지난해 하반기 들어 다소 주춤한 모습을 보였던 랜섬웨어가 다시 활동 재개의 모습을 보였다. 새해 조직개편을 단행한 기업/기관을 노리고 새로운 사내 업무 관련 지침으로 위장한 악성메일을 유포하는 공격이 포착된 것이다.
나아가 올해는 더 높은 수익을 얻을 수 있는 정보를 노릴 것으로 보인다. 안랩은 그 대표적인 예로 무역거래 관련 데이터를 꼽았다. 안랩이 3일 자사 홈페이지에 게재한 ‘2017년 보안위협 전망’에 따르면 랜섬웨어의 위협은 올해 더욱 고도화되고 공격 범위도 확장될 것으로 보이며, 특히 무역 거래가 빈번한 기업의 경우 각별한 주의가 요구된다.
무역회사들은 최근 몇 년간 거래처를 위장한 메일을 이용한 무역대금 송금사기 피해를 입었으며, 이 공격이 스피어피싱, 랜섬웨어와 결합해 더욱 교묘하게 진행되고, 더욱 심각한 피해를 입힐 것으로 예상된다.
보고서에서는 “일반 기업과 마찬가지로 공격자들도 투자 대비 수익률이 높은 방법을 모색할 것이 분명하다. 사람들의 심리와 최신 기술이 결합된 교묘한 공격 기법을 찾아낼 것”이라고 강조했다.
보고서는 “랜섬웨어는 공격자 관점에서 즉각적으로 금전적 이득을 취할 수 있는 유용한 범죄 수단으로 자리잡았다. 기업의 경우, 비즈니스 중단이나 고객 정보와 같은 중요 데이터를 잃을 수 있다는 부담 때문에 결국 몸값(ransom)을 지불하는 사례가 적지 않다. 여기에 랜섬웨어 제작 및 유포의 서비스화(RaaS) 등 랜섬웨어 자체가 수요자와 공급자가 유기적으로 활동하는 하나의 시장을 형성하기에 이르렀다”며 “금전적 이득을 목적으로 하는 랜섬웨어는 올해 더욱 고도화되고 공격범위도 확장될 것”이라고 주장했다.
대중화된 공격 툴 이용한 공격 가속화
보고서에서는 사이버 공격이 IT 지식을 갖지 않은 범죄자도 공격을 할 수 있도록 RaaS, 암시장, 심지어 일반 인터넷 상으로도 공격 툴을 쉽게 구입할 수 있다는 사실을 강조했다. 공격이 대중화되면서 더 많은 공격이 진행될 것으로 보이며, 사이버 범죄자를 특정인 또는 그룹으로 한정 지을 수 없게 돼 대응과 수사가 어려워 질 것으로 보인다.
공격자들은 스팸 메일 첨부파일과 홈페이지 방문 시 자동으로 설치하는 드라이브 바이 다운로드 공격을 지속할 뿐 아니라 소프트웨어 보안 패치를 적용하지 않는 사용자들이 더 많다는 사실에 주목하고 소프트웨어 보안 취약점을 악용하는 익스플로잇 킷을 더욱 적극적으로 활용하는 등 기존 공격 기법의 업그레이드에 주력할 것이다. 지속적으로 증가하는 익스플로잇킷 기반의 공격에 대비하기 위해 정기적으로 웹사이트 위변조 여부를 확인하고, 특히 웹쉘을 이용한 공격에 각별한 주의를 기울여야 한다.
치밀한 위장술로 내부 침입 및 시스템 장악 시도
2010년 전후로 발생한 기업 해킹은 기업 기밀이나 기업이 보유하고 있는 개인정보를 탈취하기 위한 목적이 대부분이었다. 그러나 최근에는 단순한 정보 유출을 넘어 기업 내부 인프라를 장악하기 위한 공격으로 변화했다. 이를 위해 특히 올해는 기업 및 기관의 내부 인프라에 성공적으로 침입하기 위해 다양한 속임수를 더한 공격 기법이 등장할 것으로 보인다.
이러한 공격을 통해 감염된 시스템을 거점으로 기업 내부 인프라에 침입하여 내부 정보를 수집 및 검색함으로써 시스템 계정 정보를 획득한다. 주요 계정 정보의 수집과 활용을 반복함으로써 내부 관리 시스템 운영에 관련된 권한을 탈취하고 마침내 전체 인프라를 장악한다.
이런 방식으로 특정 기업의 내부 시스템을 장악한 후, 해당 기업의 서비스 이용에 필요한 정상적인 프로그램으로 위장하여 광범위한 다수의 PC에 악성코드를 설치할 수 있다. 또 이렇게 감염된 PC와 연결된 네트워크상의 다른 시스템을 통해 또 다른 기업의 내부 시스템 장악까지 시도할 수 있어 이 영역에 대한 공격은 여전히 지속될 것으로 보인다.
