올해 서구권 국가들이 ‘사이버 범죄와의 전쟁’을 벌일 것이라는 전망이 나왔다. 아버네트웍스의 ‘2019년 보안전망’ 보고서에서는 지난해부터 서방세계 국가 기관이 사이버 범죄 집단과 국가를 대상으로 대응해왔으며, 올해는 국가간 공조를 강화하면서 사이버 범죄와의 전쟁을 강화할 것이라고 예측했다.
보고서에 따르면 각국 정부들은 향후 12개월 동안 적극적인 기소와 체포를 통해 사이버 범죄자들을 법의 심판대에 세우기 위한 정책을 마련하고 있다. 국가 기반시설, 금융 기관, 대기업에 대한 공격을 시도하는 악성 행위자들을 정부가 더 이상 뒤에서 지켜보고만 있지는 않겠다는 것이다.
미국 정부는 국가 인프라를 강화하고 개인과 조직에 대한 보호를 확대하기 위한 새로운 사이버 보안 전략을 공개했다. 이 전략의 핵심은 정부와 법 집행 기관에 사이버 범죄자 및 국가 차원의 공격에 대항할 수 있는 수단을 제공하는 것이다.
미국과 영국을 주축으로 한 서방 국가들은 사이버 공간에서 러시아와 중국의 공격 행위를 강도 높게 비판하고 있다. 미국과 영국 정부의 조치는 갈수록 심각해지는 전 세계 사이버범죄 위협에 대응하기 위한 국가적 차원의 정책이 진화하고 있음을 보여준다.
국가 초월하는 민·관 공동대응 이어질 것
이러한 변화는 2019년에도 계속될 것이다. 이미 정책 및 법 집행 기관들 사이의 국제적 협조가 강화되고 위협 대응을 위한 활발한 공조와 정보 공유가 이뤄지고 있다. 관련 당국만의 힘으로 사이버범죄가 해결될 수는 없다. 사이버 공격에 대한 튼튼하고 강력한 방어체계를 구축할 수 있도록 지원하기 위한 기업들의 적극적인 동참과 지원도 이어질 것이다.
2019년에는 민간 부문이 정부의 요청에 부응하여 국가적, 국제적 차원의 사이버범죄 대응에 동참할 것이다. 백악관은 사이버 위협 대응을 위한 AI와 양자컴퓨팅 같은 신기술 개발을 위해 기술 스타트업과 민간 산업이 정부 기관과 긴밀하게 협조할 것을 기대하고 있다. 이것이 성공하기 위해서는 정부와 기술 커뮤니티 간의 매우 긴밀하고 적극적인 공조가 필요할 것이다. 즉 시스템 레벨 보안 문제에 있어서 초동 조치를 담당하는 정보 보안 전문가들이 최신 위협과 기존 위협에 맞서기 위한 정부적 차원의 요구사항과 대응 방법을 알려줄 것이다.
또한 2019년에는 정보 전쟁을 위한 사이버 수단의 사용이 증가할 것이다. 미국 소니엔터테인먼트, 민주당전국위원회(DNC) 해킹 사례와 같은 선전 목적의 이메일 해킹과 소셜 미디어를 사용한 가짜 뉴스 전파 등이 여기에 속한다. 또한 툴과 기술이 급증하면서 민간부문 타겟을 대상으로 한 정보 전쟁 행위가 크게 늘어날 것이다. 이렇게 되면 사이버 전문가는 기존의 사이버보안 역할 외에도 홍보와 관련해 허위정보에 대응하는 역할을 일부 담당하게 될 것으로 보인다.
위협 인터넷(IoT)으로 진화하는 사물인터넷
보고서에서는 IoT 확산과 함께 위협이 증가한다는 뜻으로 ‘위협 인터넷(Internet of Threats)’ 시대의 도래를 예고했다. 특히 IoT 기기를 활용하는 봇넷 공격 증가에 주의해야 한다고 지적했다.
IoT 도입이 급증하면서 사이버범죄를 위한 ‘퍼펙트 스톰(Perfect Storm)’이 만들어지고 기업과 소비자 모두에게 심각한 영향이 있을 것으로 전망된다. 수많은 커넥티드 IoT 기기들이 스마트 팩토리, 제품 라인, 교통망을 지원하는 산업 전반에 도입되고 있는 상황을 감안한다면 IoT 보안에 따른 위험은 너무나도 자명해진다. 의료 행위를 지원하고 환자 상태를 모니터하는 헬스케어 같이 위험과 직결되는 분야에서도 IoT 사용이 확대되고 있다는 사실은 두말할 나위도 없다.
