.gif)
사이버아크 연구팀, 공격자의 혁신 조짐 관찰...사이버 보안 지형 크게 바뀔 것
사이버 보안 재편 유도, 공급망 공격 자동화, 눈앞에 숨을 수 있는 새로운 지점 생길 것
엔드포인트 보호 및 최소 권한 원칙 적용 등 심층 방어 접근으로 보안 강화해야
[보안뉴스 기획취재팀] 2022년 상반기를 정리해 보면 공격자는 서비스형 멀웨어를 개발 및 판매하고, 공급망 공격을 서슴없이 시도했다. 그런데 앞으로는 사이버 공격자들의 행위가 더욱 대범해지고 공격 측면에서도 혁신이 일어날 것이라는 전망이 나왔다. 특히, 사이버 보안 지형이 크게 바뀔 것이라는 예측이 나와 이목이 집중되고 있다.
[이미지=에스케어]
사이버아크(CyberArk) 연구팀에 따르면 “공격자가 갈수록 진화하면서 혁신의 조짐이 관찰됐다”며 “지난 12개월 동안 관찰한 결과 앞으로 사이버 보안 지형이 크게 바뀔 가능성이 있다. 언더그라운드 기업의 보안 재편 유도와 공급망 공격 자동화 및 확대, 공격자가 눈앞에 숨을 수 있는 새로운 지점이 생길 것”이라는 공격자의 혁신 조짐 3가지를 지목했다.
혁신 1. 언더그라운드 기업, 보안 재편 유도할 것
첫째, 날고 뛰는 공격에 결국 공격자는 방어자의 보안 재편을 꾀할 것이라는 전망이다. 공격자는 소프트웨어 공급업체와 마찬가지로, CI/CD 파이프라인, 클라우드 인프라 및 기타 디지털 기술을 사용해 새로운 서비스형 멀웨어(Malware as a Service, MaaS) 제품을 개발하고 판매한다. 이러한 멀웨어는 강력할 뿐 아니라 바로 손쉽게 사용할 수 있어 초보 공격자를 더욱 대담하게 만든다.
또한, 공격자 그룹은 다양한 이해 관계자의 장점을 끌어들여 서비스를 수익화하고, 익스플로잇 코드 개발자에서 공격 인프라 설계자로, 새로운 익스플로잇 사용자를 타깃으로 공격하는 공격자로 운영을 확장할 것으로 보인다.
하지만 사이버 범죄 그룹도 다중 테넌트 SaaS 애플리케이션을 관리하고, 민감한 시스템과 데이터에 대한 원격 접근을 보호하는 등 자신들의 보안도 강화해야 한다. 결국 이들도 정교한 방어체계 마련에 각별한 신경을 쓸 것으로 전망된다.
혁신 2. 공격자는 OSS를 사용해 공급망 공격을 자동화하고 확대할 것
둘째, 공급망 공격의 자동화 및 확대 추세다. 공격자는 자격증명을 표적화하고 도용해 공급망에 있는 수천 개의 조직에 한 번에 침투할 수 있는 것을 선호한다. 지난 2021년 4월 Codecov 침해에서 알 수 있듯이, 코드 한 줄의 미세한 수정으로 완전히 정상적인 라이브러리를 악의적인 라이브러리로 전환해 라이브러리 사용자 모두를 위험에 빠뜨릴 수 있다.
사이버아크 연구팀은 “지난 12개월 동안 지켜본 결과 공격자는 오픈소스 라이브러리를 손상 시킬 수 있는 새로운 방법을 계속 모색할 것”이라며 “이전에는 공격자가 패키지 이름을 미세하게 변경(예: atlas-client를 atlas_client로 변경)해 이를 포함시켜 코드 패키지를 생성하고, 타이포스쿼팅과 비슷한 공격을 구현했다. 이러한 공격은 실제로 백도어 또는 자격증명 도용 기능을 구현한다. 또 다른 사례에서는 개발자의 자격증명이 손상된 후, 크립토마이닝 스크립트와 자격증명 도용 맬웨어를 실행하기 위해 트로이목마로 NPM 패키지가 이용되기도 했다”고 분석했다.
이러한 라이브러리는 합법적인 운영의 일부로 파이프라인에 배포되며, 대부분의 경우 악성 코드가 종속 파일로 다운로드 되기 때문에 정상적인 라이브러리인 것처럼 보인다. 또한, 이러한 자동화된 공격은 매우 제한적인 서명만으로도 쉽고 빠르게 실행할 수 있어 많은 피해를 유발한다. 특히, 이와 같이 미세한 공격은 신호를 거의 보내지 않아 찾아내기가 매우 어렵기 때문에 조직은 항상 경계해야 한다는 게 사이버아크 연구팀의 설명이다.
