백도어 공격이란 무엇인가요?

영어로 ‘후문’이라는 뜻인 백도어(backdoor)는 누군가가 정상적인 보안 조치를 우회하여 시스템에 액세스할 수 있는 모든 경로를 의미합니다. 소프트웨어에는 엔지니어와 개발자가 자체 방어를 우회하여 사용자의 문제를 해결할 수 있도록 코드에 백도어가 내장되어 있는 경우가 많습니다.

백도어 공격은 사이버 범죄자가 이러한 우회 진입 지점인 백도어를 사용하여 데이터와 시스템에 무단으로 액세스하는 것을 포함합니다. 이러한 사고는 해커가 사이버 보안 시스템을 방해하거나 무차별 대입할 필요가 없기 때문에 적어도 초기에는 탐지되지 않는 경우가 많습니다. 네트워크나 디바이스에 원격으로 액세스할 수 있게 되면 악의적인 공격자는 멀웨어를 설치하고, 데이터 도용에 관여하고, 사용자 활동을 감시할 수 있습니다.

백도어 공격은 해커가 시스템이나 네트워크 내에서 매우 높은 수준의 액세스 권한과 권한을 얻는 경우가 많기 때문에 매우 위험할 수 있습니다. 해커가 탐지되지 않고 이 작업을 수행할 수 있다면 몇 달 동안 그곳에 상주하며 사용자 활동을 모니터링할 수 있습니다. 백도어 공격으로 인한 위험은 다음과 같습니다.

1. 대규모 데이터 도난 – 백도어 공격이 성공하면 해커는 데이터베이스를 샅샅이 뒤져 개인 정보를 훔칠 수 있습니다.
2. 스피어 피싱 공격 – 해커는 백도어를 사용하여 이메일 계정이나 조직 내 기타 내부 메시징 시스템에 액세스한 다음 손상된 계정의 연락처로 표적 피싱 이메일을 보낼 수 있습니다. 이를 통해 멀웨어나 백도어 트로이 목마를 다른 계정으로 확산시킬 수 있습니다.
3. 사이버 스파이 활동 – 백도어 공격은 국가 차원에서 활동하는 정치적 사이버 스파이가 선호하는 전략입니다. 다른 형태의 스파이 활동과 달리 백도어 공격은 물리적인 접근이 필요하지 않으므로 백도어 공격에 성공한 해커는 지구 반대편에서 적국 정부를 감시할 수 있습니다.
4. 사이버 전쟁 – 일부 해커는 민감한 정보를 훔치는 데 그치지만, 다른 해커는 훨씬 더 나쁜 짓을 할 수도 있습니다. 백도어 침입은 국가의 지원을 받는 해커나 단독 테러리스트가 사이버 전쟁을 수행할 수 있도록 허용할 수 있습니다. 전력망, 정수장, 미사일 시스템 및 건강과 안전에 필수적인 기타 중요한 인프라는 모두 백도어 공격에 잠재적으로 취약하며, 이러한 영역에서 중단이 발생하면 치명적인 결과를 초래할 수 있습니다.

백도어 침입은 반세기 이상 잠재적인 위협으로 논의되어 왔습니다. 20세기 중반에 최초로 네트워크로 연결된 다중 사용자 운영 체제가 개발되자마자 무단 액세스 및 시스템 전복의 위협이 제기되었습니다.

1967년 미국 정보처리학회 연맹 회의에서 발표된 한 논문에서는 현재 우리가 백도어 공격이라고 부르는 공격 유형과 관련하여 ‘트랩도어’ 공격(Trapdoor attack)의 위험성에 대해 논의한 바 있습니다.

개인용 컴퓨터와 초기 휴대용 모바일 디바이스가 널리 보급되기 시작하던 1990년대, 미국 국가안보국(NSA)은 새로운 프로젝트인 클리퍼 칩(Clipper chip)을 개발하기 시작했습니다. 이 클리퍼를 휴대폰과 컴퓨터에 제조 공정의 표준 부품으로 추가하여 미국의 모든 디바이스에 보안 백도어를 제공하는 것이 목적이었습니다. 하지만 이 백도어 하드웨어가 악의적인 공격자에 의해서 쉽게 탈취되고 악용될 수 있었기 때문에 개인 정보 보호 및 보안 전문가들의 반발이 있었고, 결국 클리퍼는 폐기되었습니다.

