공격은 지능화되고 있지만, 사이버 보안 체계는 발전이 지지부진하다. 새로운 공격이 나타나면 해당 공격만을 막기 위한 포인트 솔루션이 유행처럼 번졌다가 기술적인 완성도가 떨어지고 기존 시스템과 호환되지 않아 운영하지 않은 채 방치하는 관행은 계속되고 있다. 기업은 보안 솔루션이 새로운 공격을 막기에 역부족이라고 비판하고, 보안 솔루션 벤더들은 고객이 기술에 대한 공정한 비용을 지불하지 않기 때문에 기술개발 여력이 부족하다고 항변한다. 우리나라 사이버 보안 실태를 볼 때, 공격을 방어할 수 있는 정보보안 체계를 만드는 것이 가장 시급하다. 올해 예상되는 가장 위험한 사이버 공격 10선을 통해 사이버 보안 문제에 대비할 수 있는 방법을 알아본다. 첫 번째로 APT 공격의 진화를 살핀다. <편집자>
올해도 어김없이 APT가 가장 심각한 보안위협이 될 것으로 보인다. 특정 목표를 정하고 이를 달성할 때 까지 공격을 지속하는 APT는 모든 사이버 공격의 공통적인 특징으로, 넓게 보면 사이버 공격은 모두 APT라고도 할 수 있다.
APT는 이전에 발생했던 공격방식과 새로운 공격방식을 함께 사용하며, 시스템과 사람, 엔드포인트, 클라우드, 외부 협력업체 등 침투할 수 있는 모든 지점에서 취약점을 찾아 파고들기 때문에 완벽한 방어는 어렵다.
최근 사이버 공격은 전체적인 공격 건수는 줄어들지만 피해는 더욱 커지고 있다. 공격자들이 공격에 들이는 비용은 최소화하면서 효과는 극대화하기 위해 공격빈도를 낮추고 정확도를 높이고 있기 때문이다. 올해 APT는 이러한 경향이 더욱 짙어져 타깃 조직만을 뚫고 들어가기 위해 더 정교하고 세밀하게 설계된 공격을 진행할 것으로 보인다.
APT 공격에 이용되는 악성코드는 공격 대상에 따라 맞춤형으로 제작되고, 동작방식도 보안시스템에 탐지되지 않도록 진화한다. 안랩은 스피어피싱 이메일이 연말에는 송년회 모임 안내로, 연초에는 새해인사로, 해당 시기에 맞춰 발송하거나 첨부파일명과 내용도 실제 모임을 안내하는 문서로 만들어 악성코드를 유포시키는 등의 방법으로 공격시기와 공격 대상에 따라 맞춤형 공격이 진행된다고 설명했다.
유출되는 데이터도 문서·이미지·압축파일 뿐 아니라 동영상·음성 파일 등 다양한 데이터가 공격대상이며, 악성코드에 감염된 이후에도 수시로 ‘셀프 업데이트’를 통해 보안 제품의 탐지를 피하고 있다.
공격집단 파편화되며, 다양한 형태 공격 등장
타깃만을 노리는 정교한 공격의 예는 카스퍼스키랩이 발표한 ‘다크호텔’ 공격을 들 수 있다. 전 세계 고위층 인사들이 이용하는 고급 호텔에서 사용자가 호텔 와이파이를 사용하기 위해 이름과 객실번호로 로그인하면, 그 사람의 PC나 노트북으로 플래시 업데이트 등 정상적인 소프트웨어 업데이트를 위장한 팝업창을 띄운다. 이를 승인하면 사용자 몰래 악성코드가 다운로드되고, 단말기에 저장된 중요정보와 인증정보 등을 빼내 다음 공격에 사용한다.
카스퍼스키랩은 APT 공격 집단은 파편화되면서 더욱 다양한 형태의 공격이 진행될 것이라고 전망했다. 작은 규모의 공격집단이 늘어날수록 기업은 정교한 타깃 공격에 더 자주 노출될 것이고, 이로 인한 피해도 늘어날 것으로 보인다.