멈추지 않는 사회기반시설 공격·사이버 테러
2017년에는 국내 뿐만 아니라 전세계적으로 정치·경제적 이해관계 대립이 더욱 심화될 전망이다. 국가간 이념적 갈등 또한 깊어져 타국의 기관과 기업을 겨냥한 사이버 테러 역시 사라지지 않을 전망이다.
최근 공격의 대상(target)은 기존의 다수 시민들이 이용하는 온라인 서비스를 겨냥하던 것에서 서비스 종류나 규모에 관계없이 거의 모든 기업과 기관으로 확대되고 있다. 사회기반시설 공격 등 사이버 테러의 배후는 주로 테러 단체이거나 적대적인 관계를 맺고 있는 국가로 추정된다. 공격 동기 또한 금전적 이득보다는 종교적·이념적·정치적 갈등에서 찾을 수 있다. 사회기반시설 공격이 성공할 경우 사회적 혼란과 공포를 야기함으로써 자신들의 선전 효과를 극대화할 수 있으며, 종교적·정치적 갈등은 쉽게 해결되기 어렵기 때문에 사회기반시설 공격은 앞으로도 지속될 전망이다.
대부분의 사회기반시설 내 시스템은 외부 인터넷에 직접적으로 연결되지 않는 망분리 환경에서 안전하게 운영되고 있다. 그러나 단 하나라도 인터넷망에 연결된 시스템이나 인터넷망과 내부망을 연결하는 지점이 존재할 수 있기 때문에 보안 위협으로부터 완벽하게 자유롭다고 할 수 없다. 또 어디에서든 보안에 가장 취약한 지점은 사람이다. 불편함 등을 이유로 보안 정책을 어기는 내부 직원이 있을 수 있다. 공격자들은 이러한 취약점을 찾아내기 위해 다양한 방법을 동원해 지속적으로 공격을 시도하고 있다.
사물인터넷은 ‘사물 위협 인터넷 ’
사물인터넷( IoT) 기술의 발전과 확산은 더욱 가속화될 전망이다. 문제는 아직 사물인터넷의 보안 이슈에 대한 인식이 부족해 보안에 취약한 제품의 판매가 지속될 것이라는 점이다. 그리고 이를 노린 사물인터넷 악성코드 또한 빠르게 증가할 것으로 예상된다.
실제로 지난해 미국에서는 미라이(Mirai) 악성코드에 감염된 사물인터넷 기기를 이용한 대규모 DDoS 공격이 발생한 바 있다. 사물인터넷 기기는 한번 판매 또는 설치되면 사후 관리가 이루어지기 어렵고, 대부분 수년간 초기 상태 그대로 사용된다는 특징이 있다. 사용자 입장에서는 사물인터넷 기기 제조사가 제공하는 보안 패치를 적용하는 것 외에는 마땅히 방법이 없다.
그러나 현재 대부분의 사물인터넷 기기 제작 업체는 보안 문제를 고민할 정도의 여유가 없거나 기술력이 부족한 실정이다. 또 사용성의 측면에서 저전력과 저비용이 핵심인 사물인터넷 기기의 특성상 보안 강화를 위한 기능 추가나 가격을 인상하는 것은 현실적으로 어렵다.
따라서 빠르게 확산되고 있는 사물인터넷 기기와 관련된 보안 위협을 방지하기 위해서는 제조사뿐만 아니라 보안 업체와 정부 기관의 유기적인 협력이 필요하다. 또 다양한 국가에서 앞다퉈 사물인터넷 기술과 제품 개발을 서두르고 있어 개별 국가의 규제만으로는 사물인터넷 기기에 의한 광범위한 보안 위협을 해결하기 어렵다. 각국의 정부와 관련 협회, 제조사의 전방위적인 협업을 통해 사물인터넷 기기에 대한 최소한의 점검 체계 구축과 실질적으로 적용 가능한 보안 가이드 마련이 시급하다.
인텔리전스 이용한 위협 대응 필요
이어 안랩은 2017년 보안위협에 대한 대응으로 머신러닝과 인텔리전스가 필요하다고 주장했다. 다양하고 방대한 데이터를 분석하기 위한 새로운 기술 연구 속에서 등장한 데이터 마이닝, 머신 러닝 등의 기술이 보안 영역에서도 새롭게 자리잡는 한 해가 될 것으로 보인다.
나날이 복잡다단해지는 보안 위협에 대응하기 위해 다수의 보안 솔루션이 도입됐지만, 이들을 관리하는 인력에는 양적으로, 또 질적으로 한계가 있기 마련이다. 사람의 지식으로 축적된 것을 기술로 풀어내는 과정을 통해 그간 인력 기반으로 해결하려던 보안의 영역을 기술 기반으로 대체하는 다양한 시도가 진행될 것이다.