혁신 3. 공격자가 바로 눈 앞에 숨어 있을 수 있는 새로운 지점 생길 것
클라우드와 가상화 및 컨테이너 기술 도입으로 인해 보안은 더 복잡해지고, 사이버 범죄자들에게는 새로운 은폐 장소가 생길 것으로 전망했다. 예를 들어, 마이크로 가상화가 널리 사용되면서 공격자는 멀웨어를 가상 시스템에서 격리하는 동시에 호스트 기반의 보안 제어로부터도 숨길 수 있다는 얘기다.
국가와 금융기관 등을 노린 공격자가 엔드포인트 시스템을 손상시키기 위해 새로운 방법을 찾는 중에 자격증명과 인증 프로세스를 보호하는 하위 시스템인 리눅스(Linux)와 윈도우(Windows) 하위 시스템(WSL)과 같은 시스템을 타깃으로 테스트하는 것이 포착됐다.
리눅스 인프라 내에서 랜섬웨어를 실행하면, 엔드포인트 위협 탐지 및 대응(EDR) 도구와 기타 호스트 기반의 엔드포인트 보안 도구는 일반적으로 악의적인 활동을 식별할 수 없다. 공격자는 이를 노리고 숨어 있으면서 쉽게 데이터를 암호화하거나 유출할 수 있다.
이를 위한 대응방안으로 사이버아크는 △Identity △PAM(Privilege Access Management) △EPM(Endpoint Privilege Manager)을 제시했다.
Identity와 관련해 사이버아크 전문파트너 에스케어는 “회사 주요 업무, 시스템(Windows, Mac), VPN에 대한 다중인증 보안(MFA)과 직원들의 입사/퇴사에 따른 주요 업무 시스템 접근 계정에 대한 라이프 사이클 관리를 해야 한다”며 “이와 동시에 업무의 효율성 증대를 위해 웹 업무 접근에 대한 통합 SSO 포탈이 제공돼야 한다”고 설명했다.
이어 PAM와 관련해서는 “주요 시스템(웹 어플리케이션, 네트워크 장비, OS, 데이터베이스 등) 접근에 대한 권한계정을 등록하고, 해당 계정으로 사용되는 모든 세션에 대한 실시간 모니터링 및 기록을 통해 보안 위협에 대응해야 한다”고 강조했다.
마지막으로 EPM에 대해 에스케어 측은 “Windows, Mac, Linux 등 로컬 계정에 대한 관리자 권한을 제거하고, 불필요한 애플리케이션 구동을 차단함으로써 랜섬웨어 등의 실행을 사전에 차단해야 한다”고 당부했다.
[기획취재팀(boan3@boannews.com)]
사이버 보안 재편 유도, 공급망 공격 자동화, 눈앞에 숨을 수 있는 새로운 지점 생길 것
엔드포인트 보호 및 최소 권한 원칙 적용 등 심층 방어 접근으로 보안 강화해야
[보안뉴스 기획취재팀] 2022년 상반기를 정리해 보면 공격자는 서비스형 멀웨어를 개발 및 판매하고, 공급망 공격을 서슴없이 시도했다. 그런데 앞으로는 사이버 공격자들의 행위가 더욱 대범해지고 공격 측면에서도 혁신이 일어날 것이라는 전망이 나왔다. 특히, 사이버 보안 지형이 크게 바뀔 것이라는 예측이 나와 이목이 집중되고 있다.
[이미지=에스케어]
사이버아크(CyberArk) 연구팀에 따르면 “공격자가 갈수록 진화하면서 혁신의 조짐이 관찰됐다”며 “지난 12개월 동안 관찰한 결과 앞으로 사이버 보안 지형이 크게 바뀔 가능성이 있다. 언더그라운드 기업의 보안 재편 유도와 공급망 공격 자동화 및 확대, 공격자가 눈앞에 숨을 수 있는 새로운 지점이 생길 것”이라는 공격자의 혁신 조짐 3가지를 지목했다.
혁신 1. 언더그라운드 기업, 보안 재편 유도할 것
첫째, 날고 뛰는 공격에 결국 공격자는 방어자의 보안 재편을 꾀할 것이라는 전망이다. 공격자는 소프트웨어 공급업체와 마찬가지로, CI/CD 파이프라인, 클라우드 인프라 및 기타 디지털 기술을 사용해 새로운 서비스형 멀웨어(Malware as a Service, MaaS) 제품을 개발하고 판매한다. 이러한 멀웨어는 강력할 뿐 아니라 바로 손쉽게 사용할 수 있어 초보 공격자를 더욱 대담하게 만든다.
또한, 공격자 그룹은 다양한 이해 관계자의 장점을 끌어들여 서비스를 수익화하고, 익스플로잇 코드 개발자에서 공격 인프라 설계자로, 새로운 익스플로잇 사용자를 타깃으로 공격하는 공격자로 운영을 확장할 것으로 보인다.
