사이버 근무 환경, 과연 브라우저 보안 공격에 안전한가?

보안은 예전에는 꽤 간단했습니다. 기업은 견고한 데이터 센터 앞에 강력한 외곽 방어를 구축하고 네트워크 진입점을 보강하여 악의적인 행위자들이 접근하지 못하도록 보장했습니다. 그 뒤, 몇십 년 전 인터넷에 연결된 데스크톱 컴퓨터들이 등장하면서, 위협 표면이 엔드 디바이스로 확장되었습니다. 브라우저 자체는 기능이 제한적이어서 큰 공격 대상이 아니었습니다. 악의적인 행위자들이 이용할 수 있는 것이 그리 많지 않았습니다. 그래서 기업들은 VPN, 방화벽, 샌드박스, 백신 및 엔드포인트 탐지 및 대응 (EDR)과 같은 네트워크 및 엔드포인트 보안에 초점을 맞춘 보안 솔루션에 의존하기로 했습니다.

지난 몇 년간 기업 응용 프로그램들이 데이터 센터에서 SaaS (Software as a Service) 플랫폼 및 공개 클라우드 인프라로 분산되면서, 구글, 마이크로소프트 및 새로운 브라우저 플레이어들과 같은 개발자들에게 고급 기능을 갖춘 브라우저를 더욱 강화해야 한다는 압박이 생겼습니다.

하지만, 네트워크 보안에 대한 이러한 투자는 브라우저를 보호하기 위한 것이 아니었습니다. 대신, 엔드포인트 보안이 이를 보완해야 했습니다. 그러나 브라우저가 점점 더 복잡해지면서, 악의적인 행위자들은 이러한 기능들을 이용하는 새로운 혁신적인 방법을 찾고 있습니다. 원격근무 정책이 추가되면서, 브라우저에 대한 압력이 더해져서, 점점 더 복잡한 위협 행위자들을 대응하지 못하고 있습니다.

오늘날 업무의 75% 이상이 브라우저에서 이루어지는 것을 감안하면, 위협 행위자들이 브라우저를 대상으로 하는 동기가 더욱 강해질 수밖에 없습니다. 버라이즌 2022 데이터 침해 조사 보고서에 따르면, 이제는 90% 이상의 침해 사례가 브라우저를 통해 발생하고 있습니다.

경직화된 데이터 센터 주위에 견고한 둘레 방어선을 구축하는 시대는 이미 지나갔습니다. 기업 보안팀에서는 브라우저 보안이 최우선 과제여야 합니다.

고도로 회피적인 위협이 증가하고 있습니다.

디지털 트랜스포메이션, 하이브리드 업무 정책, 클라우드 마이그레이션으로 인해 위협 표면이 확대되면서, IT 보안팀은 브라우저를 보호하기 위해 가능한 모든 조치를 취해야 합니다. 하지만, 탐지-응답 방식에만 의존하는 전통적인 보안 솔루션은 오늘날 매우 복잡한 위협에 대처하기에는 부적합합니다. 오늘날 악성 행위자들은 고도로 회피적인 적응 위협(HEAT)을 활용하여 브라우저 보안을 우회하고, 엔드포인트에서 초기 침투를 일으키며, 더 매력적인 기업 대상을 찾아 때가 적절할 때 공격합니다.

회피적인 기술은 이메일 이외의 채널에서의 피싱 공격, 신뢰할 수 있는 파일 유형으로 악성코드 배포, 사용자들이 악성 링크를 클릭하도록 인간의 본성을 이용하고, 파일 분석 도구를 피하기 위해 방화벽 반대편에서 파일을 재구성하는 것을 포함합니다.

다음은 실제 세상에서 이러한 회피 기술들의 세 가지 대표적인 예시입니다:

1. 옥타퍼스

이미 악명 높은 피싱 캠페인에서, 랜섬웨어 그룹인 옥타퍼스는 사용자들이 자신의 자격증명을 제공하도록 속이기 위해 놀라움과 속도에 의존했습니다. 공격은 옥타 고객들을 대상으로 하며, 사용자들에게 텍스트 메시지나 이메일을 보내 가짜 옥타 인증 페이지로 이어지는 링크를 제공합니다. 링크를 클릭하면 희생자들은 자신의 사용자 이름, 비밀번호 및 2FA 코드를 온라인 양식에 입력하도록 요구됩니다. 이는 위협 주체들이 MFA를 우회하는 방법의 하나의 예입니다. 고유 코드나 푸시 알림이 만료되기 전에 네트워크로 침투하기 위해서, 일반적으로 두 분 이내에, 공격자들은 신속히 움직여야 했으며, 아마도 자신들의 도구들을 실시간으로 모니터링하면서 이미 점유한 자격증명을 즉시 이용했을 것입니다.

