2015년 정보보안 시장은 그야말로 ‘다사다난’했다. 한국수력원자력 해킹 사고가 2014년 말부터 2015년 초까지 보안시장을 뜨겁게 달구더니 랜섬웨어 공격이 무차별적으로 진행되면서 큰 피해를 양산해냈다. 핀테크·IoT 시대의 본격적인 개화로 새로운 공격에 대한 경고가 이어지는가 하면, 실제로 금융기관이 해킹을 당하고, 스마트카 해킹이 가능하다는 사실이 입증돼 대량의 리콜 사태가 벌어지기도 했다. 2015년을 뜨겁게 달군 정보보안 업계의 이슈를 종합해본다.<편집자>
“매해 연초가 되면 ‘올해가 최고 위협의 해’가 될 것이라는 전망이 쏟아지며, 실제로 매년 더 유명한 기업들이 사이버 공격에 당하는 사례가 나타나고 있다.”
블루코트의 ‘2016 보안 시장 전망’에서는 사이버 공격의 최근 추세에 대해 이렇게 설명했다. 보안 기업과 보안 전문가들의 이와같은 경고는 언제나 사실로 증명되고 있지만, 사이버 공격이 일상적으로 일어나면서 이에 대한 경각심이 무뎌지고 있는 것도 사실이다.
블루코트 보고서에서는 “공격을 무기력하게 느끼는 사람들이 많아지면서 기업은 더욱 더 적극적으로 보안 위협에 대응하고 분석해야 하며, 사이버 공격에 대응할 수 있는 방법들을 계속 고민해야 한다”고 지적했다.
한국 사용자 노린 공격 증가
보안 전문가들의 전망처럼 사이버 공격은 해를 거듭할수록 더욱 지능화되고 정교해지고 있다. 특히 수년간 기업/기관은 지능형 지속위협공격(APT) 혹은 지능형 타깃공격의 위협을 상시적으로 받고 있는 상황이다.
특히 올해는 우리나라를 타깃으로 하는 공격이 늘어난 것으로 나타났는데, 한글화된 공격도구가 등장하는가 하면, 한글 프로그램의 취약점 공격, 국내 안티바이러스 프로그램만을 무력화하는 공격 등 한국 사용자를 노리는 공격이 많이 발견됐다.
이글루시큐리티의 ‘2016년 보안 위협 전망 보고서’에 따르면 한국은 그동안 해킹 공격의 테스트베드나 경유지로 활용됐지만, 올해는 한국을 표적으로 하는 지능형 사이버 위협이 지속적으로 늘어나고 있는 것으로 분석된다.
이글루시큐리티는 “우리나라는 보안 사고에 대한 처벌 규정이 미비하고 보안 예산 비중이 다른 IT 분야에 비해 낮아 보안성을 높이기 위한 제도적 기반이 상대적으로 잘 마련되지 않았다”며 “초고속 인터넷 인프라가 잘 발달되어 있어 공격이 빠르게 확산될 수 있다는 점에서 해킹의 표적이 될 가능성이 높다”고 지적했다.
이어 “한국 소프트웨어 및 사용자에 대한 해커들의 이해도가 점점 높아지고 있어 취약점을 분석하고 이를 이용한 타깃 공격이 늘어나고 있다. 한국을 표적으로 하는 사이버 위협에 보다 선제적으로 대응하기 위해서는, 전 국가적으로 정보보안 중요성을 인식하고, 정보보안 투자를 늘리는 노력이 요구된다”고 제안했다.
악성코드 증가세 한풀 꺾여
지능형 타깃공격에 사용되는 신종 악성코드의 증가세는 확실히 낮아졌다. 2012년과 2013년 신종 악성코드가 급증했으나 2014년부터 증가속도가 점차 줄어들고 있다. 지하시장에서 거래되는 악성코드 제작툴의 가격 기준이 낮아졌고, 악성코드 제작과 유포는 더욱 쉬워졌지만, 공격자들은 악성코드 유포보다 더 간단하고 비용이 저렴한 방법을 찾아낸 것이다.
카스퍼스키랩은 “공격자들은 광고 프로그램이나 합법적인 디지털 서명으로 범죄 수익을 올릴 수 있다는 사실을 알게 됐다. 실제로 신종 악성 코드 개발에 소요된 비용은 줄어든 반면 2015년 공격을 받은 피해자 수는 5% 증가했다”고 분석한 바 있다.
신종 악성코드 증가세가 꺾인 이유는 방어 기술의 진화가 한 몫 했다. 공격자들은 방어 기술을 우회하기 위해 루트킷, 부트킷, 바이러스 복제 등 복잡한 코딩을 사용했지만, 비용이 많이 들기 때문에 범죄 수익성을 떨어뜨린다. 또한 방어 기술도 진화하면서 이러한 공격툴을 무력화해 공격의 성공률이 낮아지게 됐다. 그래서 공격자들은 합법적인 애드웨어를 이용해 정보를 수집해 보다 쉽게 수익을 올리고 있다. 더불어 합법적인 디지털 인증서를 활용해 보안 시스템을 탐지를 우회한다.
