[2017 정보보안 키워드] “최신 IT 기술 이용하는 공격자”
상태바
[2017 정보보안 키워드] “최신 IT 기술 이용하는 공격자”
  • 김선애 기자
  • 승인 2017.01.02 11:52
  • 댓글 0
이 기사를 공유합니다

공격자, AI·위협 인텔리전스 이용해 보안 신기술 무력화 … 다계층 보안·정보공유·협업방어로 대응해야

“사이버 공격이 지능화 되고 있다”는 말이 이제는 습관처럼 나오고 있다. 공격 수법과 수단이 매일 달라지고 있지만, 방어 기술은 그렇게 빠르게 발전하지 못한다. 사이버 세상에서는 공격자가 유리한 고지를 차지하고 있지만, ‘지피지기면 백전불태’이다. 공격자의 수법을 파악하고 전방위적으로 방어하면서 보안 리스크를 낮춰가야 한다. 앞서 ‘2016년 정보보안 시장 분석 ①,②’편에 이어 올해 보안 업계를 장식할 것으로 보이는 키워드를 정리했다.<편집자>

2016년 보안시장은 랜섬웨어와 핵티비즘이라는 두 단어로 요약할 수 있다. 한글화된 랜섬웨어가 국내에 상륙해 큰 피해를 입혔으며, 군·정부 주요 기관과 사회기반시설에서 사이버 공격이 발생했고, 대부분의 사고는 북한발 공격으로 결론지어졌다.

2017년의 보안 시장을 예측해 보면 ‘침체와 불신’이라는 두 개의 단어가 핵심이 될 것으로 보인다. 대통령 탄핵으로 인해 정치적으로 극도의 불안한 정국이 이어지면서 공공시장은 물론이고 일반 기업에서도 정보보안 투자에 극히 소극적으로 나설 것으로 보인다. 미래 불확실성이 높은 환경에서는 대규모 투자보다 현상유지를 위해 불요불급한 비용 지출을 줄이고 필수적인 사업에만 예산을 배정하는 전략을 택할 것으로 예상된다.

또한 정치적인 혼란을 틈타 이를 이용한 사이버 공격이 잇달아 터져나올 것으로 예상되며, 정부는 이를 ‘북한발 공격’으로 결론내리면서 불신을 확대할 것으로 보인다. 이미 ‘북한발 사이버 공격’은 많은 사람들로부터 외면 받는 이슈가 됐다. 마치 양치기 소년처럼, 국내에서 발생하는 대부분의 공격이 북한 소행으로 ‘판명’되고, 피해기관은 면죄부를 받는 과정이 반복되고 있어, 실제로 북한이 공격을 해 온다고 해도 믿는 사람이 없을 것으로 예상된다.

사이버 공격, 정치적으로 이용하면 안돼

정보보안을 정치적으로 이용한 결과, 사람들은 정부의 발표를 불신하는 상황이 됐다. 그러나 사이버 보안은 국가안보와 직결되는 매우 중요한 이슈이다. 미국 대선 과정에 민주당 이메일 해킹 사고가 발견됐으며, CIA는 러시아가 도널드 트럼프 공화당 후보 당선을 돕기 위해 대선에 개입한 것이라고 발표했고, 오바마 대통령은 사이버 공격에 대한 재조사를 명령하는 등 심각한 혼란에 빠진 바 있다.

대서양조약기구(NATO)는 2016년 사이버 공간을 전쟁이 일어날 수 있는 공간으로 공식 지정하면서 NATO 동맹에 대한 사이버 공격에 대해 공동대응한다고 천명하기도 했다. 사이버 전쟁은 적국의 정보를 훔쳐 이용하는 수준을 넘어, 적국의 사회기반시설을 파괴하고, 군 시스템을 혼란시키며, 국민의 생명과 안전을 위협하는 수준으로 진행되고 있다.

이처럼 전 세계가 사이버 공격과의 전쟁을 벌이고 있지만, 우리나라에서는 사이버 공격을 앞세워 공포심을 일으켜 정치적으로 이용하는 한편, 일각에서는 새로운 조직을 만들어 자신의 일자리를 만들기 위해 이용하려는 움직임도 보이고 있다.