IoT 영역은 초기 단계에 있으며, 새로운 취약성을 찾는 사이버범죄자들에게는 비옥한 텃밭이 될 것이다. 그러므로 커넥티드 기기의 확산은 산업 시설, 기업, SME 부문과 스마트 홈 전반에 설치된 IoT를 노리는 신종 익스플로잇과 멀웨어를 위해 수문을 열어주는 격이 될 것이다. IoT 기기 제조사들이 커넥티드 기기 개발 과정에서 제품 단가를 낮추기 위해 보안 프로토콜을 무시하는 경우가 많다는 사실이 사이버보안 상황을 더욱 악화시킨다. 그 결과, 수많은 기기들이 설계에서부터 기본적인 보안 기능 없이 위협에 그대로 노출된 채로 출시되고 있다.
IoT가 새로운 보안 표준 제시할 것
이러한 기기들은 멀웨어 제작자들의 타깃이 된다. 2018년 IoT 봇넷에 의한 대용량 디도스 공격이 급격히 증가했다. 올해는 이러한 공격이 더욱 고도화될 것이다.
미라이는 IoT 봇넷 개발자들 사이에서 널리 사용되고 있다. 이들은 미라이 소스코드를 프레임워크로 사용해 신종 멀웨어를 개발한다. 오리지널 미라이 코드에 새로운 기능을 추가해 확장하기도 한다. OMG, JENX, 사토리, IoTrojan 등 수많은 변종이 개발돼 세계 디도스 사용되었다.
2019년에는 IoT가 더욱 보편화되면서 사이버범죄자들이 보다 심각한 결과를 가져올 수 있는 특정 IoT 설비, 벤더, 제조사에 집중하게 될 것으로 예상된다. 공격자들은 한층 대담하고 빠르게 IoT 취약성을 익스플로잇하고 특정 기기와 프로세스를 겨냥하게 될 것이다.
오늘날 민첩한 공격자들은 기존 사이버보안 방어 체계를 우회하기 위해 계속해서 기술을 진화시키고 새로운 툴을 개발한다. 그러므로 기업과 소비자는 지속적인 경계와 대응을 통해 공격을 방어하고 새로운 모범사례를 만들어 나가야 한다.
사이버 범죄자의 프랜차이즈 사업 ‘디도스 서비스’
세번째 예측으로 아버네트웍스는 디도스 공격 서비스가 사이버 범죄자의 프랜차이즈 사업이 될 것이라고 설명했다.
단일 봇으로 이루어진 단순한 디도스 공격은 이제 더 이상 찾아볼 수 없다. 오늘날의 디도스 위협 환경에서 공격자들은 갈수록 봇을 다양화하고 있으며 네트워크를 무너뜨리기 위해 다양한 변종 공격과 프로토콜을 사용한다. 또한 부터(booter)나 스트레서(stressor)같은 임대형 봇넷 서비스가 누구나 적은 비용과 낮은 위험으로 손쉽게 멀티벡터 공격을 감행할 수 있도록 해준다.
이제 테라비트 규모의 디도스 시대가 열렸다. 향후 12개월 간 이와 같은 대규모 위협이 더욱 증가할 것이며, 멀티벡터 공격도 급증할 것이다. 공식적으로 기록된 가장 큰 공격은 멤캐시드(Memcached) 서버 관련 공격이다. 이 공격 벡터는 해당 공격이 시작된 지 며칠 만에 부터와 스트레서에서 제공되었다. 사실 이것은 지하시장에서 구할 수 있는 수많은 공격 벡터 중 하나일 뿐이다.
2019년에는 가장 높은 값을 부르는 입찰자에게 서비스를 제공하는 공격자들이 급증할 것으로 예상된다. 이들은 약간의 요금을 받고 의뢰 받은 대로 타겟을 공격한다. 때로는 고객이 직접 공격을 실행할 수 있게 디도스 툴 자체를 고객에게 넘기기도 한다. 이처럼 신종 공격을 손쉽게 활용하고 신속하게 재현할 수 있는 임대형 공격 툴은 이미 보편화되었다. 그리고 다양한 전세계 고객들이 이를 사용하면서 파괴적인 멀웨어를 손에 쥔 아마추어 사이버 범죄자가 양산되고 있다.
수많은 부터 및 스트레서 서비스 운영자들이 일종의 비즈니스 형태로 SaaS(software as a service) 모델을 사용하여 고객들에게 50달러가 채 안되는 가격에 월간 서브스크립션을 판매한다. 결제는 암호화폐를 사용하여 처리할 수 있으며, 페이팔 같은 합법적인 사이트를 통해 이루어지기도 한다. 이런 식으로 수익을 취하고 향후 활동을 위한 자금을 마련한다.
더욱 강력한 경계가 필요
부터 및 스트레서 서비스 운영자들은 알려진 취약성 익스플로잇, 기존 봇넷, 잘 알려진 공격 기법을 지속적으로 활용하는 동시에 불법 행위로 벌어들인 돈을 기반으로 멀웨어와 공격 기술을 한층 더 발전시켜 나갈 것이다.
