시는거죠?


라온: 네, 일정 시간이 지나면 접속이 자동으로 차단하게 하는거예요. 딱 필요한 접속시간만 시스템에 접속할 수 있는거죠.


장승준 변호사: 서버에는 그 설정이 안되어있었던 거고요?


라온: 

 

 

 

 

 

제이스: 잠깐만요, 아이들 타임아웃이 있었다 한들 해킹을 안 당했을까요? 
 

최초 해킹 후 사용자동선을 모니터링 하고 지켜보기만 했더라도 시간의 문제이지 언제든지 악성코드 감염을 통한 개인정보 유출은 예정된 문제였습니다.
 

이렇듯 해킹한 PC를 통해 원격으로 사용자 동선을 파악하고 모니터링하고 내부 사용자로 둔갑하여 정상적 로그인을 진행한다면 방화벽에서도 감지하지 못합니다.
 

 

계정을 탈취하고도 수개월간의 잠복기간을 거쳐 사용자가 이용하는 모든 정보를 탈취할 수도 있고요.

 

 

드라마는 사용자 정보 유출을 위한 해당 거점 PC의 감염 정도만 언급하는 시발점까지만 보여줍니다. 아이들 타임아웃을 방어책으로 언급하였지만 이 밖에도 감염에 대응하기 위해 2단계 인증(2FA*), 생체 인증(FIDO**) 등의 여러가지 보안 솔루션을 장착시킬 수 있겠지만 근본적인 방안이 되지 못합니다. 
 

 

*2FA(Two-factor authentication): 로그인 주체가 계정에 실제 소유주인지 확인하는 OTP와 같은 추가 보안 절차
**FIDO(Fast IDentity Online): 지문, 홍채 등 생체 인식 기반 인증 시스템

 

 

 

 

이렇게 기본 보안 솔루션들을 가볍게 뛰어넘는 사회공학적 기법의 표적형 악성 문서 공격, 어떻게 막을 수 있을까요?

 

 

[그림4] 첨부파일 악성코드 대응 솔루션 새니톡스

 

 

 

제로 트러스트, CDR 솔루션이 정답!

 

 

드라마 사례처럼 근래 발생한 보안 사고 대다수가 문서형 파일(MS Office, HWP, PDF 등)과 이미지 파일에 포함되는 액티브 콘텐츠(Macro, JavaScription, OLE 객체, Link 등)를 이용하여 배포된 악성코드가 주를 이루었습니다. 메일 뿐만 아니라 USB, 다운로드 등의 방식으로 유입되는 악성 매크로가 심긴 문서형 공격이 많았고요.

 

신뢰 관계에 기반하는 스피어피싱을 예방하기 위해선 '아무 것도 믿지 않는다'는 개념의 '제로 트러스트(Zero Trust)' 관점으로 접근해야 합니다.

 

 

제로 트러스트 관점의 CDR(콘텐츠 악성코드 무해화) 솔루션이 악성 코드 감염을 원천 차단할 수 있습니다.

 

 

CDR는 이메일, 망연계, 웹 등을 통해 유입되는 모든 문서의 액티브 콘텐츠를 사전에 제거하고 파일을 재조합해서 안전한 파일로 만드는 기술로, 문서를 통한 악성코드나 랜섬웨어 유입을 원천적으로 차단할 수 있습니다.

 

 

CDR 기술은 글로벌 시장 조사 기관 가트너(Gartner)에서도 안티바이러스/샌드박스 솔루션을 대비해 더욱 안전한 차세대 멀웨어 대응 기술로 소개되었는데요.

 

 

 

 

 

지란지교시큐리티에서는 다년간의 R&D 투자를 통해 자체 개발한 CDR 엔진을 탑재시킨 새니톡스(SaniTOX)로 문서 구조를 분석해 비정상적인 포맷을 탐지하고 위협 요소를 빠르게 제거하여 원본의 모습으로 안전하게 재조합 하여 제공하고 있습니다. 

