[보안뉴스]국회 메일 서버 거래 정황 포착, 입법부도 안전지대 아냐...

내용 요약

중국 해킹 조직이 국회 이메일 서버 접근 권한을 유료로 판매하고, 4년간 2만 건에 달하는 침입 시도와 16만 건의 악성코드 대응을 감행한 사실이 드러났습니다. 이 사건을 계기로 국회는 보안체계 전면 재점검이 필요하다는 경고를 받고 있습니다.

핵심 포인트

• 이메일 서버 접근 권한 거래: 해커들이 국회 메일함을 유료로 거래하며, “서비스형 해킹” 모델이 확대되고 있음을 시사.
• 대규모 침입 시도와 악성코드 배포: 20,000 건의 침입 시도와 160,000 건의 악성코드 대응이 확인되어, 내부 보안이 심각히 취약함을 보여줌.
• 보안체계 전면 재점검 필요: 보안 담당자들은 접근 제어, 모니터링, 대응 프로세스를 종합적으로 재검토해야 함을 강조.

기술 세부 내용

1️⃣ Email Server Breach & “Service‑as‑a‑Threat” 모델

• ⚙️ 공격 흐름
  1️⃣ 정보 수집 – 해커는 국회 내부 네트워크, 포털, 메신저, 공개된 스크립트 등에서 IP, 포트, 서비스 정보를 수집합니다.
  2️⃣ 취약점 탐지 – OpenSSL 취약점, 오래된 Postfix, Dovecot, 혹은 Exchange 버전이 노출되는 경우, 자동화 스크립트로 로그인 시도를 진행합니다.
  3️⃣ 증거 확보 – 성공 시 로그인 세션, 인증 토큰, SSH key, SCP 파일을 확보하고, 해당 정보를 “전문가 서비스”로 거래합니다.
• 비즈니스 모델
  • 월 단위 구독: 15개 국회 메일함에 대해 월 13 M KRW(≈$10,000)의 비용을 청구합니다.
  • 권한 매핑: 메일 수신, 송신, 검색, 첨부파일 다운로드 등 “읽기 + 쓰기” 권한이 포함됩니다.
  • 지원 서비스: 비정상적인 활동 탐지, 계정 복구, 인증 우회 기법 제공까지 포함됩니다.
• 방어 포인트
  1️⃣ 다단계 인증(MFA) – OTP, U2F 또는 Smart Card를 통한 2단계 인증 활성화.
  2️⃣ IP 화이트리스트 – 신뢰된 IP 범위만 접근 허용하고, GeoIP 차단을 추가.
  3️⃣ 로그 감시 – ELK Stack, Splunk, SIEM과 연동해 로그인 실패, 권한 상승 시도 즉시 알림.
  4️⃣ 정책 기반 접근 제어 – Role‑Based Access Control (RBAC)와 Least Privilege 원칙 적용.

2️⃣ Malware Deployment, Response, 그리고 Incident Management

• ⚡ 악성코드 배포 경로
  1️⃣ Phishing – 정식 메일처럼 보이는 링크를 삽입해 credential harvesting과 함께 악성 스크립트 전달.
  2️⃣ Lateral Movement – Pass the Hash 혹은 Mimikatz를 이용해 내부 네트워크에서 권한 상승.
  3️⃣ Persistence – WMI Event Subscription, Scheduled Task, 혹은 Registry Run Keys에 악성 코드 삽입.
• ️ 대응 단계
  1️⃣ 감지 – EDR(Endpoint Detection & Response) 도구를 통해 비정상 프로세스와 파일 변조를 탐지합니다.
  2️⃣ 격리 – 침해된 호스트를 자동으로 network segmentation에 격리하고, CIS Benchmarks에 따라 firewall 규칙 재설정합니다.
  3️⃣ 분석 – X‑Force Exchange, VirusTotal 등 외부 위협 인텔리전스와 연동해 샘플을 분석합니다.
  4️⃣ 제거 – Autopatch, WSUS, MSI를 활용해 패치와 함께 악성코드를 완전히 삭제합니다.
  5️⃣ 복구 – 백업 스냅샷을 이용해 정상 상태로 복구하고, forensic imaging을 통해 흔적을 남깁니다.
• 통계 해석
  • 4년간 20,000건의 침입 시도는 평균 5,000건/년으로, 하루 평균 14건의 공격이 지속적으로 발생.
  • 160,000건의 악성코드 대응은 1년당 약 43,000건에 해당하며, 이는 일반 기업 대비 3~5배 수준의 공격 빈도입니다.
• 보안 프로세스 개선
  1️⃣ 위협 인텔리전스 공유 – Threat Hunting 팀이 실시간 위협 정보(예: APT28, Charming Kitten)를 내부 위협 인텔리전스 플랫폼에 피드.
  2️⃣ 침해 사고 시뮬레이션 – 분기별로 Red Team/Blue Team 연습을 통해 대응 시간 및 절차를 개선.
  3️⃣ 인증 재검토 – 매 6개월마다 Zero Trust 모델을 적용해 인증 방식을 재평가.

3️⃣ 보안체계 전면 재점검 – “Zero‑Trust” 접근

• Zero‑Trust Architecture
  • Identity & Access Management (IAM): SAML, OAuth2, OpenID Connect 기반 인증, SSO와 MFA 결합.
  • Micro‑segmentation: Cisco SecureX, VMware NSX 등을 활용해 네트워크 세그먼트별 방화벽 규칙을 세밀히 설정.
  • Continuous Monitoring: Cloud‑Native SIEM, XDR(Extended Detection and Response)으로 모든 트래픽을 실시간으로 분석.
• ️ 재점검 절차
  1️⃣ 자산 식별 – CIS Critical Security Controls 기준으로 모든 시스템, 애플리케이션, 데이터베이스를 재점검.
  2️⃣ 위험 평가 – CVSS, NIST SP 800‑30을 활용해 취약점 위험도를 평가.
  3️⃣ 패치 및 패치 관리 – WSUS, System Center Configuration Manager (SCCM), 혹은 Ansible을 통해 패치를 자동화.
  4️⃣ 보안 정책 재정립 – Least Privilege, Defense‑in‑Depth, Fail‑Secure 원칙을 정책에 반영.
  5️⃣ 교육 & 인식 제고 – Spear‑Phishing 시뮬레이션과 정기적인 보안 교육으로 직원 보안 인식 향상.
• 사고 대응 가이드라인
  • 접근 사고: IAM 로그를 자동으로 추적해 Account Takeover (ATO) 가능성을 조기에 탐지.
  • 내부 위협: User Behavior Analytics (UBA)를 활용해 비정상적인 파일 접근, 데이터 전송 패턴을 분석.
  • 공격 체인 차단: Defense‑in‑Depth 방식을 적용해 Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Action on Objectives 단계별 차단.

---

마무리 체크리스트

항목	핵심 내용	비고
MFA	TOTP + Hardware Token	2단계 인증 필수
IP 화이트리스트	국회 내부 IP 범위 지정	GeoIP 차단
SIEM	ELK + CrowdStrike	실시간 알림
Zero‑Trust	IAM + Micro‑segmentation	방어 체계 재구성
교육	Phishing 시뮬레이션	직원 보안 인식 강화

이러한 보안 강화 조치를 통해 국회는 외부 해킹 조직의 서비스형 해킹과 대규모 악성코드 공격으로부터 안전하게 보호될 수 있을 것입니다.

 

출처: http://www.boannews.com/media/view.asp?idx=139724&kind=&sub_kind=