[사이버 공격 동향②] 최신 보안 기술 역이용하는 공격자
상태바
[사이버 공격 동향②] 최신 보안 기술 역이용하는 공격자
  • 김선애 기자
  • 승인 2019.11.28 08:30
  • 댓글 0
이 기사를 공유합니다

AI 이용해 보안 우회…정제된 대량 데이터·최적의 보안 알고리즘으로 대응
매니지드 서비스 통한 공급망 공격 ‘우려’…클라우드 보안 심각

[데이터넷] 사이버 공격 트렌드가 바뀌고 있다. 공격자들은 전통적인 멀웨어를 사용하는 것에 시들해졌다. 신뢰할 수 있는 기관·사람을 사칭하는 피싱 공격, 정상 보안 패치인 것처럼 이용하는 소프트웨어 공급망 공격을 진행한다. 공격자들은 다크웹 등 지하시장에서 서비스로 제공되는 사이버 범죄(Crime-as-a-Service)를 사용해 전문지식 없이도 쉽게 수익을 얻는다. 또한 암호화폐로 범죄 수익금을 세탁한다. 최근 사이버 공격 동향을 살펴본다.<편집자>

공급망 공격

공급망 공격이 한 차원 진화하고 있다. 그동안 공급망 공격은 소프트웨어와 펌웨어 업데이트 파일을 위조하는 방식을 택했으며, 소프트웨어 개발사의 코드사인 인증서를 탈취해 정상 파일로 보이도록 했다. 앞으로 이 뿐 아니라 써드파티 파트너와 매니지드 서비스 기업, 홈 오피스 및 원격 설정 취약점 등이 공급망 공격에 이용될 수 있다.

트렌드마이크로의 ‘보안예측 보고서 2020’에서는 클라우드나 기타 IT 운영을 위한 매니지드 서비스 기업을 통한 공급망 공격을 경고했다. 원격지에서 관리하는 인력의 PC를 해킹해 백도어를 심을 수 있고 써드파티로 개발하는 소프트웨어에 악성코드를 숨길 수도 있다. 코드사인 인증서 탈취로 공급망 공격을 하는 것도 용이해진다.

주 52시간 근무제로 재택근무, 원격지 근무, 모바일 근무자가 늘어나고 있으며, 원격 접속 환경을 이용하는 공급망 공격도 우려된다. 재택근무자가 보안관리가 되지 않은 가정 내 공유 단말을 이용해 접속할 때 특히 위험하다.

소프트웨어 패치 자체의 취약점을 이용하는 공격도 우려된다. 취약점이 발표되고 해당 벤더가 패치를 업데이트하는데, 처음 발표된 패치에 미처 발견하지 못한 또 다른 취약점이 있을 수 있다. 그래서 패치를 적용할 때 해당 패치의 취약점을 점검하고 일부 시스템에 먼저 적용해 보면서 순차적으로 해야 한다. 그러나 실제 환경에서 이러한 프로세스를 거치지 못한다. 불완전한 패치의 취약점을 이용하거나 아직 패치가 이뤄지지 않은 취약한 시스템을 노리는 공격도 늘어난다.

클라우드 보안

클라우드 보안위협은 앞으로 더 심각한 문제로 대두될 것으로 보인다. 클라우드 속도와 효율성을 높이기 위한 새로운 기술이 봇물 터지듯 쏟아져나오고 있는데, 이 기술이 가진 취약점이나 보안 약점에 대해서는 아직 충분히 논의되지 않은 상황이다. 또한 퍼블릭 클라우드 책임 공유 모델에 따라 사업자와 사용자가 각각 책임져야 할 부분이 나뉘어있는데, 이 영역이 분명하지 않아 클라우드 전반의 가시성을 확보하지 못한다.

클라우드 운영의 최대 취약점은 환경설정 오류다. 소포스 ‘2020 위협 보고서’에서는 “클라우드 시스템이 더욱 복잡하고 유연해짐에 따라 운영자의 실수가 위험을 초래할 가능성도 커지고 있다. 그것은 일반적인 가시성 부족과 결합돼 클라우드 컴퓨팅 환경을 사이버 공격의 준비된 표적으로 만들고 있다”고 지적했다.

트렌드마이크로 보고서에서는 이 문제와 함께 컨테이너·서버리스 컴퓨팅의 문제도 지적한다. 클라우드 개발 속도를 높이고 인프라 리소스를 적게 사용하기 위해 컨테이너와 서버리스 컴퓨팅을 사용하고 있다. 개발자들은 도커 허브와 같은 커뮤니티에 업로드 된 것을 의심 없이 내려받아 서비스에 적용하고 있으며, 여기에 보안 취약점이 포함돼 있어 공격자에게 백도어를 열어주게 된다.