이를 통해 전통적인 보안 체계에서는 무의미한 것으로 간주되거나 간과되었던 부분에서 새롭게 유의미한 정보를 발견하는 사례도 나타날 것이다. 머신 러닝 등 새로운 기술과의 접목을 통해 전문적인 지식을 가진 분석가 못지 않은 결과물을 산출할 것이고, 동시에 이를 통해 절감된 리소스는 새로운 분야 또는 비즈니스에 투입되는 선순환 구조를 형성할 것이다.
보안 영역 세분화·통합 관리·대응 요구
사물인터넷(IoT)과 클라우드로 대변되는 IT 변화의 시대를 맞아 다양한 플랫폼과 서비스에 따른 세분화된 보안 요구가 증가할 것이다. 다양한 연구 결과와 직접적인 체험을 통해 어느 정도 최신 기술에 대한 이해를 마련한 기업들은 각 산업분야에 맞는 기술과 서비스를 업무에 적용해 나가고 있다.
이 과정에서 당연히 보안이라는 요소에 대한 검토가 동반되어야 할 것이며, 각각의 환경에 적합한 보안 기술과 솔루션을 선택해 나가는 한 해가 될 것이다. 각각 세분화되어 있는 보안의 영역을 전체적으로 관리 및 모니터링하며 이를 토대로 실질적이고 효과적인 대응을 수행할 수 있는 통합 보안에 대한 요구가 구체화될 전망이다. 특히 위협 정보의 시각화가 필수적이며 발견된 문제점을 해결하기 위한 실질적인 대응이 보안의 주요한 항목으로 자리할 전망이다.
‘악인’의 구분이 모호한 시대
불과 몇 년 전까지만 해도 사이버 공격은 전문적인 IT 지식을 가진 해커 또는 해킹 그룹의 전유물로 여겨졌다. 그러나 최근 사이버 암시장뿐만 아니라 일반 인터넷 상에서도 스팸 메일 발송 서비스를 비롯해 랜섬웨어 제작 서비스인 RaaS 등을 어렵지 않게 구할 수 있어 전문적인 IT 지식이 없는 사람도 사이버 공격을 시도할 수 있게 됐다.
여기에 주요 응용 프로그램의 보안 취약점을 이용하는 익스플로잇 킷(Exploit Kit)을 다방면으로 활용하는 공격 기법이 업그레이드되면서 사이버 공격이 더 많은 범죄에 악용될 가능성을 높이고 있다.
악성코드 제작 및 유포 대행 서비스로 인한 사이버 공격의 대중화로 인해 공격자를 더이상 특정인 또는 특정 그룹으로 한정 지을 수 없게 됐다. 즉, 사이버 공격 대응은 물론 공격 주체에 대한 수사에 많은 어려움을 겪게 될 전망이다. 따라서 보안 취약점을 이용한 사이버 공격에 노출되는 범위를 최소화하기 위해서는 보안 패치의 중요성에 대한 사용자 인식 제고가 요구된다. 기업 및 기관의 경우, 임직원들의 보안 패치 적용을 강제하고 관리하기 위한 방안 마련이나 솔루션 도입에 대한 투자를 고려할 필요가 있다.
가장 심각한 보안홀은 ‘사람’
최근 국내외에서 발생하고 있는 해킹 사고의 대부분은 조직 내 특정 개인이나 그룹을 표적으로 삼아 공격을 수행하고 최종 목적을 달성하는 형태다. 공격 기법 또한 특정인 또는 그룹에게만 이메일을 보내 첨부 파일을 실행하도록 유도하는 스피어피싱이나 특정인이 주로 이용하는 웹사이트를 해킹하여 악성코드를 유포하는 워터링 홀 공격 등이 주를 이룬다.
일련의 최신 해킹 사례에서 주목해야 할 점은 표적 공격도 결국 ‘악성코드’ 유입에서 출발하며, 제대로 관리되지 않은 PC나 서버가 교두보 역할을 한다는 점이다. 보안 위협을 사전에 차단하기 위해 다양한 솔루션을 구축하거나 전문화된 서비스를 이용하는 것도 필요하지만, 이보다 더 중요한 것은 이를 어떻게 활용하고 운영하는가 이다. 솔루션 도입만으로 충분하다고 성급하게 판단하는 보안 관리자나 책임자뿐만 아니라 ‘나 하나쯤은 괜찮겠지’라는 안일한 사용자의 보안 인식으로 인해 보안 침해 사고는 지속적으로 발생할 수 밖에 없다.
결국 모든 것의 시작과 끝에는 사람이 있다. 2017년에는 각 솔루션과 서비스 체계에 대한 점검 및 효과적인 운용을 위한 노력과 더불어 변함없는 보안의 취약점인 ‘사람’에 대한 교육과 관리 등 구체적인 노력이 요구된다. 조직 내 일반 사용자부터 보안 관리자, 기업 책임자까지, 사람에 의한 보안 문제를 최소화하기 위한 노력이 지속적으로 이뤄져야 한다.
