원격 액세스 트로이 목마(RAT) – 무엇이고 어떻게 방지할 수 있습니까?
원격 접속 트로이 목마(RAT)의 위험성과 대응 전략
원격 접속 트로이 목마(RAT)는 가장 위험한 악성 소프트웨어 중 하나로 간주됩니다. 이들은 다양한 방식으로 시스템에 피해를 입히고 중요한 데이터를 유출시킬 수 있으며, 그 피해 규모는 막대할 수 있습니다. RAT는 단순히 불쾌한 존재를 넘어, 그 빈번한 발생으로 인해 적극적인 대응이 필수적입니다. 본 글에서는 RAT의 개념과 작동 원리를 자세히 살펴보고, 효과적인 방어 전략을 제시하고자 합니다.
먼저, RAT가 무엇인지 명확히 정의하고, 기술적인 세부사항보다는 작동 방식과 전파 경로에 초점을 맞추어 설명하겠습니다. 다음으로, RAT가 단순한 위협을 넘어 무기로 사용될 수 있는 잠재력과 그 실제 사례를 분석합니다. 또한, 잘 알려진 RAT 몇 가지를 소개함으로써 이들이 어떤 기능을 수행할 수 있는지 더 잘 이해할 수 있도록 돕겠습니다. 마지막으로, 침입 탐지 도구를 활용하여 RAT로부터 시스템을 보호하는 방법과 몇 가지 추천 도구를 살펴보겠습니다.
RAT란 무엇인가?
원격 접속 트로이 목마(RAT)는 해커가 원격으로 컴퓨터 시스템을 제어할 수 있게 하는 악성 소프트웨어입니다. '트로이 목마'라는 이름은 악성 코드가 정상적인 프로그램이나 파일로 위장하여 배포되는 방식을 의미합니다. 고대 그리스의 트로이 목마처럼, 컴퓨터 트로이 목마는 겉으로는 유용해 보이는 소프트웨어 안에 숨어 있다가 사용자가 실행할 때 악성 코드를 작동시킵니다. 예를 들어, 컴퓨터에 다운로드하여 설치한 게임이 실제로는 트로이 목마일 수 있으며, 악성 코드를 포함하고 있을 수 있습니다.
'원격 접속' 부분은 악성 코드가 수행하는 기능을 나타냅니다. 즉, 해커가 감염된 컴퓨터에 원격으로 접속할 수 있도록 합니다. 접속에 성공하면 해커는 파일 시스템 탐색, 화면 활동 감시, 로그인 정보 수집은 물론, 파일을 암호화하여 몸값을 요구하는 등 다양한 행위를 할 수 있습니다. 또한, 개인 데이터나 기업 정보를 훔치거나, 감염된 컴퓨터를 네트워크 공격의 거점으로 활용하여 보안 시스템을 우회할 수도 있습니다. 한번 RAT에 감염되면 컴퓨터는 또 다른 공격을 위한 발판이 될 수 있습니다.
RAT의 역사
불행하게도 RAT는 10년 이상 사용되어 왔습니다. 2003년에는 중국 해커들이 미국 기술을 대규모로 빼돌리는 데 RAT가 사용된 것으로 알려져 있습니다. 미국 국방부 조사 결과, 미국 방위 산업체의 기밀 개발 및 테스트 데이터가 중국으로 전송된 사실이 밝혀졌습니다.
또한, 2003년과 2008년에 발생한 미국 동부 해안 정전 사태 역시 RAT와 연관되어 있는 것으로 추정됩니다. RAT를 이용하면 해커는 감염된 시스템 사용자가 모르는 사이에 모든 소프트웨어를 제어할 수 있게 됩니다.
무기로서의 RAT
악의적인 RAT 개발자는 발전소, 통신망, 원자력 시설, 가스관 등을 제어할 수 있습니다. 따라서 RAT는 기업 보안뿐만 아니라 국가 안보에도 심각한 위협이 됩니다. 전 세계 해커들은 RAT를 사용하여 기업을 염탐하고 데이터와 자금을 탈취합니다. 이는 미국을 포함한 많은 국가에서 국가 안보 문제로 간주되고 있습니다.
러시아는 RAT의 위력을 인식하고 이를 군사 무기에 통합하여 '하이브리드 전쟁'이라는 공격 전략의 일부로 사용하고 있습니다. 2008년 조지아 침공 당시 러시아는 DDoS 공격으로 인터넷 서비스를 마비시키고, RAT를 사용하여 정보를 수집하고 조지아 군사 시설과 중요 유틸리티를 장악했습니다.
주요 RAT 사례
잘 알려진 몇 가지 RAT를 소개하겠습니다. 이들의 기능과 위험성을 통해 RAT의 다양성을 이해할 수 있기를 바랍니다.
