2017년 한 해 보안 업계에서는 랜섬웨어, 개인정보 유출, 공급망 공격이 뜨거운 감자였다. 2018년에는 여러 공격 방식이 더 복잡하게 얽혀서 방어를 어렵게 할 것이며, 돈이 되는 모든 곳에 공격이 집중될 것이다. 본지는 ‘2018년 주목해야 할 정보보호 이슈 10’으로 ▲공격자의 새로운 화수분, 가상화폐거래소 ▲‘돈’ 되는 개인정보 ▲신뢰 이용하는 공급망 공격 ▲AI vs AI ▲예정된 사고, IoT ▲진화하는 악성코드와 랜섬웨어 ▲사회기반시설 노리는 시스템 파괴형 공격 ▲엔드포인트 보호 기술의 혁신 ▲멀티클라우드 보안 전략 ▲위협 인텔리전스와 위협 헌팅을 선정했다. 2018년 주목해야 할 보안이슈를 점검하고, 이에 어떻게 대응해야하는지 살펴봄으로써 위험을 낮추고 비즈니스 경쟁력을 높일 수 있는 방법을 찾아본다.<편집자>
신뢰 이용하는 공급망 공격
지능형 공격은 정상적인 프로세스를 이용한다. 그 대표적인 방법이 소프트웨어 공급망을 이용하는 것이다. 소프트웨어를 배포하고 업데이트하는 서버를 해킹해 악성코드가 포함된 소프트웨어가 배포되도록 하는 방식이다. 우리나라에서는 3·20 보안사고를 비롯해 많은 침해사고가 소프트웨어 공급망을 통해 이뤄졌다.
보안기업도 공급망 공격 피해에서 자유롭지 못하다. 보안기업이 침해를 당해 위조된 공인인증서 모듈이 유포되는 사고가 일어났으며, 넷사랑 서버관리 소프트웨어, 어베스트의 PC 최적화 솔루션 ‘씨클리너’가 사고를 당했다.
공급망 공격은 소프트웨어 배포 서버 계정 관리가 허술하다는 사실을 이용해 코드서명을 탈취해 공격한다. 안랩은 “공격자는 주로 개발사 시스템이나 업데이트 서버 등을 해킹해 악성코드를 숨기는 방식을 사용한다. 이는 체계적인 보안 시스템을 갖추고 있는 기업·기관을 직접 공격 하는 방식보다 공격 대상과 연결돼 있지만 상대적으로 보안이 취약한 대상을 이용하는 것이 공격자 입장에서 수월하기 때문이다”라고 설명했다.
대규모 랜섬웨어 유포 위해 공급망 이용
시만텍은 이 공격이 고전적인 사이버 스파이, 도감청을 위해 진행돼 왔으며, 최근 사이버 범죄로 활동 영역을 넓히고 있다고 분석했다. 공격자는 대중에게 공개돼 있는 공급자, 계약자, 파트너, 주요인물 관련 정보를 활용해 쉽게 공격대상을 찾고 있으며, 쉽게 공격이 가능하다고 분석했다.
공급망 공격은 쉽게 탐지되지 않으며, 대규모 배포가 가능하기 때문에 공격자들이 선호한다. 정상 소프트웨어로 배포되고, 정상 프로세스를 통해 실행되며, 외부 C&C 통신 없이도 상당 수준까지 공격이 진행된다.
KISA는 이 공격이 향후 자산관리 시스템, 망연계 시스템, 모바일 단말 관리 소프트웨어 등 중앙관리 소프트웨어 취약점을 노려 피해를 확산시키는 방향으로 진화할 것으로 내다봤다. 한발 더 나아가 이 공격이 의료·금융·전력 등 산업기반 시설에 피해를 입히는 사이버 대란도 발생시킬 수 있다고 경고했다. 이스트시큐리티는 공급망 공격을 이용해 대규모 랜섬웨어 유포도 가능하다고 분석했다.
