정교하게 조작된 가짜 영상·음성으로 사용자 속일 것
[데이터넷] 최고의 실력을 가진 CISO가 있다고 해도 보안 위협을 완벽하게 차단할 수는 없다. 모든 사람이 보안 수칙을 잘 지키는 것도 아니고, 보안 수칙을 제대로 지키는데 도 속수무책으로 공격을 당하는 경우도 있기 때문이다. 회사에 피해를 입히려는 의도가 없다 해도 실수로 정보 를 유출하거나 시스템을 중단시키는 경우도 종종 발생 한다.
거의 대부분의 공격은 내부자에 의해 발생한다. 의도를 갖고 공격하는 사람도 있지만, 악성코드에 감염되거나 계정 정보를 탈취당해, 혹은 실수로 사고를 일으킨다. 따라서 기존의 신뢰기반 보안 모델을 과감하게 버리고 비신뢰기반 보안 모델인 ‘제로 트러스트’ 전략에 입각한 보안 프로세스가 필요하다. 모든 시스템과 데이 터에 접근하는 사람과 단말을 점검하고 시스템과 네트워크에서 일어나는 행위를 모니터링 해 침입 초기에 막거나 혹은 공격이 확산되기 전에 격리하고 대응해 실제 피해가 발생하지 않도록 해야 한다.
‘버라이즌 2019 데이터 유출 조사 보고서(DBI)’에 따르면 데이터 침해 사고의 52%는 해킹 도구에 의해, 33%는 사회공학 기법에 의해, 32%는 훔친 인증 정보 를 이용해, 28%는 멀웨어에 의해 탈취됐다. 공격자의 69%는 외부 해커이며, 34%는 내부자가 포함돼 있었다. 즉 내부자에 의한 위협보다 외부로부터의 위협이 더 자주 발생하고 있다는 뜻이다.
계정 탈취, 악성코드 감염으로 공격자가 내부자 권한 을 갖고 진행하는 공격은 탐지하기가 매우 어렵다. 특 히 2월말부터 코로나19로 인한 재택근무가 급증하면서 내부자 정보를 탈취해 사내 메일을 이용해 악성코드를 유포하고 정보를 탈취하는 시도가 발생하고 있다.
‘딥페이크+사회공학’, 지능화되는 공격
공격자는 직접 데이터를 빼내고 중요 시스템에 장애를 일으킬 뿐 아니라 랜섬웨어로 금전 수익을 얻고 있다. 특히 최근 랜섬웨어는 사회공학 기법을 이용해 정상 이메일과 문서를 이용해 공격한다. ‘코로나19’ 이슈를 이용한 악성메일과 악성문서가 전 세계적으로 유행하고 있는데, ‘코로나19 관련 이사장 지시사항’과 같이 기업 내 혹은 관계기관의 정식 공문의 형태를 갖추고 있어 사용자들이 악성 메일 여부를 판단하지 못한다.
더불어 랜섬웨어는 주로 보안 관리와 탐지가 소홀한 근무시간 이외의 시간을 이용하며, 워너 크라이와 같은 웜 방식의 공격으로 자동으로 네트워크 에 확산되도록 한다.
파이어아이 ‘랜섬웨어 배포 트렌드 리포트’에 따르면 랜섬웨어 76%가 근무시간 외에 일어났다. 많은 공격이 원격 데스크톱 프로토콜(RDP)과 악성 링크 또는 첨부 파일을 이용했으며, 피해자가 멀웨어를 다운로드 하도 록 유도해 후속 공격 활동을 이어갔다.
파이어아이는 75%는 악성활동이 최초에 감지된 시 점부터 랜섬웨어 배포까지 최소 3일 걸렸다는데 주목했 다. 침해 사고를 초기에 탐지·차단하고 신속하게 조치 한다면 랜섬웨어 감염으로 인한 심각한 피해와 그에 따른 금전적인 손실을 피할 수 있다는 점을 강조한다.
공격은 기상천외한 방법을 통해 이뤄지기 때문에 완벽한 초기 탐지와 차단은 불가능하다. 특히 앞으로 딥페이크 기술을 이용해 영상과 음성을 조작하고 이를 사회공학 공격과 결합시키는 새로운 공격이 발생할 가능성이 높다. 코로나19 이후에도 비대면 커뮤니케이션은 빠른 속도로 늘어날 것이며, 조작된 영상·음성을 이용한 공격은 더욱 정교하게 발전하면서 사용자를 속일 것으로 보인다.
스플렁크의 ‘IT 보안 전망 2020’ 보고서에서 사회공학 기법을 이용한 딥페이크 공격 위협에 대해 경고했다. 비즈니스 이메일 침해(BEC)와 같은 방법을 사용하는 데, 이메일 대신 전화나 영상으로 사기를 칠 가능성이 있다는 설명이다.
예를 들어 딥페이크로 기업 임원의 목소리를 위조한 후 전화로 거래 대금을 다른 계좌로 보내라고 지시하면 담당자가 이를 거절하기는 매우 어렵다. 이러한 실수 를 저지른 담당자에게 모든 책임을 질 것을 강요할 수도 없다.
사회공학 기법 이용 사고, 전체 공격 35%
버라이즌의 ‘2019 데이터 유출 보고서’에 따르면 사회공학기법을 이용한 사고가 2013년 17%에서 2019년 35%로 2배 이상 늘어났다. 사회공학 기법을 이용하는 공격이 딥페이크와 같은 영상·음성 조작 기술과 결합하 면 훨씬 더 큰 파괴력을 갖게 된다.
보고서에서는 “소프트웨어 취약점을 제거하고 해킹 대응을 자동화하는 기술에 투자하는 것을 멈춰서는 안 되지만, 사람의 실수나 판단 착오, 정교하게 설계된 사 기 범죄에 대응하는 훈련을 병행해야 한다. 특히 평소와 다른 요구를 하는 임원의 전화에도 현명하게 대처할 수 있도록 교육해야 한다”며 “사회공학 기법과 딥페이 크 기술이 결합한 사이버 위협은 선거에도 사용될 수 있 으므로 중요한 선거가 있는 2020년 더욱 주의를 기울여 야 한다”고 지적했다.
BEC는 지난해 3배 이상 증가하며 성행하고 있다. 트렌드마이크로 ‘2019 클라우드 앱 보안 결과 보고서’에 따르면 지난해 트렌드마이크로가 차단한 이메일 위협 중 21%(약 38만6000건)가 BEC였는데, 이는 2018년 7%보다 3배 가까이 늘어난 것이다.
미국 FBI는 지난해 BEC로 인한 손해는 전체 사이버 범죄 피해액의 절반에 이르는 17억달러에 이른다고 보고한 바 있다. BEC는 이메일에 가짜 송장이나 거래대금 요청, 선물카드, 스타트업 투자요청서 등을 이용해 대금을 갈취한다. 정상적인 이메일 커뮤니케이션의 중 간에 자연스럽게 끼어들기 때문에 거래 당사자들은 이 상한 점을 느끼지 못하고 대금을 송금하게 된다.
