2017년 “사이버공격 식별 더 어려워진다…침해지표(IOC) 방식 한계”

Kaspersky_2017앞으로 사이버공격자 식별이 더욱 어려워질 전망이다. 내년에는 공격자들이 맞춤형 도구를 널리 사용하고 탐지체계를 속이기 위한 위장전술도 더욱 발전할 것이란 분석이 나왔다.

카스퍼스키랩은 2017년 사이버위협 전망을 17일 발표하면서 악성코드 감염 특성을 공유해 침해를 인지하는 침해지표식별(IOC) 방식이 쇠퇴할 것으로 예측했다.

카스퍼스키랩의 글로벌 위협 정보 분석팀(GReAT)은 사용 후 폐기하는 맞춤형 공격도구 사용과 함께 공격자 정체를 파악하지 못하도록 다른 방향으로 유도하는 속임수를 사용하는 사례가 두드러지게 증가할 것으로 점치고 있다.

맞춤형으로 제작된 악성코드 플랫폼에서는 모든 기능이 각 피해자에 맞춰 조정·변경되기 때문에 그동안 악성코드 감염을 인지하기 위한 방법으로 사용해온 IOC 방식의 한계가 노출될 것이라는 분석이다.

이같은 방식은 카스퍼스키랩 GReAT에서 지난 8월 발견, 추적한 ‘프로젝트 사우론(ProjectSauron)’ 공격에서 드러났다.

카스퍼스키랩은 IOC를 활용해 악성코드 감염 특성을 공유하는 것만으로 피해를 막을 수 없고 강력한 ‘야라(YARA) 규칙’ 탐지와 같은 다른 보호 조치를 동반해야 한다고 제시했다.

‘야라(YARA)’는 시스템이나 네트워크에서 의심스러운 활동 패턴 또는 악성 파일을 탐지해 공유하는 도구다. 문자열 분석에 바탕을 둔 이 규칙을 활용해 분석가들이 악성코드 샘플을 찾아내고 분류할 수 있으며, 악성코드 간 연관성을 분석해 악성코드 분류 체계를 마련해 탐지되지 않고 진행 중인 공격을 발견할 수 있다는 것이 카스퍼스키랩의 설명이다.

이창훈 카스퍼스키랩코리아 지사장은 “믿을 수 있는 야라(YARA) 규칙을 추가적으로 널리 도입해야 하는 때”라며 “야라 규칙에 힘입어 침해 대응 인력은 기업 환경 전체를 면밀히 검사할 수 있고 알려진 공격의 일부를 찾을 수도 있을 것”이라고 말했다.

카스퍼스키랩은 공격 특성을 식별하는데 의존하는 방식이 오히려 독이 될 수 있다고 경고했다. 특성에만 지나치게 의존하다 보면 공격 출처를 잘못된 방향으로 유도하는 위장전술이 보편화되는 것은 물론, 범죄자가 오픈소스나 상용 악성코드를 선택하는 경우가 늘어날 위험이 있다고 지적했다.

또한 해킹된 정보를 조작하거나 선별적으로 폭로해 대중이 편향·왜곡된 정보를 받아들이도록 조작하는데 활용될 위험이 있다고 경고했다.

카스퍼스키랩은 정찰과 자격증명 수집 목적의 메모리 상주형 악성코드도 내년에 이슈가 될 것으로 내다봤다. 탐지되는 것을 극도로 기피하는 공격자들이 극도로 민감한 환경에서 이러한 악성 코드를 주로 배포할 것으로 관측하고 있다.

이와 함께 대의를 위해 해킹한다고 주장하는 일명 ‘자경단’ 해커의 등장과 더불어 사이버스파이와 시스템파괴를 수행하는 사이버사보타주(Cyber sabotage), 모바일 사이버스파이 범죄가 증가할 것으로 전망했다.

올해 잇달아 발생했던 국제은행간통신협회(SWIFT)를 이용한 유사한 방식의 금융 사이버공격이 서비스형(as a Service) 방식으로 상품화될 수 있으며, 결제시스템 보안위협도 더욱 증가할 것으로 예상했다.

이밖에도 많은 피해를 발생시켰던 랜섬웨어 악성코드와 사물인터넷(IoT) 기기 보안위협 등도 여전히 이슈화될 것으로 보고 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다