웹 호스팅 기업인 고대디가 요 몇 년 연속적인 사이버 침해 사고의 피해자가 됐다. 그런데 이번에는 “알고 보니 모든 것이 하나의 캠페인으로부터 비롯된 것”이라는 주장이 고대디로부터 나왔다. 공격자들이 너무 집요했다는 걸 강조하려 했던 것 같은데, 자신들의 허술함도 같이 드러났다.

[보안뉴스 문정후 기자] 웹사이트 호스팅 업체인 고대디(GoDaddy)가 다년 간에 걸친 사이버 공격의 표적이 되었다고 발표했다. 수년 동안 공격자들은 고대디 내부 시스템에 멀웨어를 심고 여러 가지 정보를 훔친 것으로 밝혀졌다. 이러한 내용을 담은 보고서를 고대디는 지난 주 미국 증권거래위원회에 제출했다.

[보안뉴스 / 2.27.] 웹 호스팅 업체 고대디, 다년 간 지속적인 공격 받아와

[이미지 = utoimage]

고대디는 2022년 12월 일부 고객들로부터 불만 사항을 접수 받았다고 한다. 고대디 측에 호스팅 된 웹사이트로 접속하려면 다른 사이트들로 우회된다는 내용이었다. 고대디 측은 조사에 착수했고, 회사 내 씨패널(cPanel)에 멀웨어가 설치되어 있음을 발견했다.

이 멀웨어는 어디서 온 걸까? 고대디 측은 이전에 있었던 사이버 보안 사건을 보고서에 언급하고 있다. 2020년 3월 한 해킹 단체가 고대디 고객사 2만 8천여 개의 로그인 크리덴셜을 훔쳐낸 사건이었다. 또 있다. 2021년 11월에는 한 해킹 단체가 침해된 비밀번호를 사용하여 고대디의 매니지드워드프레스(Managed WordPress) 코드 베이스에 접근했던 것이다.

“조사 결과 이 세 가지 사건은 한 고급 해킹 그룹이 다년 간 진행해 온 장기 공격 캠페인의 일부일 가능성이 높은 것으로 밝혀졌습니다. 이들이 최근 웹사이트 우회 접속을 일으킨 멀웨어를 심은 자들이며, 고대디가 제공하는 서비스와 관련된 코드도 일부 가져간 것으로 보입니다.” 고대디가 증권거래위원회에 제출한 보고서 내용이다.

다년 간의 공격은 어떻게 이뤄지나?
누군가 고대디를 다년 간 집요하게 노려 왔다는 건 시사하는 바가 많지만, 그 무엇보다 궁금증을 하나 자아낸다. “다년 간 공격을 했다면 좀 더 일찍 알아차릴 수는 없었을까?”가 바로 그것이다. 며칠이나 몇 주 동안 이어진 공격이라면 발견을 못 할 수 있는데, 시간이 몇 년이나 있었다면 변명의 여지가 없지 않을까? 보안 업체 키퍼시큐리티(Keeper Security)의 제품 책임자 제인 본드(Zane Bond)는 “변명하기 힘들다”고 말한다. “수년 동안 공격한 걸 이제 알았다는 건 고대디의 보안에 문제가 있다는 걸 보여줍니다.”

보안 업체 드루바(Druva)의 CTO인 스티븐 맨리(Stephen Manley)의 경우, “공격 탐지 시간이 길어지면 길어질수록, 탐지가 안 될 가능성이 높다”며 “피해자 환경에서 공격자의 비정상적인 행위가 이미 ‘정상인 것’으로 받아들여지고 있다는 뜻이기 때문”이라고 설명한다. “이상하다는 게 알려지면 곧바로 탐지가 되죠. 이상하지 않으니까 탐지가 안 되는 겁니다. 정상과 비정상의 구분이 확실히 되어있지 않은 상태에서 네트워크가 운영된다는 뜻이죠.”

비슷한 종류의 위험으로부터 다른 조직들은 무사한가?
고대디에서 벌어진 일에 대한 수사는 아직 진행 중에 있기 때문에 지금으로서는 정확히 무슨 일이 벌어진 건지 알 수가 없다. 하지만 고대디를 덮쳤던 위험이 고대디의 고유한 문제가 아니라는 것은 분명하다. 보안 업체 콜파이어(Coalfire)의 부회장인 앤드류 배럿(Andrew Barratt)은 “다년 간의 공격을 한참 후에야 발견한다는 건 탐지 기능에 문제가 있거나 공격자들이 예외적으로 뛰어나다는 뜻”이라며 “모니터링과 탐지에 관심을 크게 두지 않는 기업이라면 이미 다년 간의 공격을 당하고 있으면서도 모르고 있을 수 있다”고 경고한다.

