[데이터넷] 지능형 사이버 공격이 랜섬웨어, 디도스, 정보유출, 공급망 공격 등 다양한 방법으로 진행되고 있으며, 여러 공격이 함께 진행되는 다중강탈 공격도 발생하고 있다. 공격자들은 모든 수단과 방법을 동원해 목표 시스템으로 침투한 후 곳곳에 공격 거점을 만들고, 권한을 상승시키면서 더 중요도가 높은 시스템으로 이동한다.
내부 위협 탐지에 걸리지 않기 위해 비정기적으로 외부와 통신하면서 작게 쪼갠 공격도구를 여러 차례에 걸쳐 나눠 받는다. 자바 스크립트, 문서 매크로 등 비실행형 파일을 이용해 악성코드 탐지 시스템을 우회한다. 공격도구를 다운로드한 후 상당한 시간을 기다린 다음 실행하는데, 다운로드 직후 실행했을 때 샌드박스나 모니터링 시스템에서 탐지할 수 있기 때문이다.
시스템의 정상적인 프로세스를 이용하면서 권한을 획득하고 정보를 수집하며, 정상적으로 사용하는VPN·RDP 등을 이용해 원격에서 제어하고 데이터를 유출한다. DNS 쿼리에 중요정보를 조금씩 넣어 보내는 방법으로 장기간 대량의 데이터를 유출한다.
랜섬웨어와 악성코드 배포 범위를 쉽게 확장시키기 위해 AD 서버, 업데이트 서버를 이용하며, 소프트웨어 기업, 매니지드 보안 서비스 기업을 장악해 그들의 고객을 감염시킨다. 보안관리자가 근무하지 않는 퇴근 후, 혹은 주말 동안 활발히 활동 범위를 확장하며, 보안관리자가 근무할 때에는 최대한 행동하지 않는다.
공격 개시 시점도 관리가 소홀한 때, 혹은 비즈니스에 아주 중요한 때에 맞춰 공격 효과를 극대화한다. 다크트레이스 조사에 따르면 랜섬웨어 암호화 프로세스의 76%는 근무시간 이후 혹은 주말에 이뤄진다.
내부자를 매수해 공격을 용이하게 하는 사례도 있다. 락비트2.0 랜섬웨어는 RDP·VPN 등의 계정을 알려주거나 원격지에서 접근하도록 도록 도와주면 막대한 금액을 지불하겠다는 광고를 낸 바 있다. 물론 협조한 내부자의 신원은 철저히 보호한다고 주장했다.
공격 지능화되면 범죄자 수익성 높아져
공격자들이 활동하는 지하시장은 서비스형 범죄(CaaS) 모델이 확실히 자리잡고 있다. 악성코드·공격도구 개발사와 범죄 서비스 그룹도 있다. 이들은 의뢰인이 목적한 바를 이룰 수 있도록 전략·전술을 짜고, 필요한 공격도구를 맞춤형으로 제작한다. 의뢰인은 금전을 목적으로 한 범죄자일 수도 있고, 특정 국가나 정부, 단체일수도 있다. 공격 후 수익금을 나누는 방식을 택하거나 처음부터 일정금액을 후원할 수도 있다.
처음 침투부터 공격 개시까지 1년 이상 걸리는 경우도 있지만, 침투 즉시 공격을 개시하는 경우도 있다. 공격 목표에 따라 언제 공격하는지 달라지지만, 많은 경우 수익을 극대화할 수 있는 시점을 파악하고 그에 따라 진행한다.
공격자의 수익금을 정확하게 파악하기는 어렵지만, 현재까지 알려진 최대 금액은 지난 5월 미국 대형 보험사가 랜섬머니로 지급한 4000만달러이다. 팔로알토 조사에 따르면 올해 상반기 공격자들이 요구한 금액은 평균 530만달러, 실제로 지불한 돈은 57만달러였다. 지난해 평균 지불금액은 31만2000달러로 올해 상반기 171% 올랐으며, 요구액은 지난해 84만7000달러에서 올해 상반기 530만달러로 5배 뛰어올랐다. 보안 기업들은 내년에 랜섬머니는 훨씬 더 큰 폭으로 오를 것으로 예상했다.
공격의 주요 대상은 ‘모든 곳’이라고 할 수 있다. 많은 수익을 얻을 수 있는 사회 주요 인프라, 글로벌 대기업, 정부 공공기관, 공격이 쉬운 중소기업과 개인 등 아무 제약 없이 공격을 벌인다. 정치적 목적, 금전적 수익 어떤 목적이든 공격을 진행한다.
