Too hot to handle: 새로운 근무 환경이 더많은 HEAT 공격에 노출되는 이유

현재 처리하기 어려울 정도로 사이버 위협이 빠르게 변화하고 있습니다. 우리가 아무런 준비를 하지 않은 채로도, 수천 가지의 과거나 새로운 사이버 위협 중 어느 하나가 어느 순간 공격의 주류가 될 수 있습니다. 이러한 위협들을 따라잡기만 해도 힘들고 겁먹는 일이라고 할 수 있습니다. 왜냐하면 디지털 변형 프로젝트의 가속화로 인해 사용자, 데이터, 핵심 비즈니스 애플리케이션이 클라우드로 이동하였기 때문입니다. 사실 현재의 기업 네트워크는 기업에 많은 규모와 기회를 제공하지만, 동시에 사이버 위협 주체들에게는 더 큰 공격 기회를 제공하고 있습니다.

현재 처리하기 어려울 정도로 사이버 위협이 빠르게 변화하고 있습니다. 우리가 아무런 준비를 하지 않은 채로도, 수천 가지의 과거나 새로운 사이버 위협 중 어느 하나가 어느 순간 공격의 주류가 될 수 있습니다. 이러한 위협들을 따라잡기만 해도 힘들고 겁먹는 일이라고 할 수 있습니다. 왜냐하면 디지털 변형 프로젝트의 가속화로 인해 사용자, 데이터, 핵심 비즈니스 애플리케이션이 클라우드로 이동하였기 때문입니다. 사실 현재의 기업 네트워크는 기업에 많은 규모와 기회를 제공하지만, 동시에 사이버 위협 주체들에게는 더 큰 공격 기회를 제공하고 있습니다.

랜섬웨어가 조직에 미치는 파괴적이고 오랜 기간 피해를 줍니다. 하지만 더 큰 문제는 모든 이러한 사이버 보안 노력에도 불구하고, 랜섬웨어가 여전히 전통적인 방어 체계를 통과한다는 점입니다.

오늘날 조직들은 사용자들의 화면에 랜섬 요구가 나타나는 날을 두려워하고, 민감한 정보를 보호하기 위해 데이터 센터를 백업하여 대비합니다. 랜섬웨어는 우리가 주의 해야할 요주 대상입니다. 그러나 조직들은 공격이 첫째로 발생할 수 있는 영역에 대한 방향성을 잃어버렸습니다.

주요 공격으로 중심에선 랜섬웨어

랜섬웨어 공격은 모든 기업, 소비자 및 장치에 영향을 미치는 가장 빠르게 증가하는 사이버 범죄 유형입니다. 미국 법무부의 보고에 따르면, 2016년 이후 미국에서는 매일 4,000건의 랜섬웨어 공격이 있었습니다. 사이버보안 기업인 Cybersecurity Ventures의 추산에 따르면, 2021년에는 랜섬웨어가 11초마다 기업에 영향을 미치며, 공격 빈도는 2032년까지 2초마다 가속화될 것으로 예상됩니다. 이는 2021년에는 랜섬웨어로 인한 비용이 200억 달러에 이를 수 있으며, 2031년까지는 최대 2,650억 달러까지 증가할 수 있다는 것을 의미할 수 있습니다.

이러한 공격 중 대다수는 피싱 메시지를 통해 공격이 시작됩니다. 버라이즌의 2021년 데이터 유출 조사 보고서(DBIR)에 따르면, 지난 1년 동안 유출 사고에서 가장 많이 나타나는 “행동 유형”은 피싱입니다. 게다가, 유출 사고의 43%는 피싱 및/또는 전제작법(pretexting)과 관련이 있습니다. 대략 96%의 피싱 메시지는 이메일을 통해 도착하는 경향이 있으며, 악성 PDF 파일과 Microsoft Office 파일이 포함되어 있습니다. 이러한 파일 유형은 현대적인 업무 환경에서 널리 알려져 있고 신뢰되기 때문에 오늘날의 위협 주체들에게는 선호되는 전달 수단입니다.

