보안업계의 패러다임이 전환되고 있다. 경계보안에서 내부위협 탐지로, 선제방어에서 위협 탐지와 대응으로 확장되고 있으며, 인공지능(AI) 기술을 이용한 보안 고도화도 진행되고 있다. 거대한 혁신의 물결이 밀려오는 보안 시장을 진단한다.<편집자>
“평화 시대에도 사이버 스파이는 활동한다”
APT 공격의 시작은 대부분 ‘스피어피싱’으로 진행된다. 스피어피싱은 업무 혹은 개인의 생활과 밀접한 관련이 있는 내용의 이메일을 보내 공격하는 수법으로, 신뢰할 수 있는 발신자와 발신 기관, 문서 양식, 내용, 어휘 등으로 위장하기 때문에 정상 메일과 구분하기 어렵다.
공격에 사용하는 악성 문서 역시 정상 문서를 가장하고 있으며, 첨부파일의 위협 여부를 탐지하는 보안 기술을 회피하는 여러 기술을 갖고 있어 방어도 쉽지 않다. 악성파일 없이, 무역관련 내용으로 위장해 송금을 유도하는 이메일 스캠도 심각한 피해를 일으키고 있다.
정치적인 목적을 가진 APT 공격은 경쟁관계, 갈등관계에 있는 국가간 일어날 뿐 아니라 우방이라고 생각되는 우호적인 관계에서도 일어날 수 있다. 파이어아이의 팀 웰스모어 아시아태평양지역 위협정보분석 디렉터는 북한의 공격그룹 ‘APT37’ 분석 보고서를 설명하면서 “최근 남북관계가 화해와 평화의 길로 들어선 것은 환영할 일이지만, 그렇다고 해서 북한의 사이버 스파이 활동이 중단됐다고 보기는 어렵다”고 말했다.
“보안 조직, 비즈니스 보호가 먼저”
공격자들은 정치·경제적인 이익을 얻기 위한 정보수집 활동을 끝없이 계속 이어간다. 공격자들은 타깃 조직의 특성에 맞춰 공격을 설계하고, 자체 개발한 익스플로잇을 이용해 공격을 이어가기도 하며, 다른 공격조직의 공격수법을 차용해 죄를 뒤집어씌우거나 공격 증거를 조작·삭제해 추적을 어렵게 만들기도 한다.
예를 들어 평창올림픽을 공격한 ‘올림픽 디스트로이어(Olympic Destroyer)’의 경우, 많은 보안 기업들이 북한의 이전 공격 방식과 거의 일치하고 있으며, 공격 목적과 의도를 감안할 때 북한에 의한 공격이라고 보고 있다. 그러나 카스퍼스키랩은 북한의 수법으로 위장한 다른 그룹의 공격이라는 주장을 내세우기도 한다.
공격자를 검거해야 하는 사법당국과 공격자 추적에 도움을 주고 있는 보안 기업들은 공격의 배후를 조사하는 것이 매우 중요하다. 그러나 방어하는 조직에서는 공격의 배후를 파악하는 것 보다, 어떤 조직이 공격을 하든 중요한 자산과 비즈니스를 보호하는 것이 급선무다.
얼 카터 시스코 탈로스 글로벌 보안위협 분석 총괄 이사는 지난달 열린 기자간담회에서 “공격자가 속한 국가나 공격이 일어난 지역을 특정해서 발표하면 여론의 주목을 받을 수 있기 때문에 공격자를 특정해서 발표하는 경향이 있지만, 실제로 공격자들은 여러 공격 방식을 혼합해 사용하기 때문에 정확하게 어떤 공격그룹의 소행인지 아는 것은 어려운 일”이라며 “누가 공격을 했는지 밝히는 것 보다 고객을 어떻게 보호하는지에 초점을 맞춰야 한다”고 강조했다.
“공격으로 누가 이익을 봤는가” 생각해야
“사이버 공격의 배후를 밝혀내기 어렵기 때문에 공격자를 추적하는 것에 매진하는 것은 바람직하지 않다”고 주장하는 것은 옳지 않다. 공격그룹의 특징을 파악하고 향후 공격 방법이나 시기를 예측해 미리 방어할 수 있는 체계를 만드는 것이 필수적인 일이기 때문이다.