정보보안 시장에서 희망을 가질 수 있는 사실은 ICBM(IoT, 클라우드, 빅데이터, 모바일)을 중심으로 기술 혁신이 빠르게 확산되고 있으며, 새로운 기술을 도입할 때 보안을 가장 먼저 고려하기 시작했다는 점이다. 보안이 전제되지 않은 ICBM은 상상할 수 없는 피해를 발생시킬 것이라는데 모든 사람들이 동의하고 있는 만큼, 보안이 IT 혁신의 도구로 사용될 수 있을지 기대된다.

본지는 2017년 정보보안 시장을 뜨겁게 달굴 키워드 10개를 선정했으며, 12월 기획 시리즈 [2016 보안시장 분석①] 강력한 규제·대형 사고에도 ‘불황’, [2016 보안시장 분석②] 현혹되지 말라 ‘북한발 공격’를 통해 2개의 키워드를 제시했다. 나머지 7개 키워드를 정리해 소개한다.

3. 악성코드의 진화 … 뛰는 놈 위의 나는 놈

공격자들은 탐지 시스템을 무력화하는 기술을 개발하는데 뛰어난 능력을 갖고 있다. 실행파일 위주의 악성코드를 탐지하는 기술이 발달하자 실행파일 없는 스크립트 형태의 악성코드가 등장했으며, 외부의 의심스러운 통신을 감시하는 C&C 통신 추적 기술이 발달하자 클라우드, SNS 등 신뢰할 수 있는 서비스를 C&C로 삼아 공격한다. 내부의 관리가 소홀한 서버를 C&C로 삼아 공격을 진행하기도 하며, C&C 통신 없이 감염 즉시 설계된 대로 공격을 진행하는 악성코드도 발견되고 있다.

공격을 더욱 효과적으로 하기 위해 관리자 권한을 탈취하는 방법도 다양해지고 있다. 타깃 조직의 관리자가 자주 방문하는 커뮤니티를 해킹해 회원정보를 탈취하는 방식이 이에 속한다. 이 때문에 잘 알려지지 않은 소규모 커뮤니티에 대한 해킹 시도가 지속적으로 이어지고 있다.

IoT 기기를 이용해 대량의 봇넷을 만드는 미라이 봇넷, 대량의 웹을 감염시키는 멀웨어넷 등 불특정 다수를 공격하기 위한 네트워크도 쉽게 만들 수 있게 됐으며, SaaS 애플리케이션의 보안 취약점을 이용한 공격도 등장할 것으로 예상된다.

사회공학적 기법을 이용한 공격은 2017년 더욱 극성을 부릴 것으로 예상되는데, 특히 대통령 탄핵, 조기대선 등 정치적인 혼란을 악용해 사람들을 유혹하는 공격이 다량 발생할 것으로 보인다.

4. 랜섬웨어는 사라질 것인가

2016년 상반기 극성을 부렸던 랜섬웨어는 하반기로 들어설수록 소강상태를 보이고 있다. 랜섬웨어 행위를 인지하고 차단하는 보안 기술이 발달하면서 랜섬웨어 공격 성공률이 낮아지고 있기 때문이다.

파이어아이의 ‘2017 사이버 보안 트렌드’에서는 “사법 당국이 랜섬웨어 인프라를 폐쇄하고 범죄자들을 추적하면서 일부 공격 조직들은 타격을 입었으며, 기업이 랜섬웨어 대비 태세를 갖추고 있어 랜섬웨어 공격은 다소 줄어들고 있다”고 설명했다.

랜섬웨어 공격조직은 러시아와 동유럽을 중심으로 활동하고 있었는데, 유로폴과 유럽의 사법당국, 민간 보안기업의 공조를 통해 핵심 공격조직을 검거하고 공격 서버를 압수하는 등의 성과를 거두면서 주요 공격 조직들이 숨을 죽이고 있는 상황이다.

랜섬웨어는 이렇게 사라질 것인가? 결코 그렇지 않을 것이다. 랜섬웨어만큼 수익성이 높은 공격이 없기 때문이다. 파이어아이는 스크립트와 매크로를 이용한 악성코드로 보안 벤더들이 탐지하지 못하는 공격을 전개할 것이라고 경고했다.

시만텍은 자동차를 인질로 잡는 랜섬웨어가 등장할 것으로 예측했다. 자동차, 스마트TV, 스마트 냉장고 등 고가의 사용자 기기를 인질로 잡으면 피해자들은 속수무책으로 공격자에게 돈을 줄 수 밖에 없다. 이러한 기기들은 백업 시스템이 없어 공격을 당했을 때 소비자가 해결할 수 있는 방법이 없다.

