[데이터넷] 사이버 범죄 시장은 지속적으로 커지고 있다. 딜로이트는 전 세계 사이버 범죄 복구 비용이 2021년 말 6조달러에서 2025년 10조5000억달러로 증가할 것이라고 내다봤다. 2023년에는 이 규모가 훨씬 더 커질 것으로 보인다. 장기화되는 러시아-우크라이나 전쟁, 불안정한 국내외 정치상황, 심각한 인플레이션 등이 경제위기를 고조시킬 것으로 보인다. 경기가 위축되면 기업의 투자가 줄어들며, 당연히 보안 투자도 줄어든다. 공격은 진화하는데 보안은 제자리에 있으면 사이버 위협은 높아질 수 밖에 없다. 2023년 한층 더 심화될 것으로 보이는 대표적인 위협 사례를 소개한다. <편집자>
로그인하는 공격자
‘공격자는 해킹하지 않고 로그인한다’는 유명한 말 이 있다. ‘특권권한은 왕국으로 가는 만능 키’라는 말 도 있다. ID와 권한관리에 실패하면 공격자에게 문을 활짝 열어주는 셈이나 마찬가지다. 불행히도 공격자들은 ID와 권한을 탈취하는데 능숙하다.
클라우드, IoT, 재택·원격근무가 활성화되면서 ID와 권한을 관리하는 것이 더 어려워졌다. 임직원과 파트너, 고객, 애플리케이션, IoT 기기, 합법적인 봇 등 ID를 부여받는 사람과 사물이 급증하고 있으며, 발급 후 폐기되지 않고 방치된 계정과 잘못 설정된 권한, 쉽게 유추할 수 있는 패스워드 등으로 공격자는 침입의 열쇠를 쉽게 획득한다.
크리덴셜 스터핑은 크리덴셜을 획득하는 가장 대표적인 방법이다. 공격자는 미리 입수한 계정정보를 이용해 로그인을 시도하고, 로그인 성공 시 추가 정보를 입수한다. 지능형 봇을 이용해 자동화된 공격을 하기 때문에 공격자는 많은 시간과 비용을 들이지 않고 계정정보를 탈취할 수 있다. 이 정보는 피해기업을 협박하는데 사용하고, 지하시장에 판매하며, 다른 공격을 위한 초기 액세스 도구로 사용된다.
피싱과 스피어피싱도 계정탈취를 위해 사용된다. 사회공학기법을 이용해 정교하게 설계된 피싱, 스피어피 싱으로 사용자가 직접 자신의 개인정보를 입력하게 만들어 계정정보를 탈취한다. 인포스틸러(InfoStealer) 계열의 계정정보 탈취 도구는 가장 많은 공격에 사용되 는데, 이는 OS나 프로그램에 저장된 자격증명과 정보 를 훔치는 악성도구다.
안전한 패스워드리스 인증 방식 찾아야
ID 관리 솔루션과 패스워드 관리 솔루션을 사용하면 ID 탈취 공격으로부터 안전할 것이라는 믿음이 있었지만, 옥타 해킹사고, AD 취약점 악용 공격, 기타 여러 패스워드 관리 서비스 해킹 사고가 일어나면서 ID 관리를 서드파티에만 맡기는 것은 안전하지 않다.
ID 탈취 공격을 방어하는 방법 중 하나로 패스워드리스 인증이 제안되는데, 이 역시 완벽한 것은 아니다. 다중요소인증(MFA)이 대표적인 패스워드리스 인증 방식이지만, 랩서스 해킹 사례에서 볼 수 있듯 MFA도 우회 가능하다. 아크로니스는 공격자들이 MFA 토큰을 훔치거나 MFA 피로공격으로 무력화하고, 인증 시스템 설계상 오류를 이용한 MFA 우회 공격도 펼치고 있다고 설명했다.
패스워드리스 인증 중 가장 강력한 것으로 생체인증이 꼽히는데, 트렌드마이크로는 고화질 이미 지와 동영상이 SNS, 유튜브 등을 통해 공개된다는 사실을 언급하면서 생체정보 복제 가능성을 제기했다. 예를 들어 얼굴인식의 경우, 얼굴과 귀의 특징점을 파악하고 이를 해시값으로 저장해 인증이 필요할 때 본인얼굴과 비교해 인증하는데, 다양한 각도의 얼굴 이미지와 영상이 있으면 기존의 생체인증을 무력화하고 인증에 성공할 수 있다. 디지털 인증을 피할 수 있다고 해도 딥페이크를 이용해 다양한 사기 행각을 벌이는 것은 충분히 예상할 수 있는 일이다.
