[전남인터넷신문]대형 통신사 유심서버 해킹사고에 이어 콜센터 운영기업의 대규모 개인정보 유출사고가 발생하면서 대한민국이 발칵 뒤집혔다. 

2차 피해도 우려돼 국민들의 불안감도 증폭되고 있다.이번 보안사고는 장시간 시스템 내에 잠복해 있다가 서버나 인프라를 공격하는 스텔스(Stealth)형 해킹으로, 기존 보안시스템으로는 탐지하기 어렵고 공격대상도 사회적 파장이 큰 인프라와 대규모 개인정보 서버를 겨냥한게 특징이다.

사이버 위협헌팅 보안기업 '씨큐비스타'(대표 전덕조)는 이러한 스텔스(Stealth)형 사이버 위협을 근본적으로 예방하고 대응할 수 있도록, 차세대 NDR 기반 스텔스형 사이버 위협 대응 전략을 상세히 분석한 보안보고서 '씨큐리포트'(CQ Report)를 긴급 발표했다.

■ 스텔스형 사이버 위협 사건

지난 4월 19일 국내 대형 통신사가 BPFdoor, Symbiote 등 악성코드 공격을 받아 IMSI(국제 이동 가입자 식별자), MSISDN(전화번호), 인증 키 등 민감한 보안 개인정보가 외부로 유출돼, 유심정보를 악용한 휴대폰 신규개통, 개인인증 도용 등 '심 스와핑'을 통한 2차 피해가 잇따를 것으로 우려되고 있다.

해커들은 심 스와핑 수법을 통해 피해자 명의로 수신되는 통화와 문자, 인증코드를 가로채, 금융기관이나 가상화폐 거래소 계정을 탈취하거나 이메일, SNS 계정 등에 접근할 수 있게 됐다. 보안업계는 탈취된 유심(USIM) 정보와 유출된 개인정보가 결합될 경우 더 큰 피해로 이어질 수 있다고 경고했다.

같은 날, 콜센터 전문 운영사의 인사시스템이 LummaC2 악성코드 해킹 공격을 받아 임직원과 퇴사한 임직원들의 개인정보 약 3만 6천건이 유출되는 사고도 발생했다. 이름, 주민등록번호 뒷자리, 비밀번호, 계좌번호, 연락처 등이 암호화되어 유출됐으며, 증명사진, 신분증 사본, 통장 사본, 근로계약서, 서명 정보, 가족관계증명서, 주민등록등본, 혼인관계증명서 등이 암호화 없이 유출됐다. 해킹된 약 22GB 분량의 개인정보는 다크웹에서 2천만원에 거래되고 있는 것으로 알려졌다.

■ 스텔스형 사이버 위협 대응 전략

스텔스형 위협은 시그니처 기반 탐지 체계를 우회하며, 통신 세션 내 이상 징후를 교묘하게 은닉해 IPS, EDR 등과 같은 기존 보안시스템으로는 탐지하기 어렵다. 최근 급격히 진화하면서 장기간 은닉할 수 있는 능력을 갖췄고, 통신 인프라, 클라우드 서버, 엔드포인트를 위협하는 주요 공격 수단으로 부상하고 있다.

이번 유출사고에 사용된 악성코드는 △은닉형 BPFdoor와 △기생형 Symbiote, △정보 탈취형 LummaC2 등이다. 특히 BPFdoor는 일반 악성코드와 달리 매우 은밀하게 통신을 제어할 수 있도록 설계된 고급 스텔스 백도어 악성코드로, '방화벽, IPS, EDR 등의 기존 보안솔루션'으로는 탐지가 거의 불가능한 것으로 알려졌다.

씨큐비스타는 스텔스형 악성코드들은 각각 고유한 통신 특성과 패턴이 있어, 심층 분석을 통해 이를 조합한 탐지 로직을 구성해야 하며, 비암호화 및 암호화 통신을 아우르는 통합 탐지 및 대응 체계를 구축해 사이버 보안을 강화해야 한다고 강조했다.

이와함께 통신 세션 메타데이터를 실시간으로 분석하는 TTP 탐지 모듈과, 대규모 세션 데이터의 정밀 분석 체계를 병행해, 암호화 여부와 관계없이 네트워크상의 은닉형 이상 징후를 선제적으로 탐지할 수 있는 차세대 NDR 대응을 구축해야 한다고 덧붙였다.

전덕조 대표는 "최근 사이버 위협은 단순한 시그니처 탐지를 우회하는 수준을 넘어, 커널 은닉, 암호화 통신 위장, 포트리스(portless) 백도어 통신 등 점점 더 고도화되고 있다"며 "TLS 1.3, QUIC 등 최신 암호화 프로토콜 환경에서도 Beaconing 통신, TLS 핸드셰이크 이상, 주기성 패턴 등을 포착해 은닉형 공격을 조기 탐지할 수 있는 정교한 통신 세션 기반 이상 분석 기법 도입이 시급하다"고 강조했다.

전 대표는 "최근 잇따른 대형 스텔스형 해킹사고는 단순 패턴 매칭이나 복호화에 의존하는 구시대적 보안시스템으로는 더 이상 최신 위협에 대응할 수 없다는 냉혹한 사례"라며 "실시간 통신 메타데이터 기반 행위 탐지와 대규모 심층 분석을 통합한 차세대 NDR 만이 스텔스형 위협 대응체계를 구축하는 실질적인 대안이 될 것"이라고 말했다.

씨큐비스타(CQVista)는 지능형 위협 탐지·대응 기술을 중심으로 NDR·FDR 원천기술을 융합한 독자 기술을 보유한 사이버 보안 전문기업이다. 주력 보안솔루션인 '패킷사이버'는 한국과 아시아의 공공기관과 금융기관, 국가기관 등에 채택돼 최고 보안솔루션 기업으로 인정받고 있으며, NDR 유형으로는 국내 최초로 보안기능확인서 인증을 획득했다. 최근 IoT 보안 및 암호화 트래픽 위협 탐지 기술로 사업 확대중이며, 정부 R&D 프로젝트에 참여해 AI기반 위협헌팅기술 개발을 선도하고 있다.