다양한 조직을 대상으로한 오퍼레이션 Shady RAT 침해 사고

현지 시각 2011년 8월 2일 미국 보안 업체 중 하나인 맥아피(McAfee)에서 블로그 "Revealed: Operation Shady RAT"를 통해 5년 6개월 동안 조직적으로 이루어진 APT(Advanced Persistent Threat) 형태의 침해 사고를 발견하였다는 내용을 게시하였다.

이러한 APT 형태의 보안 위협은 올해 2월 공개된 글로벌 에너지 업체를 대상으로한 나이트 드래곤 보안 위협과 3월 공개된 EMC/RSA 침해 사고를 대표적으로 들 수가 있다.

이 번 맥아피에 의해 명명된 Operation Shady RAT는 5년 6개월이라는 기간에 걸쳐 조직적으로 침해 사고가 발생하였으며, 해당 침해 사고에 의해 피해가 발생한 조직은 총 72개로 아래 이미지와 같은 피해 조직의 형태 분류가 가능한 것으로 공개되었다.

해당 침해 사고는 기존에 이미 알려져 있는 타깃 공격(Targeted Attack)과 유사하게 악성코드를 다운로드 할 수 있는 웹 사이트 링크, 일반 어플리케이션들의 취약점 악용이나 워드(Word)와 PDF 파일로 위장한 악성코드를 첨부한 이메일(E-mail)을 피해 조직 내부 직원들에게 전송하는 공격 기법들을 사용하였다.

그리고 조직 내부 직원들의 시스템에 감염된 악성코드들은 C&C(Command and Control) 서버에 접속하여 원격 제어가 가능한 형태이며, 추가적으로 ASEC에서는 약 25개의 악성코드가 해당 침해 사고와 직접적으로 연관된 것으로 파악하였다.

타깃 공격을 동반하는 APT 형태의 보안 위협은 조직 전체를 거시적인 관점에서 바라보는 정보 보호 전략을 필요로하며, 이와 함께 다계층적인 보안 장비 및 소프트웨어 구축을 필요로한다. 그러나 무엇보다도 기업 내부 직원들의 보안 정책 준수와 사회 공학 기법(Social Engineering)에 대응하기 위한 보안 인식 교육의 제공이 중요하다고 볼 수 있다.

이번 Operation Shady RAT 침해 사고와 관련된 악성코드들 모두 V3 제품군에서 진단 가능하며 그 중 일부 진단명은 다음과 같다.

Win-Trojan/Sharat.114455

Win-Trojan/Sharat.28160

Win-Trojan/Sharat.107361

Win-Trojan/Sharat.114456

악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다.