우리나라에 심각한 사이버 공격이 진행되면서 글로벌 보안 솔루션 기업이 국내 진출 속도가 빨라지고 있다. 특히 토종 일색이었던 백신 시장에도 외산 솔루션이 잇달아 진출하면서 국내 백신 시장 지형에 일대 변혁이 일어날지 관심이 모이고 있다. 이에 더해 네트워크·웹 보안 솔루션을 공급하던 기업들도 엔드포인트 보안 솔루션을 출시하면서 APT 방어 전략을 강화하고 있다. 사이버 공격의 시작점인 엔드포인트를 보호하는 방법과 새로운 기술을 소개한다. <편집자>
엔드포인트 보안 중요성 부상
국가정보원이 이탈리아 해킹팀의 스파이웨어 ‘RCS’를 구입해 사용했다는 사실이 알려지면서 큰 파장을 일으키고 있다. RCS는 PC나 모바일 기기에 사용자 몰래 설치되며, 사용자의 일거수 일투족을 감시할 수 있고, 사용자 단말을 마음대로 조작해 파일을 삭제하거나 유출할 수 있다.
지난해 말 전국을 뜨겁게 달구었던 원전반대그룹이 7월 다시 추가로 자료를 공개하면서 정부와의 협상을 요구했다. 이 공격은 한국수력원자력 직원에게 업무와 연관 있는 것으로 위장한 이메일에 악성파일을 첨부하는 ‘스피어피싱’ 공격으로 자료를 탈취한 것이다.
사용자 단말에 악성코드를 심은 후 공인인증서와 개인정보·금융정보를 탈취한 후 계좌에서 돈을 빼가거나 다른 공격에 이용하는 공격도 지난해부터 성행하고 있으며, ARS·SMS 등 보안이 강화된 인증 절차도 간단한 방법으로 우회하면서 피해 예방을 어렵게 하고 있다.
3월부터는 사용자의 PC나 PC의 주요 파일을 암호화 한 후 금전을 요구하는 랜섬웨어 공격이 한국 사용자를 타깃으로 발생하기 시작했으며, 5월에는 드라이브 바이 다운로드 공격과 결합해 유명 온라인 커뮤니티 방문자를 감염시켜 많은 피해를 일으켰다.
이상은 올해 7월까지 드러난 보안사고 중 전 사회적으로 충격을 불러일으킨 사고이다. 이처럼 충격적인 대규모 사고가 짧은 시간 내에 여러 건이 드러난 적은 없었다. 이는 사이버 공격이 고도화되고 지능화돼 이전의 방어 기법으로는 막을 수 없는 상황에 이르렀다는 사실을 의미한다. 특히 이 사건의 대부분이 사용자의 단말을 감염시켜 공격이 진행되는 것으로, 엔드포인트 보안의 중요성이 더욱 높아지고 있다.
“하루 32만개 악성코드 발견”
사용자 단말을 노리는 악성코드는 하루에도 수십만개가 새롭게 발견된다. 카스퍼스키랩이 지난해 전 세계에서 수집한 악성코드는 하루 평균 32만개에 이른다. 파이어아이 보고서에서는 이러한 악성코드가 기업에 침투해 공격을 진행하기 시작하면서부터 탐지되는데까지 걸리는 기간이 평균 205일이며, 탐지 후 침해대응에 소요되는 기간은 32일인 것으로 나타난다. 69%의 기업은 피해사실을 외부기관을 통해 알게 되며, 피해를 입은 기업/기관의 100%가 백신·방화벽 등 보안 시스템을 구축한 상황이다.
지능형 공격은 새롭게 생성된 악성코드를 공격자가 목표로 삼은 사용자의 PC로 침투시키는 것으로 시작되는데, 타깃의 업무 특성이나 습관, 평소 관심사, 취미생활 등의 정보를 활용해 악성실행파일이 첨부된 이메일·문자메시지를 보내거나 웹사이트로 유도한다.
악성 실행파일이 사용자 단말에 설치된 후 정보를 빼내고, 사용자를 감시하며, 데이터 파괴·암호화 등의 공격 목적을 달성한다. 공격에 이용된 악성코드는 새롭게 제작된 것으로 일반 백신 시그니처에 등록되지 않았거나 타깃 사용자의 단말기에 설치된 백신에서는 탐지되지 않는 것이다.
안드로이드 기반 스마트폰, 공격에 취약
모바일 특히 안드로이드 기반 스마트폰은 공격에 매우 취약한데, 사설 앱스토어나 인터넷을 통해 애플리케이션을 다운받아 실행할 수 있기 때문에 스파이웨어가 몰래 설치돼 실행되기 쉽다. 국정원이 해킹팀으로부터 구입한 스파이웨어는 스마트폰이 꺼져있는 상태에서도 타깃을 감시하며, 스마트폰 내에 있는 파일을 삭제하거나 녹음·녹화 하는 등 스마트폰을 자유롭게 조작할 수 있는 것으로 알려진다.
안드로이드 기반 스마트폰은 노리는 악성코드는 하루에도 수천종 이상 발견되며, 신뢰할 수 있는 애플리케이션을 교묘하게 위장하는 경우도 많다. 안랩은 ‘어도비 플래시 플레이어’ 업데이트를 위장한 악성앱을 발견해 사용자의 주의를 경고하기도 했다. 이 악성앱은 스마트폰에서 정상적으로 삭제되지 않으며, 공인인증서와 개인정보를 탈취하고 사용자 데이터를 조작한다.
안드로이드 사용자가 iOS 사용자보다 압도적으로 많은 우리나라에서 안드로이드 기반 공격에 더욱 취약하다. 특히 우리나라 스마트폰 사용자들은 거의 대부분 모바일 메신저 카카오톡을 사용하고 있어 카카오톡을 통한 이슈 전파력이 매우 강력해 악성링크를 배포하고 감염시키기가 쉽다.
PC OS도 윈도우 점유율이 거의 독점적인 수준이기 때문에 윈도우, 인터넷 익스플로러(IE) 취약점 이용 공격이 발생했을 때 공격 성공률이 매우 높다. 더불어 플래시 사용비중이 높은 국내 웹 환경에서 플래시 취약점을 악용한 공격도 자주 일어난다.
남인우 체크포인트코리아 상무는 “사이버 공격의 위험성은 악의적인 의도를 가진 허가되지 않은 ‘에이전트’가 유입·설치되는 것에서 시작된다. PC나 모바일 모두 감염 경로, 방법, 목적, 위험성이 유사하며, 동일한 선상에서 방어 대책을 강구해야 한다”며 “불법 에이전트가 단말에 접근하지 못하도록 차단하는 기술부터 단말에 다운로드 되려는 시도를 막는 기술, 데이터 삭제·유출을 막는 기술, 단말 내에서 불법적인 행위를 탐지·차단하는 기술 등을 종합적으로 찾아야 할 것”이라고 말했다.
