IP 카메라가 가장 위험한 공격도구로 떠올랐다. 포티넷코의 보안연구소 포티가드랩의 ‘2018년 4분기 글로벌 위협 전망 보고서’에 따르면 이 기간 발견된 익스플로잇의 50%가 IoT 장치를 노리고 있으며, 상위 12개 중 4개가 IP 카메라와 관련있는 것으로 나타났다.
보고서에서는 사이버 범죄자들이 이러한 장치에 접속해 사생활을 염탐하고 외부로 유출하는 등의 악의적인 행위를 벌일 뿐 아니라 IT 시스템에 진입해 디도스 또는 랜섬웨어 공격을 시작할 수 있다. 더불어 보안 기능을 제공하거나 모니터링하는데 사용되는 장치에서도 숨겨진 공격을 인식하는 것이 중요하다고 할 수 있다.
이 보고서에서는 IT와 OT의 융합에 따른 위협에 대해서도 경고했다. IoT 확산과 함께 스마트팩토리/스마트시티 등의 융합환경이 가속화되고 있으며, 산업제어시스템(ICS)을 타깃으로 하는 공격의 빈도와 확산 정도가 상대적으로 변화하고 있는 것으로 나타났다.
대부분의 공격은 볼륨과 유행성 모두 강력해지고 있다. 성공적으로 OT 시스템을 타깃화한 사이버 공격은 핵심 인프라 및 서비스, 환경, 심지어 인간의 삶에까지 악영향을 미치는 물리적인 결과로 이어질 수 있다.
익스플로잇 지수 ‘사상 최고’
사이버 범죄의 횟수는 감소했지만, 기존 보안 기술로 방어할 수 없는 정교한 공격도구는 늘어나고 있다. 익스플로잇 지수는 사상 최고 수준을 기록해 기업별 발견된 익스플로잇이 10% 증가했고 감지된 고유 익스플로잇은 5% 늘어났다.
봇넷은 더욱 복잡해지고 탐지가 어려워졌다. 봇넷 감염 시간은 15% 증가해, 기업별 평균 감염 일수는 12일로 증가했다. 사이버 범죄자들이 공격을 확산시키기 위해 자동화 및 머신러닝을 채택함에 따라, 보안 조직들도 이러한 지능적인 방법에 대응하기 위해 이와 동일한 조치를 취해야한다.
누구나 사용할 수 있는 오픈소스 멀웨어를 이용하는 공격도 위험수위에 이르렀다. 오픈소스 멀웨어 툴은 보안 커뮤니티에서 유용하게 사용된다. 이 커뮤니티를 통해 범죄팀은 기업의 방어 태세를 테스트하고, 연구자들은 익스플로잇을 분석하며, 실제 사례를 사용할 수 있다.
이 같은 오픈웨어 툴은 일반적으로 깃허브와 같은 공유 사이트에서 사용할 수 있으며, 누구나 사용할 수 있기 때문에 결국 사이버범죄자들이 악의적인 활동을 위해 액세스할 수 있다. 그들은 이러한 멀웨어 툴을 새로운 위협으로 발전시켜 무기화할 수 있으며, 이 중 상당수는 랜섬웨어를 포함하고 있다.
오픈웨어 소스 코드가 무기로 사용된 예는 미라이 봇넷이 대표적이다. 2016년 등장 이후로, 변종의 생성과 활동이 폭발적으로 증가했다. 사이버 범죄자에게 이러한 혁신은 지속적으로 ‘기회의 땅’이 되고 있다.
‘Cy-Phy 시대’ 도래
기밀 정보를 이미지 파일이나 한글 파일 등에 암호화하여 숨기는 기법인 스테가노그라피가 지속적으로 진화하고 있어 보안탐지를 더욱 어렵게 하고 있다. 스테가노그라피는 고빈도(high-frequency) 위협에 속하지 않지만, 봇넷 보트랙(Vawtrak)은 ‘버스티(Bursty: 간헐적으로 폭주하는)’ 봇넷 리스트에 이름을 올렸다. 이는 이 같은 공격 유형이 지속적으로 증가하고 있다는 점을 시사한다.
4분기의 멀웨어 샘플은 소셜 미디어를 통해 전달되는 밈(meme·인터넷에서 유행하는 이미지)에 악성 페이로드를 숨기기 위해 스테가노그라피를 사용하고 있다는 사실을 보여준다. C2 호스트에 접속을 시도한 후, 공격 과정에서 멀웨어는 연결된 트위터 피드에서 이미지를 찾아 다운로드하고 이미지 내에 숨겨진 명령을 찾아 활동을 확산시킨다. 이러한 위장적 접근 방식은 사이버범죄자들이 탐지를 피하면서 멀웨어를 어떻게 발전시킬 수 있는지 지속적으로 실험하고 있다는 점을 시사한다.
애드웨어 역시 위험 수위를 높이고 있다. 현재 애드웨어는 단순히 ‘성가신 위협(nuisance threat)’이 아니라, 일상생활 구석구석에 스며드는(Pervasive) 위협이 되고 있다. 전 세계적으로 애드웨어는 유럽의 약 1/4, 북미 및 오세아니아의 모든 감염 유형 중 1/4 이상을 초과하는 등 대부분의 지역에서 멀웨어 감염 유형의 상위 리스트에 이름을 올리고 있다. 애드웨어가 인증된 앱스토어나 여러 앱에서 발견되고 있는 만큼, 이 공격 유형은 모바일 기기 사용자들에게 특히 심각한 위협이 되고 있다.
필 쿼드(Phil Quade) 포티넷 정보보호최고책임자(CISO)는 “사이버보안 사물과 물리적 공간의 융합, 즉 ‘Cy-Phy의 시대’가 도래했다. 디지털 경제에서 이러한 융합은 여러 이점이 있지만, 자연스럽게 사이버보안 리스크도 높아지게 된다. 사이버 범죄자들은 이 새로운 디지털 컨버전스를 타깃으로 하는 익스플로잇을 면밀히 관찰 및 개발하고 있다. 가시성, 자동화, 민첩한 분할(segmentation) 등 사이버보안의 기본 요소들은 Cy-Phy 디지털 미래에서의 기업의 성공을 돕고, 악의적인 사이버범죄를 방어하기 때문에 그 어느때보다 중요하다고 할 수 있다”고 말했다.
포티넷 ‘보안 패브릭’으로 방어
한편 포티넷은 사이버 범죄자의 지속적인 노력을 기업들이 뛰어넘기 위해서는 디지털 전환 노력의 일환으로 보안 전략을 전환할 필요가 있다고 강조하며, 자사의 보안 패브릭을 통한 통합방어의 중요성을 역설했다.
보안 패브릭은 IoT 엔드포인트부터 멀티 클라우드에 이르기까지 전체 네트워크 환경을 확장하고 각 보안 요소를 통합함으로써 오늘날 증가하고 있는 위협 환경에 효과적으로 대응하고, 확장되는 공격 면을 안전하게 보호한다. 이러한 접근방식을 통해 실행가능한 위협 인텔리전스를 신속하고 정확하게 공유할 수 있으며, 필수 탐지 창을 줄이고, 오늘날의 위협에 필요한 자동화된 치료 방법을 제공한다.