백 오리피스(Back Orifice)
1998년부터 사용된 백 오리피스는 RAT의 조상 격으로 여겨집니다. 초기에는 Windows 98의 취약점을 이용했으며, 이후 Windows 운영 체제에서 실행되는 'Back Orifice 2000' 및 'Deep Back Orifice'와 같은 버전으로 진화했습니다. 이 RAT는 운영 체제 내에 은폐하여 탐지하기 어렵게 만들지만, 최신 바이러스 백신 소프트웨어는 백 오리피스 실행 파일과 차단 동작을 식별할 수 있습니다. 또한, 백 오리피스는 감염된 시스템을 쉽게 탐색할 수 있도록 하는 사용자 친화적인 콘솔을 제공합니다. 이 서버 프로그램은 표준 네트워킹 프로토콜을 사용하여 클라이언트 콘솔과 통신하며, 포트 번호 21337을 사용하는 것으로 알려져 있습니다.
다크 코멧(DarkComet)
다크 코멧은 2008년 프랑스 해커 Jean-Pierre Lesueur가 개발했지만, 2012년 아프리카 해커 그룹이 미국 정부 및 군대를 공격하는 데 사용한 사실이 밝혀지면서 사이버 보안 커뮤니티의 주목을 받았습니다. 다크 코멧은 사용자 친화적인 인터페이스를 제공하여 기술적 지식이 부족한 사람도 해커 공격을 쉽게 수행할 수 있도록 합니다. 키로깅, 화면 캡처, 비밀번호 수집을 통한 스파이 활동이 가능하며, 원격으로 컴퓨터를 켜거나 끄는 등 전원 기능도 제어할 수 있습니다. 감염된 컴퓨터를 프록시 서버로 사용하여 자신의 신원을 감추고 다른 컴퓨터를 공격하는 데 사용하기도 합니다. 다크 코멧 프로젝트는 2014년 시리아 정부가 시민 감시에 사용했다는 사실이 알려진 후 개발자에 의해 중단되었습니다.
신기루(Mirage)
신기루는 중국 정부 지원 해커 그룹이 사용하는 것으로 알려진 RAT입니다. 2009년부터 2015년까지 활발하게 활동한 후 잠잠해졌지만, 2018년에 'MirageFox'라는 변종이 발견되어 다시 활동을 재개했을 가능성이 제기되었습니다. 신기루는 2012년부터 이 그룹의 주요 도구로 사용되어 왔으며, MirageFox는 2018년 3월 영국 정부 계약업체를 감시하는 데 사용된 사례가 있습니다. 신기루는 필리핀의 석유 회사, 대만 군, 캐나다 에너지 회사, 그리고 브라질, 이스라엘, 나이지리아, 이집트 등 다양한 지역의 목표를 공격하는 데 사용되었습니다. 신기루는 PDF 파일에 포함되어 배포되며, 해당 파일을 열면 RAT를 설치하는 스크립트가 실행됩니다. 설치 후에는 CPU 속도, 메모리 용량, 시스템 이름, 사용자 이름 등의 시스템 정보를 수집하여 공격자에게 전송합니다.
RAT로부터 보호: 침입 탐지 도구
일반적인 바이러스 백신 소프트웨어는 RAT를 탐지하고 예방하는 데 항상 효과적인 것은 아닙니다. RAT는 정상적인 파일로 위장하여 시스템에 침투하므로, 비정상적인 시스템 동작을 감지하는 것이 중요합니다. 침입 탐지 시스템(IDS)은 이러한 비정상적인 활동을 분석하여 RAT의 침입을 감지하는 데 효과적입니다.
다양한 침입 탐지 시스템을 조사한 결과, 침입 탐지 기능이 있거나 침입 시도를 감지하는 데 유용한 시스템들을 다음과 같이 추천합니다. 이러한 도구들은 다른 유형의 악성코드 보호 도구보다 원격 접속 트로이 목마를 더 잘 식별할 수 있습니다.
1. SolarWinds 위협 모니터 – IT Ops Edition (무료 데모)
SolarWinds는 네트워크 관리 도구 분야에서 널리 알려진 기업입니다. 약 20년 동안 최고의 네트워크 및 시스템 관리 도구를 제공해 왔습니다. 주력 제품인 Network Performance Monitor는 지속적으로 최고의 네트워크 대역폭 모니터링 도구로 평가받고 있습니다. 또한, SolarWinds는 네트워크 관리자의 특정 요구 사항을 충족하는 다양한 무료 도구를 제공합니다. Kiwi Syslog Server와 Advanced Subnet Calculator가 대표적인 예입니다.
