아카마이, 마이크로 세그멘테이션으로 침투한 공격자의 수평이동 차단
[데이터넷] 라틴어, 그리스어, 히브리어 등에는 같은 모양의 문자이지만 다른 문자인 경우가 있다. 예를 들어 Palochka(I)와 알파벳 l은 보기에는 같지만 서로 다른 글자다. 만일 공격자가 페이팔 홈페이지 paypal.com 에서 l을 Palochka(I)로 사용한 피싱 사이트를 제작했다면 사용자는 이를 구분하지 못한다.
paypla.com, paypals.com 처럼 주소를 살짝 바꾸는 방식의 타이포스쿼팅에서 한층 더 진화한 호모그래프(Homograph)가 최근 공격자들에게 인기를 끌고 있다. 피싱 공격이 성행하면서 사용자들이 주의를 기울이게 되자 공격자들은 또 다른 새로운 공격 방식을 찾아낸 것이다.
한준형 아카마이코리아 상무는 “공격자는 적은 공수로 파급력이 큰 공격을 찾아내며, 이를 서로 공유하고 학습하면서 진화시킨다. 앞서 사례로 든 호모그래프, 타이포스쿼팅이 적은 공수로 큰 피해를 입히는 공격 사례이다. 이외에도 사람들이 좋아하는 이미지나 사회적인 이슈가 되는 이미지에 스테가노그래피 기법으로 악성코드를 숨긴 후 SNS를 통해 공유시키면 불특정 다수 혹은 공격 목표가 되는 특정 그룹을 감염시킬 수 있다. 이러한 공격 방식을 지하세계에서 서로 공유하면서 발전시켜 더 쉽게, 더 많은 수익을 얻을 수 있는 공격을 진행한다”고 설명했다.
공급망 공격으로 광범위한 피해 입혀
공격자들의 ‘기발한’ 침투 기법은 상상을 초월한다. 호모그래프와 같이 사람들이 속을 수 밖에 없는 방법을 지속적으로 찾아내며 지속적으로 발전시킨다. 업무메일로 위장해 악성파일을 유포하는 스피어피싱의 성공률이 떨어지자 공격자는 피해자와 여러 차례 메일을 주고 받으면서 신뢰를 쌓은 후 공격을 진행한다.
복잡한 공급망 생태계도 공격자의 좋은 먹잇감이다. SaaS 사업자를 공격해 이 서비스를 이용하는 고객이 피해를 입게 하거나, 소프트웨어 개발사에서 배포하는 업데이트 파일을 감염시켜 그 고객이 모두 랜섬웨어 공격을 당하게 한다. 오픈소스 취약점 역시 공급망 공격에 사용된다.
공격자들은 쉽게 찾을수 있는 취약점을 이용해서 침투하는 것도 선호한다. 취약점이 제거되지 않은 애플리케이션과 시스템을 찾기 위해 자동화 도구를 이용해 스캐닝한다. 재택근무가 활성화된 코로나19 기간동안 탈취한 VPN 계정을 이용한 공격이 크게 늘었으며, 지하시장에서 VPN 계정이 불티나게 판매됐다.
아카마이 조사에 따르면 지난해 2분기 공격 목표가 된 사이트는 전년 4분기에 비해 7배, 웹공격은 10배 늘었다. 3분기에는 2분기보다 타깃 사이트는 1/5로 줄었지만 공격은 1.7배 증가했다. 광범위한 공격기반을 만든 공격자들이 3분이게 집중적으로 공격했다는 뜻이다. 특히 리테일, 호텔·관광, 하이테크, 금융 분야에 대한 공격이 크게 늘었으며, 스피어피싱을 위한 로컬파일 인클루전(LFI) 공격이 무려 4배 증가했다.
확장되는 공격표면…제로 트러스트 원칙으로 대응해야
공격자의 침투를 완벽하게 막는 것이 보안의 최우선 과제이지만, 완벽한 차단은 불가능하다. 광범위하게 넓어지는 공격표면을 완전히 제거하는 것은 쉽지 않은 일이며, 복잡한 공급망 생태계에 대한 완벽한 보안 제어도 불가능하다. 임직원과 파트너, 계약직, 고객을 속여 침투하는 공격자를 초기에 차단하는 것은 난제 중의 난제다.
그래서 아카마이는 이미 침투한 공격자의 이동을 막아 첫번째 침투가 피해로 이어지지 않도록 하는 마이크로 세그멘테이션을 제안한다. 마이크로 세그멘테이션은 워크로드를 세분화하고, 각 워크로드에 최소한의 권한만을 부여하며, 워크로드 간 이동을 통제하며 모든 행위를 정밀하게 모니터링하는 기술을 말한다. 제로 트러스트 원칙을 이행하는 기술 중 하나로, 워크로드에 대한 가시성을 제공해 공격의 확장을 차단한다.
아카마이는 지난해 이 분야의 전문기업 가디코어를 인수하고 올해 ‘아카마이 가디코어 세그멘테이션(AGS)’를 출시했다. 실시간 위협 탐지와 대응 역량을 갖춘 단일 확장 가능한 플랫폼으로 중요 IT 자산과 클라우드·하이브리드 업무 환경에서 일관된 정책 기반으로 보호할 수 있게 한다.
한준형 상무는 “아카마이는 5년 전 제로 트러스트를 보안의 중요 원칙으로 정하고 꾸준히 이행하고 있다. AGS는 그 전략을 완성하는 단계의 솔루션으로, 전체 워크로드를 가시화하고 인텔리전스 기반 정책 적용으로 공격 초기에 대응할 수 있어 국내 고객들도 좋은 평가를 내리고 있다”며 “아카마이는 올해 초 IaaS 기업 리노드를 인수하면서 프라이빗 클라우드 역량도 강화하는 등 고객 비즈니스를 지원하기 위한 여러 노력을 전개하고 있다”고 말했다.