포티넷은 의료기기를 타깃으로 하는 랜섬웨어를 특히 조심해야 한다고 경고했다. 의료기기는 사람들의 생명과 직결되기 때문에 매우 주의해야 한다. 2016년 미국 헐리우드장로병원은 랜섬웨어로 의료 시스템이 마비돼 일주일 이상 병원 업무를 중단해야 했으며, 환자들은 다른 병원으로 이송돼 치료를 해야 했다.

이글루시큐리티의 ‘2017년 5대 보안 위협 전망’에서는 APT와 결합한 랜섬웨어가 대규모 해킹 공격에 사용될 가능성을 경고했다. 원본과 백업본을 포함한 대규모의 데이터를 암호화하고 서비스를 중지시키는 사고가 발생할 가능성이 높다는 설명이다.

5. 공격자에게도 유용한 암호화

데이터가 유출됐을 때에도 안전하게 보호할 수 있는 암호화는 개인정보와 기밀정보 보호를 위해 반드시 필요하다. 개인정보보호법에서는 모든 주민등록번호를 암호화하도록 했으며, 민감한 개인정보가 포함된 로그, 영상 등 비정형 데이터를 암호화하도록 해 암호화 시장이 크게 들썩이고 있다.

또한 빅데이터 활성화를 위해 개인정보를 비식별화 하면 금융기관이 본인동의를 얻지 않고 마케팅 활동에 활용할 수 있도록 해 개인정보 비식별화를 위한 토큰화, 마스킹 기법 등이 주목을 받고 있다.

그러나 암호화는 악성코드나 기밀정보를 숨기는 공격도구로도 사용된다는 점에 주의해야 한다. 공격자들은 악성코드를 몇 번에 걸쳐 압축하고 암호화해 보안 솔루션에서 해제하고 분석하지 못하도록 한다. 불법으로 유출시키고자 하는 기밀정보도 압축·암호화를 통해 DLP를 무력화한다.

암호화는 데이터 보호를 위해 반드시 필요한 조치이지만, 보안 시스템에서는 암호화된 데이터를 모두 복호화 해 위협이 있는지 분석해야 한다. 그래서 복호화 장비가 2016년부터 주목을 받기 시작했으며, 2017년 본격적인 성장이 예상된다. 또한 보안 솔루션은 암호화 데이터의 복호화 기능을 업그레이드하면서 모든 암호화된 데이터를 투명하게 보고 분석할 수 있도록 하고 있다.

6. 인공지능은 보안조직을 구원할 것인가

인공지능(AI)은 보안조직의 과다한 업무를 줄일 수 있는 기술로 기대된다. 수많은 장비에서 발생하는 보안 이벤트에서 실제 위협을 골라내고, 위협의 우선순위를 매기기 위해서는 높은 수준의 보안 전문성이 필요하며, AI 기술로 전문성을 학습한 기계가 실제 공격을 지능적으로 골라내고 자동으로 차단할 수 있을 것으로 기대된다.

시만텍의 ‘2017년 10대 보안 전망’에서는 포레스터의 보고서를 인용, AI 투자가 2017년 한해만 300% 증가할 것으로 전망되고 있으며, 보안 관점에서도 사람과 기계의 협력을 통한 보안 성장이 이뤄질 것으로 내다봤다.

KISA의 ‘2017 산업체가 주목해야 할 정보보호 10대기술’에서는 ‘인공지능 기반 이상거래 탐지기술’을 들면서, 머신러닝 기술을 적용해 이용상황과 행위패턴, 이용환경 등 사용자 특성 정보를 분석하고 이상금융거래를 탐지하는 기술이 성장하게 될 것이라고 설명했다.

그러나 공격자도 AI를 사용한다는데 ‘함정’이 있다. 보안 조직을 구원할 것이라는 기대를 받고 있는 AI가 공격을 진화시키는 도구로 사용돼 방어를 더욱 어렵게 할 것이라는 전망이 나온다. 공격자들은 이미 AI를 이용해 보안 시스템의 탐지 패턴을 파악하고, 이를 우회하는 방법을 생각해내고 있다.