봇넷이 수많은 악성 로그인 시도를 반복하여 디도스 공격과 유사한 효과를 가져오는 크리덴셜 스터핑 공격도 증가할 것이다. 무차별대입공격(brute force attack)의 일종인 크리덴셜 스터핑은 유출된 크리덴셜을 구입한 공격자가 자동화 기술을 사용해 여러 웹사이트에 비밀번호를 마구 대입해 보는 것이다. 사용자가 하나의 비밀번호를 여러 사이트에서 동일하게 사용할 경우, 해커가 계정을 탈취하게 된다.
지난 수년 간 위협 환경을 분석하면서 우리가 알게 된 중요한 사실은 새로운 유형의 디도스 공격은 일단 한번 나타나면 절대 사라지지 않는다는 것이다. 공격 툴이 고도화되고 새로운 공격 벡터가 등장함에 따라 공격자들은 더욱 규모가 크고 효과적인 공격을 한층 쉽고 저렴한 방식으로 자행할 수 있게 된다. 그렇기 때문에 진화하는 공격의 빈도, 규모, 범위에 대응하기 위해서는 온프레미스 방어와 클라우드 방어 기능이 결합된 하이브리드/다단계 디도스 방어 체계가 필요하다.
네트워크·보안 운영 통합 본격화
한편 아버네트웍스는 올해 네트워크와 보안 운영 통합이 본격화 될 것으로 예상했다. 지난해 디도스 방어 솔루션과 네트워크·애플리케이션 보장 기술의 발전으로 디도스 방어·방지 기법이 크게 향상되었다. 올해는 네트워크 운영팀이 가시성과 인사이트를 보안팀과 공유하게 되면서 조직 차원에서 이와 유사한 일이 일어날 것이다. 보안팀이 엔터프라이즈 인프라 내에 이미 존재하는 인사이트를 활용하게 되면서 기존 가시성을 위협 방어 프로세스에 훨씬 스마트하게 통합할 수 있게 될 것이다.
엔터프라이즈, 서비스 프로바이더, 국가 주요 시설을 겨냥한 악성 공격이 급증하고 있다. 디도스 공격이 일상화됨에 따라 CISO와 보안 담당자들은 핵심 디지털 인프라를 보호할 수 있는 새로운 전략과 솔루션을 모색이 시급한 상황이다.
여기에는 디도스 공격을 조기에 탐지해 이러한 공격이 생산성, 비즈니스 성과, 기업 평판에 심각한 피해를 입히기 전에 차단할 수 있는 기능이 포함된다. 새로운 보안 전략의 목표는 공격을 방어하고, 궁극적으로 공격 발생 자체를 방지하는 것이다.
후자(방지)는 노련한 CISO에게도 쉽지 않은 일이다. 왜냐하면 사이버 범죄자들은 어떤 종류의 방어라도 우회할 수 있는 방법을 찾아낼 것이기 때문이다. 하이브리드 클라우드/멀티 클라우드 아키텍처로 전환하는 기업이 급증하면서 IT 네트워크와 인프라의 복잡성이 증가하고 공격 노출과 새로운 취약성 또한 확대되고 있다. 여태까지 보안팀은 자체 업무만으로도 충분하며, 클라우드 도입과 신규 서비스 및 애플리케이션 통합에 대해 따로 걱정할 필요가 없었다. 하지만 앞으로 보안 운영과 네트워크 운영을 나누던 경계가 흐려지고 보안팀과 네트워크 운영팀이 인텔리전스를 공유하고 협업할 수 있게 됨에 따라 모든 것이 바뀌게 될 것이다.
공격 가시성 공유로 대응 역량 높여
네트워크팀과 보안팀은 여러 해 동안 비슷한 역할을 공유해왔다. 양 팀 모두가 엔터프라이즈 네트워크, 서비스, 애플리케이션을 감독하고 시스템 장애나 이상을 살피는 일을 담당한다. 네트워크운영센터(NOC)와 보안운영센터(SOC)의 통합은 기업에 실질적인 이득을 가져다 줄 것이다. 두 부서가 협력하여 운영됨으로써 엔터프라이즈 네트워크를 보다 성공적으로 관리, 모니터, 방어할 수 있게 될 것이다. 네트워크팀과 보안팀이 효율적으로 소통하고 협조할 수 있게 될 것이며, 이를 통해 효율성 증대, 자원 최적화, 비용 절감의 효과를 얻을 수 있다.
보장(Assurance)과 디도스 보안이 하나로 통합됨으로써 자체 보안 운영팀과 네트워크 운영팀에 오늘날 시장에서 얻을 수 있는 최고 수준의 가시성을 제공할 것이다. 또한 통합 운영에서 나오는 스마트 데이터 및 분석은 종합적인 가시성을 통해 보안팀과 네트워크팀에 조직 IT 인프라 전반에 대한 실시간 현황을 알려줌으로써 즉각적인 대응이 가능하도록 해줄 것이다.
