최근 발생한 정교한 사이버 공격에서, 아키라(Akira) 랜섬웨어 조직은 보안이 설정되지 않은 Linux 기반 웹캠을 악용해 한 기업의 네트워크에 침투했습니다. 공격자는 이 간과된 IoT 기기를 악용해 기존의 엔드포인트 탐지 및 대응(EDR) 솔루션을 우회하고, 결국 네트워크 공유 폴더를 암호화해 광범위한 피해를 입혔습니다. 이 사건은 IoT 기반 공격 벡터의 증가하는 위험성을 여실히 보여주며, 연결된 기기 보안을 강화하기 위한 조직의 적극적인 대응이 시급함을 강조합니다.
기업들이 인프라에 점점 더 많은 IoT 기기를 통합하면서, 이러한 엔드포인트를 보호하는 것은 공격자의 측면 이동을 방지하는 데 핵심적인 요소가 되고 있습니다. 이 글에서는 공격자가 IoT 기기를 어떻게 악용했는지, 이러한 공격이 조직 보안에 어떤 영향을 미치는지, 그리고 Sumo Logic의 ‘최초 감지 규칙(First Seen)’과 ‘아웃라이어(Outlier)’ 규칙을 활용해 이러한 위협이 랜섬웨어 사고로 확대되기 전에 감지하는 방법을 살펴보겠습니다.
위협 이해하기
아키라 조직이 웹캠을 침해한 방법
공격은 기업 네트워크 내의 보안 설정이 되어 있지 않은 Linux 기반 웹캠을 발견하면서 시작되었습니다. 공격자는 기본값 혹은 취약한 자격 증명을 악용하여 기기에 대한 초기 액세스 권한을 획득했습니다. 침입 후, 이들은 감염된 웹캠을 이용해 다음과 같은 작업을 수행했습니다.
- 네트워크 내의 다른 기기에서 Windows Server Message Block(SMB) 공유 폴더를 마운트
- IoT 기기에서 직접 Linux 기반 랜섬웨어 인크립터를 배포
- 기존 엔드포인트를 모니터링하도록 설계된 EDR 솔루션을 트리거하지 않고 네트워크 공유 폴더의 데이터를 암호화
IoT 기기는 일반적으로 로깅 및 모니터링 기능이 부족하기 때문에, 공격자들은 랜섬웨어 실행을 감지·차단하도록 설계된 엔드포인트 보안 체계를 손쉽게 우회하여 탐지되지 않은 채 활동할 수 있었습니다.
IoT 기반 공격이 조직 보안에 미치는 영향
이번 사건은 조직이 반드시 고려해야 할 몇 가지 중요한 보안 과제를 드러냈습니다.
- 모니터링되지 않는 공격 표면: 많은 IoT 기기가 적절한 보안 통제 없이 배포되어 공격자에게 이상적인 진입 지점이 되고 있습니다.
- 측면 이동: 공격자가 IoT 디바이스를 침해하면 네트워크 내에서 피벗하여 더 가치 있는 자산으로 이동할 수 있습니다.
- EDR 사각지대: 기존의 엔드포인트 보호 솔루션은 IoT 디바이스를 모니터링하도록 설계되지 않아 공격자가 탐지를 회피할 수 있는 기회를 제공합니다.
- 랜섬웨어 위험 증가: 랜섬웨어 조직이 점점 더 정교한 기술을 활용함에 따라 엔드포인트 중심의 방어 체계만으로는 한계가 있습니다. 이제는 네트워크 행동의 이상 징후를 탐지하는 접근 방식이 필수적입니다. 이러한 선제적 접근 방식은 분산된 다양한 지표를 상호 연관시켜 복잡한 랜섬웨어 위협을 보다 효과적으로 탐지하고 대응할 수 있는 능력을 강화합니다.
Sumo Logic을 활용한 탐지
아웃라이어 규칙: IoT 기기에서 비정상적인 SMB 트래픽 모니터링
Sumo Logic Cloud SIEM의 아웃라이어 기반 탐지(Outlier-based detection)의 주요 장점 중 하나는, 기존과 같은 복잡한 설정 없이도 이러한 공격에서 사용자·IP 주소·기기 등 다양한 엔터티에 대해 비정상적인 행동을 유연하게 식별할 수 있다는 점입니다.
IoT 기기 주변의 의심스러운 활동을 효과적으로 탐지하기 위해서는 해당 기기를 정확히 파악하는 것이 중요합니다. 탐지 노이즈를 줄이고 정확도를 높이기 위해, Sumo Logic의 매치 리스트(match lists) 기능을 활용하면 알려진 IoT 기기의 IP를 추적하여 보다 정밀한 탐지를 수행할 수 있습니다. 이 기능을 통해 보안팀은 인증된 기기에서 발생하는 정상적인 트래픽을 필터링하면서 실제 이상 징후만을 우선적으로 식별할 수 있습니다.
