정식 소프트웨어를 감염시켜 악성코드를 유포하는 공급망 공격 방식이 앞으로 더욱 증가할 것으로 보인다.
카스퍼스키랩의 ‘2018년 위협 예측’ 보고서에 따르면 공급망 공격은 매우 쉽게 타깃 조직에 침투할 수 있다는 사실이 입증된 만큼, 앞으로 이 방식이 성행할 것으로 예상된다. 보고서는 섀도우패드(Shadowpad), 익스페트야(ExPetya)를 대표적인 예로 들었는데, 섀도우패드는 넷사랑 컴퓨터의 서버관리 소프트웨어와 어베스트의 PC 최적화 도구 ‘씨클리너’를 공격한 것이다.
보고서는 악명 높은 해킹 조직이 워터링 홀 기법의 대안으로, 또는 다른 침입 시도에 실패한 경우 공급망 공격 방식을 택하기 시작했다고 분석했다. 특히 이 방식은 정식 소프트웨어로 배포되기 때문에 피해가 발생하기 전 발견하기 어려워 공격자들이 선호하고 있는 것으로 보인다.
이창훈 카스퍼스키랩코리아 지사장은 “공급망 공격과 관련하여 카스퍼스키랩에서 지금까지 세운 가설은 악몽처럼 하나도 남김없이 사실로 드러났다. 지능형 해킹 조직이 계속해서 취약한 개발업체를 골라 침투하고 있기 때문에 많은 사람이 이용하는 소프트웨어에 대한 백도어 공격은 점점 더 매력적인 공격 벡터가 될 것”이라며 “공급망 공격을 사용하면 공격 대상 분야의 여러 기업에 침투할 수 있으면서도 시스템 관리자와 보안 솔루션의 레이더에는 포착되지 않는다”고 말했다.
공격 흔적 삭제하며 추적 방해
공급망 공격 외에 내년에 발생할 것으로 예측되는 표적공격은 다음과 같다.
◆모바일 악성 코드: 지난 2년 동안 보안 커뮤니티에서 밝혀낸 모바일 악성 코드는 익스플로잇과 결합할 경우 보안이 미흡한 대상에게 강력한 무기가 될 것이다.
◆공격 흔적 삭제: 샤문(Shamoon) 2.0과 스톤드릴(StoneDrill), 익스페트야(ExPetr), 낫페트아(NotPetya) 등을 보면 공격을 보면 공격 흔적을 삭제하는 와이퍼 공격이 점점 더 증가한다는 사실을 알 수 있다.
◆익스플로잇을 보호 위해 정찰·프로파일링 이용: 해커는 정찰에 더 많은 시간을 할애하며 ‘BeEF’와 같은 프로파일링 툴킷을 사용해 비용이 적게 드는 비 제로데이 익스플로잇 공격이 효과가 있을지 여부를 판단할 것이다.
◆OS-펌웨어 연결 인터페이스 공략: UEFI는 최신 PC의 OS와 펌웨어 사이의 소프트웨어 인터페이스를 말한다. 카스퍼스키랩의 예상으로는 앞으로 더욱 많은 해킹 조직이 UEFI가 지닌 고급 기능을 이용해 악성 코드 방지 솔루션 또는 OS 자체가 가동되기도 전에 활동을 시작할 수 있는 악성 코드를 만들 것으로 예상하고 있다.
◆라우터·모뎀 해킹: 라우터 및 모뎀은 잘 알려진 취약 부분으로, 대개 지능형 표적 공격에 사용되는 도구로 중요시되지는 않았다. 그러나 라우터 및 모뎀은 지속적이면서도 은밀한 네트워크 침투를 노리는 해커에게 중요한 연결 부위이며, 이 부분을 통해서 공격 흔적을 숨길 수 있다.
커넥티드카 보안 위협 증가
카스퍼스키랩은 내년에 발생할 가능성이 있는 산업부문 위협에 대해서도 분석했다. 인터넷 연결 의존도가 높은 분야에서 새롭게 겪을 수 있는 까다로운 보안 문제를 파악하고 있다.
◆커넥티드 카: 공급망의 복잡성이 증가함에 따라 새로운 위협을 경험하게 될 가능성이 높다. 공급망의 복잡성 문제가 어느 한 개인이 모든 자동차의 소스 코드를 확인하거나 단독으로 제어할 수 없는 상황으로 발전할 수 있으며, 이로 인해 해커가 침입하여 탐지를 피해 우회하기가 더욱 수월해질 가능성이 있다.
◆의료: 컴퓨터 네트워크에 연결된 전문 의료 장비의 규모가 증가하면서 강탈, 악의적 중단 등을 목적으로 사설 네트워크에 침입하여 공격 대상 의료 장비 및 데이터에 접근하는 형태의 공격이 증가할 수 있다.
◆금융 서비스: 온라인 결제 관련 보안 강화로 인해 범죄자의 관심이 계좌 가로채기 공격으로 향하게 될 것이다. 업계 추정에 따르면 이러한 유형의 사기 범죄가 수십 억 달러 규모에 이르게 될 것이라고 한다.
◆산업 보안 시스템: 표적형 랜섬웨어 공격의 위험이 증가할 가능성이 높다. 운영 기술 시스템은 기업 IT 네트워크보다 취약하며, 보통 인터넷에 그대로 노출되어 있다.
◆암호화 가상화폐 채굴 프로그램 설치를 목적으로 기업 대상의 표적 공격이 발생할 것으로 예상하고 있다. 이러한 공격은 조만간 랜섬웨어 공격 보다 수익성이 좋은 장기적 범죄 사업이 될지도 모른다.