APT 공격을 위한 악성코드는 신뢰할 수 있는 브랜드나 유명인의 SNS, IT 서비스를 이용해 배포되는 경우가 늘어날 것이다. 특히 저명한 상업 브랜드에 대한 소비자의 신뢰를 악용하는 사례가 증가하고 있다. 유명 브랜드의 이벤트로 위장하거나 유명인 SNS를 통해 악성링크를 전달하는 방식, 언론사 사이트를 이용해 방문자의 단말기에 악성코드를 유포하는 공격이 늘어날 것이다. 정상적인 소프트웨어 패치 업그레이드 등으로 위장한 공격도 더욱 정밀하게 진화할 것으로 보인다.
APT 공격자들에게서는 공격을 진행하는 과정 뿐 아니라 공격을 완료한 후 침해흔적을 지우는 꼼꼼함도 나타난다. 포티넷은 시스템을 파괴하는 블라스트웨어(Blastware)가 등장했으며, 데이터를 수집한 후 수사를 방해하기 위해 시스템과 하드 드라이브 정보를 파괴해 공격 흔적을 지운다고 설명했다. 포티넷은 이러한 자폭장치는 랜섬웨어에도 적용돼 수사를 방해할 것이라고 덧붙였다.
보안 기술 역이용하는 공격 등장
APT 공격 방어를 위해 제안되는 회귀분석 기술, 암호화 기술 등이 공격에 역이용되고 있어 방어가 더욱 어려워진다. APT 공격 방어를 위해 회귀분석 기술이 사용되고 있지만, 이를 피하는 공격도 계속 진화하고 있다. APT 공격자들이 실제 공격을 감추기 위해 가짜 공격자를 의도적으로 노출시키는 위장전술로 공격자를 추적에 혼선을 준다. 또한 공격자들은 클라우드를 이용해 공격을 진행하며, 클라우드로 데이터를 유출해 추적을 어렵게 만든다.
네트워크로 전송되는 데이터를 보호하기 위해 적용되는 SSL 암호화에 공격요소를 숨기는 방법으로 보안기술을 이용하는 공격도 골칫거리다. 암호화로 숨겨진 공격을 찾기 위해서는 복호화 솔루션을 도입해야 하지만, 비용과 성능의 문제가 발생한다.
APT 방어 전략 중 하나가 글로벌 보안위협을 수집·분석해 보안 인텔리전스를 확보함으로써 새로운 공격을 방어하는 것이다. 공격자들은 이 방식도 역이용해 보안침해지표(IoC)에 탐지되지 않는 수준으로 공격을 진행해 공격효과를 높이고 있다.
방어 기술이 지능형 공격을 탐지하기 위해 진행하는 프로세스를 범죄조직이 동일하게 진행하면서 보안 시스템을 우회할 수 있는 방법을 개발하고 있다. 공격자는 보안 인텔리전스를 파악해 자신의 봇넷 인프라가 이 시스템에 탐지되지 않도록 공격범위를 줄이고, 공격 흔적을 지우고 있는 것이다.
해커 입장에서 공격방법 생각해야
창과 방패의 대응에서 이기기 위해서는 창보다 강한 방패를 만들면 된다. 공격자가 지능화된다면 더 뛰어난 지능을 확보해 방어하면 된다. 말은 쉽지만 실제로는 매우 어렵다. 공격자들은 투자하는 비용에 비해 높은 수익을 얻을 수 있도록 갖은 꼼수를 써서 공격을 진행하지만, 방어하는 입장에서는 어떤 새로운 아이디어가 공격에 이용될지 예측하기 어렵다.
방어의 입장이 아니라 해커의 입장에서 자사 시스템 중 어떤 정보와 시스템을 탈취하는 것이 공격자에게 큰 수익을 안겨줄 수 있는지 가정해보고, 해당 시스템과 정보를 보호할 수 있는 전략을 수립해본다.
시만텍은 지능형 방어를 위한 새로운 기술로 ‘기계학습(Machine learning)’을 들었다. 기계학습은 심층학습(deep learning)의 한 형태이며, 인공지능의 첫 단계라 할 수 있으며, 사이버공격에 대한 예측과 탐지율을 높여준다. 시만텍은 기계학습 기술을 이용해 보안기업들이 사이버 공격에 한발 앞서 대비할 수 있게 해줄 것이며, 나아가 사이버 범죄의 판도를 바꾸는 핵심 기술이 될 것으로 예상했다.
