“악성코드, 점점 ‘사람처럼’ 행동…자동화된 공격에는 자동화된 보안방식으로”

“사이버범죄자들은 자동화된 툴을 사용한다. 자동화된 공격에 맞서 싸우려면 자동화된 보안방식으로 대응해야 한다.”

앤써니 지안도메니코 포티넷 선임 보안전략가는 25일 한국을 방한해 가진 기자간담회에서 “사이버범죄 생태계가 정교하게 발전하면서 이제는 보안에 대한 경험이 많지 않아도 쉽게 악성코드를 생성하고 유포할 수 있게 됐다”라면서 이같이 강조했다.

그에 따르면, 악성코드는 점점 정교해지고 있다. 악성코드(malware)가 자동화되고 점점 더 ‘사람같은(Human-like) 행동’을 나타내는 수준에 근접하고 있다. 때문에 이에 맞서 자동화된 방식의 보다 정교한 침입 방어·보안시스템이 필요하다.

지안도메니코 보안전략가는 “악성코드가 네트워크 환경에 침입해 주변 환경을 식별해 원하는 정보를 찾고 취약한 시스템을 식별한다. 원하는 공격 대상과 목표를 찾아 액션을 취한다. 현재는 사람이 뒤에서 악성코드를 가이드하지만, 점점 악성코드 스스로 행동하면서 미션 달성을 위한 액션을 취하는 방향으로 발전하고 있다”고 설명했다.

이어 그는 “악성코드가 점점 더 스마트해지고 있다는 흔적과 공격 성향이 나타나고 있다”라면서 “이제는 단일 플랫폼이 아니라 다중 플랫폼을 공격하고 있다”고 덧붙였다.

또한 “해킹 공격이 이제는 매우 쉬워졌다. 프로세스가 자동화돼 원하는 악성코드를 쉽게 확산시킬 수 있다”라며 “위협의 양이 계속 늘어나는 결과를 나타내기 때문에 이제는 자동화된 방어책이 필요하다. 기계(머신)가 사람을 위해 악성공격을 식별하고 서로 통신해 의사결정을 스스로 내려 공격을 막거나 영향을 최소화시킬 수 있도록 해야 한다”고 제안했다.

지안도메니코 보안 전략가는 두드러진 보안위협으로 취약한 사물인터넷(IoT) 기기를 활용한 공격을 꼽기도 했다.

그는 “IoT 위협은 실제 일어나고 있다”라면서 “IoT 기기가 클라우드에 접속하는데 있어 가장 약한 링크로 작용하고 있는데, 홈 라우터와 DVR, NAS, IP카메라, 프린터 순으로 공격을 많이 당하고 있다”고 소개하기도 했다.

대표적인 지능형 IoT 익스플로잇 공격으로는 ‘하지메(Hajime)’ 봇넷과 미라이(Mirai)가 있다. 그중에서도 하지메 봇넷은 분산된 다중 플랫폼을 사용하는 취약한 IoT 기기를 공격하는데, 웜의 특징을 나타낸다. 중앙집중화된 명령제어(C&C)가 아니라 P2P 안에서 이뤄져 방어가 힘들다.

‘하지메’ 봇넷은 지난 2016년 10월25일 처음 공격을 탐지했는데, 9개 플랫폼과 x86 시스템을 공격했다. 포티넷은 하루에 3만여건의 ‘하지메’ 봇넷 공격을 탐지하고 있다.

그럼에도 지안도메니코 보안전략가는 “보안연구자들은 ‘하지메’ 봇넷을 좋은 봇넷, ‘미라이’는 나쁜 봇넷으로 간주한다”라면서 “하지메는 IoT 기기에 영향을 미치고 공격을 확산하고 있긴 하지만 악성 공격을 벌이지는 않는다. 하지메는 미라이 봇넷과 경쟁관계로 서로 영향을 미치고 있다”고 설명했다.

랜섬웨어 위협과 관련해서도 그는 IoT 기기를 대상으로 한 랜섬웨어 공격을 경고했다. 사이버범죄 생태계가 규모의 경제를 표방하고 있기 때문에 랜섬웨어 피해대상은 점점 증가하지만, 기기를 사용하지 못하도록 한 뒤 이를 풀어주는 대가로 요구하는 몸값은 상대적으로 낮아질 것으로 전망했다.