NSA는 오늘날까지도 종종 소프트웨어와 애플리케이션에 백도어를 삽입하거나 악용하려는 시도를 하고 있다는 비난을 받고 있습니다. 미국 정부 기관에서 널리 사용되는 장비를 공급하는 주니퍼 네트웍스는 사이버 범죄자들이 데이터를 훔치는 데 사용하던 암호화 알고리즘의 결함을 발견했는데, 이 알고리즘은 NSA에 의해 만들어진 것이었습니다.

이렇게 오랜 역사를 가진 백도어 공격은 공격자가 사용하는 백도어 유형에 따라 다르게 분류됩니다. 지금부터 백도어 공격의 다양한 유형을 살펴보겠습니다.

많은 소프트웨어 개발자가 자체 시스템의 다양한 영역에 쉽게 관리 액세스 할 수 있도록 프로그램에 백도어를 포함합니다. 이렇게 하면 사용자 문제를 해결하고 취약점을 신속하게 수정하는 데 도움이 될 수 있습니다. 그러나 이러한 백도어가 사이버 범죄자에게 발견되면 사이버 공격을 시작하는 데 사용될 수 있습니다.

악성 백도어는 악의적인 목적으로 사이버 범죄자에 의해 만들어진 백도어입니다. 이 과정에는 해커가 표적 피싱 이메일을 통해 백도어 멀웨어를 설치하는 것이 포함될 수 있습니다. 예를 들어, 악의적인 공격자가 백도어 트로이 목마로 공무원의 디바이스를 감염시킨 다음 감염된 디바이스를 통해 직원이 액세스할 수 있는 모든 네트워크에 웜을 심기 시작할 수 있습니다. 해커가 결국 운영 체제의 코드에 액세스할 수 있게 되면 백도어를 추가하여 향후에도 쉽게 액세스할 수 있도록 할 수 있습니다.

많은 백도어는 사람의 실수로 인해 발생합니다. 개발자가 인터넷 보안 시스템에 취약점을 남겨두면 오랜 시간 동안 탐지되지 않을 수 있습니다. 악의적인 공격자가 이 결함을 먼저 발견하면 운영 체제나 애플리케이션의 백도어로 사용할 수 있습니다.

대부분의 백도어 공격은 해커가 소프트웨어 결함을 통해 네트워크와 디바이스에 원격으로 액세스하는 것이지만, 디바이스의 물리적 구조에 하드웨어 백도어를 포함할 수도 있습니다. 좋은 예로 위에 설명한 NSA의 클리퍼 칩이 있습니다. 그러나 이 접근 방식은 표적 디바이스에 물리적으로 액세스해야 하기 때문에 사이버 범죄자가 노출될 가능성이 높습니다.

백도어 공격이 항상 트로이 목마의 형태를 취하는 것은 아니지만 경우에 따라 트로이 목마가 될 수 있습니다. 트로이 목마는 다른 소프트웨어 안에 숨어 은밀하게 설치되는 멀웨어입니다. 무료 프로그램이나 애플리케이션을 다운로드하는 경우, 특히 평판이 좋지 않거나 위험도가 높은 사이트에서 호스팅되는 프로그램이나 애플리케이션은 트로이 목마와 함께 번들로 제공될 수 있습니다.

멀웨어에 의존하는 백도어 공격은 종종 트로이 목마 공격을 전달 메커니즘으로 사용할 수 있습니다. 그러나 ‘백도어 공격’이라는 용어는 광범위하므로 이는 하나의 전략일 뿐입니다.

악성 백도어의 초기 사례는 1998년 해킹 집단(Cult of the Dead Cow)이 Windows 운영 체제의 약점을 악용하기 위해 일종의 멀웨어를 만들었을 때 나타났습니다. 이 작은 프로그램은 시스템 사용자에게 알리지 않고 트로이 목마를 통해 설치될 수 있었습니다. 이를 통해 해커는 감염된 디바이스를 원격으로 제어할 수 있었습니다.

10년 후, 관리 백도어의 한 예가 발견되었습니다. 이후 또 다른 백도어 관련 논란의 중심에 서게 되는 주니퍼 네트웍스(Juniper Networks)는 일부 제품의 펌웨어에 의도적으로 백도어를 구축했습니다. 미리 설정된 마스터 비밀번호를 통해 사용자는 시스템에 대한 관리자 액세스 권한을 얻을 수 있었습니다.

