[데이터넷] 전 세계에서 가장 높은 수준의 보안을 보장하는 미국 정부기관, 세계적인 보안 기업 파이어아이가 국가기반 공격을 당했다. 공격자들은 파이어아이 보안진단 도구를 훔쳐간 것으로 알려지며 파이어아이 고객의 인프라를 타격할 것으로 예상된다. 국가기반 공격이 더 대담하고 지능화되고 있다. 우리나라를 타깃으로 하는 공격은 주로 대북·외교 관련 인사들을 노리고 있지만, 첨단기술 유출을 위한 사이버 스파이, 중요 인프라를 파괴하기 위한 공격도 종종 발견된다.

국가기반 공격자들은 적대국의 정보를 훔치고 사회 중요 시설을 파괴해 혼란을 일으키기 위해 공격하지만 금전 수익을 통해 통치자금으로 마련하기 위해서도 공격을 이어간다. 구글이나 SNS를 통해 타깃 조직과 임직원 중 적당한 초기 침투자를 검색해 이메일 주소, 조직 내 위치, 주요 업무, 내부 조직 구성도, 업무용 문서 형식 등을 찾아보고 업무와 관련된 내용의 이메일을 보내 사용자를 감염시킨다.

공급망 공격도 성공률 높은 공격 중 하나다. 파이어아이 공격자들이 IT 관리 솔루션 솔라윈즈의 업데이트 파일을 감염시켜 공격한다. 소프트웨어 서명을 탈취한 후 악성코드를 주입한 업데이트 파일에 서명한 후 이를 업데이트 서버에 올려 배포하는 방식을 취한다. 업데이트 파일을 내려받은 조직이 광범위하게 감염되며, 이를 통해 공격자가 잠입해 스파이 활동을 벌인다.

랜섬웨어도 유사한 방법으로 진행한다. 신뢰할 수 있는 기관을 사칭한 메일, 신뢰할 수 있는 기관으로 위장한 피싱 사이트 혹은 정상 사이트의 취약점을 이용한 악성링크 삽입 등으로 사용자를 감염시킨 후 내부 시스템으로 잠입하고 중요 시스템과 데이터를 인질로 삼아 공격한다. 이를 디도스 공격과 결합시킨 랜섬 디도스도 성행하고 있다.

지능형 웹·이메일 보호 필수

고도화되는 APT 공격에 대응하기 위해서는 공격에 가장 많이 이용되는 웹과 이메일을 보호해야 한다. 특히 코로나19 이후 재택근무가 확산되면서 보안 경각심이 낮은 재택근무자를 노린 웹·이메일 공격이 성행하고 있어 대책 마련이 필요하다.

온라인으로 커뮤니케이션하는 재택근무 환경에서 사내 공지, 업무 협력 등이 중요한 내용이 이메일을 통해 진행되기 때문에 업무와 관련된 내용으로 위장한 이메일을 걸러내기 어렵다. 한국인터넷진흥원(KISA)과 과학기술정보통신부가 진행한 ‘2020년 하반기 민간분야 사이버 위기대응 모의훈련’에서 코로나19 관련 재택근무 안내, 원격서비스 이용문의 등의 내용으로 작성된 해킹메일을 발송한 결과, 평균 열람률이 34.9%에 이르는 것으로 나타났다.

AI 기반 음성·영상 조작 기술인 딥페이크를 누구나 쉽게 사용할 수 있게 되면서 이로 인한 보안위협도 심각해졌다. 협력업체, 무역거래 대상 기업 임원으로 위장해 이메일로 거래대금 송부를 요청하는 무역대금 사기가 딥페이크를 만나 더욱 극성을 부릴 것으로 예상된다. 공격자들은 거래처 임원으로 사칭해 전화로 무역대금 전송을 요구할 수 있으며, 유명인이나 신뢰할 수 있는 사람으로 위장해 보안수칙을 전달하는 영상을 보내 악성코드를 내려받도록 할 수도 있다.