네트워크 기반 침입 탐지를 위해 SolarWinds는 위협 모니터 – IT Ops Edition을 제공합니다. 이 도구는 클라우드 기반 서비스로, 구독하고 설정하기만 하면 침입 시도 및 기타 위협을 감시하기 시작합니다. 위협 모니터 – IT Ops Edition은 네트워크 및 호스트 기반 침입 탐지, 로그 중앙 집중화, 상관관계 분석, 보안 정보 및 이벤트 관리(SIEM) 기능을 결합한 종합적인 위협 모니터링 제품군입니다.
위협 모니터 – IT Ops Edition은 IP 및 도메인 평판 데이터베이스를 포함한 다양한 소스에서 실시간으로 업데이트되는 위협 정보를 활용하여 알려진 위협뿐만 아니라 새로운 위협에도 대응할 수 있습니다. 또한, 자동화된 지능형 응답 기능을 제공하여 보안 사고에 신속하게 대처할 수 있도록 지원합니다.
이 도구의 경고 기능은 매우 강력합니다. 다중 조건과 상호 관련 경보를 통해 중요한 이벤트를 식별하고 요약하는 데 도움을 줍니다. 또한, 기존 보고서 템플릿을 사용하거나 사용자 정의 보고서를 작성하여 규정 준수를 입증할 수 있습니다.
SolarWinds 위협 모니터 – IT Ops Edition의 가격은 최대 25개 노드에 대해 10일 인덱스가 있는 경우 $4,500부터 시작합니다. 자세한 견적은 SolarWinds에 문의하시기 바랍니다. 무료 데모를 신청하여 제품을 직접 체험해 볼 수도 있습니다.
2. SolarWinds 로그 및 이벤트 관리자 (무료 평가판)
SolarWinds 로그 및 이벤트 관리자라는 이름에 속지 마십시오. 이 제품은 단순한 로그 및 이벤트 관리 시스템 이상의 기능을 제공합니다. SIEM(보안 정보 및 이벤트 관리) 기능을 포함하여 실시간 이벤트 상관관계 분석, 실시간 수정 등의 고급 기능을 제공합니다. 따라서 침입 탐지 시스템, 심지어 침입 방지 시스템으로도 분류할 수 있습니다.
SolarWinds 로그 및 이벤트 관리자는 의심스러운 활동의 즉각적인 감지(침입 탐지 기능)와 자동화된 응답(침입 방지 기능)을 제공합니다. 또한 보안 이벤트 조사 및 포렌식을 수행하여 문제를 완화하고 규정 준수를 유지할 수 있도록 지원합니다. 특히 HIPAA, PCI-DSS, SOX와 같은 규정 준수에 대한 증거를 제공할 수 있습니다. 파일 무결성 모니터링 및 USB 장치 모니터링 기능을 통해 통합 보안 플랫폼으로서의 역할을 수행합니다.
SolarWinds 로그 및 이벤트 관리자는 최대 30개의 모니터링 노드에 대해 $4,585부터 시작합니다. 최대 2,500개의 노드에 대한 라이선스를 구매하여 확장할 수 있습니다. 무료 30일 평가판을 통해 제품을 직접 사용해 볼 수 있습니다.
3. OSSEC
OSSEC (Open Source Security)은 최고의 오픈 소스 호스트 기반 침입 탐지 시스템 중 하나입니다. Trend Micro에서 소유하고 있으며, IT 보안 분야의 선두 주자입니다. 유닉스 계열 운영 체제에 설치된 경우, 로그 및 구성 파일에 주로 초점을 맞춥니다. 중요한 파일의 체크섬을 생성하고 주기적으로 유효성을 검사하여 이상 징후를 감지하며, 루트 접근을 시도하는 등의 비정상적인 활동을 모니터링합니다. 윈도우 환경에서는 악의적인 활동의 신호가 될 수 있는 무단 레지스트리 수정을 감시합니다.
OSSEC은 호스트 기반 침입 탐지 시스템이므로 보호하려는 각 컴퓨터에 설치해야 합니다. 중앙 콘솔에서 각 컴퓨터의 정보를 통합하여 관리 효율성을 높일 수 있습니다. OSSEC 콘솔은 유닉스 계열 운영 체제에서만 실행되지만, 에이전트는 윈도우 호스트를 보호하는 데 사용할 수 있습니다. 감지된 모든 활동은 중앙 콘솔에 경고를 표시하고, 이메일을 통해 알림을 받을 수 있습니다.
4. 스노트(Snort)
스노트는 가장 잘 알려진 오픈 소스 네트워크 기반 침입 탐지 시스템입니다. 하지만 단순한 침입 탐지 도구를 넘어 패킷 스니퍼, 패킷 로거 등 다양한 기능을 제공합니다. 제품 구성은 방화벽 구성과 유사하며, 규칙을 사용하여 수행됩니다. 스노트 웹사이트에서 기본 규칙을 다운로드하여 사용하거나, 특정 요구 사항에 맞게 사용자 정의할 수 있습니다. 또한, 규칙이 업데이트되거나 새로운 위협이 발견되면 자동으로 최신 규칙을 가져오는 구독 서비스를 이용할 수도 있습니다.