랜섬웨어 공격이 계속해서 기업, 정부 기관 및 일반인들을 전 세계적으로 괴롭히고 있는 가운데, 위협 주체들은 손을 놓지 않고 있습니다. 해커들에게 공격이 효과가 있다면, 랜섬웨어 역시 계속 공격을 멈추지 않을 것입니다. Darkside, Nobelium, Conti 그리고 이제는 사라진 REvil과 같은 위협 그룹들은 여러 차례에 걸쳐 성공을 거두어 그들에게 수백만 달러의 이익을 안겨주었습니다. 랜섬웨어 공격과 관련된 평균 금전적 요구액은 20만 달러입니다.

또한 현재 해커 그룹만이 이러한 공격을 하는것이 아닙니다. 랜섬웨어 서비스(RaaS) 덕분에 이미 개발된 랜섬웨어 도구를 활용하여 공격을 발동할 수 있는 구독 기반 모델로, 보안 회사 Sophos가 분석한 랜섬웨어 공격의 60%가 RaaS 그룹에 속한 것으로 파악되었습니다.

워싱턴 포스트의 분석에 따르면, 2019년부터 2020년까지 랜섬웨어 공격이 두 배 이상 증가했습니다. 그리고 이는 진정한 판도라의 상자가 열리기 전의 수치입니다. COVID-19 세계 대유행 이후에는 완벽한 폭풍이 형성되어 위협 주체들에게 디지털 문을 열고 위협 시장의 진화를 초래했습니다.

HEAT 공격의 증가

전 세계적으로 모든 직원들이 2020년에 원격으로 근무하게 된 이후, 조직들은 앱과 서비스를 클라우드로 이전하여 어느 직원이든 웹 브라우저를 사용하여 필요한 작업을 언제 어디서든 수행할 수 있는 새로운 비즈니스 모델로 신속히 전환할 수 있었습니다. 사무실은 사실상 브라우저가 되어 원격으로 작업하는 사람들에게 다양한 자원의 세계를 열어주었습니다. 그 이후로 Google은 직원들이 근무일의 평균 75%를 웹 브라우저를 사용하여 보내고 있다고 보고했습니다.

또한 원격 및 혼합 근무가 일상이 되면서 소프트웨어 서비스(SaaS) 애플리케이션의 폭발적인 증가가 있었습니다. 최근 연구에 따르면, 2021년 말까지 조직의 99%가 하나 이상의 SaaS 솔루션을 사용할 것으로 예상되며, 거의 78%의 소규모 기업이 이미 SaaS 옵션에 투자하였습니다.

오늘날 사용자들은 자신의 데이터와 애플리케이션을 모두 클라우드에서 찾을 수 있습니다. 클라우드에서 이루어지는 모든 작업들이 진행되는 동안, 전통적인 보안 스택에 여전히 매우 의존하는데, 이런 보안 스택들은 클라우드에 위치하지 않습니다. 웹 브라우저는 취약점을 해결하기 위해 지속적으로 업데이트되고 있으며, SaaS 애플리케이션은 공격 표면을 더욱 확장시키고 있습니다. 그 결과로 보호해야 할 분산된 작업 및 데이터가 더 많아지고 있습니다. 해커들은 이러한 패러다임 변화를 이해하고, 랜섬웨어, 압박 소프트웨어 및 기타 엔드포인트 침해를 시작하기 위한 방법으로 Highly Evasive Adaptive Threats(HEAT)를 생성하여 적용하고 있습니다.

HEAT 공격은 2020년 SolarWinds 공급망 공격을 주도한 러시아 정부의 조직인 Nobelium과 같은 잘 알려진 위협 그룹들에 의해 적극적으로 활용되고 있습니다. 2021년 7월부터 10월까지만 해도 수천 건의 공격이 이루어졌습니다. 또한, Gootloader 캠페인은 HEAT 공격의 또 다른 전형적인 예로, SEO 포이즈닝을 활용하여 감염된 웹사이트들의 고수준 페이지 순위를 생성합니다. 이 특정 캠페인은 REvil 랜섬웨어를 전달하는 데 알려져 있습니다.

HEAT 공격으로 인한 영향

HEAT 공격은 웹 브라우저를 공격 벡터로 활용하며, 현재의 보안 스택에서 여러 겹의 탐지층을 우회하기 위해 다양한 기술을 사용하는 사이버 위협 유형입니다. 이로 인해 HEAT 기반 공격은 전통적인 웹 보안 조치를 우회하고, 웹 브라우저 기능을 활용하여 악성 소프트웨어를 전달하거나 자격증명을 침해하는 데 사용됩니다. 많은 경우, 이는 랜섬웨어 전달로 이어집니다.

