100만달러 보증 프로그램 운영하며 기술 자신감 보여
[데이터넷] 랩서스 해킹 그룹은 탈취한 계정 정보를 이용해 세계적인 기업들을 잇달아 해킹했다. 북한 해커들은 크롬 취약점을 이용해 암호화폐 거래소·핀테크 기업 등을 공격했다. HTML 스머글링은 자바스크립트 블랍을 사용, 백신·샌드박스 분석을 피해 사용자 브라우저에서 악성파일을 생성시켰다. 로그4j 취약점이 전 세계 거의 대부분의 자바 애플리케이션을 위험하게 했다.
이상의 위협은 악성코드 없이 공격한 새로운 지능적 공격 수법이다. 공격자들은 많은 시간과 비용을 들여 신·변종 악성코드를 개발하기보다, 유출된 계정, 공개된 취약점, 정상 애플리케이션에 포함된 기능을 악용하는 방법으로 공격을 진행한다. 악성코드 개발과 운영에 드는 시간과 비용을 줄일 수 있으며, 쉽게 발견할 수 있는 취약점을 이용하기 때문에 광범위한 침해행위를 벌일 수 있다.
이전보다 공격이 쉬워졌는데 방어는 더 어려워졌다. 가장 큰 위협이 되는 랜섬웨어는 11초마다 한 번씩 발생하고(사이버시큐리티벤처스), 매년 62% 증가하며(FBI), 평균 185만달러의 비용을 발생시킨다(소포스). 또한 랜섬웨어와 함께 데이터 유출, 계정탈취 멀웨어 감염 후 지속적인 모니터링으로 추가 공격 시행도 이어간다.
권혁인 멘로 시큐리티 코리아 기술총괄이사는 ‘차세대 보안 비전 2022’에서 “여러 공격을 복합시키는 다중갈취 공격이 성행하고 있는데, 기존 보안 기술로는 대응할 수 없다. 많은 보안 솔루션이 악성코드 탐지에만 매달려있기 때문”이라며 “이제 공격은 악성코드가 아니라 취약점, 정상 프로세스, 탈취한 계정을 이용한다. 새로운 공격 위협에 대한 대응책이 시급하다”고 말했다.
침해 90% 브라우저·이메일·파일 공유 통해 발생
‘HEAT(Highly Evasive Adaptive Threat), 클라우드 시대의 가장 치명적인 위협’이라는 주제의 세션을 진행한 권혁인 이사는 사이버 침해의 90%가 브라우저, 이메일, 파일 공유를 통해 발생한다고 지적했다. 공격자는 신뢰할 수 있는 사용자와 기관, 브랜드를 이용해 침투를 시도하고 계정을 탈취한다.
권혁인 이사는 “일반 업무의 75%가 브라우저를 통해 진행된다. 브라우저가 새로운 사무실인 셈”이라며 “공격자가 새로운 업무 환경에 맞게 공격 방식을 바꾸었기 때문에 방어도 새로운 관점으로 접근해야 한다”고 강조했다.
멘로시큐리티는 브라우저를 공격 벡터로 활용하고, 다양한 기술을 이용해 보안 스택의 여러 계층에 설치된 탐지 기술을 회피하는 사이버 위협으로 HEAT를 소개한다. HEAT는 악성 URL, 피싱사이트, 크리덴셜 스터핑 등을 이용하는데, 2021년 7월부터 12월까지 6개월간 HEAT 공격이 2.24배 증가했고, 2019년부터 2021년까지 악성 웹사이트는 9.5배 늘어났다. 50만개 악성 URL의 69%가 HEAT를 사용하고 있으며, 마이크로소프트, 페이팔, 아마존 등 유명 기업으로 위장하는 피싱 공격이 가장 많았다.
권혁인 이사는 웹 기반 공격 위협에 대해 경고하며 “사용자의 주의만으로 HEAT 공격을 막을 수 없다. 공격자는 교묘하게 사용자를 속이고 보안 탐지를 우회하는 각종 수단을 다 도용하고 있다. 위협의 영향이 사용자에게 미치지 못하게 하는 방법으로 보안을 재설계 해야 한다”고 말했다.
격리 기술로 HEAT 공격 해결
멘로시큐리티는 격리 기술을 이용해 HEAT 공격을 근본적으로 해결한다. 멘로시큐리티는 고속 렌더링 기술을 이용해 웹사이트를 격리된 공간에서 독자 개발한 언어 코드로 재구성해 웹사이트에 숨은 위협이 사용자에게 영향을 미치지 못하게 한다.
멘로시큐리티 격리 플랫폼을 이용해 HTML 스머글링 공격을 차단하는 예를 들여본다. 이 공격은 소스코드에 공격코드를 숨겨 사용자 PC에서 조립해 공격하는데, 격리 기술을 이용하면 소스코드에 숨어있던 공격코드는 PC가 아니라 멘로 격리 환경에 다운로드된다. 이 환경은 HTML언어가 아니기 때문에 코드가 활성화되지 않으며, 세션이 종료되면 삭제되는 격리 환경이기 때문에 공격이 은닉해 있다가 다시 활동할 수도 없다.
멘로시큐리티는 제로 트러스트 네트워크 액세스(ZTNA) 분야에도 격리 기술을 적용한다. 업무 애플리케이션을 격리 환경에서 보호해 감염된 기기의 영향을 받지 않도록 한다. 공격이 사용자에게 도달하기 전에 격리 플랫폼에서 차단하기 때문에 안전한 비즈니스가 가능하다.
권혁인 이사는 “멘로시큐리티의 격리 기술은 미국 국방부 350만명에게 적용돼 웹 서핑 활동을 보호하면서 성능과 안정성을 인정받았다. 멘로시큐리티 격리 솔루션을 사용하다 감염됐을 경우 100만달러의 보증을 제공할 만큼 자신있다. 멘로시큐리티가 귀사의 보안을 개선하고 업무 편의성을 보장할 수 있을 것이다”라고 말했다.