주니퍼 네트웍스만이 미국 정부와 연관된 기업 중 백도어 공격을 당한 것은 아닙니다. 2020년에는 미국 정부 기관에 소프트웨어를 공급하는 소프트웨어 회사 SolarWinds가 해커의 표적이 되었습니다. 공격자들은 SolarWinds 소프트웨어에 백도어를 설치하여 해커가 보안 프로토콜을 우회하고 거의 1년 동안 미국 정부의 내부 활동을 감시할 수 있도록 했습니다.

백도어는 개발자가 합법적인 이유로 소프트웨어에 코딩하고 안전하게 사용한다면 완벽하게 합법적인 관행입니다. 앞서 설명한 것처럼 백도어는 관리 및 문제 해결 프로세스의 정상적인 부분일 수 있습니다.

그러나 해커가 백도어를 찾거나 만들어서 이를 사용하여 소프트웨어에 무단으로 액세스하는 것은 법을 위반하는 것입니다.

물론 백도어를 찾는 모든 해커가 범죄자라는 의미는 아닙니다. 많은 경우 화이트 해커는 침투 테스터로 일합니다. 이러한 사이버 보안 전문가는 사이버 범죄자보다 먼저 우발적인 백도어를 찾아 취약점을 패치할 수 있도록 노력합니다.

백도어 공격은 보통 일반 사용자의 디바이스가 아닌 대규모 조직 및 서비스 제공업체와 관련된 경우가 많기 때문에 개인이 백도어 공격으로부터 자신을 보호하기 위해 할 수 있는 일은 제한적입니다.

하지만 해커의 회사 침입이 걱정되는 직원이라면 다음과 같이 자신을 보호하기 위해 취할 수 있는 몇 가지 조치를 알아보세요.

1. 업무용 디바이스를 개인 인터넷 활동에 사용하지 마세요. 고위험 웹사이트를 방문하지 않더라도 실수로 악성 광고나 피싱 링크를 클릭해 멀웨어 다운로드를 유발하기 쉽습니다. 개인용 컴퓨터나 휴대폰과 같은 업무용 디바이스는 회사 전체에 대한 해커의 액세스 포인트가 될 수 있으므로 이를 보호하는 것은 사용자의 책임입니다.
2. 비정상적이거나 의심스러운 사건이 발생하면 신고하세요. 디바이스가 이상하게 작동하나요? 의심스러운 이메일을 받았나요? 아무것도 아닐 수도 있고 해커가 공격을 시도하는 것일 수도 있습니다. 잠재적인 위험 신호를 조직 내 상사에게 보고하고, 회사에 보안팀이나 전문가가 있는 경우 해당 팀에 직접 문의하세요. 대수롭지 않게 보이는 사소한 것이라도 백도어 침입 징후일 수 있습니다.
3. 특히 여행 중에는 반드시 VPN을 사용하세요. 원격 근무가 점점 보편화되고 있지만 여전히 현지 카페, 기차 또는 호텔에서 공용 Wi-Fi에 연결하는 것은 위험할 수 있습니다. 이러한 핫스팟은 해커들의 사냥터인 경우가 많으므로 업무용 장치에서 VPN을 사용하여 온라인 활동을 비공개로 유지하세요. 크롬 VPN과 같이 자주 사용하는 브라우저에 확장 프로그램으로 사용할 수 있는 편리한 서비스도 있습니다.

속도와 보안을 동시에 잡으세요

백도어 공격의 피해자가 되었다고 생각되면 다음 단계를 수행하여 잠재적인 피해를 줄이세요.

1. 조속한 신고 – 누군가 승인 없이 디바이스, 파일 또는 시스템에 액세스하는 경우, 이는 본인 또는 조직의 누군가가 저지른 실수를 이용하더라도 범죄에 해당합니다. 즉시 관계 당국에 연락하세요. 한국에서는 정부가 운영하는 사이버범죄 신고시스템 또는 개인정보 포털에 접속하여 신고할 수 있습니다.
2. 동료와 고객에게 알리기 – 소비자와 고객은 물론 조직 내부의 모든 사람이 공격 사실을 빨리 알수록 자신을 보호하기 위한 조치를 더 빨리 취할 수 있습니다(예: 손상된 네트워크를 통해 전송하는 정보의 양을 제한하는 등). 정보를 스스로 숨겨 평판 손상을 막고 싶은 유혹이 있을 수 있지만, 장기적으로는 상황을 악화시킬 수 있습니다.
3. 트로이 목마 또는 멀웨어 찾기 – 백도어 공격이 발생한 경우 멀웨어와 트로이 목마가 운영 체제에 은밀하게 설치되었을 가능성이 높습니다. 새로 다운로드한 출처가 불분명한 프로그램을 찾아보고 의도하지 않은 프로그램은 모두 제거하세요. 일부 트로이 목마는 비교적 무해하지만 다른 트로이 목마는 백도어를 촉진할 수 있습니다.

