디지털 트랜스포메이션은 4차산업혁명을 위한 기업의 핵심 경영전략으로 부상하고 있다. 비즈니스를 디지털화 해 민첩성과 유연성을 극대화함으로써 4차산업혁명 시대에 필요한 경쟁력을 가질 수 있다는 것이 주요 내용이다.
디지털 트랜스포메이션은 기업만 채택하는 것이 아니다. 사이버 공격 집단도 디지털 트랜스포메이션을 통해 급변하는 시대에 맞춘 공격 전략을 개발해낸다. 인공지능(AI)을 이용해 보안 시스템을 지능적으로 인지하고 우회하며, 자동화를 통해 공격툴을 새로운 공격 체계에 최적화하고, 사이버 범죄 서비스(CaaS)를 이용해 비용의 최소화·수익의 극대화를 누리는 것이다.
포티넷의 ‘2018 보안 위협 전망’에서는 ‘디지털 트랜스포메이션’의 양면성을 경고하면서 “사이버범죄 마켓플레이스는 효과적인 공격을 위해 AI와 같은 최신 기술을 발빠르게 채택하고 있으며, 이 같은 추세는 2018 년에 더욱 가속화될 것”이라고 설명했다.
공격 범위 확대되며 인프라 가시성·제어능력 약화
포티넷 보고서에서는 기업의 디지털 트랜스포메이션이 가속화되면서 인프라에 대한 가시성과 제어 능력이 현저히 약화되고, 공격 범위가 지속적으로 확대될 것으로 전망했다. 개인·금융 정보에 접근하는 온라인 기기가 확산되면서 위협은 더욱 고도화된다. 각종 IoT 장치가 늘어나고 있으며, 자동차, 주택, 사무실의 핵심 인프라부터 스마트 시티에 이르기까지 모든 요소들이 연결돼 있어 사이버 범죄가 늘어나고, 새로운 공격 기회가 지속적으로 증가하고 있다고 진단했다.
자가학습 기능 가진 대규모 봇넷 등장
공격자들도 AI를 사용하고 있다. 특히 대규모 봇넷에 자가학습 기능을 추가해 지능적인 우회공격이 가능해 질 것으로 보인다. 미라이 봇넷 이후 등장한 하지메(Hajime), 데블스 아이비(Devil’s Ivy), 리퍼(Reaper)와 같은 정교한 공격이 전 사회를 긴장하게 한 바 있다.
이 기술을 기반으로 한 ‘하이브네츠(Hivenets)’ 봇넷은 손상된 디바이스를 지능적으로 클러스터링한다. 이 봇넷은 취약한 시스템을 효과적으로 공격하기 위해 자가 학습 기술을 활용하는데, 서로 정보를 교환하면서 공유된 지역 정보를 기반으로 공격을 실행한다.
좀비들은 더욱 스마트해져서 지시 없이도 명령을 수행하게 될 것이다. 하이브네츠는 집단(Swarms)으로 기하급수적으로 증가할 수 있으며, 동시에 다수의 피해자를 공격하고 완화 및 대응을 현저히 약화시킨다.
공격자들은 엄청난 규모와 속도로 다른 공격 벡터들을 파악 및 대상화하기 위해 손상된 장치의 집단, 또는 스웜봇(Swarmbots)을 사용할 것이다. 스웜봇의 전파 속도가 빠르기 때문에 방어조직은 봇의 진화와 전파를 예측하지 못할 것이다.
거대화된 랜섬웨어 비즈니스
지난해 호스팅 기업 인터넷나야나 공격에 성공한 랜섬웨어 공격자들은 클라우드 서비스 제공업체와 기타 상업 서비스를 대상으로 공격을 진행하고 있다. 랜섬웨어 위협은 2017년 전년대비 35배 증가했으며, 이 위협의 규모는 올해 더욱 커질 것으로 전망된다. 매출 증대를 노리고 있는 공격자들은 더 큰 수익을 노리고 있으며, 서비스 사업자가 주요 타깃이 될 수 있다.
클라우드 제공업체가 개발한 복잡한 하이퍼커넥티드 네트워크가 수백 개의 기업, 정부 기관, 핵심 인프라, 의료 기관 등에 서비스를 제공하고 있는데, 네트워크에 존재하는 단일 장애 지점으로 인해 수많은 기업과 기관에 동시에 피해를 입힐 수 있다.
사이버 범죄자들은 AI 기술을 다중 벡터 공격 방법에 적용해 클라우드 환경의 취약점을 검색하고 탐지·악용할 것이다. 공격자들은 범죄 조직에 거대한 비용을 지불하고 잠재적으로 수백, 수천 개의 기업 및 수백만 명의 고객을 위한 서비스를 중단시킬 수 있다.
자동화된 취약점 탐지 가능한 멀웨어 등장
적은 시간과 비용을 들여 높은 수익을 바라는 공격자들은 자동화와 빅데이터 분석 기법을 사용해 공격 성공률을 높일 수 있는 멀웨어를 생산해낸다. 포티넷은 ‘차세대 모픽 멀웨어(Morphic Malware)’의 등장을 경고했는데, 자동화된 취약성 탐지와 복잡한 데이터 분석을 기반으로 기계에 의해 생성되는 멀웨어라고 설명한다.
