[데이터넷] 사이버 공격자와 방어자는 ‘쫓고 쫓기는 관계’보다 ‘뛰는 놈 위의 나는 놈’으로 묘사되는 경우가 많다. 새로운 공격 방법의 대응법이 나오면 공격자들은 곧 또 다른 방법으로 공격을 진행한다. 방어 전략의 허점을 교묘히 이용하기도 하고, 오래 전 사용했던 공격 전략을 택하기도 하며, 완전히 새로운 방식의 공격 기술과 전술을 이용하기도 한다.

악성메일을 통한 스피어피싱 공격이 성행하면서 기업·기관이 최종 사용자 교육과 이메일 보안 도구를 사용해 대응하자, 공격자들은 새로운 우회 방식을 찾아냈다. 그 중 하나가 이전에 사용했던 엣지 서비스에 원격 실행 코드 취약점을 이용하는 것이었다. 이 공격은 방어자가 면밀히 감시하지 않는 영역을 이용하는 것으로, 경계가 느슨해진 곳을 노리는 효과적인 방식이다. 특히 연말을 맞아 바빠진 온라인 서비스 기업들은 이러한 공격에 당할 수 있다.

저비용 고수익 노리는 공격자

‘포티넷 3분기 글로벌 보안 위협 전망 보고서’에서 이 같은 새로운 공격 방식에 대해 자세히 소개했다. 관리가 소홀한 영역을 노리는 또 다른 방식은 적절히 보호되지 않은 오래되고 취약한 시스템을 타깃으로 삼는 것이다. 포티가드의 보안 연구소 포티가드랩은 공격자들이 12년 이상 된 오래된 취약점을 대상으로 더 많은 공격을 실행한다고 분석했다.

공격을 자동화, 효율화 하기 위해 사용하는 봇넷은 점점 더 많은 공격에서 사용되고 있으며, 전 세계 단위로 확장되고 있다. 범죄조직도 일반적인 비즈니스처럼 효율성을 높이고 비용을 줄일 수 있는 방법을 찾아내고 있으며, 성공률이 높은 기존의 공격 도구와 인프라를 사용한다. 봇넷은 그 목적을 이룰 수 있는 효과적인 수단이다.

클라우드 서비스와 같이 공격 도구와 인프라를 서비스(CaaS)로 사용하는 것도 공격자들이 ROI를 고려하는 방식이다. 올 한해 전 세계를 골치 아프게 한 갠드크랩 랜섬웨어는 다크웹의 랜섬웨어 서비스(RaaS)를 사용해 성공한 대표적인 모델이다.

갠드크랩 공격자들은 수익 잠재력을 높이기 위해 새로운 서비스를 시작하고 있는 것으로 보인다. 제휴 파트너 네트워크를 구축해 랜섬웨어를 더 광범위하게 확산시키고 그 과정에서 수익을 크게 늘릴 수 있다.

포티가드랩은 RaaS 솔루션으로 배포되는 2가지 주요 랜섬웨어인 소디노키비와 넴티를 관찰했다. 이는 단지 시작점으로서, 향후에 유사한 사이버 공격용 서비스가 크게 증가할 수 있다는 사실을 잠재적으로 보여준다.

이러한 접근방식을 확장해 사이버 범죄자들은 점점 더 정교하고 악의적인 공격을 실행하고 있으며, 탐지 기능을 우회하기 위해 멀웨어를 정제하고 있다. 범죄자들은 경제적 수익 기회를 극대화하기 위해 감염된 시스템에 다른 페이로드를 설치하려고 점점 더 많은 멀웨어를 사용하고 있다.

최근 공격자들은 트릭봇, 아이스드ID, 제우스 판다를 포함한 뱅킹 트로이목마, 정보 도용자, 랜섬웨어의 페이로드 전달 메커니즘으로써 ‘이모텟’ 멀웨어를 사용하기 시작했다. 공격자들은 사용자가 믿을 수 있는 소스의 이메일 스레드를 하이재킹하고, 이 이메일 스레드에 악성 멀웨어를 주입함으로써 사용자가 악성 첨부파일을 열 가능성을 크게 높인다.

광범위하고 자동화된 통합 보안 필요

사이버 범죄자의 공격 영역 확대 및 공격 전략의 변화를 볼 때, 조직들은 좁은 범위의 위협 트렌드에만 집중해서는 안되며, 분산된 네트워크 환경을 보호하기 위한 전체론적 접근방식을 채택해야 한다.

이를 위해서는 광범위하고 자동화된 통합 보안 패브릭을 구축해야 한다. 이 접근방식을 기반으로 조직들은 통합 장치에 대한 광범위한 가시성을 확보하여 확장된 공격 영역을 줄이고 관리할 수 있으며, AI 기반 침입 방지를 통해 지능형 위협을 차단하면서, 자동화된 운영 및 오케스트레이션으로 복잡성을 줄일 수 있다.

디지털 공격 면을 타깃으로 삼는 공격 방법이 진화하는 가운데, 동적이고 사전 예방적이며 실시간으로 제공되는 위협 인텔리전스는 사이버 위생의 우선순위를 정확하게 파악하고 위협 추세를 식별하는데 중요한 역할을 한다.

김선애 기자 다른기사 보기