보안 도구들이 이미지, 글꼴 및 스크립트를 공유하는 사기적인 도메인을 탐지한 속도는 옥타퍼스를 저지하기에 충분하지 않았습니다. 이 그룹은 거의 실시간 속도로 작동하며, 위협을 완화하기 전에 그들의 페이로드를 전달하고 데이터를 추출했습니다. 속임수로서의 로그인 페이지가 식별되고 차단되었을 때도, 랜섬웨어 그룹은 조직 내에서 더 많은 개인들을 대상으로 새로운 도메인을 빠르게 생성했습니다. 블랙리스팅, URL 필터링 또는 피싱 교육과 같은 전통적인 보안 조치들은 공격자들이 초기 접근을 획득하는 것을 막기에 충분하지 않았습니다.

Menlo Labs 연구팀의 Oktapus 위협 캠페인에 대한 자세한 내용을 더 살펴보세요.

2. Lazarus Group

또한 북한의 Lazarus Group은 인기 있는 브라우저에서 제로데이 취약점을 이용하여 악성 소프트웨어 및 랜섬웨어를 설치하는 방식을 채택했습니다. 사용자는 먼저 알려지지 않은 또는 이전에 안전하다고 판단된 침해당한 웹사이트로 유인되었습니다. 대부분의 탐지 및 대응 접근법은 사용자의 생산성을 방해할 우려로 인해 미분류 웹사이트를 차단하지 않습니다. 또한 이미 안전하게 분류된 웹사이트가 나중에 침해되어 침입의 또 다른 경로가 제공되었습니다. 더욱이, 악성 파일은 비밀번호로 보호되어 파일 분석 도구에서 차단되었습니다. 비밀번호 없이 이 파일의 내용을 분석할 수 있는 방법이 없기 때문에 파일 분석 도구는 일반적으로 모든 비밀번호로 보호된 파일을 차단하지 않고 생산성을 저해하지 않습니다. 이 브라우저 보안 점검을 통과한 후에는 악성 행위자가 네트워크 전체에 퍼지는 것이 자유롭습니다.

Menlo Labs 연구팀에서는 이 캠페인을 인기 있는 해당 기사에서 자세히 설명하고 있습니다.

3. Qakbot

Qakbot, 또는 QBot 또는 Pinkslipbot으로도 알려진 이 프로그램은 전 세계에서 주요한 뱅킹 트로이 목마가 되었습니다. 주요 목적은 뱅킹 자격 증명 (예 : 로그인, 비밀번호 등)을 도용하는 것이지만, 금융 업무를 감시하고 자가 전파 및 랜섬웨어를 설치하여 침해된 기업에서 수익을 극대화하는 기능을 획득했습니다. Lazarus Group과 마찬가지로 Qakbot은 여러 평판 회피 기술을 사용하여 최근 침해된 웹 사이트를 방문하고 악성 파일을 다운로드하도록 사용자를 유도합니다. Menlo Labs 연구 팀은 감지 기반 보안 기술로 검사할 수 없도록 비밀번호로 보호 된 ZIP 파일을 통해 악성 링크가 전송되는 것을 관찰했습니다. 링크를 클릭 한 후, 악성 페이로드는 HTML 스며들기를 통해 전달됩니다. 이 기술은 악성 코드를 HTML 페이지에 숨기고 방화벽을 이미 통과 한 후에 최종 사용자 장치에서 악성 코드를 재구성하여 브라우저 보안 조치를 우회하는 HEAT 기술입니다.

Qakbot 캠페인에 대한 자세한 내용은 여기에서 확인하실 수 있습니다.

현재의 상황에서 진화

보편적인 브라우저 취약점을 악용하는 악성 주체들은 점점 더 똑똑해지고 있습니다. 이제는 감지 및 대응 접근 방식에 의존하는 전통적인 보안 솔루션을 우회하기 위해 고도로 회피적인 기술을 사용합니다. Oktapus, Lazarus Group, Qakbot은 취약한 종단점에서 최초 침투를 시도하고 가치 있는 대상을 찾아 네트워크를 가로지르며 위협을 탐지하지 못하도록 하는 방법의 세 가지 예시입니다. 전통적인 탐지 기반 보안 접근 방식은 간단히 말해서 작동하지 않으며, 보안 스택에 대한 많은 투자가 기업에서 실패하고 있습니다. 이러한 공격을 사전에 막으려면 기존 탐지 기능 위에 예방적인 보안 계층이 필요합니다.

하나의 고려사항은 격리 기술입니다. 모든 컨텐츠가 클라우드의 가상 레이어에서 실행되도록하여 잠재적인 위협이 종단점에 전혀 가까이하지 않도록하면서 위협을 방지할 수 있습니다. 이미 존재하는 네트워크 및 종단점 보안 솔루션을 우회하며, 더욱 회피적인 위협에 대응하기가 점점 어려워지고 있기 때문에 이러한 방식이 필요합니다.