컨텐츠 바로가기

03.29 (금)

“앱 하나로 기업 무너뜨린다” 사이드로딩 공격의 A to Z

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
이메일 관리업체 마임캐스트(Mimecast)의 위협 센터(Threat Center)가 최근 발생한 사이드로딩 악성코드 공격에 대한 보고서를 발간했다. 보고서에 따르면, 이번 공격은 마이크로소프트 스토어에서 다운받을 수 있는 ‘앱 설치 관리자’ 앱을 표적으로 한 공격이었다. 앱 설치 관리자는 사용자가 윈도우 10 앱을 사이드로드할 수 있는 기능을 제공하는 앱이다. 마임캐스트는 이번 공격이 트릭봇(Trickbot)과 바자로더(BazarLoader)를 퍼뜨리는 것으로 알려진 공격자의 소행이라고 추측했다. 트릭봇과 바자로더는 종종 랜섬웨어 공격으로 이어지는 스팸 도구다.
ITWorld

ⓒ Getty Images Bank

<이미지를 클릭하시면 크게 보실 수 있습니다>



보고서에 담긴 내용은 사이드로딩 공격의 대표적인 사례다. 사이드로딩 공격은 정확히 무엇일까? 사이드로딩 공격의 작동법과 예상되는 피해, 예방 방법 등 사이드로딩 공격에 대한 모든 것을 알아보자.


사이드로딩 공격이란?

네타시아(Netacea)의 위협 연구 책임자 메튜 그레이시 맥민은 “스마트폰 또는 컴퓨터 등의 기기에 애플리케이션을 설치하는 것이 사이드로딩이다. 일반적인 앱 설치와의 차이점은 기기 운영체제의 개발자가 승인하지 않은 애플리케이션을 설치한다는 것에 있다”라고 설명했다.

사이드로딩 공격자는 사용자가 정당하고 신뢰할 만한 애플리케이션을 설치하고 있다고 믿도록 만든다. 하지만 사이드로딩 애플리케이션은 보안 테스트를 거치지 않고, 근본적으로 악의적인 앱일 수 있기 때문에 설치하면 위협에 노출된다. 대다수 기기는 사용자가 메뉴에서 활성화하기 전까지 사이드로딩을 할 수 없지만, 윈도우 10은 사이드로딩을 기본값으로 허용한다.

레드스캔(Redscan) 위협 인텔리전스 책임자 조지 글래스는 “일반적으로 사이드로딩 애플리케이션은 피싱 이메일이나 팝업 광고 등으로 소셜 엔지니어링 공격을 진행한 후 다운로드된다. 혹은 악성코드가 포함되어 있을 수 있는 ‘무료’ 또는 ‘크랙’ 버전의 소프트웨어를 사용자가 직접 다운로드하는 경우도 있다”라고 말했다.

최근 관찰된 사이드로딩 공격의 대표적인 예는 어도비 플래시 플레이어와 같이 정상 애플리케이션으로 가장한 위저드업데이트(WizardUpdate)다. 글래스는 “위저드업데이트는 본래 정찰 도구로, 시스템 정보만 수집해 C&C 서버로 전달했다. 그러나 앱이 발전하면서 맥 OS 게이트키퍼 보호를 회피하는 기능이 생겼고, 앱에서 애드웨어나 악성 소프트웨어 등 다른 프로그램을 로드하거나 시스템 설정을 변경할 수 있다”라고 지적했다.

다만 많은 기업이 업무에 사용되는 자체 커스텀 애플리케이션을 보유하고 있는데, 이들 앱은 공식 앱 스토어에서 유입되지 않는다. 이런 이유 때문에 사이드로딩이 어쩔 수 없는 부분이라고 보는 의견도 있다.


대규모 랜섬웨어 공격으로 이어질 수 있어

사이드로딩 공격은 기업에 엄청난 피해를 입힐 수 있다. 글래스는 “사이드로딩 공격은 기업의 데이터를 암호화하고, 기밀 정보 탈취로 이어질 수 있다. 사이드로딩된 애플리케이션은 이메일로 전송된 악성코드와 위험의 형태가 비슷하다. 다만 초기 감염 시 받는 보안 통제가 적다”라고 말했다.