다형성 멀웨어는 새로운 것이 아니지만, 지금까지는 알고리즘을 기반으로 멀웨어를 개발했으며, 아웃풋에 대한 정교함이나 제어 능력이 없었다. 이제는 AI 기술인 기계학습을 통해 탐지 회피가 가능한 정교한 새 코드를 생성하게 될 것이다. 공격자들은 이미 존재하는 툴을 진화시켜 타깃이 갖고 있는 고유한 약점을 악용하기 좋은 방법을 개발해낼 것이다.
멀웨어는 보안을 피하기 위해 학습 모델을 활용할 수 있으며, 하루에 100만개 이상의 바이러스 변종을 만들어낼 수 있다. 이제는
포티가드랩은 지난해 1분기에 6200만개의 멀웨어를 탐지했으며, 수백만 건의 멀웨어 탐지 결과 중에서 2534 개의 멀웨어군에서 파생된 1만6582 개의 변종을 확인했가. 5개 중 1개 기관에서 모바일 장치를 대상으로 한 멀웨어가 보고됐다. 멀웨어의 자동화가 확산됨에 따라 내년에는 이러한 위협 상황이 더욱 악화될 것으로 전망된다.
중요 인프라 제공업체에 집중되는 공격
공격자의 주요 목표는 ‘돈’이다. 따라서 큰 돈을 벌 수 있는 공격에 집중하는데, 특히 전략적·경제적으로 수익성을 높일 수 있고 사회 혼란을 가중시킬 수 있는 중요 인프라 공급업체에 공격을 집중할 것이다.
이들은 필수적인 서비스와 정보를 보호하는 중요한 네트워크를 운영하고 있으며, 대부분의 중요 인프라·운영 기술 네트워크는 에어 갭 보호·격리 운영되도록 설계돼 취약할 수 있다. 중요 네트워크 공격은 치명적인 결과로 이어질 수 있기 때문에 지능적인 보안이 필요하다. 중요 인프라 공급업체들은 범죄, 테러 조직에 대항하여 기술적 우위를 확보하기 위해 노력하고 있다. 공격자의 대담한 전략과 운영 및 정보 기술의 결합으로 인해 2018년 이후에는 중요 인프라에 대한 보안이 더욱 중요한 보안 과제로 부상하게 될 것이다.
자동화를 통한 범죄 서비스
사이버 범죄 세계가 진화하면서 다크 웹도 발전하고 있다. 서비스로 제공되는 사이버 범죄(CaaS) 조직은 새로운 자동화 기술을 통해 다크 웹에서 새로운 서비스를 제공하게 될 것이다.
기계학습을 활용하는 지능적인 서비스들이 이미 다크웹에서 제공되고 있다. 예를 들어 마켓플레이스에서 ‘완전 탐지 불가능(FUD)’이라고 자평하는 서비스가 공급되고 있는데, 이 서비스는 범죄 개발자들이 유료 분석 서비스를 기반으로 공격 코드와 멀웨어를 업로드할 수 있도록 지원한다. 그 후 다른 공급업체의 보안 툴이 이를 감지할 수 있는지 여부에 대한 보고서를 받게 된다.
공격자들은 적극적으로 기계 학습을 통해 실험실에서 무엇이 어떻게 감지되고 있는지 파악하여 즉시 코드를 수정함으로써 그들의 사이버범죄와 침투 툴을 감지할 수 없도록 만든다. 그러나 기계 학습이 적용된 샌드박스 툴을 사용하면 이전에는 감지할 수 없었던 위협을 신속하게 식별하고 동적인 보호를 제공할 수 있다.
동적으로 구성 가능한 통합 보안으로 대응해야
자동화와 AI의 발전으로 인해 지능적인 사이버 범죄자들이 디지털 경제를 심각하게 위협하는 도구를 개발하고 있다. 보안 조직은 통합 보안 기술과 실행 가능한 위협 인텔리전스, 동적으로 구성 가능한 보안 패브릭을 중심으로 보안 시스템을 구성해야 한다.
공격에 대한 대응이 자동화되고 인텔리전스와 자동학습을 통해 네트워크가 효과적이고 자율적인 의사결정을 내릴 수 있을 때 보안은 디지털 속도에 맞춰 빠르게 운영될 수 있다. 이를 통해 가시성의 확장 및 중앙 집중화된 제어가 가능하다.
전략적 분할을 통해 엔드포인트 장치 및 로컬 네트워크 리소스부터 클라우드에 이르기까지 네트워크 에코시스템 전반에 걸쳐 위협을 무력화하고 손상된 장치를 신속하게 식별, 격리, 재조정함으로써 네트워크 인프라를 철저하게 보호할 수 있다.
포티넷 보고서는 “무엇보다 보안 프로토콜의 일부가 될 수 있도록 기본적인 보안성을 지키는 것이 매우 중요하다. 이는 기업들이 간과하기 쉬운 부분이나, 심각한 결과를 막을 수 있다”고 강조했다.
