“고도화되는 공격, 제로트러스트 전략으로 선제방어 구축”

팔로알토 ‘2016년 보안시장 전망’ 발표…랜섬웨어·위협 정보 공유·제로트러스트 전략 강조

올해 가장 위험한 사이버 공격으로 랜섬웨어와 사물인터넷(IoT) 공격이 꼽혔으며, 이를 방어하기 위해 위협 인텔리전스 공유, 제로트러스트 전략 구축 등이 제안됐다.

팔로알토네트웍스는 20일 ‘2016년 보안시장 전망’을 통해 ▲랜섬웨어 증가 ▲위협 인텔리전스 공유 ▲2차 타깃을 위한 공격 확산 ▲‘제로 트러스트’ 보안 모델 기반의 선제적 방어 ▲IoT 위협 ▲사이버 범죄에 대한 법률 제정 등을 올해 주목해야 할 키워드로 꼽았다.

새로운 위협 5분 내 대응

제로트러스트는 실시간 보안위협에 대응하기 위한 체계를 구축하는 것으로, 네트워크와 주요 시스템에 접근하는 사람과 사용하는 애플리케이션을 역할별로, 업무별로 관리하고, 활동 로그를 남기며, 보안위협이 있는지, 이상행위가 발생하지 않는지 모니터링하는 전체적인 보안체계를 말한다.

특정 지점에서 발생하는 보안위협만 분석하는 것이 아니라, 모든 사용자와 디바이스, 트래픽 간 통신을 분석해 연관된 보안위협을 찾아내고 공격이 발생하기 전 차단한다.

팔로알토네트웍스는 엔드포인트부터 네트워크까지 전반의 위협 정보를 수집해 15분 내에 해결책을 제시하고 있으며, 이시간은 5분 이내로 단축시킬 계획이다. 위협정보는 전 세계 팔로알토 고객을 통해 수집하고, 분석된 위협 역시 전 세계 고객에게 배포한다. 더불어 시만텍·인텔시큐리티·포티넷 등 8개 기업/기관과 함께 결성한 사이버 위협 얼라이언스(CTA)를 통해 새로운 위협 정보를 공유하고 고객들에게 대응책을 제공해 준다.

션 두카(Sean Duca) 팔로알토네트웍스 아태지역 최고보안책임자(CSO)는 “지금까지 보안기업은 공격을 탐지하는데 초점을 맞췄지만, 탐지만으로는 초기 공격을 막을 수 없다. 공격을 원천적으로 막을 수 있는 ‘예방’ 대책이 필요하며, 제로트러스트를 통해 공격에 대한 선제방어 전략을 마련할 수 있을 것”이라고 말했다.

위협 인텔리전스 공유로 지능형 공격 막아야

위협 인텔리전스는 전 세계적인 추세로, 보안기업 뿐 아니라 각국 정부에서도 사이버 위협 정보를 공유해 위협을 낮출 수 있는 방법을 모색하고 있다.

공격자들이 하나의 멀웨어로 공격 한 후 보안 솔루션에서 탐지하기 어렵도록 이를 미세하게 변형시켜 여러 곳에 재배포하는 사례가 늘고 있다. 특히 공격자들은 새로운 악성코드를 이용해 복수의 타깃을 공격하기 때문에 공격정보를 공유하면 똑같은 코드로 공격에 성공하지 못하게 하므로 방어에 드는 비용을 줄이고 방어 효과를 높일 수 있다.

위협 정보 공유를 위한 시도는 오랜시간 다양한 방법으로 진행돼왔다. 금융권은 정보공유에 적극적인 편으로, 금융기관을 노리는 지능화된 공격 시도가 많은 만큼 정보공유를 통해 한 번 입은 피해를 다른 기관이 입지 않도록 하고 있다.

그러나 다른 산업계에서는 정보공유에 소극적이다. 고객들은 정보공유로 자사의 취약점이 드러날 것을 우려하고 있으며, 보안기업들은 위협 정보가 중요한 자산이기 때문에 이를 경쟁사와 공유하려고 하지 않기 때문이다.

그러나 단일 벤더에서 모든 공격을 막을 수 없으며, 고객들도 서로의 위협정보를 공유해 공동방어체계를 만드는 것이 훨씬 유리하다는 데 동의하고 있는 분위기다. 보안 업체들이 커뮤니티를 이루어 대응하면 공격을 실행하는데 드는 공격자의 비용을 높일 수 있으며, 공격 예방 효과를 증대시킬 수 있다.

CTA의 경우 매일 새로운 위협정보 1000개를 공유하고 있으며, 공유된 위협정보는 반드시 자사 고객 시스템에 업데이트해 피해를 막을 수 있도록 한다.

두카 CSO는 “정보공유 노력은 세계 각국 정부에서도 논의를 지속하고 있으며, 정부 차원의 위협 인텔리전스 공유에 대한 정책이 육성돼야 한다. CTA와 같은 민간기업의 공유체계도 구축돼야 하며, 사이버 위협과 취약점을 빠르게 탐지하고 대응하도록 해 공격을 어렵게 만들어야 한다”고 강조했다.

