복합적·지능적 사이버 공격…사일로화 된 보안 대응으로 못 막아
‘내재적 보안 전략’으로 진화하는 공격에 효과적으로 대응
[데이터넷] 무역대금을 가로채는 송금사기, 업무 관련 메일로 정교하게 위장된 스피어피싱, 계정 탈취 공격, 공급망 공격 등이 코로나19 기간 동안 급증하고 있다. 이 공격은 사람들의 심리와 습관, 정상적인 비즈니스 프로세스를 따르기 때문에 엔드포인트·네트워크 경계에 중점을 둔 위협 탐지와 대응 전략으로 막을 수 없다는 특징을 갖는다.
VM웨어가 금융기관 CISO와 보안 임원을 대상으로 진행한 ‘모던 뱅크 하이스트 4.0(Modern Bank Heists 4.0)’ 조사에 따르면 응답자의 57%가 송금사기가 증가했다고 답했으며, 54%는 파괴적인 공격이 전년대비 118% 증가했다고 답했고, 41%은 계좌 탈취 공격을 경험했다고 답했다. 또 51%는 맞춤형 타깃 공격을 경험했으며, 38%는 공급망 공격 증가를 지목했다.
이 보고서에서 특히 중목한 것은 비즈니스 이메일 침해(BEC)와 역비즈니스 이메일 침해(RBEC)로, 거래처 담당 임원을 위장해 무역대금을 공격자의 계좌로 송금하도록 하거나, 피해자 오피스365를 장악한 후 금융기관과 경영진을 대상으로 공격을 진행한다. 비즈니스의 중요한 커뮤니케이션 수단인 이메일을 악용하는 이 공격은 대화에 참여하는 사람들 간 미리 형성된 신뢰를 악용한다는 특징이 있다. 수신하는 메일마다 발신자에게 일일이 확인할 수 없는 상황에서, 정교하게 설정된 공격을 완벽하게 차단하는 것은 불가능하다.
보고서에서는 “사이버 범죄는 2022년 6조달러의 비용을 발생시키고, 2025년 2배로 늘어날 것”이라고 전망하며 이에 대응하기 위한 투자 우선 순위로 ▲확장된 위협 탐지와 대응(XDR)(24%) ▲위협 인텔리전스(23%) ▲워크로드 보안(21%) ▲컨테이너 보안(18%) 등을 들었다.
복합적·타깃 맞춤형으로 진행되는 공격
사이버 공격 대응이 어려운 이유는 복합적이면서도 타깃 맞춤형으로 전개되고 있기 때문이다.
아주 쉽게 피싱 공격에 성공하는 사례를 들어보면, 공격자가 업무 관련 내용으로 위장한 메일에 URL을 삽입하는데, 메일 서버에 수신된 후 일정 기간 동안 해당 URL에서는 아무 일도 일어나지 않도록 한다. 메일 보안 솔루션이나 SWG, 샌드박스에서 의심 URL을 검사하는 동안 공격행위를 하지 않다가 보안 검사가 끝난 후 사용자를 감염시키는 방식이다.
공격자는 실행파일과 비실행 파일, 파일없는 악성코드 등 다양한 공격도구를 사용하기 때문에 기존 보안 탐지로 막지 못하는 것이 더 늘어난다. 파워쉘 스크립트, 원격 실행 도구 등 다양한 도구가 사용되고 있으며, 지하세계에서 서비스 방식으로 제공되는 악성코드와 공격도구가 절찬리에 판매돼 사이버 공격에 대한 지식이 없어도 쉽게 공격에 가담할 수 있다.
악성코드 없이 진행되는 공격도 다수다. 최근 발생한 BEC의 예를 들어보면, 한 선박회사의 자금 담당자의 이메일을 탈취해 거래처 회계 담당자에게 거래대금 송금을 요청하는 메일을 보냈다. 해당 거래의 프로세스를 정확하게 파악하고 발송한 메일로, 담당자들은 전혀 의심하지 못했다.
홍세진 VM웨어코리아 상무는 “타깃 맞춤형으로 설계된 공격은 알려진·알려지지 않은 악성코드 탐지·대응에 중점을 둔 기존 대응 방식으로 막을 수 없다. 정상 업무 프로세스로 교묘하게 위장하는 공격은 보안 인식 개선 교육과 캠페인으로도 부족하다”고 말했다.
통합 보안 전략으로 지능형 위협 대응
지능화되는 공격에 대응하기 위해 여러 보안 솔루션을 도입하고 있지만, 너무 많은 보안 솔루션으로 인해 관리되지 않은 보안홀이 증가해 보안 위협이 오히려 높아진다.
홍세진 상무는 “보안조직은 이전보다 9배 많은 보안 제품을 관리해야 하는데, 이는 이벤트가 발생했을때 확인해야 하는 사항이 9배 많아졌으며, 그만큼 관리되지 않은 보안홀이 늘어났다는 뜻”이라며 “다수의 보안 제품을 구입하는 것 보다 통합된 보안 플랫폼과 서비스로 리스크를 낮춰나가는 것이 필요하다”고 강조했다.
그래서 VM웨어는 보안 기능을 플랫폼에 녹인 ‘내재적 보안 전략’을 강조한다. 확장된 위협 탐지 및 대응(XDR)을 구현하는 VM웨어의 보안 포트폴리오는 ▲EPP·EDR, 워크로드 보안 솔루션 ‘카본블랙’ ▲엔드포인트 환경과 액세스를 통제하는 통합 엔드포인트 관리(UEM) ‘워크스페이스 원’ ▲도커·쿠버네티스 보호와 관리 ‘탄주’ ▲IDS/IPS 기능을 탑재한 서비스 방화벽 ‘NSX’ 등을 통합해 엔드포인트부터 네트워크, 클라우드 인프라에 이르기까지 모든 영역에 걸친 강력한 보안을 제공한다.
에이전트·에이전트리스 방식으로 설치되는 카본블랙은 엔드포인트와 클라우드 워크로드, 컨테이너 상 위협 행위와 취약점을 탐지·차단 및 대응한다. 위협 인텔리전스를 통해 신·변종 위협에도 즉각 대응할 수 있으며, 위협 헌팅을 통해 모든 위협행위를 가시화 할 수 있다.
홍 상무는 “VM웨어는 내재적 보안 전략을 통해 운영 효율성을 높이고 복잡성을 제거하면서 더 강력한 보안을 제공한다”며 “VM웨어는 플랫폼에 빌트인 된 보안 기술로 자동화된 보안 운영을 용이하게 한다”고 설명했다.
