[RSAC2017] 가장 위협적인 사이버공격기법 ‘7선’

rsac_sansSANS연구소(SANS Institute) 보안전문가들이 15일(현지시간) 미국 샌프란시스코에서 열리고 있는 ‘RSA컨퍼런스(RSAC)2017’ 키노트 세션에서 ‘가장 위험한 사이버공격기법’ 7가지를 선정해 소개했다.

첫 손에 꼽힌 사이버위협은 단연 ‘랜섬웨어’. 전세계적으로 기승을 부리고 있는 악성코드다. 보안에 취약한 사물인터넷(IoT) 기기는 공격당한 뒤에는 또 다른 공격무기로 활용된다. 랜섬웨어와 IoT를 결합한 공격이 발생할 경우 엄청난 피해가 예상된다.

일단 공격받으면 사회적 파급력이 큰 산업제어시스템(ICS)도 포함됐다.

취약한 난수생성에 따른 공격 위험, 웹서비스 사용 확대에 따른 소프트웨어(애플리케이션) 위협, NoSQL 데이터베이스(DB) 공격 역시 주목해야 할 사이버위협으로 지목됐다.

높은 수익 안겨다주는 ‘랜섬웨어’ 기승  

20년 전부터 존재했던 랜섬웨어는 암호화 기술과 결합되면서 현재 가장 위협적인 악성코드로 진화했다. 랜섬웨어는 사용자 기기를 감염시켜 파일을 암호화한 후 이를 해제하고 복구하는데 필요한 대가를 요구한다. 비트코인 등장과 함께 사이버범죄자들에게 많은 수익을 안겨주고 있어 점점 더 많은 랜섬웨어가 나타나고 있다.

전세계적으로 많은 사용자들이 랜섬웨어로 인해 피해를 입고 있다. 최근 들어 기업 등 조직을 대상으로 한 랜섬웨어가 두드러지게 증가했다.

cyberattack_ransomwareSANS연구소 전문가들은 랜섬웨어에 대응하기 위한 실행방안으로 패치관리와 다양한 멀웨어 방지 등의 보안기술을 사용해 시스템과 네트워크 ‘위생(hygiene)’을 철저하게 관리해야 한다고 지적했다. 사용자 권한을 제어하고 파일 공유 환경을 최소화하는 등의 조치도 필요하다고 제시했다.

랜섬웨어 감염시에 대비해 계획을 세워야 한다는 점도 강조했다. 만일 랜섬웨어 공격을 받는다면 돈 지불 여부를 결정하는 사람은 누구인지, 미리 결정해야 한다고 지적했다.

대가를 지불할 수밖에 없을 땐 “가난하게 보여 지불금액을 줄일 수 있도록 노력하는 것 외에는 다른 방도가 없다”는 현실적인 발언도 나왔다. 더욱이 “랜섬웨어는 당신이 협상해야 하는 사람들에 의해 감시되고 있다는 것을 기억하라”는 조언도 덧붙였다. 공격자들 입장에서도 돈을 전혀 받지 못하는 것보단 적은 금액이라도 받는 것이 낫다는 게 이유다.

취약한 IoT 기기, 공격 ‘타깃’·‘무기’ 동시에 

카메라에서 칫솔에 이르기까지 모든 사물이 서로 연결되는 시대다. 댜양한 기기들이 인터넷에 연결되고 있다. 그 결과 사물은 계속 취약해지고 있다.

IoT는 복잡한 인프라다. 장치는 공격의 대상(target)이 될 뿐만 아니라 공격 플랫폼으로 진화하고 있다. ‘미라이’ 악성코드에 감염된 수많은 기기가 최대규모 디도스(DDoS) 공격을 벌인 사례에서 볼 수 있다.

cyberattack_iot대응방법은 일단 기본 설정돼 있는 패스워드를 변경하는 것에서 시작한다. 스마트 홈 기기가 패스워드 변경을 허용하지 않을 경우 이를 허용하는 펌웨어가 나올 때까지 기다리거나 제품을 반품해야 한다는 조언이 나왔다. 제조사에 리콜 등을 적극적으로 요청하는 것도 IoT 기기 안전성 향상에 도움이 된다.

아울러 IoT 기기 원격 접속을 가능한 비활성화하고 인증(WPA2)을 적용한 별도의 전용 랜(LAN)을 가정에서 사용해야 한다.