본드는 “기업들의 인프라가 점점 복잡해져서 공격자가 들어올 통로도 많고 숨을 곳도 많다”며 “규모를 늘리고 기능까지 늘리려면 이러한 점을 반드시 기억해야 한다”고 말한다. “그렇다고 너무 막막해할 필요는 없습니다. 어떻게 들어왔든, 어디에 숨어 있든, 결국 공격자들이 노리는 건 가치가 높은 것들이거든요. 비밀번호 볼트라든가, 원격 접근 도구라든가, 기밀이 저장되어 있는 클라우드 계정 등이죠. 그런 높은 가치의 데이터와 자산들을 중심으로 방어의 막을 펼쳐가면 됩니다.”

맨리는 “의료 산업이 다년 간 이뤄지는 공격에 취약할 수 있다”고 설명을 잇는다. “병원이나 의료 기관의 네트워크는 상상 이상으로 복잡합니다. 또한 거기에는 개인의 민감한 정보 즉 공격자들에게 가치가 높은 정보가 다량으로 저장되어 있습니다. 그런데다가 의료 연구와 서비스 제공에 전력을 다 하느라 보안에는 잘 신경을 쓰지 않죠.”

연 단위의 집요한 공격, 어떻게 막나?
고대디 침해 사고는, 아직 세부 사항이 드러나지 않았지만, 여러 조직들이 눈여겨 봐야 할 사건이다. “복잡해지는 네트워크와, 불완전한 탐지 및 모니터링 기술이 고대디만의 얘기는 아니니까요. 현대 사이버 공간에서 기업 활동을 하는 모든 조직들의 이야기이죠.” 본드의 설명이다.

배럿은 “이 이야기를 통해 제일 먼저는 모든 기업들이 자신의 네트워크와 인프라 상황을 재평가 할 수 있어야 한다”고 강조한다. “공격자들이 수년 동안 공을 들이기도 한다는 게 경각심을 불러일으켰으면 좋겠습니다. 공격자들의 집요함이나 끈기는 일반인의 그것과 사뭇 다릅니다. 은밀히 들어와 수년에 걸쳐 진행하려는 공격들을 포함한 위협 모델링을 처음부터 하는 것을 권장합니다. 대처 방안도 마련해야 하겠고요.”

본드는 다년 간 이어지는 공격은 공격자들의 집요함도 문제로 작용하는 거지만, 방어자의 허술함도 똑같이 작용하기에 일어날 수 있는 일이라고 강조한다. “결국 이건 조금만 더 빠르게 탐지했으면 될 문제입니다. 탐지 기술을 강화해야 한다는 뜻이죠. 여기에 더해 위협을 미리 찾아서 제거하는 ‘위협 헌팅’ 능력까지 갖춰지면 더 좋습니다. 네트워크가 복잡해지면 질수록 이 위협 헌팅 능력을 갖추었느냐 못 갖추었느냐가 중요한 요소가 됩니다.”

기업의 네트워크에서부터 바깥으로 빠져나가는 트래픽을 모니터링 하는 것도 중요한 일이라고 배럿은 강조한다. “수년 동안 이어지는 공격이라면, 공격자들이 피해자의 시스템에 뭔가를 심어두고, 그것을 바탕으로 공격자와 멀리서 통신을 하고 있을 가능성이 높습니다. 멀웨어 하나가 장기간에 걸쳐 독자적으로 뭔가를 몰래 실시할 수는 없습니다. 그렇다는 건 피해자의 시스템(즉, 방어자의 시스템)에서 뭔가 비정상적인 게 나갈 수밖에 없다는 뜻이 됩니다.”

3줄 요약
1. 웹 호스팅 기업 고대디, 얼마 전 “다년 간 공격 받아왔다”고 공개.
2. 사실이라면 공격자의 집요함도 드러나고, 고대디의 허술함도 증명됨.
3. 네트워크 환경이 복잡해지면서 공격자들이 침투할 곳과 숨을 곳이 증가함.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>