Menlo Labs 팀은 50만 개 이상의 악성 URL을 분석한 결과, 그 중 69%가 HEAT 전술을 활용한다는 결론을 도출했습니다. 또한, 팀은 2021년 하반기에 HEAT 공격이 224% 증가했다는 것을 관찰했습니.

위협 주체들은 새로운 도구를 개발하는 대신 대상 환경에 적응하여 악성 콘텐츠를 엔드포인트로 전달할 수 있습니다. 최근 웹 기반 위협에서 볼 수 있듯이, 공격자들은 브라우저 환경 내에서 사용 가능한 합법적인 기능과 도구를 악성 페이로드를 엔드포인트로 전달하는 데 이용하고 있습니다. Astaroth 금융 트로이목마가 그 대표적인 예입니다. 이 트로이목마는 HTML 스며들기를 활용하여 네트워크 기반 탐지 솔루션을 통과시키며 악성 페이로드를 숨기고 있습니다.

과거에는 Astaroth가 엔드포인트에서 실행된 후, 엔드포인트 내에서 사용 가능한 합법적인 도구와 프로그램을 활용하여 악성 행동을 수행하는 위협으로 알려져 왔습니다. 하지만 Astaroth 주체들은 이제 엔드포인트 이상의 한 단계를 나아가서 HTML 스며들기를 사용하여 브라우저에 동일한 전술을 적용하고 있습니다. HTML 스며들기는 합법적인 HTML5/JavaScript 기능을 이용하여 악성 페이로드를 엔드포인트에 접근하도록 합니다. 이 새로운 접근은 현대에 새로나오는 위협이 환경에 적응하고 있다는 것을 보여줍니다.

최근 몇 달 동안 HEAT 공격의 속도, 규모 및 복잡성이 증가하고 있습니다. 악의적인 주체들은 업무와 개인용 컴퓨터 사용 간의 경계가 흐려지는 원격 작업으로 인한 최근 변화를 악용하고 있습니다. 또한, 지난 10년간의 네트워크 보안을 고려할 때, 유일한 실질적인 진보는 샌드박스(Sandbox)인데, HEAT 공격에 대해서는 완전히 사용되지 않는 도구입니다. 왜냐하면 샌드박스는 운영 체제 수준의 활동을 기반으로 악성 콘텐츠를 모니터링하고 식별하기 때문입니다.

HEAT 공격은 현재의 전통적인 보안 스택의 다양한 계층을 우회하는 방식으로 구성됩니다. 이러한 공격은 이러한 계층을 쉽게 침투하고, 웹 브라우저에 도달하여 엔드포인트나 최종 사용자 앞에서 실행됩니다. HEAT 공격은 10년 이상의 보안 기술 투자를 완전히 효과 없게 만듭니다.

오늘날의 보안 스택의 실패이유

HEAT 공격의 경우, 브라우저에 도달하기 이전에 적용되는 모든 보안 방어 메커니즘은 무력해집니다. 이에는 Secure Web Gateway (SWG)의 악성코드 엔진 및 샌드박스에 의한 파일 검사, 네트워크 및 HTTP 수준의 검사, 악성 링크 분석, 오프라인 도메인 분석, 위협 지표 (IOC) 피드 등이 포함됩니다. HEAT 공격은 이러한 전통적인 탐지 방법을 모두 우회하여 기업의 기술 투자가 완전히 효과 없게 만듭니다. 그러나 HEAT의 특성은 합법적인 용도도 가지고 있기 때문에, 기관들은 차단 능력에만 의존할 수 없으며, 대신 특정 기법의 악성 사용을 방지할 수 있어야 합니다.

웹 보안의 단점을 메우기 위해 엔드포인트 보안에 의존하는 것은 신뢰할 수 없습니다. 확장된 기능을 제공하는 엔드포인트 탐지 및 대응 (EDR) 시장이 확대되고 있지만, HEAT 공격에 대한 보호는 보장되지 않습니다. 엔드포인트 보안은 위협이 엔드포인트에 도달한 후에만 감지할 수 있습니다. 그때에야 네트워크가 침해되었다고 가정해야 합니다. 또한, 엔드포인트 보안은 비관리 장치의 감염으로부터 보호할 수 없으며, 보안 운영 센터 (SOC) 팀이 조사해야 하는 대량의 경고를 초래하여 경고 피로를 야기할 수 있습니다.