악성 백도어를 한 번에 완전히 제거할 수 있는 만병통치약은 없지만, 다음과 같은 몇 가지 단계를 수행할 수 있습니다.

1. 안티 멀웨어 프로그램을 실행하세요. 좋은 안티 멀웨어 프로그램은 시스템에서 실행 중인 잠재적인 악성 소프트웨어를 찾아 제거할 수 있습니다. 프리미엄 VPN 서비스에 포함되어 있는 바이러스 및 위협 방지 기능을 사용하면 안티 멀웨어와 VPN을 동시에 사용할 수 있어 더욱 효과적입니다.
2. 시스템 전체 재설정을 수행합니다. 특정 디바이스나 운영 체제에 백도어를 생성하는 멀웨어가 포함되어 있다고 생각되면 시스템 전체 재설정이 도움이 될 수 있습니다. 백업되지 않은 데이터는 손실되지만 멀웨어는 다른 모든 파일과 함께 지워져야 합니다. 그러나 백도어가 운영 체제 자체에 코딩되어 있는 경우(예: 해커가 기존의 관리 백도어를 이용하는 경우)에는 시스템 재설정을 해도 문제가 해결되지 않습니다.
3. 수동으로 멀웨어를 제거하세요. 백도어가 멀웨어의 결과인 경우 수동으로 삭제할 수 있어야 합니다. 문제는 이러한 프로그램이 위장되어 일반 검색에 나타나지 않는 경우가 많기 때문에 이를 찾는 것입니다. 하지만 일부 멀웨어는 바이러스 백신 소프트웨어의 검색 기능을 사용하여 쉽게 찾을 수 있습니다. 문제의 파일을 찾았다면 삭제하고 휴지통을 비우세요.

물론 온라인에서 걱정해야 할 사이버 위협은 백도어 공격만이 아닙니다. 다음은 가장 흔하게 발생할 수 있는 사이버 보안 위험 몇 가지입니다.

• 피싱 공격 – 피싱 공격은 해커가 시작하는 스팸 이메일 캠페인입니다. 피싱 공격은 보통 피해자가 의심스러운 링크가 포함된 이메일을 수신하는 방식으로 이루어집니다. 발신자는 합법적인 회사나 유명인을 사칭하여 수신자가 링크를 클릭하도록 유도합니다(경품 신청 또는 비밀번호 재설정을 위해). 이 링크를 클릭하면 멀웨어가 설치되거나 피해자가 속아서 비밀번호 정보를 노출할 수 있는 페이지로 이동합니다.
• 멀버타이징 – 대부분의 온라인 광고는 성가실 뿐이지만 일부는 위험할 수 있습니다. 해커는 멀웨어에 감염된 위험한 웹사이트로 연결되는 광고를 만들어 클릭을 유도하거나 멀웨어를 직접 호스팅하기도 합니다. 이러한 광고는 인터넷의 규제가 덜한 영역에 게재되는 경우가 많지만, 타사 제공업체가 광고를 구성하는 주류 웹사이트에 게재되는 경우도 있습니다. 뉴욕 타임즈와 스포티파이 같은 주요 플랫폼 웹사이트도 실수로 멀버타이징을 호스팅한 적이 있을 정도로 흔한 위협입니다.
• 무차별 대입 공격 – 사이버 범죄자들은 올바른 비밀번호를 찾을 때까지 몇 초 만에 수백만 개의 비밀번호 조합을 반복할 수 있는 강력한 프로그램을 개발했습니다. 이 과정을 브루트 포스 공격 또는 무차별 비밀번호 대입이라고 하며, 취약한 비밀번호를 사용하면 이 공격에 취약해질 수 있습니다. 일반적으로 강력한 비밀번호는 가능한 한 길어야 하며 실제 단어나 식별 가능한 숫자 패턴을 포함하지 않아야 합니다.
• 디도스 공격 – 흔히 Ddos라고 불리는 분산 서비스 거부 공격은 공격자가 네트워크나 웹사이트를 인위적인 트래픽으로 넘쳐나게 하여 공격 대상이 다운되고 합법적인 사용자가 사용할 수 없게 만드는 것입니다. 해커는 멀웨어에 감염된 디바이스의 군대인 봇넷을 사용하여 트래픽을 생성할 수 있습니다.