검색
화우

홈페이지 해킹을 통한 내부망 장악 사례 분석

- 해킹(Hacking) 공격 사례별 기술적 대응방안 및 시사점 -

[2022. 10. 05]



화우의 정보보호센터에서는 알려진 해킹공격사례를 기반으로 기술 및 법률적인 대응방안을 제시하는 Cyber Security 시리즈를 정기적으로 배포 하고자 합니다.


IT환경이 일상과 업무에 중심이 되고 있음에 따라 금전적 이득 또는 정치적 목적을 가진 사이버 해킹 공격은 증가하고 있습니다. 이러한 사이버 해킹 공격을 대응하기 위하여 다양한 보안제품이 개발, 적용되고 있지만 여전히 해킹사고는 멈추지 않고 발생되고 있습니다.


지속적으로 발생되는 해킹 사고에 대해 선제 대응하기 위해 기존에는 공격자들이 사용하는 IP, Domain Name, 악성코드 Hash 정보를 1:1 매칭하여 차단하는 IoC(Indicator of compromise) 기반 대응을 하였습니다. 하지만 특정 정보를 매칭하는 형태의 대응 방식은 일반적인 공격에는 효과적이나, 고도화된 공격을 대응하기엔 한계가 있습니다. 이에 최근에는 공격자의 공격 전술(Tactics), 기법(Techniques) 및 절차(Process)를 식별하고 그에 맞는 대응 방법을 수립하는 방안이 제시되고 있습니다.


공격자들로부터 안전한 IT 서비스를 운영하기 위해서 알려진 해킹공격사례를 분석하여 공격자들의 TTP(Tactics, Techniques, Process)를 도출하고 조직에 최적화된 대응방안을 수립하는 것이 필요합니다.



1. 해킹공격사례 분석(홈페이지 해킹)

(1) 시나리오

본 시나리오는 공개된 홈페이지를 시작으로 하여 타 시스템에 비인가 접근 및 정보 유출 한 해킹 사례에 대한 절차에 대한 설명 입니다.

221005_kor-1.jpg


(2) 해킹 공격 기법 및 절차(TTPs)

홈페이지 해킹 공격 기법을 요약하면 ① 공격자는 외부에 노출된 사내 홈페이지에 접속 및 사전 입수 계정을 활용한 비인가 로그인 하였습니다. ② 홈페이지를 접근 후 악성코드를 실행 하여 “사용자”→“관리자”로 접근권한을 상승하였습니다. ③ “관리자” 권한을 획득 후 “공유폴더” 기능을 활용하여 다른 서버를 추가로 장악 하였습니다. ⑤ 공격자는 악성코드를 활용하여 시스템에 저장된 정보를 수집 및 외부 유출을 시도하였습니다. ④ 공격에 사용되었거나 공격이 끝났을 땐 시스템에 저장된 로그와 악성코드를 삭제하는 등 공격의 흔적을 제거 하였습니다.

 

 

2. 기술적 대응방안

 

221005_kor-2.jpg



3. 시사점

해당 해킹공격 사례를 기반으로 조직이 가지고 있는 6가지의 문제점을 도출 할 수 있습니다.


(1) 내부 시스템이 외부에서 접근 가능하도록 접근제어 미흡

(2) 서버내 네트워크 공유설정 활성화

(3) 시스템들 간에 동일한 계정 사용

(4) 서버내 백신 관리 미흡

(5) IDS/IPS 등 Signature 탐지 장비 설정 미흡

(6) 시스템 이벤트 로그 모니터링 미흡


열거된 6가지 미흡한 부분에 대해서는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률45조(정보통신망의 안전성 확보 등)’, ‘전자금융거래법 제21 조 3항(전자금융기반시설의 취약점 분석·평가)’, ‘정보통신기반 보호법 시행령 제17조(취약점 분석·평가의 시기)’ 에 따라 정기적인 취약점 진단(연1회 이상) 및 이행조치를 수행할 경우 개선될 수 있으며 노출된 홈페이지에 대한 모의해킹 또는 시나리오 기반 침투 테스트를 통해 위험을 사전에 식별하고 대응할 필요가 있습니다.


IT 인프라를 대상으로 하는 사이버 위협은 날로 고도화되고 있다고 하나, 그보다 운영하는 시스템 중에서 관리되고 있지 않은 부분을 식별 및 취약점을 사전 조치 하고 해킹 사고가 발생하였을 때 탐지하고 대응할 수 있는 체계를 수립하는 것이 필요합니다.



이근우 변호사 (klee@yoonyang.com)

석제범 고문 (jbseok@hwawoo.com)

이광욱 변호사 (kwlee@yoonyang.com)

이수경 변호사 (sgyi@yoonyang.com)

백재환 전문위원 (jhb@hwawoo.com)

지재원 전문위원 (jwji@hwawoo.com)

관련 법조인