보안전문가들이 꼽은 최신 사이버위협 트렌드 4가지

요즘엔 정말로 매일같이 사이버위협 소식이 터져나온다. 개인과 기업, 심지어 국가 단위로 큰 피해를 입힐 수 있는 새로운 악성코드나 사이버공격 움직임이 포착되는가 하면, 수많은 개인정보와 기업정보가 유출되는 사건이 벌어지고 있다. 내부 PC와 시스템이 랜섬웨어 악성코드에 감염되거나 파괴돼 업무가 마비되는 일도 발생하고 있다.

문제는 지속적으로 상황이 악화되고 있다는 데 있다. 사이버공격자들이 조직화되면서 위협도 고도로 정교화되고 대형화되고 있기 때문이다.

시스코 위협 인텔리전스 조직인 ‘탈로스(Talos)’는 최근 발간한 ‘중기 사이버보안 보고서 2017’에서 앞으로 엄청난 파급효과를 가질만한 서비스 파괴(DeOS, Destruction of Service)’ 공격을 경고했다. 최근 이같은 파괴 공격 전조에 해당하는 불길한 활동을 감지했다.

사이버범죄자들은 기업이 시스템과 데이터를 복원하는데 사용하는 백업 및 안전망(safety net)을 제거하는 시도를 벌이는 한편, 사물인터넷(IoT) 확산과 더불어 보안취약점을 갖고 있는 수많은 기기와 시스템을 쉽게 악용해 공격 파급효과가 커질 것이란 전망이다.

공격자들과 대척점에 있는 방어자들은 시시각각 변화하는 사이버위협 트렌드에 촉각을 곤두세울 수밖에 없다. 공격이 진화할수록 방어자들도 발빠르게 변화해 보다 공세적으로 대처해야 하기 때문이다.

그 점에서 시스코 보안전문가들이 분석한 최신 위협 트렌드 가운데 국내 기업 보안담당자들이 반드시 짚어봐야 할 내용으로 꼽은 주요 이슈 4가지를 정리했다.

기승부리는 랜섬웨어, 계속 진화 중

랜섬웨어는 작년과 올해 가장 위협적인 악성코드로 떠올랐다. 올해에는 그 강도와 위력이 더욱 커졌다. 지난 5월 전세계를 강타한 ‘워너크라이(WannaCry)’를 비롯해 ‘페트야(Petya)’ 변종으로 지목되기도 했던 ‘네티야(Nyetya)’, 국내 인터넷호스팅 기업인 인터넷나야나의 서버 150여대를 한꺼번에 감염시킨 리눅스 기반 ‘에레버스(Erebus)’ 랜섬웨어가 올해 국내에서 가장 이슈화됐다.

랜섬웨어 공격을 벌이는 사이버범죄자들은 다양한 취약점을 공격하는 익스플로잇 킷을 많이 이용했지만, 지난해부터 익스플로잇 킷이 두드러지게 감소하고 있다. 시스코 조사결과에 따르면, 올해 상반기에는 익스플로잇 킷의 활동이 감소한 반면에 악성 매크로 파일이 첨부된 스팸 메일이 증가했다.

신속한 소프트웨어 패치, 최신 운영체제, 웹브라우저의 자동 업데이트 등 방어자들이 신속하게 대응에 나서자 악성코드 유포에 보다 경제적 이점을 가진 이메일을 다시 활용하는 현상이 두드러졌다.

악성 첨부파일을 이용한 스팸메일 공격 수법은 사용자들이 직접 클릭하는 긍정적 반응을 수반하기 때문에 샌드박스 기술을 무력화시키고 엔드포인트를 감염시켜 기업 내부로 침입할 수 있게 만든다.

랜섬웨어 악성코드는 계속 진화하고 있다.

오픈소스 랜섬웨어 코드를 기반으로 만들어진 새로운 랜섬웨어가 최근 발견되고 있다. 공격자들은 ‘히든티어(Hidden Tear)’, ‘EDA2’와 같은 오픈소스 코드를 ‘교육적인 목적’으로 공개한다. 이같은 오픈소스 코드베이스는 악성 프로그램을 보다 빠르고 경제적으로 개발할 수 있게 만든다.

