“탄핵정국, 대선 앞둔 2017년 사이버위협 심화”…KISA·보안업체 7대 위협전망

대통령 탄핵정국이 펼쳐지고 있는 가운데 대선을 앞두고 있는 내년에는 사회혼란 등을 노린 사이버위협이 더욱 기승을 부릴 것으로 전망된다.

올해에도 두드러졌던 한국 맞춤형 표적공격이 산업 전반으로 확산되고, 공용 소프트웨어(SW)를 이용한 표적공격과 사회기반시설 대상 사이버테러 시도도 늘어날 것이란 예상이 나왔다.

대규모 악성코드 감염기법은 더욱 지능화되는 가운데 올해 많은 피해를 양산한 랜섬웨어가 한층 대량 유포될 가능성이 높다.

모바일 금융서비스 위협도 더욱 증가하고 좀비화된 사물인터넷(IoT) 기기가 무기화돼 사이버공격에 악용될 것으로 보인다.

한국인터넷진흥원(KISA, 원장 백기승)과 ‘사이버위협 인텔리전스 네트워크’에 참여하는 국내·외 보안업체 12곳은 이같은 ‘2017년 7대 사이버공격 전망’을 5일 발표했다.

KISA는 사이버 위협정보 공유와 침해사고 공동 대응을 위해 안랩, 이스트소프트, 잉카인터넷, 하우리, NSHC, 빛스캔 등 국내기업 6곳과 파이어아이, 포티넷, 인텔시큐리티, 마이크로소프트, 팔로알토네트워크, 시만텍 등 글로벌 기업과 각각 ‘사이버위협 인텔리전스 네트워크’를 운영하고 있다.

2017-cyber-threat_intelligent-network◆맞춤형 공격 산업전반으로 확대=국내 특정 기업·기관을 겨냥한 맞춤형 사이버공격은 내년에도 더욱 증가하면서 산업전반으로 확대될 것으로 예상된다.

정부기관과 기업을 겨냥한 정보유출이나 사이버테러형 표적공격이 이어고, 사회기반시설과 상대적으로 보안이 허술한 협력업체, 중소기업으로 범위가 넓어질 것으로 보인다.

특히 대통령 탄핵과 선거 등 혼란한 정국을 틈타 정치적 목적을 가진 사이버공격이 기승을 부릴 것으로 전망됐다.

문종현 이스트소프트 부장은 “최근 4차 촛불집회 전후로 정치 관련 사이트가 디도스 공격을 받고 있다. 내년 대선을 앞두고 정치 이슈와 결부된 보안위협이 나타날 것으로 예상된다”며 “공격자들은 유명하지 않은 사이트를 먼저 해킹해 관리자 권한과 사용자 데이터베이스를 확보한 후 타깃 사이트를 해킹하는 수법을 사용하고 있다”고 말했다.

전문가들은 공격에 제로데이 취약점과 스피어피싱을 결합하거나 개인 정보·자원을 도용해 신분을 위장하는 신뢰기반 공격이 기승을 부릴 것으로 내다보고 있다. 또 공격자들이 탐지를 피하기 위해 공격에 사용하는 자원이나 기법도 자주 교체할 가능성이 높다는 점에서 전문가들은 다계층 보안 솔루션을 도입하고 사이버위협 정보를 공유해 정보보호 활동에 적극 활용해야 한다고 강조했다.

kisa_2017-7-cyber-threat◆공용SW 통한 표적공격=자산관리 등 공용 SW를 통로로 삼아 내부에 악성코드를 유포해 내부 시스템을 장악한 뒤 중요자료를 유출하는 공격이 많이 발생하고 있다. 공용SW는 내부에 침투한 공격자들이 권한 상승과 측면 이동, 관리자 권한 획득에도 유용하다.

공용SW를 악용하는 방법은 자산관리 서버를 장악해 많은 사용자 PC에 악성코드를 일괄 배포하는 방법과 각 PC에 설치된 에이전트를 이용해 악성코드를 유포시키는 방법 두 가지다.

공격자들은 보안장비·보안관제에 의한 탐지를 피하기 위해 명령·제어(C&C) 서버를 외부에 두지 않고 내부시스템을 활용한 사례도 있다.

내부망 장악에 효과적인 이같은 수법을 공격자들은 앞으로도 계속 이용할 것으로 보인다.

전문가들은 인터넷망과 내부망으로 분리된 조직의 내부망에 침투하기 위해 공격자들이 중계서버를 이용할 가능성이 높다고 점치고 있다.

안창용 안랩 책임연구원은 “자산관리 등 공용SW 취약점을 찾기 위해 SW 제작업체를 직접 공격해 소스코드를 유출하려 할 가능성이 높다. 또한 망분리된 환경에서 내부망에 침투, 장악하기 위해 접점이 될 수 있는 중계서버를 지속적으로 공격할 가능성이 높다”고 강조했다.

