카스퍼스키랩 2018년 APT 공격 예측…“SW 이용한 ‘공급망 공격’ 증가”

By이유지

카스퍼스키랩이 2018년 지능형지속위협(APT) 표적공격 전망을 내놨다.

최근 발간된 2018년 위협 예측 보고서에서 100여개 APT 공격그룹을 추적하고 있는 카스퍼스키랩 글로벌연구·분석팀(GReAT)은 공급망 공격(Supply Chain Attacks)이 증가할 것으로 내다봤다.

공격 대상 기업을 직접 공격하는 것보다는 해당기업이 사용하고 있는 소프트웨어 개발기업이나 제품을 노리는 방식의 ‘공급망 공격’이 더욱 효과적이라는 점 때문이다.

이같은 공격은 탐지와 완화(mitigate) 모두 매우 어려워 해킹 조직에게는 이점으로 작용한다.

첨단 모바일 악성코드 관련 공격과 같이 차단하기 어려운 다른 공격 형태 역시 증가할 것으로 보인다. 보안을 강화하는 기업이 점점 더 늘어나고 있어 해커가 새로운 수법에 의지해 이들 대상에 침투하려 하기 때문이다.

카스퍼스키랩 전문가팀은 한 해 동안 수행한 연구와 실제 사례를 바탕으로 매년 예측 보고서를 만들고 있다. 2018년 예측에는 글로벌 위협 정보 분석팀의 표적형 공격 예측 외에도 산업 및 기술 부문 위협 예측이 추가됐다.

2018년 가장 성행할 것으로 예측된 지능형 표적공격

▲공급망 공격 증가
2017년 발생한 공급망 공격은 섀도우패드(Shadowpad), C클리너(CCleaner), 엑스페트르(ExPetr, 일명 ‘페트야’·‘낫페트야’)같은 ‘공급망 공격’을 보면 너무 쉽게 타사 소프트웨어를 이용해 기업에 침투할 수 있다는 사실을 알 수 있다.

공급망 공격은 인지하는 것보다 훨씬 많은 공격들이 나타날 수 있지만 아직까지는 크게 노출되지 않고 있는 것으로 보인다는 것이 카스퍼스키랩 전문가들의 분석이다.

2018년에는 실제 공격뿐 아니라 발견 시점에 더 많은 공급망 공격이 나타날 것으로 예상했다.

세계적으로 악명 높은 몇몇 해킹조직은 워터링홀 기법의 대안으로, 또는 다른 침입 시도에 실패한 경우 이러한 공격 방법을 택하기 시작한 것으로 볼 때 이러한 형태의 공격은 2018년에도 증가할 것으로 예상된다.

카스퍼스키랩코리아의 이창훈 지사장은 “공급망 공격과 관련해 카스퍼스키랩에서 지금까지 세운 가설은 악몽처럼 하나도 남김없이 사실로 드러났다. 지능형 해킹조직이 계속해서 취약한 개발업체를 골라 침투하고 있기 때문에 많은 사람이 이용하는 소프트웨어에 대한 백도어 공격은 점점 더 매력적인 공격 벡터가 될 것”이라고 말했다.

이 지사장은 “공급망 공격을 사용하면 공격 대상 분야의 여러 기업에 침투할 수 있으면서도 시스템 관리자와 보안 솔루션의 레이더에는 포착되지 않는다”라고 덧붙였다.

▲점점 더 기승을 부리는 첨단 모바일 악성코드
지난 2년 동안 보안 커뮤니티에서 밝혀낸 첨단 모바일 악성 코드는 익스플로잇과 결합할 경우 보안이 미흡한 대상에게 강력한 무기가 될 것이다.

▲흔적 삭제 공격 증가세 지속
2017년 초 보고된 샤문(Shamoon) 2.0, 스톤드릴(StoneDrill) 공격을 비롯해 6월의 ‘낫페트야’를 보면 공격 흔적을 삭제하는 와이퍼 공격이 점점 더 증가한다는 사실을 알 수 있다.

▲익스플로잇을 보호 위해 정찰과 프로파일링을 앞세우는 공격 증가
해커는 정찰에 더 많은 시간을 할애하며 ‘BeEF’ 등 프로파일링 툴킷을 사용해 비용이 적게 드는 비제로데이 익스플로잇 공격이 효과가 있을지 여부를 판단할 것이다.

▲OS와 펌웨어 간 연결 인터페이스를 공략하는 익스플로잇 공격의 출몰
UEFI(Unified Extensible Firmware Interface)는 최신 PC의 OS와 펌웨어 사이의 소프트웨어 인터페이스를 말한다. 카스퍼스키랩는 앞으로 더욱 많은 해킹 조직이 UEFI가 지닌 고급 기능을 이용해 악성코드 방지 솔루션 또는 OS 자체가 가동되기도 전에 활동을 시작할 수 있는 악성코드를 만들 것이라고 전망했다.

▲라우터 및 모뎀 해킹 증가
라우터와 모뎀은 잘 알려진 취약한 기기다. 그동안에는 대개 지능형 표적 공격에 사용되는 도구로 중요하게 여겨지지는 않았다. 그러나 라우터 및 모뎀은 지속적이면서도 은밀한 네트워크 침투를 노리는 해커에게 중요한 연결지점이며, 이들을 통해 공격 흔적을 숨길 수 있다.

2018년 발생 가능성 있는 산업 부문 위협

▲인터넷으로 연결된 자동차(커넥티드카)
공급망의 복잡성이 증가함에 따라 새로운 위협을 경험하게 될 가능성이 높다. 즉, 공급망의 복잡성 문제가 어느 한 개인이 모든 자동차의 소스 코드를 확인하거나 단독으로 제어할 수 없는 상황으로 발전할 수 있으며, 이로 인해 해커가 침입하여 탐지를 피해 우회하기가 더욱 수월해질 가능성이 있다.

▲의료
컴퓨터 네트워크에 연결된 전문 의료장비 규모가 증가하면서 강탈, 악의적 중단 등을 목적으로 사설 네트워크에 침입하여 공격 대상 의료 장비 및 데이터에 접근하는 형태의 공격이 증가할 수 있다.

▲금융 서비스
온라인 결제 관련 보안 강화로 인해 범죄자의 관심이 계좌 가로채기 공격으로 향하게 될 것이다. 업계에서는 이러한 유형의 사기 범죄가 수십억 달러 규모에 이르게 될 것으로 추정하고 있다.

▲산업보안 시스템
표적형 랜섬웨어 공격의 위험이 증가할 가능성이 높다. 운영 기술 시스템은 기업 IT 네트워크보다 취약하며, 보통 인터넷에 그대로 노출되어 있다.

▲암호화 가상화폐
카스퍼스키랩은 암호화 가상화폐 채굴 프로그램 설치를 목적으로 기업 대상의 표적공격이 발생할 것으로 예상하고 있다. 이러한 공격은 조만간 랜섬웨어 공격 보다 수익성이 좋은 장기적 범죄 사업이 될 가능성이 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

이유지

씩씩하고 당당하게, 그리고 신나게!

이유지 기자 yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다