르네 본바니 팔로알토네트웍스 CMO는 “공격자는 최첨단 IT 기술을 사용해 공격을 지능화하고 있다. 머신러닝, AI 역시 공격기법을 개선하는 도구로 사용된다”고 지적했다.

7. 클라우드 똑똑하게 사용하기

VM웨어의 ‘2017년 IT 10대 전망’에서는 2016년 클라우드가 급격하게 성장해 팀 단위당 업무에 사용하는 클라우드가 평균 8개에 이른다고 설명하며, 다양한 클라우드를 효율적으로 관리하는 것이 기업의 경쟁력을 좌우할 것이라고 강조했다. 이어 섀도우 IT에 대해 경고하면서 IT 부서 승인 없이 클라우드를 구매하는 섀도우 IT로 인해 기업의 생존이 위태로워 질 것이라고 밝혔다.

클라우드는 쉽게 사용하고 폐기할 수 있다는 장점이 있지만, 그만큼 보안에 취약하다. 팔로알토네트웍스의 ‘2017년 보안 전망’에서는 클라우드 사용으로 인하 보안 중요성이 증대될 것이라고 내다보면서, 특히 의료, 금융분야에서의 보안위협을 관리해야 한다고 경고했다.

의료기관이 SaaS를 사용하면서 개인의료정보를 공유하는 과정에서 데이터가 유출될 수 있다는 지적이다. 금융서비스 역시 마찬가지로 인증정보를 탈취한 공격자가 금융클라우드에 접속해 금융정보를 훔쳐갈 가능성을 염두에 두어야 한다.

시만텍은 클라우드를 공격하는 랜섬웨어를 경계해야 한다고 주장했다. 정보가 집적된 클라우드 스토리지에 랜섬웨어가 침투하면 모든 데이터가 인질로 잡혀 비즈니스가 중단된다. 클라우드 사업자는 공격을 당하지 않도록 인프라 보안을 강화해야 할 것이며, 사용자들은 접근통제와 계정관리를 강화해 불법 사용자가 서비스에 접근하지 못하도록 한다. 클라우드에 접속하는 엔드포인트의 무결성 검증을 통해 악성코드가 유입되지 못하도록 해야 한다.

하이브리드 클라우드를 운영하는 환경에서는 여러 클라우드에 동일한 접근제어 정책을 적용할 수 있는 클라우드 접근 보안 중개(CASB)가 요구된다. 업무에 사용하는 클라우드는 SSO를 이용해 편리하게 접속하지만, 접속자의 신원확인과 접속하는 권한 제어, 인가되지 않은 클라우드 사용 차단 등을 제공하는 CASB가 클라우드를 똑똑하게 사용할 수 있도록 도와줄 것이다.

8. 뭉치면 살고 흩어지면 죽는다 … 글로벌 위협 인텔리전스

공격자들은 그들만의 커뮤니티를 통해 최신 보안 기술 정보와 우회방법을 교류한다. 성공한 공격 수법을 공유하면서 보다 확실한 성공을 위한 정보 나눔에 적극적이다. 그러나 방어하는 쪽에서는 정보공유에 소극적이다. 보안 벤더들은 자사에서 탐지한 공격 정보를 ‘자산’으로 생각하고 있으며, 기업/기관은 공격정보를 외부에 노출시켰다가 자사 취약점이 공개돼 더 많은 공격이 발생할 것을 우려한다.

그러나 사이버 공격이 지능화되면서 보안 기업 혼자 모든 공격을 막을 수 없게 되자 기업들은 정보공유에 적극적으로 나서기 시작했다. 정부기관 역시 다른 국가 및 민간기업과의 공조를 통해 보안위협에 공동대응하기로 했다.

우리나라에서는 2016년 글로벌 위협 공유 커뮤니티인 CAMP가 발족돼 활동을 시작했으며, 미국은 사이버보안 정보 공유법(CISA)에 의거, 정부, 기업, 보안업체 사이의 위협 인텔리전스 공유체계를 강화하고 있다. 팔로알토네트웍스, 포티넷, 시만텍, 인텔시큐리티가 결성한 ‘CTA’는 아예 NGO로 등록하면서 글로벌 위협 정보 공유에 나서고 있다.

