북한 해킹 조직 코니가 네이버, 구글 광고 시스템을 악용해 백신을 뚫고 들어온 사례가 발견돼서 지금 난리입니다.
기존 망분리 정책만으로는 내부에서 USB나 노트북으로 옮겨지는 악성 행위를 막을 수 없어 EDR(행위 기반 탐지)이 필수가 되었습니다.
EDR도 HookChain 같은 기술로 우회될 순 있지만, 해킹 발생 시 ‘대응 시간’을 벌어주는 유일한 수단이라 도입해야 합니다.
네이버 광고 클릭, 해킹의 시작
최근 보안 업계에서 이슈가 되고 있는 이야기를 좀 해보려고 해요.
저도 기사를 찾아보다가 깜짝 놀랐는데, 북한 연계 해킹 조직인 코니가 네이버와 구글의 광고 시스템을 이용해서 악성코드를 퍼뜨렸다는 소식이 있더라고요.
이게 왜 심각하냐면, 우리가 평소에 믿고 쓰는 포털 사이트의 정상적인 광고 기능을 악용했기 때문이에요. 보통 우리는 백신 프로그램이 다 막아줄 거라고 생각하잖아요?
그런데 이번 공격은 기존의 백신이나 방화벽을 아주 가볍게 통과했다고 합니다.
그래서 오늘은 왜 이런 일이 벌어졌는지, 그리고 기업이나 조직에서 EDR(Endpoint Detection & Response) 솔루션을 왜 그렇게 강조하는지 제가 찾아본 내용을 바탕으로 정리해봤어요.
왜 이 문제가 터졌을까요?
사실 이 문제는 해커들의 공격 방식이 완전히 바뀌었기 때문에 시작된 거예요. 예전에는 그냥 악성 파일 하나를 메일에 첨부해서 보내는 식이었다면, 이번 코니 조직의 공격은 훨씬 치밀했어요.
제가 보안 전문 매체들의 분석 리포트를 읽어보니, 이들은 정상적인 광고 클릭 추적 시스템을 중간에 끼워 넣었다고 해요.
사용자가 광고를 클릭하면 광고 서버를 거쳐서 악성 파일이 내려오는데, 보안 장비 입장에서는 이게 ‘정상적인 광고 서버와의 통신’으로 보이니까 차단을 안 하는 거죠.
결국 해커가 내 PC 안으로 들어오는 문을 활짝 열어준 셈이 된 거예요.
이미 해커가 내 컴퓨터 안에 들어와서 활동을 시작했는데, 입구만 지키는 기존 백신은 “어? 아는 범죄자 얼굴이 아닌데?” 하고 그냥 지나쳐버리는 상황인 거죠.
이게 지금 우리가 겪고 있는 보안의 가장 큰 구멍입니다.
망분리만 믿어도 될까? (이득과 손해)
많은 분들이, 특히 공공기관이나 금융권에 계신 분들은 “우리는 망분리가 되어 있어서 인터넷망과 업무망이 따로 노니까 안전해”라고 생각하실 수 있어요.
저도 처음엔 그런 줄 알았거든요. 그런데 전문가들의 의견을 들어보면 상황이 좀 다릅니다. 제가 여기서 망분리만 믿었을 때의 맹점을 정리해봤어요. 제가 중요한 것만 딱 추려봤는데요,
□ 외부 접점의 취약성: 업무상 어쩔 수 없이 외부 인터넷을 써야 하는 노트북이나, 자료 이동을 위해 쓰는 USB를 통해 악성코드가 내부망으로 넘어옵니다.
□ 내부 확산 방지 실패: 일단 내부망으로 악성코드가 들어오면, 그 안에서는 무방비 상태가 됩니다. 망분리는 ‘외부에서 들어오는 것’을 막는 벽이지, ‘내부에서 돌아다니는 것’을 잡는 경찰은 아니거든요.
□ 탐지의 사각지대: 기존 백신은 파일의 ‘생김새(해시값)’를 보는데, 해커들은 매번 생김새를 바꿉니다.
결국 지금 상황에서 망분리만 고집하는 건, 도둑이 들어오지 못하게 대문은 철저히 잠갔는데, 정작 창문으로 들어온 도둑이 집 안에서 활개 칠 때는 아무런 대책이 없는 것과 같아요.