공격자들이 증거를 조작하는데 능숙하다 해도, 어느 순간은 실수를 하게 마련이다. 실수로 인해 드러난 자신의 위치, 공격 그룹 내부에서 사용하는 언어, 사용하는 공격 도구의 특징 등을 분석하면 공격 조직의 배후를 추정할 수 있다. 물론 위조된 증거일 가능성도 배제해서는 안된다. 공격의 의도는 무엇인지, 공격을 통해 이익을 얻는 집단이 누구인지 등을 종합적으로 살펴보면 공격 배후를 특정할 수 있는 가능성이 높다.
이러한 노력의 결과, 북한이 배후에 있을 것으로 추정되는 공격그룹은 어느 정도 윤곽이 드러난 것으로 보인다. 보안 기업마다 레드아이즈, 금성121, 그룹 123, 스카크러프트, 리퍼, 물수제비 천리마, APT37 등의 이름으로 불리는 이 조직은 북한 정부의 이익을 위해 공격을 진행하는 것으로 보이며, 한국, 일본, 베트남, 중동 등의 지역에서 사이버 스파이 활동을 하면서 군·방산·금융 등의 정보를 수집하는 것으로 알려진다.
“공격자, 101일 동안 탐지되지 않고 공격”
모든 IT 시스템은 침해당할 수 있으며, 모든 조직은 사이버 범죄로 인해 피해를 입을 수 있다. 조직의 규모가 작든, 크든, 취급하는 정보가 중요하든 그렇지 않든 침해를 당할 수 있으며, 자신의 IT 시스템이 공격에 이용당할 수 있다는 사실도 감안해야 한다.
사이버 공격을 당하면 가장 먼저 금전적인 피해를 걱정하게 된다. 시스코에 따르면 사이버 공격으로 인한 피해가 평균 50만달러(약 5억3000만원)를 넘는 것으로 분석된다.
공격에 이용되는 멀웨어는 증가세가 잠시 주춤한 것으로 분석되고 있지만 여전히 많은 것은 사실이다. 지난해 트렌드마이크로가 아시아 태평양 지역에서 감지한 악성 애플리케이션은 330만개였으며, 유럽·중동·아프리카에 비해 5배 많다. 포티넷이 발견한 익스플로잇은 지난해 4분기에 전 분기 대비 4배 증가했는데, 포티넷은 ‘기업을 타깃으로 하는 표적형 공격이 벌레떼(Sworm)와 같다’는 표현까지 쓰고 있다.
소닉월은 악성코드가 다른 악성코드와 혼합하면서 새로운 형태의 멀웨어로 번식하고 있으며, 메모리에 숨어 장기간 탐지되지 않고 공격을 이어갈 수 있도록 암호화·난독화 기술을 사용한다고 설명한다.
피해를 줄이기 위해서는 공격이 시작되기 전 차단해야 하지만, 선제방어는 완벽하지 않으며, 내부에서 이미 진행 중인 공격을 탐지하고 확산을 방지하는 탐지·방어가 중요하다. 그러나 여전히 탐지·방어에 소요되는 기간이 길어서 공격자들이 침투에 성공하기만 하면 공격에 필요한 시간을 충분히 확보할 수 있는 것으로 분석된다.
파이어아이가 조사한 바에 따르면 아시아 태평양 지역 기관의 네트워크에 공격자들이 평균 체류 시간으로 498일이나 머물렀다는 사실을 밝혔으며, 이는 글로벌 평균 체류 시간인 101일의 약 5배에 이른다. 또한 한 번 공격당한 후 다른 공격그룹에 공격당하는 기업은 아태지역 91%, 여러 공격 그룹에게 공격 당하는 경우는 82%에 이르렀다.
보안 투자 미약한 아태지역 ‘위험’
아시아태평양지역 보안위협은 다른 지역에 비해 매우 심각한 것으로 보인다. 아태지역은 전 세계에서 IT 기반 비즈니스가 가장 빠르게 성장하고 있지만, 보안 투자는 글로벌 평균을 따라가지 못하고 있다. 일본, 호주 등은 비교적 보안에 투자를 하고 있지만, 다른 나라들은 IT 발전 속도에 비해 보안에 투자하는 예산이 크게 부족한 것으로 분석돼 아태지역을 타깃으로 하는 사이버 공격이 집중적으로 발생한다.
트렌드마이크로에 따르면 지난해 170억여건의 랜섬웨어 사고 중 40%가 아시아 태평양 지역에서 발생했으며, 익스플로잇 킷은 70%, 온라인 뱅킹 멀웨어 55%, 악성 애플리케이션 다운로드 72%로 세계에서 사이버범죄에 가장 많이 노출돼 있다.
