기업을 겨냥한 사이버 공격이 대두되고 있다. 특히 이러한 공격은 특정 기업을 타깃으로 특화된 형태로 진행, 기업의 핵심 정보를 빼내는 방향으로 전개되고 있어 주의가 요청된다. 이는 시만텍(www.symantec.co.kr)이 2009년 한 해 동안의 주요 사이버 범죄 동향을 조사, 분석한 최신 보고서인 ‘인터넷 보안 위협 보고서(Internet Security Threat Report)’ 제15호에서 발표된 내용이다.
시만텍의 인터넷 보안 위협 보고서 제15호는 2009년 1월부터 12월까지 전세계 200여 개국에 설치된 24만여개의 센서와 1억3300만대의 시스템에서 수집된 방대한 실제 데이터를 기반으로 분석한 것이다. 이번 보고서에 따르면 ▲특정 기업을 겨냥한 표적 공격 위협이 증가한 가운데 ▲사이버 범죄에 악용되는 공격용 툴킷이 보편화되면서 사이버 범죄가 양산되는 추세를 보였으며 ▲웹 기반 공격도 여전히 기승을 부린 것으로 나타났다. 또한 ▲법적 규제가 상대적으로 느슨한 신흥 국가에서 악성 활동이 증가한 것으로 나타났으며, ▲세계적인 경기불황 속에서도 지하경제(Underground economy)는 별다른 영향을 받지 않은 것으로 조사됐다.
특히 시만텍은 이번 보고서를 통해 사이버 범죄 활동이 개인을 겨냥한 단순한 사기행각부터 기업 및 정부 기관을 조준한 고도의 정교한 표적 공격에 이르기까지 질적∙;양적으로 그 규모가 확대되고 있는 만큼 전세계 도처에서 벌어지는 각종 사이버 범죄에 대응하기 위해 국제적인 민관 협조체제 구축이 절실히 요구된다고 강조했다. 기존 전방위적인 무작위 공격에서 특정 기업을 조준한 표적 공격으로 바뀌고 있있는 것.
오늘날의 사이버 범죄자들은 지적 재산, 콘텐츠, 아이디어 등 정보의 가치로 정의되는 오늘날의 정보 경제(Information economy) 환경에서 사이버 범죄자들은 그 어느 때보다도 기업의 기밀 정보를 빼돌려 금전적 이득을 취하기 위해 열을 올리고 있다. 심지어 공격자들은 표적으로 삼은 기업의 시스템에 침투하기 위해 소셜 네트워킹 사이트에 널린 개인 정보와 정교한 사회 공학적 기법을 이용해 특정 기업의 특정 인물을 겨냥한 공격을 진행해 ID와 비밀번호를 탈취하고, 이를 통해 기업 내부에 침투해 정보를 유출했다.
시만텍은 이러한 대표적인 사례로 2009년 말에 발생한 ‘하이드락 트로이목마(Hydraq Trojan)’ 공격을 꼽았다. 오로라 공격으로도 불리는 하이드락과 같은 표적 공격은 기업의 핵심 정보에 접근할 수 있는 특정인을 속여 감염된 이메일이나 다른 메시지들을 열도록 하는 정교한 사회 공학적 기법을 이용함으로써 사용자 기기를 감염시킨다.
이러한 공격은 시그니처 기반의 악성 코드 탐지기술을 피하도록 설계돼 있기 때문에 공격을 방어하기가 어려울 뿐 아니라 타깃에 특화된 공격으로 보안 기업에게 존재를 알리지 않게 된다. 일반적인 해킹 공격과 달리 표적 공격은 기업 네트워크에 침투해 오랫동안 잠복하면서 기업의 기밀정보를 빼내도록 설계돼 있다는 점도 특징. 시만텍에 따르면, 평판 기반 기술로 탐지, 차단한 위협 가운데 약 57%가 PC 1대에서만 발견된 싱글톤 공격이었다. 이는 국지적 형태의 타깃 공격이 광범위하게 진행되고 있음을 추정케 하는 결과다. 또 시만텍은 이러한 표적 공격은 주로 대량의 개인정보 유출을 수반하는 대규모 데이터 침해사고에서 발견된다고 덧붙였다.
이와 함께 공격용 툴킷의 보편화도 최근 나타나는 특징으로 꼽힌다. 사이버 범죄용 툴킷이 지하경제를 통해 판매됨으로써 초보자들도 손쉽게 시스템을 공격하고 정보를 빼돌릴 수 있는 악성 코드를 만들 수 있게 된 것. 이는 사이버 범죄의 급증으로 나타나고 있다. 시만텍이 2009발견한 신규 악성 프로그램은 2억4000만개 이상으로 이는 2008년에 비해 두 배 가량 증가한 수치다.
지하경제에서 판매되는 공격 툴킷 중 하나가 제우스(Zbot)다. 제우스 700달러 내외에 구입할 수 있으며, 개인 정보를 빼내도록 설계된 악성 코드를 자동으로 생성해준다. 제우스와 같은 툴킷을 사용해 공격자들은 말 그대로 수백만개의 악성 코드 변종을 만들어내는 것. 따라서 기존 시그니처 방식만으로는 이 모든 변종을 다 탐지하기란 거의 불가능하며, 행위 기반, 평판 기반 보안 기술과 같은 신기술을 통해 탐지 기술을 보완할 필요가 있다고 시만텍은 지적했다.
시만텍코리아의 윤광택 이사는 “사이버 공격의 양상이 기존의 전방위적인 무작위 공격에서 특정 기업을 겨냥한 표적 공격으로 바뀌고 있고, 사이버 범죄용 툴킷을 통해 초보자들도 손쉽게 시스템을 공격하고 정보를 빼돌릴 수 있게 됨에 따라 사이버 범죄가 급증하고 있다”며, “사이버 범죄 피해를 방지하기 위해 개인 사용자들은 최신 보안 소프트웨어를 사용하고 보안 안전수칙을 준수해야 함은 물론 기업의 경우 사이버 보안 위협을 완화하기 위한 정책구현과 더불어 엔드포인트, 메시징, 웹 환경에 대한 보안을 수행함으로써 공격에 노출될 가능성을 최소화해야 한다”고 강조했다.
