2017년 8월 30일 수요일

게임과 보안 #11 온라인 게임 회사를 노리는 해킹 그룹 (commentary)



게임과 보안 11회째 연재인 "온라인 게임 회사를 노리는 해킹 그룹" 을 게시했습니다. 

11회차 기고문은 아래 엔씨소프트 블로그에서 볼 수 있습니다.   

이번 연재에서는 온라인게임회사를 노리는 APT 그룹이 얼마나 많은가에 대해 말하고 싶었습니다. 
지난 7번째 연재글의 커멘트 (http://blog.hksecurity.net/2017/05/7-commentary.html) 에서도 잠깐 언급한 2013년 발간된 카스퍼스키의 Winnti 보고서 내용을 주로 소개하고 있습니다.  (https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/winnti-more-than-just-a-game-130410.pdf

우리나라의 온라인게임회사 보안 조직들을 보면 2003년 이후 보안 분야 전문가들을 영입하면서 대응 역량을 키우기 시작했습니다. 2000년대 중반의 국내 대형 포털 및 온라인게임보안회사의 경우, 보안조직 인원이 왠만한 은행 보안 조직보다 크고 전문인력들이 대거 포진하게 되었습니다. 
특히, 포털 및 게임회사 특유의 자유로운 분위기, 보안에 투자를 함에 있어서의 신속성, 창의적인 보안 서비스, 그리고 일정기간 근속할 경우 포털 및 게임회사들의 해외 지사에서 주재원으로 일해 볼 수 있다는 장점 (젊은 날에 해외에서 근무해 볼 수 있다는 것은 엄청난 강점일 뿐 아니라, 주재원에 대한 처우도 왠만한 대기업 이상으로 좋았습니다.) 등에 힘입어 많은 보안 전문가들이 모이게 됩니다. 
당시 이러한 분위기를 살짝 엿볼 수 있는 신문기사도 있습니다. 

물론 온라인게임회사나 포털이라 하더라도, 공격이 들어오지 않는 평안한 서비스였다면 전문가들을 이렇게 많이 뽑고 보안에 대규모의 투자를 하지는 않았을 겁니다. 당시 중국발 해킹이라는 용어가 생길 정도로 대규모 공격이 온라인게임과 포털에 쏟아지던 때였기 때문에, 이러한 공격에 대응하기 위해 과감한 투자 결심이 가능했다고 판단됩니다. (당시에는 공격자가 너무나 유리한 상황이었습니다. 넘쳐나는 취약한 웹사이트, 넘쳐나는 보안패치가 안된 Win XP PC 들, ...) 

각설하고, Winnti 그룹은 국내 대형 온라인게임회사들을 정말 집요하게 괴롭혔습니다. 본사를 직접 공격하는 것이 여의치 않을 경우에는 먼저 해외 지사들을 공격하여 IDC 까지 침투하고, 지사와 본사간에는 접근제어가 느슨한 점을 이용하여 본사까지 들어오는 영리한 면을 보여주기도 했고요. 
비IT직원들을 먼저 노려서 이력서 PDF 에 악성코드를 첨부하여 이메일이나 입사지원 시스템에 문서형 APT 공격을 시도하기도 했습니다. (이력서도 정말로 정성스럽게 작성하였기 때문에 인사팀 직원들이 PDF를 열어보고 악성코드에 감염되어 해커가 사내망까지 침입하는 경로로 이용되기도 했습니다.) 
이런 류의 공격에 당하면 정말로 대응이 어렵습니다. PC, 서버 포함하여 시스템 대수는 몇천대에 가깝고 백도어가 깔린 장비 한대를 조치 하면 다른 네트워크 구간의 서버로 옮겨가고 (정말 두더지 잡기죠), 방어자 입장에서는 감염되었음을 알았다 하더라도 실제 게임 서비스를 멈추고 제거 작업을 하기 어렵다는 핸디캡을 안고 싸워야 했기 때문에 참으로 쉽지 않았습니다. 

조금 다른 주제이긴 하지만 Winnti 사례를 이용하여 논문을 작성한 사례도 있습니다. (논문은 아래 링크에서 다운로드 가능합니다.) 
  • 구준석, 김휘강. "윈도우즈 라이브러리로 위장한 Proxy DLL 악성코드 탐지기법에 대한 연구: Winnti 사례를 중심으로" 정보보호학회논문지 25.6 (2015): 1385-1397.
  • 논문 다운로드  
  • 초록
    Proxy DLL은 윈도우즈에서 DLL을 사용하는 정상적인 메커니즘이다. 악성코드들은 목표 시스템에 심어진 뒤에 감염을 위해 최소 한번은 실행되어야 하는데, 이를 위해 특정 악성코드들은 정상적인 윈도우즈 라이브러리로 위장하여 Proxy DLL 메커니즘을 이용한다. 이런 유형의 대표적인 공격 사례가 윈티(Winnti) 그룹이 제작한 악성코드들이다. 윈티 그룹은 카스퍼스키랩(Kaspersky Lab)에서 2011년 가을부터 연구하여 밝혀진 중국의 해킹 그룹으로, 온라인 비디오 게임 업계를 목표로 다년간에 걸쳐 음성적으로 활동하였고, 이 과정에서 다수의 악성코드들을 제작하여 온라인 게임사에 감염시켰다. 본 논문에서는 윈도우즈 라이브러리로 위장한 Proxy DLL의 기법을 윈티의 사례를 통해 알아보고, 이를 방어할 수 있는 방법을 연구하여 윈티의 악성코드를 대상으로 검증하였다.

    ——

    기존 연재 링크 

    1 게임과 보안 #1. 게임봇의  얼굴
    2 게임과 보안 #2. 게임봇이 나쁜이유
    3 게임과 보안 #3. 게임봇과 작업장을 바라보는 다양한 시선 4 게임과 보안 #4. 게임봇을 탐지하는 기법  5 게임과 보안 #5. 게임봇과의 채팅엔 뭔가 특별한  있다
    6 게임과 보안 #6. 찾아라! 게임봇의 패턴  
    7 게임과 보안 #7. 계정 도용을 막는 방법  
    8부 게임과 보안 #8. 시퀀스 분석으로 계정 도용을 막아라 
    9 게임과 보안 #9. 모티베이션 (동기) 분석을 통한 봇 탐지  
    10부 게임과 보안 #10. 사설서버