▲가정용 PC를 감염시켜 클라우드 중요 데이터를 탈취하는 과정(자료: 소포스)
▲가정용 PC를 감염시켜 클라우드 중요 데이터를 탈취하는 과정(자료: 소포스)

IoT 보안

IoT 보안은 아무리 강조해도 지나치지 않다. 공격자들이 사용할 수 있는 취약한 IoT 기기는 차고 넘친다. 공격자들은 인터넷에 연결된 관리되지 않는 기기들을 쉽게 찾아서 공격에 이용한다. AI를 이용해 기업 내부와 연결된 장치를 찾아 자동으로 봇을 심고 공격에 이용한다. 대규모 봇넷을 이용해 DNS 하이재킹을 시도하며, OT 네트워크까지 침투해 중요 인프라를 공격한다.

데이터 보안

사이버 보안의 궁극적인 목표는 ‘데이터 보호’다. 공격자는 모든 종류의 데이터를 탈취해 수익을 얻는다. 공격자의 수익원이 되는 데이터를 빼앗기지 않으면 피해도 일어나지 않는다. 데이터 유출로 인한 피해가 극심한데도 데이터 보호는 여전히 소홀하다. 중요 데이터를 암호화하지 않고 클라우드로 보내거나 암호화한 후 키와 함께 클라우드에 저장하고, 클라우드 계정을 관리하지 않고 방치해 정상 권한을 가진 계정으로 공격자가 침투해 데이터를 가져간다.

탈레스의 ‘2019 클라우드 보안 연구’에 따르면 51%가 클라우드 상의 민감 데이터를 보호하기 위한 방법으로 암호화 또는 토큰화를 사용하고 있지 않았다. 또한 응답 기업의 44%가 클라우드 제공업체가 암호화 키를 관리한다고 답해 키관리에 대한 접근 방법도 개선돼야 할 필요가 있다.

특히 조사에 응한 기업들은 클라우드 상 데이터를 사업자가 보호해야 한다고 답해 클라우드 데이터 보호에 대한 잘못된 인식을 갖고 있는 것으로 나타났다. 응답자의 35%가 이 같이 답했으며, 공동책임이라고 답한사람은 33%였다.

AI

AI는 양날의 검이 됐다. AI를 이용한 보안 시스템은 사람이 찾지 못한 정교한 보안 위협을 찾아내며, 대규모 이벤트에서 실제 위협을 탐지해 보안조직의 분석 업무를 크게 줄여줬다. 그러나 공격자도 AI를 사용해 위협 탐지를 우회한다. 멀웨어 개발 시간을 단축시켜 한 종류의 멀웨어 패밀리가 활동하는 시간을 크게 줄였다.

글로벌 위협 인텔리전스로 멀웨어를 분석하고 이를 전 세계 보안 시스템에 배포하는 것이 최근 보안 트렌드 인데, AI를 사용해 빠르게 개발되는 멀웨어는 위협 인텔리전스에 탐지되고 배포하는 짧은 시간 동안만 활동해 보안 시스템에서 차단되지 못한다.

소포스는 머신러닝 보안 시스템이 공격을 받을 수 있다는 점을 경고했다. 머신러닝으로 사회공학 기법을 분석해 탐지하는 기술이 배포되자 공격자들은 오염된 데이터를 대량으로 쏟아내 머신러닝이 잘못된 학습을 진행해 공격을 탐지하지 못하게 했다.

공격자가 AI를 사용한다고 해서 보안조직이 AI를 사용해서는 안된다고 주장하는 것은 어불성설이다. AI를 사용하는 공격을 파악하기 위해 더 고급화된 AI 분석 기술을 개발해야 한다. 소포스는 “이 같은 술래잡기는 앞으로도 계속 될 것”이라고 설명했다.

보안에서 사용할 수 있는 ‘더 고급화된 AI’는 결국 더 많은 정제된 데이터이다. AI는 누가 더 많은 데이터를 갖고 있느냐에 승부가 갈린다. 오염되지 않은 정확한 데이터를 확보하기 위해 공격자와 방어자가 치열하게 싸우고 있다. 또한 더 정확한 분석 결과를 내놓을 수 있는 알고리즘을 선택하는 것도 중요하다.

결국은 기술의 싸움이 될 것이며, 이 분야에 더 집중 적으로 투자할 수 있는 편이 이기게 될 것이다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.