현재의 보안 아키텍처는 여전히 철저한 방어 기능을 제공해야 하지만, 아키텍처의 모든 구성 요소가 조화롭게 작동하여 조직에 완전하고 원활한 보호 효과를 제공해야 합니다. 최근 몇 년간 네트워크 보안 능력은 점점 덜 효과적이 되어, 엔드포인트와 SOC에 더 큰 압력을 가하고 있습니다. 주요 통신 벡터를 통해 네트워크 보안 스택에 예방적인 조치를 도입함으로써, 조직은 엔드포인트 침해에 대한 압력이 크게 줄어들고, SOC 팀이 조사하고 탐지해야 하는 경고도 적어질 수 있는 큰 이점을 얻을 수 있습니다.

감염 벡터: HEAT 공격의 원인은 무엇입니까?

HEAT 공격으로 분류되려면 위협이 레거시 네트워크 보안 방어를 우회하는 다음 네 가지 회피 특성 중 하나 이상을 활용해야 합니다.

HEAT 공격은 종종 HTML 스머글링 및/또는 웹 브라우저 환경 내에서 JavaScript 기반의 속임수를 사용하여 악성 페이로드를 엔드포인트로 전달합니다. 이러한 방법을 통해 악성 파일이 브라우저 내에서 생성되며, 검사될 수 있는 원격 파일 요청 없이 악성 소프트웨어가 전송되며 기존의 방화벽 및 네트워크 보안 솔루션, 즉 샌드박스 및 레거시 프록시에서도 우회합니다. 더욱이, SWG 정책에 의해 차단되어야 할 파일 형식이 사용자의 개입 없이도 엔드포인트에 도달할 수 있습니다.

Menlo Labs 팀은 위협 행위자들에 의한 HTML 스머글링의 급증에 대한 광범위한 분석을 수행해왔습니다. 최근에는 ISOMorph라는 새로운 캠페인을 발견했는데, 이 캠페인은 인기있는 Discord 메시징 앱을 악성 페이로드를 호스팅하기 위해 이용했습니다. 해당 캠페인은 “다운로드 가능한 BLOB” 전술을 활용하여 브라우저에서 파일을 구성하고 사용자 개입 없이 엔드포인트로 다운로드했습니다. Discord는 현재까지 3억 명 이상의 등록 사용자가 있어 이 캠페인은 광범위하게 전파되었습니다.

위 내용은 HEAT 공격에 대한 설명으로, 악성 페이로드를 웹 브라우저를 통해 전달하는 HTML 스머글링 및 JavaScript 속임수를 활용하는 것을 강조하고 있습니다. 이러한 공격은 기존의 방화벽 및 네트워크 보안 솔루션을 우회할 수 있어 조직에 큰 위협이 됩니다.

이메일 회피 보안 도구

HEAT 공격은 이메일 경로에 전통적으로 구현되는 악성 링크 분석 엔진을 회피합니다. 이는 링크가 엔드포인트 사용자에게 도달하기 전에 분석될 수 있는 이메일 경로에서 이루어집니다. HEAT 공격에서는 이메일 외부의 소셜 미디어, 전문 웹 네트워크, 협업 애플리케이션, SMS, 공유 문서 등과 같은 커뮤니케이션 채널을 통해 사용자에게 악성 링크가 대상화되어 전송됩니다. 이러한 악성 링크는 기업의 엔드포인트에 악성 소프트웨어를 전달하기 위해 개인용이 아닌 기업 자격증명을 도용하는 데 사용되며, 이로써 기업 보안을 우회합니다.

최근의 사이버 위협 캠페인에서 공격자들은 LinkedIn의 비즈니스 전문가들을 대상으로 스피어피싱 전술을 활용했습니다. 이들은 플랫폼의 다이렉트 메시징 기능을 통해 가짜 취업 제안을 제시하면서 악성 링크를 사용하여 사용자들을 백도어 트로이목마로 감염시켰습니다. 이 백도어 트로이목마는 공격자들에게 피해자의 컴퓨터를 완전히 원격으로 제어할 수 있는 권한을 제공했습니다. 이 스피어피싱 공격은 이메일 경로에 나타나지 않았으며, 이곳에서 발생할 수 있는 어떠한 분석도 회피했습니다.