랜섬웨어 증가…2차 피해 공격 확산

올해 가장 위험한 공격으로 꼽히는 랜섬에어는 더욱 고도화·지능화 돼 통신 방식과 대상 타깃을 더욱 은폐시키는 방향으로 나아갈 것이다.

CTA 보고서에 따르면, 랜섬웨어는 짧은 시간 내에 막대한 금전적 이득을 취할 수 있는 공격수단으로서 수익성이 높아 사이버 범죄 조직들이 매우 선호하는 것으로 나타났다. 최근에는 신용카드 데이터보다 높은 가치의 데이터를 랜섬웨어에서 추출해내고 있어 피해 규모가 더욱 커질 것으로 전망되고 있다.

앞으로 더욱 다양한 유형의 랜섬웨어 공격이 등장할 것이며, 사이버 범죄 조직에서 데이터 복호화 키에 대한 금전을 요구하는 사례가 늘어날 것으로 전망된다. 또한 다양한 플랫폼, 즉 OS X 및 모바일 운영체제에 대한 랜섬웨어 공격도 늘어날 것으로 보인다.

더불어 공격의 동기가 2차 타깃에 집중되는 사례가 늘고 있다. 2015 버라이즌 데이터 침해 보고서에 따르면, 써드 파티 웹사이트를 공격에 사용하는 사례가 증가하고 있으며, 이 경우 공격의 대상이 되는 특정 인물 혹은 기업은 실제 타깃이 아니라 보다 큰 공격의 진원지로 활용되는 것으로 조사됐다.

공격자의 관점에서 볼 때 이러한 방식은 공격의 신뢰도가 확보되는 것은 물론 다른 기업의 리소스를 활용할 수 있다는 장점이 있다. 아태지역에서 가장 흔히 발견되는 ‘워터링 홀’은 특정 기업의 웹사이트를 감염시켜 이 사이트를 방문하는 사용자를 감염시키는 방식이다.

국내에서도 최근 종교단체 웹사이트를 명령제어(C&C) 서버로 이용하는 한편 홈페이지를 방문한 신도들이 경유지를 거쳐 악성코드를 배포하도록 한 정황이 드러나고 있어 2016년에는 이와 유사한 방식의 2차 피해자를 발생시키는 사이버 공격이 늘어날 것으로 전망된다.

▲션 두카 팔로알토 CSO는 “지능화되는 공격에 대응하기 위해서는 공격에 대한 가시성과 광범위한 보안 인텔리전스를 갖춰야 하며, 선제방어 전략을 마련해야 한다”고 말했다.

IoT 공격위협 증가…사이버 범죄 법률 제정 늘어

가전 제품에서부터 홈 시큐리티 등 인터넷 연결을 지원하는 커넥티드 디바이스가 늘어나고 있다. 가트너는 인터넷에 연결된 기기가 향후 매일 550만개씩 생겨나는 속도로 증가하며2015년 65억개에서 2020년 210억개까지 늘어날 것으로 전망하고 있다.

이러한 추세에 따라 커넥티드 디바이스를 노리는 사이버 범죄 또한 급증할 것으로 전망된다. 2015년 8월 미국에서 열린 해킹 컨퍼런스 블랙햇(Blackhat)에서는 차량을 대상으로 하는 공격을 비롯해 표적을 변경하는 스마트 소총에 대한 사례도 소개된 바와 같이, 향후 더욱 다양한 종류의 공격 및 이를 위한 PoC 사례가 등장할 전망이다.

아태지역은 그 동안 사이버 범죄에 대한 법률이 관대하게 적용된 경향이 있다. 전세계적으로 보안 기업들은 물론 소비자들을 위한 법률이 강화되고 있는 가운데, 특히 미국의 경우 미국 기업을 타깃으로 하는 하이 프로파일 공격으로 보고된 숫자가 압도적으로 높은 상황이다.

이에 따라 미국에서는 ‘사이버보안 정보 공유 법’을 통해 기업들이 정부와 협업하여 해커의 공격에 대응하도록 하는 법률을 시행하고 있다. 유럽에서도 이와 비슷하게 ‘주요 정보 기반 시설 보호(CIIP)’ 협력을 통해 사이버 보안에 관련된 14개의 법을 시행함으로써, EU 차원에서 각국의 ICT 인프라를 보호하기 위한 대비책 및 회복 역량을 확보하는 등 보안 수준을 강화하고 있다.

션 두카 CSO는 “사이버 공격으로 인한 피해 규모가 증가하는 것은 물론 새로운 보안 위협의 출현 속도가 더욱 빨라지고 있다. 이에 따라 지능형 위협 방어, 즉 폭넓은 가시성과 광범위한 보안 인텔리전스를 기반으로 알려지지 않은 위협에도 효과적으로 대응할 수 있는 보안 역량을 확보해야 한다. 특히 랜섬웨어와 같이 치명적인 보안 위협의 확산으로 선제 방어의 중요성이 높아지는 만큼 기업들의 보안 전략에도 많은 변화가 있을 것으로 전망된다”고 말했다.

김선애 기자 다른기사 보기