국내 대형 통신사와 콜센터 운영기업에서 잇따라 발생한 해킹사고로 인해 유심정보와 대규모 개인정보가 유출되는 사건이 발생했다. 피해자 명의로 통화, 문자, 인증코드가 탈취되는 ‘심 스와핑’ 피해가 우려되고 있으며 유출된 개인정보가 다크웹에서 거래되고 있는 것으로 확인돼 2차 피해 가능성도 제기되고 있다. 이번 사고는 수개월 이상 시스템에 잠복하며 침투하는 스텔스형 해킹 수법으로, 기존 보안시스템으로는 탐지가 어려운 점이 특징이다.
사이버 위협헌팅 전문기업 씨큐비스타는 이러한 스텔스형 사이버 위협을 분석한 보안보고서 ‘씨큐리포트’를 긴급 발표하고 차세대 NDR 기반 대응 전략을 제시했다. 보고서에 따르면 최근 통신사 유심서버 해킹에 사용된 BPFdoor, Symbiote와 콜센터 해킹에 사용된 LummaC2 악성코드는 고도화된 은닉형 악성코드로, IPS나 EDR 등 기존 시그니처 기반 보안시스템으로는 탐지 자체가 어려운 것으로 평가된다. 특히 BPFdoor는 ‘방화벽, IPS, EDR 등의 기존 보안솔루션으로는 탐지가 거의 불가능한 고급 스텔스 백도어’로 알려졌다.
씨큐비스타는 각 악성코드가 고유한 통신 패턴을 가지므로 심층 분석 기반의 탐지 로직이 필요하다고 강조했다. 또한 비암호화 및 암호화 통신을 모두 아우르는 통합 탐지체계 구축을 제안하며, 통신 세션 메타데이터를 실시간 분석하는 TTP 탐지 모듈과 대규모 세션 데이터 정밀 분석 시스템을 결합해 스텔스형 이상 징후를 조기 탐지해야 한다고 밝혔다.
전덕조 씨큐비스타 대표는 “최근 사이버 위협은 단순한 시그니처 탐지를 우회하는 수준을 넘어 커널 은닉, 암호화 통신 위장, 포트리스(portless) 백도어 통신 등 점점 더 고도화되고 있다”며 “TLS 1.3, QUIC 등 최신 암호화 프로토콜 환경에서도 Beaconing 통신, TLS 핸드셰이크 이상, 주기성 패턴 등을 포착해 은닉형 공격을 조기 탐지할 수 있는 정교한 통신 세션 기반 이상 분석 기법 도입이 시급하다”고 밝혔다.
이어 “최근 잇따른 대형 스텔스형 해킹사고는 단순 패턴 매칭이나 복호화에 의존하는 구시대적 보안시스템으로는 더 이상 최신 위협에 대응할 수 없다는 냉혹한 사례”라며 “실시간 통신 메타데이터 기반 행위 탐지와 대규모 심층 분석을 통합한 차세대 NDR만이 스텔스형 위협 대응체계를 구축하는 실질적인 대안이 될 것”이라고 전했다.
헬로티 구서경 기자 |