더불어 공격 수법과 관련된 정보를 담은 ‘플레이북’ 공유 모델도 점차 설득력을 얻어가고 있다. 팔로알토네트웍스 보고서에서는 침해지표(IOC)의 한계가 드러나면서 특정 공격 집단의 공격수법을 정리한 플레이북을 통해 지표를 공유하는 트렌드가 확산되고 있다고 설명했다. 플레이북을 통해 공격의 모든 단계에 대한 방어 기제를 구축할 수 있게 된다. IOC에 의거한 침해대응은 공격 수법 하나만 바꾸면 탐지하지 못했지만, 플레이북은 공격 전체를 감시하기 때문에 공격자는 공격을 완전히 새롭게 설계해야 한다.

9. 현혹되지 마소 … 신뢰를 이용한 공격

지능형 공격은 점차 신뢰할 수 있는 사람과 서비스를 이용해 공격을 진행하고 있다. 인터파크 해킹 사고는 동생으로 위장한 발신자에 의해 공격이 시작됐다. 이메일 무역대금 송금사기는 거래처 이메일을 탈취하거나 유사한 계정으로 평소와 다름없는 내용의 이메일을 보내 무역대금을 공격자에게 보내도록 했다. 공격자 서버인 C&C는 신뢰할 수 있는 SNS, 클라우드 서비스를 이용해 아웃바운드 트래픽 행위를 모니터링하는 시스템에 탐지되지 않도록 한다.

패치서버 해킹을 통한 악성코드 유포 공격 역시 신뢰를 이용한다. 정상 소프트웨어 패치를 위장하거나, 코드서명인증을 탈취해 패치서버에서 악성코드를 유포하는 방식은 3·20 사고 이후 지속적으로 발생해왔다.

안랩은 KISA 보고서를 통해 “망이 분리돼 있다 해서 안전한 것은 아니다. 업무망과 인터넷망을 연결하는 접점이 악성코드 중계서버가 될 수 있다. 공격자은 공용 소프트웨어를 통해 악성코드를 내부 시스템에 유포하고 장악한 후 중계 서버를 통해 내부 분리망에 침투하는 시도를 계속할 것”이라고 밝혔다.

▲내부 시스템을 C&C로 활용해 탐지 가능성을 최소화하는 공격(자료: 안랩, KISA)

10. 확산되는 IoT … 증가하는 공격

보안 입장에서 IoT는 ‘재앙’이다. 네트워크에 연결되는 기계가 많을수록 보안취약성이 높아지는데, IoT는 모든 사물이 인터넷에 연결되기 때문에 모든 것이 보안 취약점이고, 모든 곳이 공격지점이 되는 셈이다.

스마트카의 발전은 더욱 위험하다. 자율주행자동차가 해킹을 당해 사람을 공격할 수 있으며, 통신을 조작해 사고를 일으킬 수도 있다. 드론 역시 공격에 이용될 수 있는 가능성이 충분하다. 소형 카메라를 탑재한 소형 드론이 군사 기밀시설에 침투해 정보를 빼낼 수도 있으며, 드론 컨트롤 신호를 탈취해 드론 경로를 재지정하는 드론재킹도 일어날 수 있다.

KISA 보고서에서는 ‘좀비화된 IoT 기기의 무기화’를 주의해야 한다고 경고했으며, 미라이봇넷에 의한 대규모 DDoS 공격이 대표적인 예라고 설명했다. 우리나라에서도 2015년 가정용 무선공유기들이 DDoS 공격에 악용된 사고가 있었다.

2017년에는 더욱 다양한 IoT 기기가 선보여질 것이며, 기능이 고도화돼 공격에 악용되기 쉽다. 헤드리스 장비들은 관리자 계정 설정이 쉽지 않고 소프트웨어와 펌웨어 취약점을 해결하는 것도 어려운 일이다. 일반 사용자들의 기기는 관리 사각지대에 놓여있기 때문에 더욱 위험하다.

KISA는 IoT 보안위협을 막기 위해 사용자는 사용 전 관리자 계정과 비밀번호를 안전한 것으로 바꿔야 한다고 조언했다. 기기 제조사는 하드웨어 기반 보안기술인 TPM을 사용하며, 시큐어부트를 통해 안전하게 운영될 수 있도록 해야 한다고 밝혔다. 취약점 및 보안패치가 자동으로 이뤄질 수 있어야 하고, 발견된 취약점은 SNS, 홈페이지 등을 통해 공개해 사용자들이 적절하게 대응할 수 있어야 한다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.