HTML smuggling와 함께 공격이 결합되면 파일과 다운로드되는 내용을 분석하는 샌드박스는 잠재적인 위험에 대해 알지 못합니다. 샌드박스는 HTML 페이지를 감지하고 분석하지만, 네트워크 보안 제어 지점을 통과한 후 브라우저 내에서 파일이 동적으로 생성되는 것을 감지하지 못합니다.

URL 회피 보안 도구

HEAT 공격은 정상적인 웹 사이트를 이용하여 웹 분류 시스템을 우회합니다. 공격자들은 기존의 정상적인 웹 사이트를 침해하거나 새로운 웹 사이트를 생성함으로써 이를 실현합니다. 이러한 전략은 Menlo Labs 팀에 의해 “레거시 URL 평판 회피 (LURE)”라고 명명되었습니다.

침입한 또는 새로 생성한 정상적인 웹 사이트를 활용함으로써 공격자들은 자신들의 악의적인 활동을 이러한 웹 사이트의 정상적인 트래픽 안에 숨길 수 있습니다. 이는 보안 솔루션이 악의적인 콘텐츠를 효과적으로 탐지하고 차단하는 데 어려움을 줍니다. 공격자들은 목표를 달성한 후에는 웹 사이트를 원래의 내용으로 복원하거나 완전히 제거하여 악의적인 활동의 흔적을 최소화합니다.

Menlo Labs 팀은 2020년부터 2021년까지 LURE 전술을 활용하는 웹 사이트가 137% 이상 증가한 것을 관찰했으며, 2019년부터 2021년까지는 958%까지 크게 증가했습니다. 악의적인 웹 사이트는 수명이 짧기 때문에 웹 사이트 분석과 분류를 우회하며, 이미 늦어진 시점에만 침해 지표(IOC)로 나타납니다. 이로 인해 적절한 대응이 이루어질 때는 이미 늦어버린 상황이 됩니다.

또한, 최근에 발견된 Log4j라는 애플리케이션에서 오류 메시지를 기록하기 위한 Java 라이브러리에 있는 심각한 인터넷 제로데이 공격은 좋은 웹 사이트의 악용을 더욱 증가시킬 수 있습니다. Log4j를 활용하는 웹 사이트의 수가 많기 때문에, 위협 행위자들은 이 증가한 기회를 활용하여 웹 사이트를 더욱 침해하고, 그들을 악의적인 목적으로 사용할 것입니다.

비슷한 내용으로, Menlo Labs는 SEO 독랍을 사용하는 활성 위협 캠페인인 SolarMarker를 조사했습니다. 이 캠페인은 저조한 인기를 가진 다수의 웹사이트를 침해하여 악성 콘텐츠로 감염시킴으로써 시작되었습니다. 그런 다음 위협 행위자들은 이러한 웹사이트의 순위를 인위적으로 높여서 악성 콘텐츠가 많은 사용자에게 전달되도록 했습니다. 이러한 웹사이트로의 접근은 오프라인 분석 엔진이 웹사이트를 악성으로 분류하기 전에 SWG(Secure Web Gateway)에서 허용되었습니다.

SolarMarker는 취약한 웹사이트를 이용하여 캠페인을 시작하는 공급망 공격의 완벽한 예입니다. 이 경우, 공격자들은 기업의 브라우저 사용 증가와 함께 클라우드 기반 응용 프로그램 사용 증가를 악용하는 방법을 찾았습니다.

HTTP content/page 분석 회피

HEAT 공격에서는 브라우저에서 자바스크립트에 의해 생성된 악성 콘텐츠, 예를 들어 브라우저 취약점, 암호화폐 채굴 코드, 피싱 키트 코드, 알려진 브랜드 로고를 모방한 이미지 등이 렌더링 엔진을 통해 생성됩니다. 이로 인해 웹 페이지 실행이나 렌더링 이전의 탐지 기법은 무용지물이 됩니다.

