“보이지 않는 것은 보호할 수 없다.”
보안업계에서 가장 많이 통용되는 명제다. 공격 전체를 가시화하고, 발생한 위협의 리스크 수준을 수치화해 대응 우선순위를 매기며, 위협의 수준과 성격에 따라 대응하도록 매뉴얼을 만들고 자동화하는 것이 이상적인 보안 프로세스다. 그 전제조건이 ‘가시성’이다. 특히 기업 내부에서 탐지된 위협에 대한 가시성을 확보하는 것 뿐 아니라 외부에서 발생하는 위협까지 가시화하는 것이 필수다.
아카마이가 최근 발행한 ‘인터넷 보안 현황 보고서(SOTI/Security)’에서는 “보안팀이 정당한 비즈니스 파트너로 인정받으려면 기업이 직면한 리스크를 찾아내는 역량을 갖추고 있어야 한다. 그러나 리스크를 식별하는 것은 매우 어려우며, 비즈니스 의사결정에 큰 영향을 끼칠 수 있는 미묘한 차이를 이해하는 것도 어렵다”며 “특히 알려지지 않은 위협이나 가시성이 거의 없는 문제에 직면할 때 급속도로 어려워진다. 조직이 충분히 이해하지 못하는 보안 측면에 대한 이해가 필요하다”고 강조했다.
보안팀, ‘부정의 아이콘’으로 남아선 안돼
이 보고서에서는 기업 내부는 물론, 외부에서 발생하는 위협에 대해서도 가시성을 확보해야 한다고 강조한다. 내부에서 발견하지 못한 수많은 침해를 탐색하고 대응하는 문제 뿐 아니라 외부에 얼마나 다양하고도 위험한 공격이 중요 시스템을 노리고 있는지 파악하고 있어야 한다. 또한 공격이 비즈니스에 어떠한 영향을 주는지도 파악하고 있어야 침해가 발견됐을 때 적절하게 조치할 수 있다.
임지호 아카마이코리아 부장은 “보안팀이 ‘부정의 아이콘’으로 남아서는 안 되며, 비즈니스 의사결정의 파트너로 자리 잡을 수 있도록 인식을 개선시켜야 한다. 이를 위해 공격이 어떻게 유입되고, 진행되며, 어떤 영향을 미칠 수 있는지 객관적으로 파악하고 리스크 관리를 해야 한다”며 “아카마이는 기업 내부는 물론 외부에서 일어나는 위협에 대해서도 전문적이고 상세한 정보와 분석 보고서를 제시해 기업 보안팀이 비즈니스 의사결정자로 자리매김할 수 있도록 도와주고 있다. 그 한 방법이 ‘SOTI’ 보고서”라고 설명했다.
계정 탈취부터 수익화까지 수행하는 ‘올인원 봇넷’
가장 최근 발간된 SOTI 보고서인 ‘리테일 업계에 대한 공격 및 API 트래픽’에서는 ▲진화하는 봇넷 ▲API 트래픽 보안위협 ▲IPv6 보안에 대해 다루고 있다.
이 중 봇넷 위협과 관련, 크리덴셜 스터핑 공격에 사용되는 봇넷이 진화하고 있다는 사실을 설명했다. 크리덴셜 스터핑은 이미 유출된 계정 정보를 웹서비스에 대입해 로그인하는 방법으로 추가 개인정보를 탈취하는 공격 방식을 말한다.
아카마이는 지난해 5월부터 12월까지 리테일 업계에서 100억여건의 크리덴셜 스터핑 시도를 탐지했으며, 다른 모든 업계를 합치면 280억여건에 이른다. 즉 하루 1억1500만건씩 계정 탈취와 로그인 시도가 발생했다는 뜻이다.
특이한 점은 이렇게 유출한 개인정보를 지하시장에 다시 판매하면서 수익을 얻는 것 뿐 아니라 공격자가 직접 수익을 얻는다는 것이다. 예를 들어 도용된 계정을 이용해 온라인 타임세일 상품을 대규모로 구입한 후 이를 다시 판매하면서 수익을 얻는 모델이 파악됐다.
크리덴셜 스터핑과 상품 구매에 사용되는 봇을 올인원(AIO) 봇이라고 부르는데, 다양한 우회 기법을 활용해 신속하게 구매를 지원하는 여러 기능을 하나의 봇에 통합시켰다. 120곳 이상 온라인 사이트를 표적으로 삼을 수 있으며, 특정 브랜드를 목표로 설계된 것도 있다.
보안 인사이트 확보해 비즈니스 리스크 관리
API 보안위협은 클라우드 확산으로 더욱 가속화되고 있다. 클라우드는 마이크로서비스로 설계되고, API를 이용해 통신한다. 아카마이 조사에서는 API 통신으로 가장 많이 사용되는 JSON 트래픽이 일반 웹 트래픽인 HTML보다 4배 많다.
JSON은 브라우저 뿐 아니라 스마트폰, 애플리케이션, 게임 콘솔, 스트리밍 디바이스, 스마트TV 등으로 통신이 진행된다. 이러한 통신은 트래픽의 규모는 작지만 자주 통신이 일어나기 때문에 전체 통신 규모는 크다. 또한 이 통신 내에 악의적인 위협 행위가 있는지 확인할 수 있는 방법도 요구된다.
IPv6는 여전히 피부에 와 닿을 만큼 확산되지 않았지만, IoT 확산과 함께 어느 한 순간 실생활에 가까이 오게 될 것으로 보인다. 그러면서 IPv6 기반 위협에도 충분히 준비하고 있어야 한다.
임지호 부장은 “진화하는 봇넷, API 및 IPv6 보안 등은 실무자가 반드시 알아야 할 최신 보안 트렌드이다. 이 뿐만 아니라 보안 실무자들은 새로운 보안 트렌드에 예민하게 반응하며, 보안 위협과 비즈니스 영향에 대한 인사이트를 갖춰야 한다”며 “아카마이 SOTI 보고서는 이러한 실무자와 경영진을 위한 위협 분석 보고서를 제공해 비즈니스 리스크 관리에 성공할 수 있도록 도울 것”이라고 말했다.
