“기존 보안으론 못막아”… 잇단 대형 해킹에 ‘스텔스 위협’ 대응 촉구

최근 문제가 된 스텔스형 악성코드
기존 방화벽, 침입방지시스템으로 못막아
보안업계 “행위 기반 탐지 중심의 NDR 체계로 바꿔야"

[이데일리 김현아 기자]SK텔레콤과 콜센터 운영사의 개인정보 해킹 사고가 연이어 발생하면서, 사이버 보안의 허점이 도마 위에 올랐다. 특히 이번 공격은 탐지가 거의 불가능한 ‘스텔스형 위협’으로 알려지며, 기존 보안 체계만으로는 방어가 어렵다는 지적이 나오고 있다.

전문가들은 실시간 네트워크 행위 분석을 기반으로 한 차세대 보안 시스템(NDR: Network Detection and Response) 도입이 시급하다고 강조한다.

5월 1일부터 엿새간 이어지는 황금연휴를 앞둔 30일 인천국제공항 제1여객터미널 SK텔레콤 로밍센터에서 출국자들이 유심 교체를 위해 대기하고 있다.(사진=연합뉴스)

“해킹 감지조차 못했다”…유심·인사 시스템 뚫려

SK텔레콤은 지난 4월, 유심(USIM) 서버가 BPFdoor·Symbiote 악성코드에 감염돼 가입자 식별번호(IMSI), 전화번호(MSISDN), 인증 키 등 보안 정보가 유출됐다.

단말기 고유식별번호인 IMEI는 유출되지 않아 복제폰을 만들어 내 통장 정보까지 들여다 보기는 어렵지만, 유심보호서비스에 가입하지 않을 경우 통화·문자·인증코드가 해커에 의해 가로채일 위험은 있다.

같은 날, 한 콜센터 운영 기업도 해킹 피해를 입었다. LummaC2라는 악성코드가 인사 시스템을 공격해 임직원 및 퇴사자 3만6000명의 개인정보가 다크웹에 유출됐다. 신분증, 통장 사본, 가족관계증명서 등 민감한 서류들이 암호화 없이 노출돼 2000만원에 거래 중이라는 사실도 알려졌다.

“BPFdoor·Symbiote 등은 탐지 우회용”…스텔스형 위협 본격화

사이버보안 전문기업 씨큐비스타는 “이번에 사용된 BPFdoor, Symbiote, LummaC2는 모두 보안 탐지를 우회하도록 고도로 설계된 스텔스형 악성코드”라고 분석했다.

BPFdoor는 특정 ‘매직 패킷’을 수신해야만 작동하는 포트리스(portless) 백도어로, 방화벽과 침입탐지시스템(IDS)·침입방지시스템(IPS)을 모두 우회한다.

Symbiote는 리눅스 시스템의 정상 프로세스에 기생하는 루트킷. 로그 조작도 가능해 포렌식 분석마저 어렵게 만든다.

LummaC2는 비밀번호, 암호화폐 지갑 정보를 탈취한 뒤 암호화된 채널로 전송. 무작위 통신 패턴으로 탐지 회피 기능까지 갖췄다.

씨큐비스타는 이 같은 스텔스형 공격이 기존 서명(signature) 기반 보안 솔루션으로는 사전 탐지나 실시간 대응이 불가능하다고 강조했다.

“암호화로 보안 사각지대 생겨”…NDR 필요성 커져

최근에는 인터넷 트래픽의 90% 이상이 HTTPS로 암호화되면서, 보안 시스템이 내부 내용을 들여다볼 수 없는 상황이 됐다. TLS 1.3, QUIC 등 최신 프로토콜은 핸드셰이크 단계부터 암호화되기 때문에, 기존 SSL 복호화 방식도 무력화된다.

이 때문에 보안업계는 ‘콘텐츠가 아니라 행동(행위 기반)’을 추적하는 새로운 탐지 체계가 필요하다고 말한다. 이를 대표하는 기술이 바로 차세대 NDR(Network Detection and Response) 이다.

NDR은 복호화 없이도 ▲비정상 세션 지속 시간 ▲주기적 C2 통신 ▲비정상 핸드셰이크 시도 등 트래픽의 패턴과 메타데이터를 실시간 분석해 공격을 선제 탐지하는 방식이다.

전덕조 씨큐비스타 대표는 “스텔스형 공격은 시스템 내부에 장기간 은폐해 있다가 결정적인 순간에만 움직이기 때문에, 기존 방식으로는 절대 막을 수 없다”며 “이제는 ‘이미 시스템이 뚫렸다’는 전제 하에 네트워크를 실시간 감시하고 분석하는 NDR 기반 보안 체계로 전환해야 한다”고 말했다.

그는 “정교한 통신 세션 분석을 통해 정상적인 트래픽 속에서도 이상 징후를 포착해야 한다”며 “NDR만이 이런 은닉형 공격에 효과적으로 대응할 수 있는 유일한 해법”이라고 강조했다.