그래서 이 불안함을 줄이고, 만약 뚫리더라도 피해를 최소화하기 위해 EDR이라는 선택지가 등장하게 된 거죠.
EDR은 만능일까? (솔직한 제품 이야기)
그럼 EDR(엔드포인트 탐지 및 대응)을 설치하면 무조건 100% 안전할까요?
솔직하게 말씀드리면, 세상에 완벽한 방패는 없습니다. 보안 제품을 파는 사람들은 완벽하다고 말하고 싶겠지만, 현실적인 기술 블로그나 해커들의 포럼을 보면 EDR을 우회하는 기술도 계속 나오고 있어요.
제가 팩트를 체크해보니, 해커들은 다음과 같은 방식으로 EDR을 피하려고 시도합니다.
□ HookChain 기법: EDR이 감시하는 시스템 길목을 피해서, 직접 운영체제에 명령을 내리는 방식입니다. 감시 카메라의 사각지대로 걸어 다니는 것과 비슷하죠.
□ MockingJay: dll 파일을 이용해서 정상적인 프로그램인 척 메모리에 숨어 들어가는 기술입니다. EDR이 “어, 이건 정상 프로세스네”라고 착각하게 만드는 거죠.
□ BYOVD (Bring Your Own Vulnerable Driver): 일부러 취약점이 있는 드라이버를 설치해서, 그걸 통해 관리자 권한을 얻고 EDR을 꺼버리는 방식도 씁니다.
왜 EDR을 도입하라고 하는가?
“그럼 뚫리는데 왜 비싼 돈 주고 EDR을 써야 해?”라고 반문하실 수 있어요. 여기서 중요한 건 시간과 가시성입니다. EDR은 파일의 생김새가 아니라 행동을 봅니다.
예를 들어, 평범한 엑셀 파일이 갑자기 외부 서버랑 통신을 시도하거나, 갑자기 시스템 설정을 바꾸려고 하면 EDR이 “너 왜 평소 안 하던 짓을 해?”라며 즉시 관리자에게 알리고 프로세스를 죽입니다.
망분리 환경에서는 해커가 들어와서 100일 동안 정보를 빼가도 모를 수 있지만, EDR이 있으면 해커가 활동을 시작하는 순간 알람이 울립니다.
100% 막지는 못해도, 피해가 걷잡을 수 없이 커지기 전에 조기 진화를 할 수 있다는 게 핵심이에요. 이게 바로 지금 불확실한 보안 환경에서 우리가 선택할 수 있는 최선의 보험인 셈이죠.
Q&A, 여기서 제일 궁금한 거 있으시죠?
보안 담당자나 결정권자분들이 현실적으로 가장 많이 고민하는 부분을 제가 대신 질문하고 답변을 정리해봤습니다.
A. 아니요, 둘은 역할이 다릅니다.
백신은 이미 알려진 도둑을 문 앞에서 잡는 역할이고, EDR은 몰래 들어온 도둑의 행동을 감시하는 역할입니다.
둘 다 있어야 상호 보완이 됩니다.
A. 예전 초기 제품들은 그런 이슈가 있었는데, 최근 SentinelOne이나 CrowdStrike 같은 클라우드 기반 EDR이나, 국내의 Genian EDR 같은 제품들은 에이전트를 경량화해서 PC 성능에 큰 영향을 주지 않도록 설계되었습니다.
A. 예산이 한정적이라면 선택과 집중을 하세요.
모든 PC에 다 깔기보다는, 해킹 당했을 때 타격이 큰 서버, 임원진 PC, 그리고 외부 인터넷을 자주 쓰는 홍보/마케팅팀 PC부터 우선 적용하는 것이 효율적입니다.
A. 이번 코니나 라자루스 같은 조직은 국가 기관뿐만 아니라, 암호화폐 거래소, 방산 업체, 심지어 일반 기업의 개인 정보까지 노립니다.
네이버 광고를 건드렸다는 건, 불특정 다수 누구나 타겟이 될 수 있다는 뜻이니 방심하면 안 됩니다.
[관련 자료] IT Archives – 이끼 블로그
