보안업계의 패러다임이 전환되고 있다. 경계보안에서 내부위협 탐지로, 선제방어에서 위협 탐지와 대응으로 확장되고 있으며, 인공지능(AI) 기술을 이용한 보안 고도화도 진행되고 있다. 거대한 혁신의 물결이 밀려오는 보안 시장을 진단한다.<편집자>
장기간의 침체, 최악의 실적, 돌파구가 없다….
지난 10여년간 반복되어 온 정보보안 시장에 대한 진단이다. 전 세계 정보보안 시장은 놀라운 속도로 확장하고 발전해가고 있었지만, 국내 시장은 침체의 늪에서 빠져나오지 못했다. 토종 보안 산업을 보호하기 위해 마련된 각종 규제가 오히려 시장의 규모를 축소시키고, 출혈경쟁만을 유도해 기술 투자 여력을 위축시키는 악순환이 계속 돼 왔다.
그러나 올해는 확실한 변화의 움직임이 감지된다. 보안 업계의 패러다임이 전환되고 있다. 혁명이 시작됐다고도 볼 수 있다. 진화하는 공격에 대응할 수 있는 검증된 보안 제품과 서비스를 찾는 수요가 늘어나고 있다는 사실이 변화의 시작이라고 할 수 있다.
보안 수요측에서는 ▲비즈니스에 영향을 주지 않으면서 ▲현재 일어나고 있는 공격을 막고 ▲미래에 일어날 공격을 예방하며 ▲현재 운영 조직의 업무 부담을 덜고 ▲현재 운영되고 있는 시스템과 호환되는 기술을 원하고 있다. 보안 기업들은 이러한 수요를 맞출 수 있는 여러 기술을 소개하고, 다양한 기업들과 파트너십을 맺으면서 보안을 고도화하고 있다.
이에 따라 인공지능(AI)과 글로벌 인텔리전스를 결합한 보안 기술이 상용화돼 진화하는 공격에 대응할 수 있도록 지원하는가 하면, 가장 치열한 경쟁사끼리 손잡고 공격자들에게 대항하는 커뮤니티를 만들고 있다. 클라우드를 통해 고급 보안 전문 기술을 제공하고, 전 세계 위협을 수집하고 빠르게 대응하는 방법을 제안하는가 하며, 공격그룹의 프로파일을 만들어 실제 범죄자를 추적하는 일에도 도움을 주고 있다.
[보안 패러다임 전환] 시리즈를 통해 올해 가장 위험한 사이버 위협으로 꼽히는 공격 방법을 찾아보고, 이를 해결할 수 있는 대안을 제안한다.
올해 보안 시장 키워드는 ‘암호화폐’
지난해 보안시장의 키워드가 ‘랜섬웨어’였다면, 올해는 ‘암호화폐’라고 할 수 있다. 특히 주목할 만한 것은 공격자들이 암호화폐 채굴을 통해 수익을 얻으려고 한다는 점이다. 공격자들은 암호화폐 채굴을 위해 정상적인 투자를 하지 않고, 다른 이들의 컴퓨팅 리소스를 훔쳐 쓴다. 암호화폐 채굴 악성코드를 이용한 공격은 ‘크립토재킹(Cryptojacking)’이라고 부른다.
보안 기업들의 보고서를 종합해보면, 전체 악성코드의 절반 정도는 크립토재킹이 차지하고 있으며, 그 종류가 크게 늘어나고 있다. 크립토재킹은 비교적 쉽게 제작해 배포할 수 있다. 시만텍은 “단 두 줄의 코드 삽입만으로 운용이 가능해 공격 진입 장벽이 낮다”고 설명했다.
공격자들이 크립토재킹으로 몰려드는 이유는 ‘돈’이 되기 때문이다. 정교한 표적공격을 일삼던 공격자들이 ‘랜섬웨어’라는 기가막힌 비즈니스 모델을 찾아내 짭짤한 수익을 얻어냈다. 랜섬웨어 몸값으로 받아내던 비트코인의 가격이 급등하자 공격자들은 비트코인을 탈취하기 시작했으며, 남의 지갑을 훔치는 것 보다 직접 ‘채굴’이라는 돈벌이에 나선 것이다.
채굴 시스템을 운영하기 위해서는 대규모 서버 시스템, 막대한 전력요금, 운영비용이 필요하다. 채굴 시스템을 운영해서는 큰 돈벌이가 되지 않는다. 공격자들은 남의 시스템, 남의 전력을 이용해 투자 없이 돈을 벌어들인다.
시스코 탈로스가 계산한 바에 따르면 평균 시스템은 하루 0.28 달러에 해당하는 모네로를 생산한다. 2000대의 시스템을 감염시키면 하루 560달러(약 59만원), 1년 20만4400달러(약 2억1660만원) 이득을 취하는 셈이다. 만일 서버를 감염시켰다면 채굴 금액은 훨씬 많아질 것이다.
크립토재킹은 감염이 쉬운 시스템을 노린다. 백신을 거의 설치하지 않는 리눅스 서버가 가장 유용하게 사용된다. 앞으로 IoT 기기를 이용할 것이라는 전망도 나온다. IoT 기기는 가용 리소스가 많지 않아 채굴 효과가 떨어진다고 알려지고 있지만, 리소스가 충분한 IoT 기기들이 늘어나고 있어 공격자들에게 악용될 가능성은 얼마든지 있다.
시만텍은 IoT 겨냥 공격이 2016년 6000개에서 2017년 5만개로 증가했으며, 맥 OS를 겨냥한 암호화폐 채굴 공격도 80% 증가했다고 설명했다.
APT 공격 일환으로 사용되는 랜섬웨어
지난해 맹위를 떨친 랜섬웨어는 APT 공격의 일환으로 전환되고 있다. 랜섬웨어 공격 빈도와 피해 규모가 줄어든 것으로 집계되고 있는데, 가장 결정적인 요인은 공격자들이 더 큰 수익을 얻을 수 있는 암호화폐로 눈을 돌렸기 때문이고, 다른 요인으로는 랜섬웨어를 APT 공격의 일환으로 사용해 한 차원 더 고도화된 공격을 위해 사용하고 있다는 점을 들 수 있다.
지난해 발견된 랜섬웨어 패밀리는 다소 줄어들었지만, 변종 수는 증가했는데, 공격 그룹 중 일부가 크립토재킹 등 다른 공격으로 이동했으며, 계속 공격을 이어가는 곳에서는 신변종 악성코드 생성 기술을 고도화하면서 발전해가고 있는 것으로 분석될 수 있다. 시만텍이 발견한 랜섬웨어 패밀리는 2016년 98개에서 2017년 28개로 줄어들었지만, 변종은 46% 증가했다.
시만텍은 “랜섬웨어 악성코드가 일상화 되고 있다”고 소개한다. 랜섬웨어도 APT와 마찬가지로 타깃에 맞춘 공격도구와 공격 기법을 사용하며, 기존 보안 솔루션이 탐지하지 못하는 신·변종 악성코드를 사용한다. APT에 랜섬웨어를 이용한다면, 공격 흔적을 지우기 위해 시스템을 파괴하거나 데이터를 지우는 등의 방법을 사용할 수 있으며, 데이터를 탈취한 후 공개하겠다고 협박하면서 돈을 요구할 수도 있다. 내달 시행되는 GDPR 위반을 들어 막대한 금전을 요구할 수도 있다.