악성코드를 사용하는 공격이 완전히 사라진 것은 아니다. 공격자들은 타깃 시스템에 침투하기 위해 정교하게 제작된 악성코드를 여전히 사용하고 있다. 카스퍼스키랩이 발견한 ‘이퀘이션(Equation)’은 하드 드라이브의 펌웨어를 수정하며, ‘두쿠(Duqu) 2.0’은 네트워크 감염 시에도 디스크나 시스템 설정을 변경하지 않아 시스템에 거의 흔적을 남는다. 이들은 현재까지 발견된 사이버 공격 중 가장 정교하고 복잡하게 제작된 악성코드로 평가된다.
공격 대상, 전 산업군으로 확대
악성코드의 숫자는 줄었지만, 그만큼 더 정교해졌으며, 공격 대상이 전 산업군으로 확대되고 있어 위험도는 더욱 높아졌다. 시만텍의 ‘2016년 주목해야 할 보안시장 전망’에서는 주요 기간시설에 대한 공격 사례가 올해도 다수 발견됐으며, 내년에는 이러한 공격이 증가할 것으로 보인다.
시만텍 보고서에서는 국가와 정치 조직이 정치·사회적인 목적으로 사이버 전쟁을 일으키고 핵심 기반시설을 공격하고 있다고 설명했다. 산업분야의 IoT(IIoT)는 특히 사이버 전쟁이나 사이버 스파이 활동을 펼치는데 유리한 조건으로, 주요 비즈니스와 부가 서비스들이 네트워크에 연결돼 있어 사이버 공격이 일어나기 쉽다.
블루코트의 ‘2016 보안 시장 전망’에서는 전 세계적인 사이버 범죄 조직이 성장하고 있으며, 공격기술도 빠르게 발전하고 있다는 사실을 지목한다. 최근 몇 년 새 나이지리아의 해킹기술이 부상하며서 사이버 전쟁의 신흥세력으로 성장했으며, 러시아 역시 최근 몇 년간 활동 빈도와 기술면에서 모두 상당 수준 발전한 것으로 나타났다. 중국·북한은 최근 5년간 해킹 수법이 크게 발전하지 않았음에도 지속적으로 공격에 성공해 온 것으로 분석됐다. 더불어 국가 간 분쟁이 발생할 시 하드웨어에 연결된 공격이 동반될 것으로 예상된다.
지능형 타깃 공격의 대상은 미국에 집중돼 있었지만, 최근에는 동남아시아 국가에 대한 공격도 크게 늘어난 것으로 분석됐다. 파이어아이가 싱가포르 통신사 싱텔과 함께 진행한 조사에 따르면 동남아시아 지역의 기업·기관이 공격대상이 될 위험이 전 세계 평균보다 45% 가량 높은 것으로 나타났다. 2014년 하반기 조사에서는 전 세계 평균보다 7% 가량 높았으므로, 올해 동남아시아 타깃 공격이 크게 늘었다는 사실을 알 수 있다.
동남아시아 지역에 대한 공격은 정부기관에 대한 공격보다 연예·언론·숙박업을 타깃으로 한 공격이 많았으며, 태국, 필리핀이 사이버 공격을 가장 많이 받은 것으로 나타났다. 특히 언론을 타깃으로 한 공격이 주목을 받는데, 이들은 배포되기 전 뉴스를 확보하며, 정보원을 알아낼 수 있기 때문인 것으로 보인다.
더불어 동남아시아 국유은행으로 침투하려는 악성코드 정보도 발견했는데, ‘CANNONFODDER’라는 악성코드는 아시아 기반 사이버 공격 그룹이 정치·경제적 기밀 정보를 수집하기 위해 가장 많이 이용하는 악성코드인 것으로 알려진다.
전통적인 공격도 함께 진행돼 방어 어려워져
APT 공격은 새로운 공격기법만 사용하는 것은 아니며, 전통적인 DDoS, 웹쉘, SQL 인젝션 등 전통적인 정보보안 위협도 지속적으로 발생하고 있는 것으로 나타난다. 이글루시큐리티 보고서에 따르면 올해 발행한 전통적인 위협에 따른 침해사고 발생률이 전체의 70%에 달한다. 보안 수준이 낮은 기업과 기관을 대상으로, 기존에 잘 알려진 취약점이나 비밀번호 설정, 관리자 페이지 접근 및 서버 설정 등을 악용하여 공격을 시도한 사례가 대표적인 공격으로 꼽힌다.
이글루시큐리티 보고서에서는 “새롭게 발견된 취약점을 악용하는 최신 위협과 전통적인 위협에 모두 기민하게 대처하기 위해서는 기본적인 보안 가이드라인을 준수하는 동시에 경계기반에 집중된 전통적인 보안 관리 방식에서 더 나아가 한 단계 확장된 데이터 중심 보안 정책을 개진해야 할 것”이라고 조언했다.
전통적인 공격과 새로운 공격이 함께 진행되면서 방어가 더욱 어려운 상황이 되자 보안 전문가에 대한 수요가 크게 늘어나고 있다. IDC는 정보보안 전문가 수요는 2018년까지 53%가량 증가할 것으로 전망되며, 블루코트는 보안 관련 직업의 대부분은 관리형 보안 서비스(MSSP)에서 채용되고 서비스 비용도 낮아지지 않을 것이라고 내다봤다.