아래 규칙은 네트워크 내 IoT 기기에서 발생하는 비정상적인 서버 메시지 블록(Server Message Block, SMB) 트래픽을 모니터링합니다. 일반적으로 IoT 기기는 환경 모니터링, 자동화, 네트워크 가전 등 제한된 기능 수행을 위해 설계되어 있으며, SMB 통신에는 관여하지 않습니다. 따라서 이러한 기기에서 발생하는 비정상적인 SMB 트래픽은 무단 파일 접근 시도, 측면 이동, 악성코드 감염과 같은 잠재적 보안 위험을 의미할 수 있습니다.
최초 감지 규칙: 무단 네트워크 공유 마운트 탐지
아래 규칙은 잠재적인 데이터 유출, 측면 이동 또는 무단 액세스 시도의 지표가 될 수 있는 무단 네트워크 공유 마운트를 모니터링합니다. 네트워크 공유(예: SMB 또는 NFS 마운트)는 일반적으로 파일 저장 및 협업을 위한 용도로 사용되지만, 이전에 관찰되지 않은 기기, 서비스 계정, 외부 소스에서 비정상적으로 마운트되는 경우 이는 잘못된 설정, 자격 증명 오용, 혹은 민감한 데이터 접근을 시도하는 공격자의 활동을 시사할 수 있습니다.
아웃라이어 규칙: IoT 기기의 비정상적인 네트워크 트래픽 증가 탐지
특정 IoT 기기에서 평소보다 많은 양의 데이터가 외부로 전송되는 현상이 관찰됩니다. 이 경우, 해당 IP가 할당된 기기와 비정상적 활동과 연관된 인터넷 목적지 및 트래픽을 조사하는 것이 좋습니다. 탐지된 시점 전후 기간 동안, 해당 소스 IP와 외부 네트워크 트래픽에 대한 정규화된 레코드 검색을 수행하면 의심스러운 활동 여부를 파악하는 데 도움이 됩니다.
최초 감지 규칙: IoT 기기에서 인식되지 않은 프로세스 실행 탐지
아래 규칙은 IoT 기기에서 이전에 관찰되지 않았거나 허가되지 않은 프로세스 실행을 모니터링합니다. 이는 침해, 무단 소프트웨어 설치, 취약점 악용 시도의 강력한 지표가 될 수 있습니다. 일반적인 엔드포인트와 달리, IoT 기기는 자동화, 모니터링, 통신 등 특정 기능 수행을 위해 제한적이고 예측 가능한 프로세스만 실행합니다. 따라서 새로운 실행 파일이나 인식되지 않은 바이너리가 탐지된다면, 이는 악성코드 감염, 무단 펌웨어 수정, 혹은 공격자가 지속적인 접근을 시도하고 있음을 의미할 수 있습니다.
마무리 및 다음 단계
Akira 랜섬웨어 공격 사례는 보안이 미흡한 IoT 기기가 기업 보안에 미치는 위험이 점점 커지고 있음을 보여줍니다. 공격자는 IoT 엔드포인트를 은밀한 침투 경로로 활용해 기존 보안 방어 체계를 우회하는 전술을 계속 발전시키고 있기 때문에, 이에 대응하기 위해서는 EDR 솔루션에만 의존하지 않는 탐지 전략이 필요합니다. 보안팀은 복잡한 보안 분석 체계에 의존하기보다, 서로 다른 소스의 데이터에서도 광범위한 규칙 조정이나 수동 상관관계 분석 없이 실시간으로 위협을 식별하고 분석할 수 있는 유연한 플랫폼을 갖추는 것이 중요합니다.
Sumo Logic의 최초 감지 및 아웃라이어 규칙 기본 요소는 이러한 요구에 부합하는 강력하고 유연한 탐지 방식을 제공하므로, 이를 통해 침해의 조기 징후를 식별하고, 이상 행위를 탐지하며, IoT 기반 위협을 확산 전에 차단할 수 있습니다. Sumo Logic의 탐지 규칙은 다음과 같이 대응합니다.
- 아웃라이어 규칙: IoT 기기에서의 비정상적인 SMB 트래픽 및 네트워크 트래픽 급증 탐지
- 최초 감지 규칙: 무단 네트워크 공유 마운트 또는 이전에 관찰되지 않은 프로세스 실행 탐지
이러한 탐지 기법은 보안팀이 비전통적인 공격 표면에 대한 가시성을 확보하고, 측면 이동을 조기에 탐지하며, 보안의 핵심 취약 지점을 신속히 보완할 수 있도록 지원합니다.
Sumo Logic을 활용하면 기존의 UEBA 솔루션에서 흔히 발생하는 운영상의 복잡성 없이도 새롭게 등장하는 위협에 신속히 대응할 수 있는 효과적인 탐지 규칙을 손쉽게 배포할 수 있습니다. 복잡한 조회, 다중 쿼리, 무거운 데이터 모델링 및 튜닝 등 수작업에 의존하는 기존의 SIEM과 달리, Sumo Logic의 최초 감지 및 아웃라이어 규칙의 기본 요소는 경량화되고 확장 가능한 이상 탐지 기능을 제공합니다.
Sumo Logic Cloud SIEM의 라이브 데모를 요청하시거나, 현재 사용 중인 SIEM 솔루션이 보안 환경을 충분히 보호하고 있는지 평가해 보세요.