Menlo Labs는 악의적인 목적으로 가장 많이 사칭된 브랜드로 Microsoft, PayPal, 그리고 Amazon으로 관찰했습니다.

따라서, 이러한 HEAT 공격은 웹 페이지 소스 코드와 HTTP 트래픽을 검사하는 정적 시그니처로부터 탐지를 피합니다. 자바스크립트의 난독화는 종종 사용되며, 이는 보안 연구원과 탐지 엔지니어 모두에게 부담을 증가시킵니다.

자바스크립트는 거의 모든 웹사이트에서 사용되는 범용 클라이언트 측 스크립트 언어이기 때문에, 위협 행위자들은 당연히 이를 자신들의 이점으로 활용합니다. HP Threat Research 팀의 최근 분석에 따르면, 비슷한 자바스크립트 난독화를 활용하여 원격 액세스 트로이 목마를 전달하여 민감한 데이터를 유출하고 감염된 장치를 제어하는 위협 캠페인이 발견되었습니다. RATDispenser라고 불리는 자바스크립트 로더는 감지율이 낮은 자바스크립트 첨부 파일을 사용하였습니다.

HEAT 공격 대비하기

HEAT 공격의 감염 경로는 수년간 기업에게 문제를 일으켜 왔으며, 최근 클라우드 이전의 가속화 및 원격 작업의 확산으로 인한 위협 시장의 진화로 인해 이러한 공격은 오늘날 기업에 가장 큰 위협을 제공합니다. 앞에서 언급한 것처럼, Secure Web Gateway, 샌드박스, URL 평판, 필터링을 포함한 모든 전통적인 보안 기능은 HEAT 공격에 대해 효과적이지 않습니다. 문제는 HEAT 특징이 합법적인 용도를 갖고 있기 때문에, 간단히 차단하는 것만으로는 해결되지 않습니다. 이러한 특징들의 사용을 방지하는 것이 중요합니다.

지식근로자들은 생산성을 유지하기 위해 웹 브라우저에 대한 큰 의존성을 가지고 있습니다. 작업이 이루어지는 곳이기 때문에, 앞으로 가장 큰 보안 위협은 웹 브라우저에서 발생할 것입니다. 그러나 하나는 분명합니다 – 오늘날 대부분의 보안 스택은 이러한 위협에 대해 보호할 수 없습니다.

현대 비즈니스는 사이버 보안에 대한 접근 방식에 있어서 현재의 편안함을 벗어나야 할 필요가 있습니다. 이는 지난 10년 동안 크게 변하지 않은 웹 보안에 대한 기존의 신념에 대해 의문을 제기하는 것을 의미합니다. 위협을 감지하고 대응하는 개념에만 근거한 보안 전략은 이미 패배를 받아들였습니다. 기업은 위협 예방을 우선시해야 합니다.

현대적인 작업 환경을 안전하게 보호하기 위해서는 현대적인 보안이 필요합니다. 심도 깊은 방어와 함께, 오늘날의 예방적인 보안는 생산성이 발생하는 곳을 보호하기 위해 제로 트러스트(Zero Trust) 접근 방식을 채택하는 것을 포함합니다. 이것이 기업이 현재 원격 및 하이브리드 직원을 위해 적합한 주요 보안 기술 구성 요소를 갖춘 안전한 액세스 서비스 엣지(Secure Access Service Edge, SASE) 프레임워크를 점점 더 채택하는 이유입니다.

보안은 사용자, 애플리케이션 및 데이터에 가까운 위치에 적용될 때 가장 효과적입니다. SASE는 기본적으로 연결성과 보안 스택을 통합하고 이를 엣지로 이동시킵니다. 실질적인 의미에서 SASE는 한 때 데이터 센터의 여러 장비 내부나 퍼리미터의 지점 위치에 존재했던 전통적인 보안 스택을 클라우드로 통합된 통합 스택으로 가져옵니다. 이를 우리가 SASE 보안이라고 부릅니다.

SASE Security와 Zero Trust 마인드셋의 결합은 모든 콘텐츠가 의심되고 기업의 보안 제어에 따라 처리되어야 함을 보장하여, 오늘날의 네트워크 보안 스택의 과거적인 결함을 해결하고 결과를 실질적으로 변화시키는 참으로 예방적인 보안 접근 방식을 제공합니다.