[데이터넷] 사이버 공격에 사용되는 악성코드도 계속 진화한다. 공격자들은 피해자에게 침투한 후 후속공격을 이어가기 위해 공격코드를 침해된 시스템과 네트워크에 숨겨놓는다. 한 번 공격에 성공한 후 네트워크에 몰래 숨어있다가 재차 공격을 단행하면서 계속 금전이나 데이터를 훔친다.

악성코드 탐지 기술이 발전하면서 기존의 악성파일 형태 도구의 성공률이 낮아지고 있다. 그래서 공격자들은 실행파일이나 악성코드 없이 활동하는 공격도구를 사용하고 있다. 크라우드스트라이크는 공격도구 71%가 악성코드 없는 형태이며, 키보드를 활용해 직접 침투하는 공격이 크게 늘었다고 설명했다.

안랩의 ‘2023년 상반기 보안위협 동향’에서는 안랩 허니팟에서 탐지된 악성코드 중 추가 공격 수행을 위해 사용하는 '다운로더'와 '백도어'가 가장 많은 것으로 나타났으며, 그 뒤를 인포스틸러가 차지했다. 이는 공격자가 차후 공격을 수행할 목적으로 하는 것이므로 정보탈취, 랜섬웨어 등에 주의해야 한다.

악성코드 전달 방식 중 ‘HTML 스머글링’ 기법이 크게 유행하고 있는데, 이는 보안 솔루션이 분석할 수 없는 단위로 악성코드를 잘게 쪼개 HTML 코드에 삽입시킨다. 사용자가 감염된 웹사이트에 방문하면 악성코드들이 내려오는데, 파일이 아니기 때문에 샌드박스로 분석되지 않고 EDR이 탐지할 수도 없다. 사용자 PC로 내려온 코드들은 적당한 때에 조립돼 공격을 시행하는데, 중국 해커들이 최근유럽 기업을 대상으로 사이버 첩보활동을 벌이는데 이 공격을 사용하고 있는 것으로 알려진다.

사용자 실수 의한 침해사고 빈번

공격자들이 더 쉽게 침투하는 방법은 훔치거나 지하시장에서 구입한 계정·권한을 이용하는 것, 그리고 잘못된 구성을 이용하는 것이다. 패치 안 된 상태로 인터넷에 노출된 서버, 웹페이지 취약점, 열려있는 VPN·RDP, 권한 설정이 잘못된 시스템, 쉬운 ID/PW를 적용한 서버 등으로 공격자가 아무 노력 없이 침입할 수 있다.

사용자의 실수로 인한 사고도 많이 발생한다. 암호화하지 않고 중요 정보를 클라우드에 올리거나, 기밀정보를 실수로 외부 기업에게 보내는 사고, 중요 정보인지 모르고 개인 SNS에 게시하거나, 외부에 공개하고 경쟁사에 전달하는 사고가 직원 실수에 의해 발생한다.

구성오류로 인한 사고는 클라우드에서 특히 심각하다. 체크포인트조사에 따르면 클라우드 플랫폼의 잘못된 구성 또는 부적절한 설정(59%)이 가장 심각한 보안 위협으로 꼽히고 있으며, 민감한 데이터의 유출(51%), 안전하지 않은 인터페이스/API(51%), 무단 액세스(49%)가 그 뒤를 이었다.

업무 환경이 열악해 직원들이 의도적으로 보안 위반을 벌이기도 한다. 가트너는 지난해 데이터 침해의 82%가 직원의 실수 혹은 알고도 저지른 보안 위반으로 인해 발생했다고 설명한다. 그러면서 직원 경험을 개선하면 보안사고가 훨씬 줄어들 수 있다고 강조한다. 실제로 미국의 한은행은 직원 경험 개선으로 실수에 의한 보안사고, 피싱메일로 인한 피해를 줄였고, 승인되지 않은 도구 사용 등의 보안 위반을 미연에 방지할 수 있었다.

성장하는 사이버 범죄

세계 정세 악화로 사이버 범죄는 더욱 활개를 치고 있다. 장기화되는 러시아-우크라이나 전쟁과 미-중 무역분쟁, 중동과 아프리카 여러 국가의 내부 갈등, 유럽의 인종갈등, 동북아시아의 일촉즉발 상황이 이어지면서 특정 국가·정치세력을 위한 공격 캠페인이 이어지고 있다.

