지능형 사이버 공격이 더 교묘한 방법으로 사용자들을 속이고 있다. APT 공격에 가장 많이 사용되는 스피어피싱은 이메일 첨부파일에 악성코드나 악성링크를 숨겨 보내는데, 업무용 메일인 것처럼 위장하는 것은 기본이고, 메일 서버가 해당 메일을 수신하는 시점에는 위험요인이 없지만, 사용자가 해당 메일을 확인하는 시점에는 악성링크가 활성화되도록 설계하기도 한다. 이메일 보안 시스템을 무력화하는 것이다.
웹센스에 따르면 내년 타깃 공격을 위한 악성코드의 규모는 줄어들 것이지만, 위험성은 더 높아질 것으로 보인다. 공격효과를 높이기 위해 더욱 정밀하게 제작된 악성코드로 소규모 대상 집단을 정확하게 공격하기 때문이다.
전문가 소셜 네트워크를 통해 경영진을 유인해 공격 단계를 줄이고자 하는 노력도 계속 될 것으로 보인다. 공격자는 링크드인과 같은 비즈니스 커뮤니티를 이용해 타깃을 정확하게 찾아내고 있으며, 각종 소셜 네트워크를 통해 개인 정보를 찾아내고 목표 시스템으로 침입할 수 있는 취약점을 정밀 분석한다.
공격자, 시간차 이용해 보안 시스템 우회
웹사이트 방문만으로도 악성코드에 감염되는 ‘드라이브 바이 다운로드’, ‘워터링홀’ 공격은 공격자가 악성링크를 숨겼다가 지울 수 있기 때문에 취약점을 발견한 후 관리자가 이를 해결하고자 할 때 해당 악성링크가 사라지고 없는 경우가 많다. 웹사이트 관리자의 철저한 모니터링만으로 공격을 막기가 어렵다는 설명이다.
드라이브 바이 다운로드는 많은 사람들이 사용하는 웹사이트를 통해 불특정 다수의 PC에 악성코드를 배포하기 위해 사용하는 방법이며, 워터링홀은 타깃 집단이 자주 방문하는 사이트를 감염시켜 타깃 조직에 침투하거나피해를 입히기 위한 공격이다.
일반적으로 지능형 공격은 취약점 탐색→유인→침투→수집·확산→정보유출 혹은 시스템 파괴의 순서를 밟으며, 탐색을 시작하면서부터 공격에 성공해 정보를 유출하기까지 3개월에서 6개월 가량 소요된다고 한다. 더욱 놀라운 사실은 타깃이 정보를 유출당하고 있다는 사실을 알아채는데는 14개월 가량 소요된다는 점이다.
이는 정보유출이 매우 은밀하게 진행되기 때문이다. 공격자가 정보를 유출하기 위해 중요 정보가 저장된 시스템까지 잠입해 들어간 후 몇 MB 수준의 아주 작은 정보를 빼간다. 최근 보안 시스템은 작은 양의 데이터가 꾸준히 빠져나가는 것도 탐지하고 차단하기 때문에 하루에 한두번만 빼가면서 몇 달 동안 지속적으로 정보를 빼가기도 한다. 빼가는 시간이나 횟수도 자동화하면 보안 시스템에서 탐지할 수 있기 때문에 불규칙적으로 빼간다.
알려진 보안 취약점 이용 공격도 성행
앞서 설명한 것과 같은 정교하고 은밀하게 진행되는 APT는 막기가 매우 어렵지만, 공격에 성공하는 것도 쉬운 일은 아니다. 고도의 전문가 집단이 막대한 규모의 자금을 지원받아서 진행하는 사례가 아니라면 쉽게 발생하기 어려운 대형 보안 사고다.
이보다 심각한 문제는 이미 보안 취약점이 발견되고 패치가 배포됐음에도 취약점 공격이 성공적으로 이뤄진다는 점이다. 많은 사용자들이 보안 취약점 패치를 제때 하지 않을 뿐 아니라, 수년간 패치를 하지 않는 사용자도 상당수에 이른다는 점이다.
지난 8월 보안패치가 배포된 인터넷 익스플로러 CVE-2013-3897 제로데이 취약점 공격은 10월에도 여전히 발견되고 있었으며, 심지어 서울에 위치한 서버에서 호스팅 돼 금융권과 중공업을 타깃으로 공격하고 있었다. 이 취약점 공격은 8월부터 한국, 홍콩, 미국에서 발생하고 있다.
사용자 PC를 잠근 후 돈을 요구하는 랜섬웨어도 이러한 낮은 보안의식을 악용한 것이다. 초기 랜섬웨어는 PC를 잠근 다음 사용자가 불법 소프트웨어를 사용한 것이 적발됐으며, 벌금을 내지 않으면 PC를 사용할 수 없게 된다는 메시지를 띄워 사용자를 속였다. 그러나 사용자가 돈을 송금해도 공격자는 PC를 풀어주지 않는다.
이러한 공격이 진화해 최근에는 사용자의 중요한 문서나 파일을 암호화 한 다음 비용을 청구하는 공격이 나타났다. 공격자는 사용자의 데이터를 암호화 하고 일정 시간이 지나면 암호화 키를 영구적으로 삭제할 것이므로 시간 내에 입금할 것을 요구하지만, 실제로 돈을 송금해도 문서가 복구된다는 보장이 없는 것은 마찬가지다.
이처럼 사용자의 보안의식 결여와 함께 크고 작은 보안사고를 통해 유출된 개인정보, 소프트웨어 소스코드 등을 이용한 지능형 타깃 공격이 앞으로 더욱 극성을 부릴 것으로 예상된다. 특히 이러한 공격은 보안을 잘 지키지 않는 직원이나 보안에 투자할 예산이 적은 파트너, 협력사를 통해 시스템 내부로 잠입하기 때문에 지능적인 타깃 공격은 2014년에 더욱 극성을 부릴 전망이다.