무역대금 사기, 딥페이크 등의 피해를 막기 위해 AI 기술을 활용하려는 시도가 있다. 이들의 사기 행태에서 일정한 패턴이 나타난다. 급한 사정이 생겨 평소 거래하지 않던 계좌로 대금 이체를 요구하고, 평소 접속하지 않은 사이트에서 파일을 다운받도록 하는 등을 볼 수 있다. 이러한 패턴을 이메일 보안 솔루션에 탑재해 사기 피해를 미연에 방지하도록 한다.

지능화된 스피어피싱을 막는 기술고 백신을 통한 악성코드 탐지가 기본이다. 시큐레터는 비실행 파일의 악성 의심 요소를 리버스엔지니어링으로 분석해 정교한 악성도구를 찾아낸다. 백신·샌드박스를 보완하는 기술로 APT 방어 프로세스의 하나로 결합되면 효과를 볼 수 있다. 시큐레터는 모니터랩, 크리니티 등 보안 기업들과 협력을 맺고 웹·이메일을 통한 위협에 대응한다.

소프트캠프와 지란지교시큐리티는 문서에 포함된 액티브 스크립트를 제거하고 깨끗한 문서로 재조립하는 제로 트러스트 문서보안 기술 ‘콘텐츠 무해화(CDR)’를 제안한다. 소프트캠프는 자체 개발한 원격 브라우저 격리(RBI) 기술과 CDR을 결합해 이메일 보안 완성도를 높이고, 지란지교시큐리티는 이메일 보안 솔루션 ‘스팸스나이퍼’ 및 문서중앙화 솔루션 ‘다큐원’에 통합해 문서를 통한 악성코드 유입을 차단한다.

웹 통한 위협 방어 필수

웹을 통해 진행되는 위협 방어를 위해 웹방화벽과 보안웹게이트웨이(SWG)가 필요하다. 모니터랩은 머신러닝 기술을 탑재한 웹방화벽·SWG를 구축형·클라우드로 제공하며, 멀웨어 탐지 서비스, 위협 인텔리전스 서비스와 연계해 최신 위협에 대응한다. 또한 암호화 트래픽을 복호화하는 SSL VA 솔루션도 제공해 암호화에 숨은 위협에 대응한다.

파이오링크는 고성능·높은 안정성을 기반으로 한 웹방화벽과 보안스위치를 통해 웹·네트워크 공격에 대응한다. 이를 보안관제 서비스와도 연계해 웹·네트워크를 통한 위협을 빠르게 진단, 대응하며, 클라우드로도 서비스 해 관리포인트와 비용을 절감할 수 있게 한다.

웹 보안 전문기업 수산INT는 SWG, SSL VA 시장에서 앞선 경쟁력을 보이고 있으며, 웹방화벽도 새롭게 출시하면서 시장 공략에 나섰다. DLP, IPS 등의 보안 솔루션을 추가 개발하고 있으며, 자체 개발 보안 솔루션과 써드파티 솔루션을 통합할 수 있는 플랫폼 ‘이프리즘X’도 출시를 앞두고 있다. 이프리즘 X는 컨테이너 기반 플랫폼으로, 고객이 필요로하는 보안 솔루션을 컨테이너에 쉽게 통합해 보안 유연성을 높일 수 있다.

양철웅 수산INT 상무는 “보안을 강화하기 위해 도입한 보안 솔루션이 오히려 보안의 리스크가 되고 있다. 이 문제를 해결하기 위해서는 통합 플랫폼을 통해 단순하게, 하지만 틈새 없이 보안을 관리할 수 있어야 한다. 이프리즘X는 고객이 필요로하는 모든 보안 솔루션을 제공하는 플랫폼의 역할을 할 것이다. 앞으로 보안 솔루션도 컨테이너 기반 기술로 개발될 것이므로 컨테이너를 기반으로 한 이프리즘X의 확장성이 높을 것”이라며 “장기적으로 이 플랫폼을 SASE로 확대할 수 있을 것으로 기대한다”고 밝혔다.

김선애 기자 다른기사 보기