보안 정보 침해사고 확산 전 잡아내는 방법

대형 보안 사고 빈도가 높아짐에 따라 사전 예방의 중요성이 높아지고 있습니다. 하지만 보안 서비스를 이미 사용하고 있다면 무엇을 더 해야 할지 애매하기도 하죠.
침해사고가 발생했더라도 문제가 표면으로 올라오기 전까지 문제가 보이지 않는데요, 때문에 당장은 아무 문제가 없다고 착각하기 쉽습니다.

정보 침해사고는 발견이 빠를수록 피해 확산을 수습하기 유리합니다. 가비아 보안은 침해사고 사전점검 서비스를 통해 눈에 보이지 않아 몰랐던 보안 침해사고를 찾아내고 해결책을 제공해 드립니다.

침해사고를 방지하는 보안 점검은 7가지가 진행되고 있는데요, 크게 ‘공격 흔적 및 악성 요소 탐지’와 ‘시스템 설정 및 계정 관리 상태 확인’ 두 가지 유형으로 구분할 수 있습니다.

1. 공격 흔적 및 악성 요소 탐지

공격 흔적 및 악성 요소 탐지는 시스템에 직접적으로 침투했거나 활동 중인 악성 파일, 코드, 그리고 외부 통신 연결을 식별하여 잠재적 위협을 제거하는 데 필수적인 점검 항목입니다.

공격자가 침투 후 남긴 ‘범죄 현장의 증거’를 찾는 과정이라고 볼 수 있죠.
ㄴ공격자는 시스템에 침투한 후 악성 프로세스를 실행시키고
ㄴ웹 서버에 웹셸을 심어 원격 제어 통로를 만들며
ㄴ외부의 명령 및 제어 서버와 끊임없이 네트워크 연결을 시도합니다.

이러한 활동은 단순히 시스템 설정을 변경하는 것이 아니라 활발하게 움직이며 정보를 빼내고 시스템을 장악하려는 직접적인 공격 행위입니다.

공격 흔적 및 악성 요소 점검 필요성

◆ 실행 중인 위협의 즉각 제거
잠복해 있던 악성코드가 발견되면, 그 자리에서 격리 및 제거하여 현재 진행형인 공격을 즉시 중단시킬 수 있습니다.

◆ 공격 경로 파악 및 차단
네트워크 연결 점검 등을 통해 공격자가 침투에 사용한 서버와 통신 경로를 파악하여, 추가적인 공격 시도를 원천적으로 차단하는 대응 기반을 마련합니다.

◆ 지속성(Persistence) 확보 차단
시스템 재부팅 후에도 악성코드가 실행되도록 만든 지속성 메커니즘을 찾아내고 무력화하여, 재감염의 위험을 근절합니다.

1) 악성 프로세스 점검

EDR 및 OS로그를 기반으로 시스템 내 실행 중인 프로세스를 식별하고, 정상 프로세스 목록과 비교하여 비정상적이거나 외부 제어 징후가 있는 프로세스를 점검합니다. 프로세스의 실행 경로, 서명 유효성, 자식 프로세스 생성 패턴, 네트워크 연결 내역 등을 종합 분석하여 공격자에 의해 삽입된 악성 행위 여부를 판별합니다.

2)  악성코드 실행 여부 점검

수집된 실행 파일, 스크립트, 라이브러리 등을 정적·동적 분석 도구 및 위협 인텔리전스를 활용해 악성코드 감염 여부를 판별합니다. 파일 해시 기반 탐지, 의심 코드 패턴, C2(Command and Control) 통신 시도, 지속성 유지(Persistence) 여부 등을 종합 검토하여 시스템 내 잠재 위협을 식별 및 제거합니다.

3)  악성 웹쉘 여부 점검

웹 서버 디렉터리를 대상으로 비정상 업로드 파일 및 웹쉘 형태의 악성 스크립트(PHP, JSP, ASP 등) 존재 여부를 점검합니다. 난독화 코드 분석, 의심 HTTP 요청(POST, multipart upload 등) 추적을 통해 공격자에 의해 삽입된 원격 제어 웹쉘 여부를 확인합니다.