이에 더해 세계 경제질서가 혼란에 빠지면서 사이버 범죄 시장이 더욱 커지고 있다. 악화된 경제 상황에 버티기 위해 기업·기관은 불요불급한 예산 사용을 제한하고 있으며, 특히 성패를 예측할 수 없는 신기술 도입을 후순위로 미룬다. 보안 예산에서도 신종 공격 대응을 위한 신기술보다 이전에 사용해왔던 안정적인 기술에 머물려는 경향이 강하다. 공격자들은 기존 보안 탐지를 우회하는 다양한 방법을 사용해 성공적으로 목표를 달성한다.

기업·기관의 채용이 줄어들면 IT 인력들은 새로운 일자리를 찾아 나서게 되는데, 이 때 블랙마켓의 달콤한 유혹에 빠져들기 쉽다. 서비스형 범죄(CaaS) 조직은 능력 있는 개발자를 구하기 위해 정상적인 헤드헌팅 서비스와 구인·구직 사이트를 이용하기도 한다.

지하시장이 커지면서 새로운 공격그룹도 늘고 있다. 크라우드스트라이크는 추적하는 공격그룹이 1년간 무려 33개나 증가했다는 사실을 알리면서 사이버 범죄 시장의 성장을 경고했다. 다크웹 등을 통한 접속정보 중개상의 광고는 전년 대비 112% 증가한 2500건 이상이었으며, 클라우드 취약점 공격과 클라우드 위협 사례는 작년 대비 각각 95%, 200% 증가했다.

제로트러스트, 지속적인 신뢰 평가가 핵심

사이버 세상은 공격자에게 일방적으로 유리한 환경이다. 공격자는 모든 것을 다 할 수 있지만, 보안은 공격을 모두 다 예측하고 막지 못한다. 아무리 견고하게 쌓은 성이라도 작은 구멍 하나로 인해 침투당한다. 그래서 ‘제로트러스트’ 원칙의 접근이 필요하다. 침해당했다는 가정 하에, 지속적인 검증과 모니터링으로 위협에 상시 대응해야 한다.

정부는 제로트러스트 원칙의 IT 환경 운영을 위한 정책을 준비하고 있으며, ‘제로트러스트가이드라인’을 제작, 배포하면서 기업·기관의 제로트러스트 전환을 돕고 있다. 디지털플랫폼정부는 2025년 제로트러스트 기반으로 전환한다는 계획을 밝히면서, 올해를 시작으로 다양한 분야의 실증사업을 전개하고, 실제 적용 가능한 제로트러스트 모델을 만든다고 소개한다.

그런데 제로트러스트는 단 하나의 기술, 단 하나의 벤더 만으로 완성될 수 있는 것은 아니다. 제로트러스트 아키텍처 표준으로 받아들여지는 NIST SP 800-207에서도 다양한 활용 사례에서 적용 가능한 여러 모델을 제시하고 있다.

한국제로트러스트포럼 정책제도분과장인 이석준 가천대 교수는 지난달 열린 ‘사이버 보안정책포럼’ 공개 워크숍에서 “제로트러스트는 지속적으로 신뢰를 평가하는 모델이지, 몇 가지 특정 기술로 완성할 수 있는 것이 아니다”라며 “기업·기관의 상황과 성숙도에 따라 단계적으로 제로트러스트 원칙의 보안 전략을 수립, 이행해야 한다”고 말했다.

제로트러스트는 고도화되고 복잡한 위협 환경을 통제하는 보안 전략 중 하나이다. 그리고 절대 간과하지 말아야 할 사실은 ‘사람 중심 보안’으로 전환해야 한다는 것이다. 제로트러스트 전략은 직원을 불신할 것을 전제로 해서는 안되며, 직원이 안전한 환경에서 일할 수 있도록 지속적으로 평가하고 신뢰를 검증하는데 초점을 맞춰야 한다. 높은 생산성을 유지하면서 보안 정책이 잘 지켜지도록 설계해 공격자의 침투 가능성을 낮추도록 해야 한다.

김선애 기자 다른기사 보기