“APT와 디도스의 공격 도구는 같지만 비즈니스 영향은 다르다. 디도스는 즉각적인 피해를 입히고 APT는 장기간 은밀하게 피해를 입힌다. 디도스가 심장마비라면 APT는 암과 같다고 할 수 있다.”
토니 테오 아버네트웍스 아태지역 SE 디렉터는 “암은 조기에 발견하고 잘 치료하면 완치될 수 있지만, 심장마비는 즉시 사망이다. 이와 마찬가지로 APT는 초기에 발견하고 제대로 대응하면 피해를 완전히 막을 수 있다. 그러나 디도스는 공격이 시작되면 서비스에 지장을 주며 중단에 이르게 한다”고 설명했다.
많은 경우 디도스는 서비스 장애와 중단을 일으키고 돈을 요구하는 형태 뿐 아니라 APT와 병행해 발생시킨다. 디도스를 일으켜 보안 조직이 공격에 대응하는데 집중하고 있는 동안 다른 공격 루트를 사용해 중요 시스템의 데이터를 유출하거나 시스템을 파괴하고 공격 흔적을 지운다.
토니 테오 디렉터는 이 점을 강조하며 “디도스 역시 APT 공격 방법 중 하나라고 볼 수 있다. 디도스는 공격을 당하고 있다는 것을 기업이 즉시 알 수 있지만 APT는 그렇지 않다는 차이가 있을 뿐, 비즈니스에 심각한 피해를 입히는 것은 마찬가지”라며 “APT와 디도스에 대응할 수 있는 ‘인텔리전스’가 필수”라고 덧붙였다.
봇넷, 디도스·APT·암호화폐 채굴에도 사용
디도스와 APT는 멀웨어와 취약점을 이용한다. 기존 보안 시스템이 탐지하지 못하도록 다양한 우회 공격 방법을 적용하고 있으며, 알려지지 않은 신종 공격도구를 사용하고 정상 프로세스로 위장한다. 공격도구는 점점 더 진화하고 있으며 자동화된 멀웨어 생성 시스템을 이용해 대량의 신종 멀웨어를 생산해낸다. 신규 취약점이 발표됐을 때 해당 취약점이 있는 시스템을 자동으로 찾아 감염시키는 공격도 성행하고 있다.
IoT 기기는 공격에 더욱 심각하게 노출돼 있다. 2016년 미라이 봇넷이 오픈소스로 공개된 후 많은 변종 공격이 등장했는데, 비밀번호 설정이 돼 있지 않거나 기본 값으로 설정된 기기를 감염시켜 대규모 봇넷 군단을 만들고 공격에 이용했다.
지난해 발견된 리퍼는 수백만 기기를 감염시켜 봇넷을 만들었으며, 안드로이드폰을 감염시키는 와이어엑스는 100개국에서 12만개의 IP주소를 형성해서 공격에 사용할 수 있도록 했다. 올해 아버네트웍스가 발견한 봇넷은 IoT 기기를 프록시 서버로 만들어 추적을 어렵게 했다. 암호화폐 채굴 봇인 ‘사토리’도 유행하고 있다.
테오 디렉터는 “봇넷은 디도스 공격에만 사용되지 않는다. 스마트카, 스마트TV, 스마트냉장고 등 고가의 기기를 랜섬웨어로 감염시키고 금전을 요구할 수 있게 됐으며, 암호화폐 채굴, APT 공격 도구로도 사용된다”며 “2020년 1250억개의 디바이스가 인터넷에 연결될 것으로 보이는데, 최악의 경우 이 모든 기기가 공격에 사용될 수도 있다는 뜻”이라고 경고했다.
인텔리전스 탑재하며 진화하는 봇넷
봇넷은 대규모 IoT 기기를 감염시키는데 사용되며 감염이나 확산 방법이 단순하고 차단 방법도 복잡한 기술이 필요 없다고 생각할 수 있다. 그러나 이는 큰 오산이다. 봇넷도 진화하고 있으며, 취약점이 있는 기기를 자동으로 찾아서 웜 방식으로 확산하는 기능도 갖추고 있다. 정상적인 통신 요청으로 위장하기 때문에 앞으로 더욱 탐지와 방어가 어려워질 것이다.
테오 디렉터는 “IoT 봇넷 뿐만 아니라 공격에 사용되는 모든 도구를 탐지하고 방어하기 위해서는 높은 수준의 전문 지식이 필요하다. 전 세계에서 공격 정보를 수집하고 분석해 위협 인텔리전스를 축적하는 한편, 고급 조사 분석 전문가들이 분석해 실제 위협을 탐지하고 대응할 수 있도록 해야 한다”고 설명했다.
아버네트웍스는 전 세계 인터넷 통신에서 위협 정보를 수집해 분석하는 사이버 위협 인텔리전스(CTI) 서비스인 아틀라스(ATLAS)와 조사분석 전문조직 어서트(ASERT)를 운영하면서 가장 높은 수준의 위협 인텔리전스 서비스를 제공한다.
아버, 전 세계 인터넷 트래픽 40% 분석
아버네트웍스는 전 세계 통신사업자와 클라우드 서비스 사업자, 엔터프라이즈 등에 디도스 방어 장비를 공급하고 있으며, 전 세계 인터넷 트래픽의 40%를 분석하고, 전 세계 대부분의 국가 침해대응조직과 위협 정보를 공유하고 있으며, 악성코드 공유 커뮤니티 ‘레드스카이’를 운영하면서 위협 정보를 나누고 있다.
테오 디렉터는 “앞으로 스마트시티, 스마트 팩토리, 지능형 교통 시스템 등이 발달하면서 인터넷 통신을 통한 서비스가 더욱 다양하고, 일상생활에서 긴밀하게 사용될 것이다. 이러한 서비스를 설계할 때 보안은 반드시 기본 검토 사항이 돼야 하며, 디도스 방어 서비스는 기본 중 기본”이라고 강조했다.
그는 “아버네트웍스는 전 세계에서 가장 많은 위협정보를 확보하고 있기 때문에 거의 대부분의 공격을 탐지하고 대응할 수 있다. 세계에서 가장 뛰어난 위협 정보 수집·분석 역량에 더불어 대규모 서비스 사업자부터 엔터프라이즈, 중소기업에 이르는 다양한 규모의 사업자에게 최적화된 제품 라인업, 클라우드 기반 방어 서비스 까지 갖추고 있어 어떠한 환경에도 맞는 공격 방어 시스템을 구축할 수 있다”고 자신했다.
이어 그는 “아버네트웍스는 유연한 라이선스 정책을 제공해 라이선스를 분산된 사이트에서 라이선스를 나눠서 사용할 수 있도록 하는 한편, 가상화를 지원해 고가의 비용을 투자하지 않고도 디도스 공격 대응이 가능하다. 합리적인 비용과 세계 최고 수준의 대응 전문 능력, 대규모 디도스 방어 능력 등을 제공하는 아버네트웍스가 향후 ICT 환경을 안전하게 보호할 것”이라고 말했다.