 

 

앞서 소개한 가트너에서도 2019년과 2022년 두차례 지란지교시큐리티를 CDR 글로벌 벤더로 소개할 정도로 그 기술력을 인정받아 왔습니다.

 

 

만약, 드라마 속 라온이 CDR 솔루션 새니톡스를 도입했다면 ‘자소서.doc’ 파일을 클릭했을 때 파일이 열람되는 찰나의 순간 무해화 과정(백신 검사 → 문서스캔 → 액티브 콘텐츠 제거 → 파일 재조합) 후 안전한 파일로 재조합되어 고객 유출 사건은 원천적으로 발생하지 않았겠죠? 

 

 

 

[그림5] 새니톡스 악성 문서 무해화 과정

 

 

 

새니톡스는 대부분의 보안 솔루션 도입 후 초래되는 사용 불편성을 제거하여 업무 연속성을 보장합니다.

 

새니톡스는 문서 상 실제 클릭이 발생해도 악성코드를 무해화 하는 방식으로 랜섬웨어와 악성 위협을 원천 차단할 수 있으며, 사용자 입장에선 내가 지금 솔루션을 쓰고 있나 싶을 정도의 편안함 속에서 안전한 파일을 이용할 수 있습니다.

 

 

새니톡스를 통해 문서형 스피어피싱 공격 및 알려지지 않은 악성 위협으로 부터 기업과 개인의 소중한 정보 자산을 보호할 수 있습니다. 

어떠한 환경에서 열람해도 안전한 파일을 보장하는 새니톡스를 지금 만나보시기 바랍니다. 

 

 

 

👉 스피어피싱 막는 새니톡스 자세히 보기

👉 악성위협 제거하는 새니톡스 영상 보기

 

 

 

 

 

#우영우 #이상한변호사우영우 #스피어피싱 #APT공격 #스피어피싱차단 #악성문서차단 #랜섬웨어차단 #CDR #새니톡스 #지란지교시큐리티

 

 

  • 제이스
    지란지교시큐리티 주니어 마케터
  • IT회사에서 일하면서 아날로그 감성을 좋아하고 사람을 향하는 기술의 발전을 환영하지만 결코 사람보다 우선하는 가치는 없다고 생각하는 지란인

최신글

  • [새니 이야기: 3화] 랜섬웨어에 대응하는 다양한 보안 솔루션
  • 얼마 전 다양한 주제로 선풍적인 인기를 끌었던 드라마 ‘이상한 변호사 우영우’ 재밌게 보셨나요? 자폐 스펙트럼 장애를 가진 천재 신입 변호사 우영우가 비장애인에게는 당연시되던 틀에 박힌 규칙과 문제들을 새로운 시각으로 바라보며 자기만의 방법으로 씩씩하게 해결해 나가는 성장과정을 다양한 에피소드를 통해 보여주었는데요, 결국 사랑도 이복동생의 마음도 지켜주며 정규직 변호사가 된 우영우변호사를 보며 괜스레 ‘뿌듯함’이라는 감정을 공감했답니다 ^o^
  • 새니2022-09-29
  • [새니 이야기: 4화] 공공기관이 랜섬웨어 유포지가 될 수 있다?!
  • 안녕하세요 랜섬웨어 예방 전문가 새니에요 ⸜(๑'ᵕ'๑)⸝ 여러분은 랜섬웨어가 어떻게 들어온다고 생각하시나요? 인터넷에서 파일 다운로드 하다가? 고객민원 게시글에 첨부된 링크를 클릭해서? 임직원들의 보안 인식이 높아지면서 인터넷에서 다운로드 받은 파일이 실행파일이면 의심하고, PC에 기본적으로 설치된 백신이 악성파일를 차단해버려 사용자 PC에 직접 유입되지 않습니다. 요즘 랜섬웨어는 이런 보안 기술을 우회하기 위해 실행파일(.exe)의 형태가 아닌 임직원에게 친숙한 비즈니스 문서 형태로 변화하여 접근하는 추세입니다. 엑셀, 한글, 파워포인트, PDF 같은 일반적인 문서파일 말이죠!
  • 새니2022-12-09