[RSAC2018] ‘가장 위험한 사이버공격 기법’ 5선

지금, 그리고 가까운 미래에 심각한 피해를 초래할 수 있는 위협적인 사이버공격 유형은 무엇일까.

SANS연구소(SANS Institute) 보안전문가들이 18일(현지시간) 미국 샌프란시스코에서 열린 ‘RSA컨퍼런스(RSAC)2018’에서 ‘5가지 가장 위험한 최신 공격 기법’을 선정해 소개했다.

클라우드상의 데이터 유출, 기존에 침해된 데이터를 분석하고 결합해 정보보호 조치를 무력화하려는 시도부터 최근 이슈화된 암호화폐 채굴 공격, 하드웨어 보안 결함,  산업제어시스템(ICS/SCADA) 공격이 꼽혔다.

클라우드 스토리지·저장소(Repository) 데이터 유출 위험

클라우드 서비스 이용이 확산되면서 기업 조직이 가진 중요 데이터가 클라우드에 저장되고 있다. 사이버공격자들은 클라우드 스토리지 사용 허점을 파고들어 중요한 데이터 유출을 시도하고 있다.

아마존웹서비스(AWS) S3(Simple Storage Service) ‘버킷’ 보안설정 오류로 1억9000만명의 미국 유권자들의 중요 파일, 패스워드, 집주소 등 개인정보가 인터넷에 노출된 사고가 대표적 사례다. 이미 10여건의 관련 사고가 발생했다.

공격자들은 클라우드 스토리지에서 패스워드, 암호 키, 액세스 토큰, 대량의 중요 데이터를 찾는데 주력하고 있다.

SANS 전문가는 이에 대응하기 위해 ‘데이터 인벤토리’를 운영해 코드를 포함한 중요 데이터 자산을 제대로 분류하고 통제하는 것이 가장 중요하다고 강조했다. 이를 위해서는 데이터 큐레이터가 필요하다.

클라우드에서 데이터 자산이 안전하게 보호될 수 있도록 설계자와 개발자 대상 교육도 필수다.

개발자와 데이터 관리자가 중요 데이터 자산을 보호할 수 있게 하는 다양한 공개 툴이 나와 있다. AWS, 마이크로소프트, 구글 등 대형 클라우드 제공업체들도 데이터를 분류하고 통제, 보호할 수 있도록 지원하는 인공지능(AI) 서비스나 자동화 툴을 제공하고 있다.

깃식크릿(git-seekret), 깃시크릿(git-secrets), 깃트롭(gitrob), AWS S3 매시(Macie), 마이크로소프트 애저 SQL 위협 탐지 서비스, 구글 데이터유출방지(DLP) 애플리케이션프로그래밍인터페이스(API) 등이 있다.

데이터 자체가 해킹 표적, 빅데이터 분석과 결합 이용

데이터는 공격자들의 최대 표적으로 떠올랐다. 시스템을 해킹하던 공격자들은 이제 데이터를 해킹하는데 더 주력하고 있다. 데이터를 분석하고 결합한다. 기존에 유출됐던 서로 다른 출처의 데이터를 수집하고 결합하는 기법을 사용하고 있다.

다른 기업들에서 유출한 데이터 정보들을 모으고 결합해 기업 신뢰성을 훼손하고 브랜드에 치명타를 가할 수 있다.

사이버공격자들이 빅데이터 분석과 데이터 결합 기법을 사용하는 것은 매우 위협적이다. 개인정보(PII)에 익명화 같은 비식별조치를 적용하며 노력해온 정보보호·개인정보보호 조치도 무력화될 수 있기 때문이다.

넷플릭스 사례가 대표적이다. 지난 2006년 넷플릭스는 영화 추천 알고리즘의 정확성을 높이기 위해 경연대회를 열고, 50만명 이용자가 6년간 수행한 영화 평가 1억건을 공개한 적이 있었다. 이름 등 개인식별정보는 비식별처리하고 평가 점수와 일시만 공개했다. 그런데 텍사스 대학 연구팀이 온라인 영화전문사이트에 공개된 영화평가와 넷플릭스의 데이터를 결합, 개인을 재식별해냈다. 사회적인 문제가 되자 2차 경연대회는 취소됐다.