별도의 IoT 계정을 만드는 것도 필요하다. 아이튠즈(iTunes)·아마존 계정과 조명을 제어하는 계정을 동일하게 사용하지 말아야 한다. 구글, 애플, 아마존웹서비스(AWS)와 같은 여러 대규모 클라우드 서비스 계정도 분리해야 한다.

조직의 경우 침투 테스트를 수행해야 한다.

랜섬웨어와 IoT가 만난다면?

지난해 한 오스트리아 호텔의 전자 카드키 시스템이 랜섬웨어 공격을 받아 객실 출입문을 열지 못하는 일이 발생했다. 결국 이 호텔은 사이버범죄자들에게 대가를 지불해 잠금장치를 해제할 수 있었다. 이 같은 일이 일반 집(가정)에서도 발생할 수 있다.

만약 한겨울에 난방 장치를 잠궈버리거나 자동차 문을 열지 못하게 하고 대가를 요구한다면? 공장을 대상으로 한 ‘산업용 IoT(Industrial Internet of Things, IIoT) 랜섬웨어’까지 보안전문가들은 다양한 가능성을 우려하고 있다.

ICS 공격…‘자동화’로 인한 위협 증대

cyberattack_ics2015년과 2016년 우크라이나 발전소가 공격을 받았다. 전력회사들의 자동화된, 분산 시스템 환경을 악용한 공격이었다. 신속하게 차단기를 수동으로 전환, 전력을 복원하는 초동 조치를 수행했다. 보안전문가들은 “운이 좋았다”고 말한다. 사이버공격자들은 점점 더 정교해지고 있다.

SANS 전문가는 ICS 자동화가 생산성과 효율성을 향상시키는 효과가 있지만 사이버공격에 취약해질 수 있다는 점을 경고했다. 따라서 자동화를 어느 수준으로 적용할지를 고민해야 한다고 지적했다.

cyberattack_ics-automation취약한 난수생성으로 인한 위협

난수는 와이파이(WiFi)와 다양한 보안 알고리즘을 보호하는 기능을 한다. 하지만 안전한 난수를 생성해 강력한 암호화를 구현하는 것이 쉬운 일은 아니다.

CNCert 조사 결과, 오픈소스 비트코인 프로젝트에서 162가지 안전하지 않은 난수 취약점이 발견되기도 했다. 이는 자칫하면 사이버범죄자들에게 암호화(WPA2) 통신을 풀고 싶어지도록 빌미를 제공하는 수가 있다.

rsac_cncertSANS 전문가는 이 문제를 제조업체가 해결해야 한다고 봤다. 다만 사용자들은 보안이 적용된 네트워크가 실제로는 생각한 것보다 취약할 수 있다는 것을 명심해야 한다고 말했다.

웹서비스·클라우드 사용으로 SW 위험성 증대

소프트웨어 컴포넌트가 클라우드로 빠르게 이동하고 있다. 도커와 같은 컨테이너나 마이크로서비스, 웹서비스, 서버리스(Severless) 컴퓨팅같은 신기술 사용이 확산됐다. 이로 인해 소프트웨어의 위험성이 커지고 있다. 웹서비스 기반 소프트웨어 컴포넌트는 모니터링과 보안 검사가 쉽지 않은 탓이다.

개발자들이 스스로 보안관리에 신경써야 한다. 서비스에 접속할 때 서비스(right service) 무결성을 검증할 방법도 필요하다. 인증, SSL(Secure Socket Layer) 등도 필요하다.

NoSQL 데이터베이스 공격

SQL 데이터베이스(DB) 입력 필드 내부에 실행코드를 주입하는  ‘SQL인젝션(injection)’은 수년간 골칫거리였다. 이제는 NoSQL DB의 안전성이 위협받고 있다. 개발자들이 몽고(Mongo)DB, 일라스틱서치(Elastic Search) 등의 NoSQL DB를 많이 사용하고 있기 때문이다.

하지만 이는 보안업계가 해결해야 할 과제일 뿐, 그리 큰 문제는 아니라고 SANS연구소 전문가는 설명했다.

글. 바이라인네트워크
<샌프란시스코=이유지 기자>yjlee@byline.network

관련 글

첫 댓글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다