4)  네트워크 연결 점검

시스템 내 활성화된 네트워크 연결 및 과거 접속 이력을 분석하여 외부 C2(Command and Control) 서버 연결, 비인가 IP 통신, 악성 도메인 접속 여부를 점검합니다. 네트워크 트래픽 로그 및 OS 네트워크 세션 정보를 교차 분석하여 공격자 원격 접속 흔적(SSH, RDP, 터널링 등)을 탐지합니다.

2. 시스템 설정 및 계정 관리 상태 확인

공격자는 시스템에 침투한 후, 보안 시스템에 발각되지 않기 위해 정상적인 시스템 기능인 것처럼 위장하거나, 관리자 권한을 영구적으로 유지하기 위해 설정을 조작합니다. 

시스템 설정 및 계정 관리 상태를 확인하기 위한 점검에서는 ‘정상 행위로 위장한 비정상적인 내부 변화’를 찾아내는 것에 초점을 맞추고 있습니다. 단순히 악성코드를 제거하는 것을 넘어, 공격자가 만든 모든 뒷문(Backdoor)과 은폐 흔적을 제거하여 시스템을 완전히 깨끗한 상태로 복구하는 것이죠.

시스템 설정 및 계정 관리 상태 확인의 필요성

◆ 영구적인 권한 탈취
계정 점검과 비정상 프로세스 점검을 통해 공격자가 확보한 관리자 계정 및 지속적인 접근 권한(Persistence)을 찾아내고 제거하여, 재침입을 원천적으로 차단합니다.

◆ 공격자 행위 패턴 파악
이벤트 로그 분석을 통해 공격자가 언제, 어디서, 무엇을 했는지에 대한 명확한 시간대별 기록(Timeline)을 확보할 수 있으며, 이는 사고 대응 및 향후 보안 강화 전략 수립에 결정적인 정보가 됩니다.

◆ 시스템 건전성 회복
비정상 프로세스 및 설정 변경을 원래대로 복구함으로써, 보안 침해 이전의 시스템 건전성 및 안정성을 확보할 수 있습니다.

1) 비정상 프로세스 점검

악성코드는 아니지만 운영체제 내에서 정상적이지 않은 방식으로 동작하는 프로세스를 집중 점검합니다. 권한 상승(Elevation of Privilege) 시도, 비정상적인 부모-자식 프로세스 관계, 레지스트리 자동 실행 등록 등을 탐지하여, 공격자가 정상 프로그램처럼 위장하여 시스템을 제어하는 비인가 행위를 확인하고 차단합니다. EDR의 행위 기반 탐지 로그를 기반으로 프로세스 생성 시점, 명령줄(Command-line) 인자, 이미지 패스 등을 교차 분석하여 비인가 행위 여부를 식별합니다.

2) 계정 점검

시스템 및 도메인 환경 내의 사용자 계정 생성, 삭제, 권한 변경 이력을 상세히 분석합니다. 공격자가 몰래 만들었거나(비인가 계정 생성), 권한을 상승시킨 관리자 계정 및 장기간 사용되지 않은 미사용 계정의 활용 여부를 확인합니다. 공격자가 은밀하게 사용하던 모든 접근 통로를 파악하고 폐쇄합니다.

3) 이벤트 로그 점검

Windows Event Log, Sysmon, Linux audit log 등 운영체제의 주요 활동 기록을 분석합니다. 비정상적인 로그인 시도 및 성공 이력, 서비스 등록, 스크립트 실행, , 정책 변경 등 침해 징후를 점검합니다. 로그 상의 시간대별 공격 시도, 실패한 인증, 프로세스 실행 이력 등을 종합하여 공격자의 행위 타임라인과 침입 경로를 재구성합니다. 

침해사고 사전점검 서비스 오픈

침해사고를 사전에 다방면으로 점검할 수 있는 ‘침해사고 사전점검’ 서비스가 오픈했습니다.
7개의 필수 점검을 진행한 후 레포트를 제공합니다. 보안 전문가가 작성한 침해사고 사전점검 레포트를 통해 보안 현황을 확인해 보세요.