랜섬웨어는 대부분 이메일을 통해 확산되지만 취약점을 활용해 공격하면서 웜처럼 빠르게 확산되는 ‘랜섬 웜’의 형태로 바뀌고 있다는 것도 주요 동향으로 꼽았다.

‘랜섬웜’ 형태의 공격은 올해 워너크라이, 페트야(낫페트야) 사례에서 이미 발견됐다.

그는 “RaaS(Ransomware as a Service) 제공으로 랜섬웨어 공격이 매우 쉽게 이뤄지며, 서비스가 맞춤화되고 있다. 멀웨어를 생성한 사람과 수익을 공유하고 심지어 한 달에 10만건의 랜섬웨어를 설치하면 인센티브를 주는 체계도 운영하기도 한다”고 전하기도 했다.

한편, 그는 한국을 포함해 아시아태평양지역에서 올해 3분기까지 가장 많은 활동을 나타낸 보안위협을 소개하기도 했다. 포티넷 포티가드랩에서 전세계 300만개의 센서를 통해 수집한 실제 공격 정보를 기반으로 분석한 결과다.

상위 5대 악성코드는 알려지지 않은 위협인 ‘Malicious_Behavior.SB’와 멀웨어를 다운로드하는 에이전트들(VBS/Agent.PFBITR.DLDR 등)로 대부분 이메일 첨부파일 내 악성매크로 등을 이용해 감염시킨다.

상위 5대 랜섬웨어는 크립토월(CrytoWall, 74%), 버록(Virlock, 10%), 토런트로커(8%), 케르베르(6%), 크립토쉴드(2%)다.

상위 5대 봇넷은 ‘고스트랫(Gh0st.RAT)’, ‘푸시두(PushDo)’, ‘크립토월’, ‘컨피커(Conficker)’, ‘핀피셔(Finfisher)’ 등이다.

침입방지시스템(IPS) 이벤트로 분석한 상위 5개 익스플로잇 가운데 3개는 IoT 디바이스 관련 취약점 공격이다.

2014년에 발생한 ‘하트블리드’ 오픈SSL 취약점 공격도 여전히 많이 발생하고 있는 상태다. 아직 패치하지 않은 장치가 많다는 의미다.

그는 “자동화된 공격에 맞서 자동화된 방어체계로 방어하기 위해 포티넷 포티가드는 인공지능, 머신러닝, 딥러닝을 활용해 실행가능한 위협 인텔리전스 정보를 파악해 보안 패브릭(Security Fabric)에 녹여낸다. 각 보안 제품들은 서로 커뮤니케이션해 자동화된 결정으로 자동 방어할 수 있도록 제공한다”고 밝혔다.

포티넷은 기존의 보안 장비들이 서로 연결돼 정보를 서로 공유하고 대응하는 ‘포티넷 보안 패브릭’을 제공하고 있다. 보안 패브릭 지능적 운영시스템인 ‘포티OS 5.6’과 새로운 보안운영(Security Operation) 솔루션을 기반으로 별도의 인적 개입 없이도 비즈니스 요구사항이 네트워크 보안 조치로 자동 연결되는 인텐트(Intent) 기반 네트워크 보안을 구현한다.

인텐트 기반 네트워크 보안은 궁극적으로 자체 긴급 대응이 가능한(self-sufficient) 기술을 고객에게 제공함으로써 고객들이 전체 공격 면에 대해 최적의 보안 태세를 지속적으로 유지할 수 있도록 해준다.

지안도메니코 보안전략가는 “자동화된 대응의 목표는 네트워크 위협이 발생하면 탐지했다는 수준의 경고가 아니라 위협을 탐지해 의사결정을 내려 대응 조치, 즉 실제 행동이 이뤄졌다는 보고를 받는 것”이라고 말했다.

한편, 포티넷코리아는 이날 코엑스에서 고객들을 초청해 ‘포티넷 361° 시큐리티’ 행사를 열고 이같은 사이버위협 트렌드와 유럽 개인정보보호법(GDPR) 규제 준수와 블록체인 위협, 포티넷 보안 패브릭과 신제품을 소개했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다