체크포인트 조사에 따르면 올해 매주 61곳 중 한 곳이 랜섬웨어 공격을 받았으며, 내년에는 더 정교한 실시간 맞춤형 공격 전략·전술을 사용해 공격할 것으로 보인다.
테라급 디도스 공격 성행
전통적이고 단순하지만 막기 어려운 디도스 공격도 심각한 수준으로 진화하고 있다. 대량의 통신을 일으키는 볼륨공격은 이미 테라급 이상을 넘어가고 있다. 올해 발생한 최대규모의 테라급 공격은 1.5TBPS였으며, 공격규모는 매년 갱신되고 있다. 올해 디도스는 전년대비 11% 증가했고 코로나19로 늘어난 온라인 기반 활동을 노려 공격자의 목적을 쉽게 달성할 수 있게 됐다.
올해 디도스는 디도스와 다른 공격을 병행하는 다중공격이 증가했다는 특징이 있으며, 비대면 환경의 원격접속이 늘어나면서 VPN을 이용한 공격과 온라인 접속이 늘어나 급증한 DNS를 이용한 공격이 증가했다는 점도 특징이다. 지능화되는 봇넷 공격과 게임, 온라인 리테일, 전자제품 상점 등을 노리는 공격도 증가했다.
넷스카우트는 우리나라가 아시아태평양 지역에서 가장 많은 디도스 공격을 받는 국가이며, 월 평균 7~8만회, 하루 2500~3000회 정도의 공격이 발생한다고 분석하며, 디도스 공격 대응을 위한 근본적인 대책 마련이 필요하다고 지적했다.
늘 새롭고 심각한 사이버 공격
지능화되는 공격을 방어하기 위해서는 보안조직의 노력만으로, 보안솔루션 도입만으로 해결되는 것은 아니다. 임직원, 파트너사 직원, 고객까지 포함한 모든 구성원들이 보안습관을 갖도록 노력하는 것이 필요하다.
실제 공격과 같은 모의훈련을 통해 평소 공격에 이용 당하지 않도록 습관을 기르는 것도 중요하다. 이메일 모의훈련을 한 번이라도 한 기업이 그렇지 않은 기업보다 스피어피싱에 당하는 비율이 현격하게 낮다.
임직원의 보안인식을 지속적으로 높이면서 필요한 보안 솔루션을 도입하는 것도 필요하다. 위협 인텔리전스를 활용해 최신 공격에 대한 지식을 갖춰 사이버 공격 방어체계를 마련해야 한다. 이러한 솔루션과 서비스는 운영할 수 있는 전문성이 필요한 만큼, 자사 조직의 역량을 반드시 확인하고, 기존 시스템과 통합이 가능한지도 파악해야 한다.
공격당했을 때 빠르게 비즈니스를 복구할 수 있도록 사이버 회복 탄력성을 갖추며, 복구를 위한 매뉴얼을 상세하게 만들고 정기적으로 훈련해 사고 시 당황하지 않고 복구할 수 있도록 한다. 써드파티 파트너, 매니지드 서비스 파트너를 위한 복구 프로그램도 미리 준비해 파트너사가 어떻게 대응해야 하는지 체계화해야 한다.
가장 중요한 것은 ‘사람’이다. 각종 보안사고에 즉각 대응할 수 있도록 보안조직을 강화하고 인력을 충원하며, 보안팀이 ‘잔소리꾼’이 되지 않도록 보안조직의 권한을 높여야 한다. 무엇보다 경영진의 강력한 의지가 있어야 지속 가능한 보안 정책 운영이 가능하다.
2022년은 올해보다 훨씬 더 지능적이고 교묘한 사이버 공격이 발생할 것이다. 천문학적 규모의 피해를 일으키는 랜섬웨어와 디도스가 발생할 것이며, 세계 정세의 급변에 따른 국가기반 공격도 활개를 칠 것이다.
내년에도 이어질 글로벌 팬데믹을 이용한 사이버 팬데믹이 사회를 혼란하게 만들고 수많은 피해를 일으킬 것으로 보인다. 이 혼란의 상황에 잘 대처할 수 있도록 만반의 준비를 해야 하며, 비즈니스 연속성 관점의 사이버 보안 전략의 재편이 필요하다.