‘서비스형랜섬웨어(RaaS)’ 플랫폼도 빠르게 성장하고 있다. RaaS 플랫폼은 직접 코딩하거나 프로그래밍하지 않아도, 기술역량이 좀 부족하더라도 얼마든지 쉽게 랜섬웨어를 유포할 수 있게 한다. 일부 RaaS 플랫폼 운영자들은 랜섬웨어를 배포하고 공격 진행 상황을 추적하는 ‘고객 서비스’까지 제공할 정도로 발전한 상황이다.

IoT 봇넷 위험 현실화, 1TBps 디도스 시대로

보안에 취약한 사물인터넷(IoT) 연결기기를 봇넷(BotNet)으로 활용한 초대형 디도스(DDoS, 분산서비스거부) 공격이 지난해 현실화됐다.

2016년 9월 보안 블로거인 브라이언크렙스(Brian Krebs)를 표적으로 삼은 665Gbps 공격을 시작으로 프랑스 호스팅 기업인 OVH를 대상으로 1테라비트(TBps) 공격이 이뤄졌다.

10월에는 미국의 호스팅 기업인 딘(Dyn)의 도메인네임서비스(DNS)가 수십만대의 IoT 기기를 공격에 동원한 ‘미라이(Mirai)’ 봇넷의 디도스 공격을 받아 수백개 유명 웹사이트가 마비됐다. 이 공격으로 미국 동부지역 인터넷 마비사태를 유발하는 등 피해가 가장 컸다.

수많은 IoT 기기를 ‘좀비 군대(zombie army)’로 만들어 이용한 이들 세 건의 공격은 1TBps 디도스 공격 시대를 알리는 신호탄이 됐다.

최근에는 미라이보다 규모가 20배 큰 IoT 봇넷인 ‘리퍼(Reaper)’가 확산되고 있어 주의 경고가 나오고 있다. IoT 리퍼 악성코드가 라우터, IP카메라 등의 IoT 기기를 감염시켜 거대한 봇넷을 만들어 대규모 디도스 공격을 일으킬 수 있는 위험천만한 상황이다.

IoT 봇넷은 금전을 요구하는 ‘랜섬디도스(RDoS, Ransom Denial of Service)’ 공격에도 활용되고 있다. ‘아르마다콜렉티브(Armada Collective)’는 국내외 금융기관을 대상으로 RDoS 사이버인질 공격을 벌이는 대표적인 글로벌 해킹그룹이다.

IoT는 비즈니스에 많은 이점을 가져다 주지만 보안위험을 증가시킨다. 대다수 IoT 기기가 보안을 염두에 두고 개발되지 않은데다 IoT 기기가 네트워크에 연결돼 있는 현황을 제대로 파악하지 못하는 경우도 많기 때문이다.

IoT 기기 취약점 패치가 제대로 이뤄지지 않고 IoT 연결 가시성도 확보돼 있지 않고 있으며, 많은 기업에서 IoT 보안 문제를 책임지는 조직과 담당자가 불명확한 경우도 많은 것이 현실이다.

사이버범죄자들이 IoT 취약성을 노린 공격을 시작하고 있기 때문에 IoT 보안을 위한 노력이 요구된다.

이메일 악용 증가, BEC는 랜섬웨어보다 더 강력한 사기공격 수법

이메일을 통해 랜섬웨어와 악성코드를 유포하는 사이버범죄자가 늘고 있다.

범죄자들은 ‘.zip’, ‘.doc’ 등 비즈니스 환경에서 널리 사용되는 파일 형식을 여러 상위 변종 악성 프로그램에서 활용하고 있었다. 랜섬웨어를 유포하는 트로이목마 다운로더인 ‘네머코드’, 원격 액세스 트로이목마(RAT, Remote Access Trojan)인 페어릿이 대표적이다. 자바 아카이브 확장자인 ‘.jar’, 압축파일 형식인 ‘.arj’ 같은 더 오래된 파일 확장자 형식을 사용하는 변종 악성 프로그램도 다수 발견됐다.

