무역업 종사자를 대상으로 한 랜섬웨어도 등장했다. 랜섬웨어는 사용자 PC나 문서를 암호화 한 후 비용을 청구하는 공격으로, 일정 시간 내에 비용을 지급하지 않으면 사용자의 데이터를 모두 삭제하겠다고 위협한다.
짧은 시간 이뤄지는 타깃공격
이메일 첨부파일을 이용한 타깃공격이나 애플리케이션 취약성을 이용한 공격이 끊임없이 발생하는 이유는 사람의 심리나 습관을 교묘하게 이용하는 사회공학적 기법을 사용하기 때문이다.
이메일을 통한 타깃공격은 이메일 보안 시스템이 구축돼 있어도 피하기 어려운 경우가 있다. 웹 취약점을 이용해 악성코드나 악성링크를 숨겨놓은 후 해당 URL을 클릭하면 자동으로 악성코드가 다운로드 되도록 설계하기 때문이다.
최근 발견되는 사례는 공격자가 메일을 발송하는 시점에는 아무 문제가 없는 정상 URL을 보내 메일서버에서 안전하게 수신하도록 한다. 그리고 사용자가 이메일을 확인하기 직전 해당 웹페이지에 악성코드/악성링크를 심어 악성코드에 감염되도록 한다.
이러한 공격은 타깃 집단을 대상으로 짧은 시간에 이뤄지기 때문에 방어가 쉽지 않다. 악성코드 유포지로 이용된 웹 사이트 관리자가 해당 사실을 알고 조치를 취하려고 하면 이미 악성코드는 사라지고 없는 상황이다.
시큐어코딩 등 보안 기술을 이용해 웹 페이지를 안전하게 운영하고 있다고 해도 페이지에 삽입되는 광고 배너와 같이 다른 조직/기관에서 제작한 콘텐츠에 악성링크를 숨길 수도 있어 안전을 보장하지 못한다.
전상훈 빛스캔 이사는 “웹사이트 방문만으로 감염되는 공격을 막기 위해서는 사이트 운영기업의 적극적인 노력이 필요하며, 전문 기관의 상시 모니터링과 강력한 법안 마련이 시급하다”며 “삼진아웃제와 같은 방법을 사용해 악성링크가 반복적으로 발생하는 기업/기관에 경고를 내리거나 벌금을 부과하는 등 불이익을 주는 등의 규제를 고려해야 한다”고 말했다.
글로벌 정보공유 체계 마련
APT는 공격 방법이 패턴화되지 않기 때문에 단일 지점에서 막을 수 없으며, 모든 지점에서 공동방어가 필요하다. 또한 전 세계적으로 심각한 문제가 되고 있기 때문에 글로벌 위협정보를 공유하고 협력하는 것도 중요하다. 이 때문에 많은 기업과 국가들이 정보공유를 위한 다각도의 협력을 진행하고 있다.
한국인터넷진흥원(KISA)은 글로벌 보안정보를 공유하기 위해 해외 침해대응센터(CERT)가 함께 결성한 ‘FIRST’의 회원으로 활동하고 있으며, 시만텍, 맥아피, 파이어아이 등 글로벌 보안기업과 일본의 JPCERT/CC, 미국의 US-CERT와도 협력을 맺고 있다.
보안 기업들은 정부기관과 협력을 맺으면서 국내외 정보를 공유하는 한편, 전 세계 고객으로부터 받은 위협정보를 분석해 향후 나타날 보안위협을 예측하고 선제방어 전략을 만들기도 한다.
시만텍은 KIS, 경찰청 사이버테러대응센터, KT, 고려대 정보보호대학원 등 정부·학계·민간기업 전반에 걸쳐 보안위협 정보를 공유하고 있다. 시만텍은 자사의 인터넷 보안위협 데이터 수집체계인 ‘글로벌 인텔리전스 네트워크(GIN)’를 통해 제공받는 방대한 정보를 이들 기관에 제공해 글로벌 차원의 정보 수집 및 대응 능력을 확보할 수 있게 돕고 있다.
시만텍의 GIN, 파이어아이의 동적 위협 분석 클라우드 서비스(DTI), 팔로알토네트웍스의 ‘와일드파이어’, 블루코트의 ‘웹펄스’ 등은 클라우드 인프라를 통해 전 세계 고객으로부터 위협의심정보를 수집해 분석하는 서비스다.
자체 CERT 팀을 통한 분석정보를 제공하는 연구소도 마찬가지 기능을 한다. 포티넷의 포티가드랩, 웹센스의 시큐리티랩스(WSL), 담발라의 담발라랩 등이 이와 같은 기능을 한다. 국내 기업들도 CERT 팀을 통해 분석정보를 고객과 KISA 등 정부 유관기관과 공유한다.
HP는 ZDI(Zero Day Initiative) 프로그램 후원을 통해 글로벌 위협정보를 공유한다. ZDI는 HP가 인수한 쓰리콤이 2005년부터 실행해온 취약점 분석 프로그램으로, HP의 보안 전문가 뿐 아니라 전 세계 보안 전문가들이 함께 참여해 분석한 취약점 정보를 해당 벤더에 제공하는 역할을 수행하고 있다.
