공격의 변화 “더 쉽게, 싸게, 빠르게”
상태바
공격의 변화 “더 쉽게, 싸게, 빠르게”
  • 김선애 기자
  • 승인 2018.12.31 09:00
  • 댓글 0
이 기사를 공유합니다

쉬운 공격도구 이용해 교묘하게 사용자 속이는 공격 늘어 … ‘제로 트러스트’ 기반 보안 필요

4차 산업혁명의 파고가 거세지고, 새로운 기술과 트렌드 확산이 빨라지면서 IT 업계는 올해 역시 다사다난한 한 해를 보냈다. 국내 ICT 시장의 활성화는 아직 기대에는 미치지 못했지만 IT 메가트렌드 수용이 점점 속도를 내면서 차세대 시장 개화를 촉진할 발판은 마련했다는 평가다. 어려운 상황 속에서도 의미 있는 행보와 성과를 보인 시장과 기술을 중심으로 올 한해를 짚어보고, 내년 시장을 전망했다. 2019년은 싹을 틔우기 시작한 차세대 열매들을 거둬들일 수 있는 원년이 될지 주목된다. <편집자>

지난해 전 세계를 강타했던 워너크라이 랜섬웨어가 여전히 성행하고 있다. 카스퍼스키랩에 따르면 전체 워너크라이 피해자는 7만5000여명에 이르며 이 중 올해 3분기에 발생한 피해자는 무려 28.7%에 이른다. 지난해 3분기 피해자는 16.8%로 올해 오히려 더 증가했다.

워너크라이 이후 랜섬웨어 활동은 잠시 주춤하는 듯 보였다. 랜섬웨어의 위력을 알게 된 사람들이 보안패치를 열심히 하고 의심스러운 메일·링크를 열어보지 않는 등 보안 습관을 개선해왔기 때문이다.

그러나 공격 수익률이 높은 랜섬웨어를 공격자들이 포기할 리 없다. 서비스형 랜섬웨어(RaaS)등 공격자들이 적은 비용으로 쉽게 돈을 벌 수 있는 방법을 찾았다. 올해 성행하고 있는 갠드크랩 랜섬웨어가 그 대표적인 예로, 저작권 위반, 택배 사칭, 이력서 사칭, 무료 폰트 다운로드 등의 내용으로 위장해 사용자를 속이고 있다. 갠드크랩은 정상적인 내용을 담은 정상 문서를 이용하기 때문에 위험 여부를 알기 어렵다.

▲ 암호화폐 채굴 탐지 수 비교: 암호화폐 채굴의 지속적인 증가(자료: 트렌드마이크로)

암호화폐 하락 … 채굴 공격 줄어들까
지난해 암호화폐 가격이 비정상적으로 급등하면서 공격자들은 랜섬웨어보다 암호화폐 채굴 공격에 더 눈독을 들이기 시작했다. 암호화페 채굴 공격은 피해자가 피해 사실을 알아차리기 어려우며, 사용자가 느끼는 피해 규모도 미미하기 때문에 법 망을 피해갈 수 있다는 계산도 깔려있다.

암호화폐 채굴 공격은 주로 일반 사용자 PC를 노리지만, 서버, 클라우드 등을 감염시켜 더 큰 리소스를 활용하려는 공격자도 있다. ‘트렌드마이크로 2018 중간 보안위협 보고서’에 따르면 2017년 전체 기간 동안 나타난 암호화폐 채굴 공격보다 2018년 상반기에 나타난 공격이 96% 증가했으며, 2017년 상반기와 비교하면 965% 증가했다.

그러나 암호화폐 시세가 지속적으로 하락하고 있어 암호화폐 채굴 공격이 언제까지 이어질지는 알 수 없다. 비트코인 시세가 11월 하순 기준 4000달러 수준으로 떨어졌으며 3000달러 이하까지 하락한다는 전망도 나오고 있다. 암호화폐 채굴로 충분한 수익을 얻지 못하게 된다면 공격자들은 또 다른 공격 타깃을 찾아 나설 것이다.

공격자들은 더 적은 시간과 비용, 노력을 들여 더 많은 이익을 얻고자 한다. 전통적인 APT 는 타깃 맞춤형으로 제작된 정교한 공격도구를 이용해 오랜 시간 정성을 들여 공격했다. 이제 공격자들은 쉽게 구입할 수 있는 서비스 형 공격도구와 방법을 이용해 짧은 시간 동안 활동하고 큰 돈을 번 후 사라진다. 공격 증거를 조작하고 삭제해 추적을 피하는 것도 잊지 않는다.

보안 기술이 진화하면서 타깃 맞춤형 멀웨어 탐지율이 높아지자 비실행파일이나 윈도우 관리도구를 이용하는 공격이 늘어나고 있다. 공격자들은 더 쉽게 사용할 수 있고 비용이 저렴한 공격도구를 사용하고 있는데, ‘소포스 2019년 위협 전망 보고서’에 따르면 최근 공격자들은 윈도우 파워쉘, 스크립트 명령파일 등을 사용해 쉽게 공격하고 이익을 얻고 있다.

트렌드마이크로 보고서에서도 공격도구의 변화를 중요한 특징으로 봤다. 파일리스, 매크로, 소규모 멀웨어를 이용하는 공격이 급속하게 확산되고 있으며, 소형 파일 악성코드인 타이니POS는 무려 250% 증가했다.

‘나는 공격자, 걷는 보안’
쉽게 감염될 수 있는 모바일, IoT 기기를 노리는 공격도 성행하고 있다. 불법 안드로이드앱이 늘어나고 있으며, 정상 앱 중 개인정보를 지나치게 많이 가져가 문제를 일으키고 있다. AI 스피커와 가정용 IP 카메라 사용자가 크게 늘면서 보안에 취약한 단말을 해킹해 사생활 정보를 훔쳐가는 공격도 성행하고 있다.

시스코가 발견한 ‘VPN필터’는 가정용 라우터, NAS를 해킹해 웹 크리덴셜을 탈취하고 SCADA 프로토콜을 모니터링 하는 등 개인 뿐 아니라 산업 전반에 대한 공격도 가능한 것이었다.

미국의 대형 인터넷 서비스 기업을 마비시켰던 미라이 봇넷도 여전히 활개치고 있다. 넷스카우트에 따르면 최근 미라이 봇넷은 개별 IoT 기기를 감염시키는 것이 아니라 아예 리눅스 서버를 감염시켜 IoT 네트워크 전체를 장악하려 한다.

공격이 지능화되면서 보안은 더 어려워지고 있다. 보안은 기존에 알려진 공격과 알려지지 않은 공격, 실행파일/비실행파일, 비정상 프로세스/정상 프로세스를 모두 감시해야 하며, 클라우드·IoT 전반에서 공격 표면을 줄이면서 보호해야 하기 때문이다.

‘나는 공격자, 걷는 보안’의 구도를 깰 수 있는 방법은 보안 기술의 진화와 함께 보안 인식과 습관의 개선이 필요하며 ‘제로 트러스트’ 기반의 접근이 필수로 요구된다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.