기업들은 여러 출처에서 나온 데이터 결합·연계에 따라 개인정보보호·프라이버시 침해나 이로 인한 비즈니스 리스크를 분석해야 한다. SANS 전문가는 이와 함께 오픈소스 인텔리전스(OSINT)와 데이터 분석 기술에 대한 이해를 높일 것을 권고했다.

암호화폐 채굴 공격

암호화폐 채굴 공격은 지난해부터 크게 급증했다. 시만텍은 암호화폐 채굴 악성코드를 지난 1월 2만건 탐지했으나 같은 해 12월 170만건을 탐지했다. 1년 사이에 무려 8500%나 증가했다.

컴퓨터에 설치되는 암호화폐 채굴 악성코드는 전력과 CPU 리소스를 가로채 암호화폐 채굴에 이용한다. 이 악성코드가 PC나 서버에 설치되면 기기를 느리게 만들고 배터리 과열을 일으킬 수 있다. 경우에 따라 사용 불가 상태로 만들기도 한다.

공격자들은 암호화폐 채굴을 위해 시스템에 은밀하게 침투해 인프라 자원을 사용한다. 이들은 오로지 암호화폐를 채굴해 수익을 창출하는 것에만 관심이 있을 뿐 데이터를 유출하지 않는다.

SANS 전문가에 따르면, 피플소프트는 사내 인사(HR)·재무 데이터가 담겨 있는 1000대의 서버가 침해(‘Crown jewels’)됐는데, 중요 데이터가 유출되지 않았다.

전문가는 CPU 사용량이나 네트워크 트래픽이 크게 치솟거나 시스템 이상 과열 현상 등을 파악해 암호화폐 채굴에 시스템이 이용되는지 감지하고, 해당 시스템 취약성을 식별해야 한다고 조언했다. 또 이같은 일은 외부 공격자뿐 아니라 내부자에 의해 일어날 수 있다는 점도 인지해야 한다고 강조했다.

하드웨어 결함

올 초 ‘스펙터’와 ‘멜트다운’으로 알려진 인텔 중앙처리장치(CPU) 결함이 이슈화됐다. 이같은 결함은 인텔뿐 아니라 AMD, ARM 프로세서도 해당된다.

그동안 하드웨어는 신뢰성이 높다고 인식돼 왔다. 그러나 이는 매우 위험한 가정이라는 게 전문가의 얘기다. 하드웨어 보안 결함은 치명적인 위협이 될 수 있다. 하드웨어는 패치가 어렵다. 전체 시스템을 교체해야 하고, 성능 저하 문제도 감수해야 한다. 물리적인 분리도 어렵다.

SANS 전문가는 소프트웨어는 하드웨어 독립적으로 개발해야 하고, 암호화와 인증 기술을 네트워크만이 아니라 하드웨어(CPU)가 사용하는 특수한 와이어(wire)까지 적용돼야 한다고 강조했다. 새로운 동형암호(homomorphic encryption) 알고리듬을 적용을 언급했다.

산업제어시스템(ICS/SCADA) 공격

주요 기반시설이 사용하는 ICS 대상 사이버공격 위협이 증가하고 있다. 폐쇄망을 운영해 비교적 안전하다는 인식이 있었지만 일반적인 IT 인프라와 시스템만큼 보안전문성을 강구하고자 하는 노력도 펼치지 않고 있어 문제다.

ICS에서 발견되는 취약점 수는 갈수록 늘어나고 있다. 하지만 보안패치가 이뤄지지 않은 채 방치돼 있는 시스템이 많다. 패치가 개발돼 있어도 적용하지 않고 심지어 나와있지 않은 경우도 있다.

영화 ‘다이하드 4.0’에서 교통, 통신, 금융 등 사회기반시설을 마비시킨 ‘파이어세일’ 공격은 이미 현실로 성큼 다가왔다.

파이어아이는 2009년 스턱스넷 공격을 시작으로 2012년, 2015년까지 이란, 우크라이나 등에서 지멘스, GE, MOXA 등의 ICS 취약점을 악용한 공격이 실제로 이뤄졌다고 분석한 바 있다.

SANS 전문가는 이같은 기반시설 대상 공격은 국가지원 공격그룹들에 의해 시도되고 있다고 봤다. 주요 사회기반시설 시스템에 문제가 발생하게 되면 사회안전망을 파괴해 사람의 생명을 위협하는 치명적인 사태에 이를 수도 있다고 경고했다.

글. 바이라인네트워크
<이유지 기자> yjlee@byline.network