윤삼수 파이어아이코리아 전무는 이를 막기 위한 방안으로 “관리자 권한 사용 모니터링을 강화하고 관리자 계정 사용 모니터링을 강화해야 한다. 네트워크도 분리(망분리)·세분화하고 형상관리서버 권한도 세분화해 통제해야 한다”고 지적했다.

◆랜섬웨어 대량 유포로 위협 크게 심화=랜섬웨어로 인한 피해가 내년에는 더욱 커질 것으로 예상되고 있다. 우리나라를 대상으로 악성코드를 주로 유포하는 세력들이 새로운 수익 확장 수단으로 랜섬웨어 제작·유포에 가세할 것으로 점쳐진다.

기업의 자산관리, 패치관리 등 중앙관리 솔루션의 권한을 탈취해 모든 PC 단말에 랜섬웨어를 감염시키는 공격이 발생할 수 있다는 경고도 나왔다.

최상명 하우리 실장은 “중국으로 추정되는 인터넷뱅킹 파밍 악성코드를 유포하는 조직이 랜섬웨어에 손댄다면 피해는 상상 이상일 것이다. 파밍 악성코드는 하루 2~3만명이 감염되고 있기 때문”이라며 “최근 입수한 첩보에 따르면 북한 해커들도 자동화된 상용 툴을 이용해 랜섬웨어를 제작, 테스트하고 있다. 실제로 활용한다면 위험한 상황이 될 수 있다”고 말했다.

이밖에도 내년 랜섬웨어 공격이 정치인, 연예인 등 특정 표적을 대상으로 높은 비용을 청구하는 방식과 박리다매로 대량 유포하는 두가지 형태로 나타날 수 있다는 예상도 나왔다.

오경 포티넷코리아 이사는 “랜섬웨어 공격 대응을 위해 기업은 악성코드 분석 수준을 고도화해 탐지능력을 높이고 내부 네트워크를 분리해야 하며 자동화된 보안 솔루션을 활용해 가시성을 높이고 통제력과 억제 능력을 향상시킬 필요가 있다”고 제시했다.

◆사회기반시설 대상 사이버테러=전문가들은 사회혼란을 야기하기 위한 사회기반시설을 공격하는 사이버공격 시도가 꾸준히 증가할 것으로 예상하고 있다.

최근 들어 기반시설에서 많이 사용하는 산업제어시스템(ICS) 등의 취약점이 크게 증가하고 있어 발전소, 철도 등 자주 공격 시도 대상이 됐던 곳뿐 아니라 상수도, 항공, 의료 등의 공격이 확대될 것으로 내다보고 있다.

문해은 NSHC 팀장은 “해외에서는 프로그램가능논리제어장치(PLC) 장비에서 동작하는 웜을 이용한 공격코드가 소개됐다. 이같은 공격을 발견하거나 차단하는 것이 힘들다”고 설명했다.

kisa_2017_nshc◆좀비화된 IoT 기기 무기화=최근 미국 인터넷호스팅 업체인 딘(Dyn)이 대규모 디도스(DDoS) 공격을 받아 이 업체로부터 서비스를 받고 있던 주요 사이트에 장애가 발생한 일이 있었다. 이로 인해 “미국 인터넷 절반이 마비됐다”는 평가가 나왔다. IoT 기기를 감염시킨 ‘미라이’ 봇넷이 딘을 공격했다. 이는 IoT 기기를 이용한 대규모 사이버공격이 현실화된 대표사례로 꼽히고 있다.

디도스 공격에 사용되는 IoT 기기들은 주로 인터넷과 연결이 가능한 카메라, DVR 등이다.

KISA는 작년 한 해 동안 IoT 취약점을 130건 집계했다. 올해 3분기까지 신고된 IoT 취약점은 136건으로 작년 수치를 넘어섰다. 이같은 취약점은 주로 무선 공유기, 네트워크 장비 등에서 발견됐고 도메인네임시스템(DNS) 변조, 악성코드 유포 등에 악용됐다.

내년에는 다양한 IoT 기기가 선보일 예정이다. 이에 따라 IoT 기기에 설치된 SW에 보안취약점이 다수 발견될 것으로 예상된다.

IoT 기기를 노리는 새로운 악성코드가 등장하고 감염`전파 방법도 다양해질 것으로 보여 이에 대한 다양한 보안대책이 요구된다. 기본적으로 IoT 기기 제조사는 안전한 초기 보안 설정 방안을 제공해야 하고, 보안을 고려한 IoT 제품과 서비스를 설계할 필요가 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다