랜섬웨어가 최근 보안분야에서 가장 주목받고 있지만 사실 비즈니스 이메일 침해(BEC, Business Email Compromise)가 더 은밀하게 훨씬 더 높은 수준의 위협을 안겨줄 수 있는 공격 수법이다.

기업을 속여 공격자에게 돈을 이체하도록 설계된 사회공학적 송금 유도 이메일 사기 공격인 BEC는 공격자가 거액의 돈을 탈취할 수 있기 때문에 매우 수익성이 높은 공격이다. 사회공학적 수법을 동원해 손쉽게 금전적 이득을 꾀할 수 있다.

BEC 공격은 표적 기업의 조직구조와 직원에 대한 조사를 마친 상태에서 공격을 수행한다. 송금 권한이 있는 회계 담당 직원에게 최고경영자(CEO)나 동료 직원, 거래처 담당자가 보낸 것처럼 위장한 이메일을 발송하고, 수신자에게 협업사에 송금을 지시한다. 수신자가 확인할 시간 여유 없이 송금하도록 유도하기 위해 메시지에 긴급하다는 표현을 강조하기도 한다.

송금한 돈은 사이버범죄자 소유의 국내외 은행계좌로 입금된다.

BEC 사기수법은 주로 대기업을 표적으로 삼는데, 대기업은 비교적 수준 높은 보안 및 사기방지 시스템을 갖추고 있음에도 희생양으로 전락한 사례를 어렵지 않게 찾아볼 수 있다.

이미 페이스북과 구글도 BEC 송금 사기 피해를 입은 적이 있고, 국내 대기업에서도 BEC 공격으로 인한 피해를 입은 사례가 발생했다.

BEC 사기에 맞서려면 보안 솔루션도 중요하지만 비즈니스 프로세스를 보완하는 것이 더욱 중요하다. 보안정보 제공업체인 플래시포인트는 사용자 교육을 권장했다. 가짜 이메일에 속는 일이 없도록 직원 간 송금시 전화로 확인하는 절차를 거쳐야 한다는 규정을 마련할 필요성도 제기된다.

가시성 감소로 인한 ‘섀도우 IT’, 보안사각지대 커진다

많은 기업들이 엔터프라이즈 네트워크, 엔드포인트, 클라우드 인프라에서 발생하는 사각지대로 인한 위험을 과소 평가하고 있다.

기업의 허가를 받지 않은 IT 기기나 애플리케이션 사용은 보안공백을 유발한다. 클라우드 도입으로 이같은 ‘섀도우 IT’ 문제는 커지고 있다.

사이버 상황인지 기술을 제공하는 시스코 파트너인 루메타(Lumeta) 조사에 따르면, 가시성이 부족하면 기업이 평균 20~40%의 네트워크 · 엔드포인트 인프라를 제대로 파악하거나 관리할 수 없다.

기업의 관리범위를 벗어난 네트워크 인프라와 엔드포인트는 방화벽을 우회하려는 사이버 범죄자가 쉽게 공격할 수 있다. 또 데이터를 빼내거나 승인 받지 않은 토르(Tor) 트래픽을 전송하는데 악용되거나 봇넷으로 사용될 수도 있다.

가시성을 확보하기 위해서는 실시간 상황 중심 보안정보를 확보할 수 있어야 한다. 실시간 모니터링과 유출 경로 탐지를 지원하는 솔루션을 설치해야 한다.

기업은 네트워크 세그먼트 정책을 검토하고 정책의 효과를 테스트할 수 있는 강력한 툴을 도입해야 한다.

아울러 인프라가 지속적으로 바뀌더라도 네트워크에 연결돼 있는 기기와 시스템을 정기적으로 파악하고 자동 조사할 수 있는 방안을 운영할 필요가 있다.

이와 관련 보다 자세한 내용은 웹사이트에서 리포트를 다운로드해 볼 수 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

 

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다