사이드로딩 공격으로 전달할 수 있는 악성코드는 단순 키 로거나 랜섬웨어, 데이터를 삭제하고 장치 작동을 멈추게 하는 애플리케이션에 이르기까지 다양하다. 맥민은 “교활한 사이버 범죄자는 무료 PDF/워드 변환기 같은 유용한 애플리케이션과 악성코드를 한 데 묶는다. 사용자는 유용한 도구를 설치하지만 백그라운드에서 실행되는 악성코드의 존재를 알지 못한다. 이 백그라운드 악성코드는 공격자가 기기에 접근하고 제어할 수 있는 백도어를 생성한다”라고 설명했다.

일부 공격자는 백도어를 생성해 판매하는 데 그치지만, 추가적인 공격을 감행하는 공격자도 있다. 맥민은 “네트워크 백도어를 보유한 사이버 범죄자는 이를 발판 삼아 엔드포인트를 추가로 훼손할 수 있다. 네트워크에 있는 컴퓨터나 서버를 돌아다니며 충분한 액세스와 제어 능력을 확보한 후 더욱 강력한 공격을 시작한다”라고 덧붙였다.

이런 방법으로 컴퓨터 한 대에 사이드로딩된 악성 앱 하나로 인해 기업의 핵심 서버가 랜섬웨어에 감염될 수 있다. 아크로니스(Acronis) 사이버 보안 전문가 토퍼 테보우는 “사이드로딩 공격의 문제는 공격자가 설치할 수 있는 악성코드 유형에 제한이 없다는 점”이라고 지적했다.


대응하기 위해서는 기술 제어와 인식 교육 모두 필요

기업의 핵심 서비스, 데이터베이스, 디지털 프로세스, IT 자산에 대한 접근 권한 상실에 대한 대가는 보안 책임자를 잠 못 이루게 만드는 문제다. 하지만 CISO는 사이드로딩 공격 방지 조치를 취할 수 있다. 여러 전문가는 기술적 제어와 사용자 인식을 조합해야 한다고 강조했다. 맥민은 “기술적 제어로 앱 설치를 제한할 수 있지만, 현실적으로 언제나 가능한 방법은 아니다. 따라서 사용자의 인식을 고취하는 교육이 필요하다”라고 말했다.

그래스는 “윈도우 그룹 정책으로 시스템 관리자 외에는 기업 기기에 부적절한 프로그램을 사이드로딩하지 못하도록 사용자 권한을 제한하는 것도 고려해야 한다. 소프트웨어는 서드파티 사이트가 아닌 서비스 업체의 웹사이트나 웹 스토어에서만 다운로드하고, 설치해야 한다. 승인된 애플리케이션 목록을 만드는 것도 좋은 방법이다”라고 조언했다.

또 이메일을 필수적으로 스캔해 악의적 콘텐츠가 피해자에게 도달하는 것을 막아야 하고, 종합적인 사이버 보호 스위트를 사용해 랜섬웨어와 기타 악성코드를 감별 및 차단해야 한다. 네트워크의 데이터 흐름을 모니터링하며 데이터 소실 사태에 대비해 데이터를 복구할 검증되고 보호된 백업 솔루션도 필요하다. 테보우는 “제로트러스트 정책도 배치해야 한다. 미승인 출처의 소프트웨어 설치를 차단하고, 각 사용자가 업무에 필수적인 자원에만 접근할 수 있도록 제한할 수 있다”라고 설명했다.

사이드로딩 공격은 대부분 소셜 엔지니어링에 의존하므로 사용자에게 이런 수법을 교육시키는 것이 중요하다. 맥민은 “일반적으로 사용자는 자신의 업무에 필요한 앱을 발견할 수 없으면 사이드로딩을 시도한다. 때문에 사이드로딩 공격에 대한 교육으로 악성 앱의 사이드로딩 확률을 크게 줄일 수 있다. CISO는 직원에게 필요한 앱을 요청하도록 권고해 안전한 앱을 제공할 수 있도록 해야 한다”라고 조언했다. editor@itworld.co.kr

Michael Hill editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.