스노트는 매우 철저하여 기본 규칙만으로도 스텔스 포트 스캔, 버퍼 오버플로 공격, CGI 공격, SMB 프로브, OS 지문 등 다양한 이벤트를 탐지할 수 있습니다. 스노트로 감지할 수 있는 항목은 사실상 제한이 없으며, 이는 설치한 규칙 세트에 따라 달라집니다. 감지 방법은 서명 기반과 비정상 기반을 모두 지원하여 균형 잡힌 보호를 제공합니다.
5. 삼하인(Samhain)
삼하인은 또 다른 잘 알려진 무료 호스트 침입 탐지 시스템입니다. 주요 기능은 파일 무결성 검사, 로그 파일 모니터링 및 분석입니다. 하지만 루트킷 탐지, 포트 모니터링, 악성 SUID 실행 파일 탐지, 숨겨진 프로세스 탐지 등 다양한 기능을 수행합니다.
삼하인은 중앙 집중식 로깅 및 관리를 통해 여러 운영 체제를 실행하는 다양한 호스트를 모니터링하도록 설계되었습니다. 또한, 단일 컴퓨터에서 독립 실행형 응용 프로그램으로 사용할 수도 있습니다. 주로 유닉스, 리눅스, OS X와 같은 POSIX 시스템에서 실행되지만, Cygwin을 사용하여 Windows에서도 실행할 수 있습니다. 하지만 모니터링 에이전트만 테스트되었습니다.
삼하인의 가장 독특한 기능 중 하나는 잠재적인 공격자에게 탐지되지 않고 실행할 수 있는 스텔스 모드입니다. 탐지 프로세스를 신속하게 종료하여 눈에 띄지 않게 하며, 스테가노그래피 기술을 사용하여 다른 프로세스들로부터 자신을 숨깁니다. 또한, PGP 키로 중앙 로그 파일 및 구성 백업을 보호하여 변조를 방지합니다.
6. 수리카타(Suricata)
수리카타는 침입 탐지 시스템뿐만 아니라 일부 침입 방지 기능도 제공하는 완전한 네트워크 보안 모니터링 생태계입니다. 애플리케이션 계층까지 작동하는 방식이 특징이며, 하이브리드 네트워크 및 호스트 기반 시스템으로, 다른 도구들이 감지하기 어려운 위협을 감지할 수 있습니다.
수리카타는 애플리케이션 계층뿐만 아니라 TLS, ICMP, TCP, UDP와 같은 저수준 네트워킹 프로토콜도 모니터링합니다. 또한, HTTP, FTP, SMB와 같은 고수준 프로토콜을 이해하고 디코딩하여 일반적인 요청에 숨겨진 침입 시도를 감지할 수 있습니다. 의심스러운 파일 검사를 위한 파일 추출 기능도 제공합니다.
수리카타의 애플리케이션 아키텍처는 혁신적이며, 여러 프로세서 코어와 스레드에 작업 부하를 분산하여 최적의 성능을 제공합니다. 필요한 경우, 처리 중 일부를 그래픽 카드로 오프로드할 수도 있어 서버 환경에서 유용하게 활용할 수 있습니다.
7. 브로 네트워크 보안 모니터(Bro Network Security Monitor)
브로 네트워크 보안 모니터는 무료 네트워크 침입 탐지 시스템입니다. 트래픽 로깅과 트래픽 분석의 두 단계로 작동하며, 수리카타와 마찬가지로 애플리케이션 계층까지 여러 계층에서 작동하여 분할 침입 시도를 효과적으로 탐지할 수 있습니다. 분석 모듈은 이벤트 엔진과 정책 스크립트로 구성됩니다. 이벤트 엔진은 net TCP 연결 또는 HTTP 요청과 같은 트리거 이벤트를 추적하고, 정책 스크립트는 이벤트를 분석하여 경보를 트리거하거나 작업을 수행할지 여부를 결정합니다. 이 기능은 브로 네트워크 보안 모니터에 일부 IPS와 유사한 기능을 제공합니다.
브로 네트워크 보안 모니터는 HTTP, DNS, FTP 활동을 추적하고 SNMP 트래픽도 모니터링할 수 있습니다. SNMP는 네트워크 모니터링에 자주 사용되지만 보안 프로토콜이 아니므로 주의가 필요합니다. 구성 수정에도 사용될 수 있어 악의적인 사용자가 악용할 수 있으므로, 브로 네트워크 보안 모니터를 통해 장치 구성 변경 및 SNMP 트랩을 확인할 수 있습니다. 유닉스, 리눅스, OS X에 설치할 수 있지만, 윈도우에서 사용할 수 없다는 단점이 있습니다.