하지만 사이버 범죄 그룹도 다중 테넌트 SaaS 애플리케이션을 관리하고, 민감한 시스템과 데이터에 대한 원격 접근을 보호하는 등 자신들의 보안도 강화해야 한다. 결국 이들도 정교한 방어체계 마련에 각별한 신경을 쓸 것으로 전망된다.
혁신 2. 공격자는 OSS를 사용해 공급망 공격을 자동화하고 확대할 것
둘째, 공급망 공격의 자동화 및 확대 추세다. 공격자는 자격증명을 표적화하고 도용해 공급망에 있는 수천 개의 조직에 한 번에 침투할 수 있는 것을 선호한다. 지난 2021년 4월 Codecov 침해에서 알 수 있듯이, 코드 한 줄의 미세한 수정으로 완전히 정상적인 라이브러리를 악의적인 라이브러리로 전환해 라이브러리 사용자 모두를 위험에 빠뜨릴 수 있다.
사이버아크 연구팀은 “지난 12개월 동안 지켜본 결과 공격자는 오픈소스 라이브러리를 손상 시킬 수 있는 새로운 방법을 계속 모색할 것”이라며 “이전에는 공격자가 패키지 이름을 미세하게 변경(예: atlas-client를 atlas_client로 변경)해 이를 포함시켜 코드 패키지를 생성하고, 타이포스쿼팅과 비슷한 공격을 구현했다. 이러한 공격은 실제로 백도어 또는 자격증명 도용 기능을 구현한다. 또 다른 사례에서는 개발자의 자격증명이 손상된 후, 크립토마이닝 스크립트와 자격증명 도용 맬웨어를 실행하기 위해 트로이목마로 NPM 패키지가 이용되기도 했다”고 분석했다.
이러한 라이브러리는 합법적인 운영의 일부로 파이프라인에 배포되며, 대부분의 경우 악성 코드가 종속 파일로 다운로드 되기 때문에 정상적인 라이브러리인 것처럼 보인다. 또한, 이러한 자동화된 공격은 매우 제한적인 서명만으로도 쉽고 빠르게 실행할 수 있어 많은 피해를 유발한다. 특히, 이와 같이 미세한 공격은 신호를 거의 보내지 않아 찾아내기가 매우 어렵기 때문에 조직은 항상 경계해야 한다는 게 사이버아크 연구팀의 설명이다.
혁신 3. 공격자가 바로 눈 앞에 숨어 있을 수 있는 새로운 지점 생길 것
클라우드와 가상화 및 컨테이너 기술 도입으로 인해 보안은 더 복잡해지고, 사이버 범죄자들에게는 새로운 은폐 장소가 생길 것으로 전망했다. 예를 들어, 마이크로 가상화가 널리 사용되면서 공격자는 멀웨어를 가상 시스템에서 격리하는 동시에 호스트 기반의 보안 제어로부터도 숨길 수 있다는 얘기다.
국가와 금융기관 등을 노린 공격자가 엔드포인트 시스템을 손상시키기 위해 새로운 방법을 찾는 중에 자격증명과 인증 프로세스를 보호하는 하위 시스템인 리눅스(Linux)와 윈도우(Windows) 하위 시스템(WSL)과 같은 시스템을 타깃으로 테스트하는 것이 포착됐다.
리눅스 인프라 내에서 랜섬웨어를 실행하면, 엔드포인트 위협 탐지 및 대응(EDR) 도구와 기타 호스트 기반의 엔드포인트 보안 도구는 일반적으로 악의적인 활동을 식별할 수 없다. 공격자는 이를 노리고 숨어 있으면서 쉽게 데이터를 암호화하거나 유출할 수 있다.
이를 위한 대응방안으로 사이버아크는 △Identity △PAM(Privilege Access Management) △EPM(Endpoint Privilege Manager)을 제시했다.
Identity와 관련해 사이버아크 전문파트너 에스케어는 “회사 주요 업무, 시스템(Windows, Mac), VPN에 대한 다중인증 보안(MFA)과 직원들의 입사/퇴사에 따른 주요 업무 시스템 접근 계정에 대한 라이프 사이클 관리를 해야 한다”며 “이와 동시에 업무의 효율성 증대를 위해 웹 업무 접근에 대한 통합 SSO 포탈이 제공돼야 한다”고 설명했다.
이어 PAM와 관련해서는 “주요 시스템(웹 어플리케이션, 네트워크 장비, OS, 데이터베이스 등) 접근에 대한 권한계정을 등록하고, 해당 계정으로 사용되는 모든 세션에 대한 실시간 모니터링 및 기록을 통해 보안 위협에 대응해야 한다”고 강조했다.
마지막으로 EPM에 대해 에스케어 측은 “Windows, Mac, Linux 등 로컬 계정에 대한 관리자 권한을 제거하고, 불필요한 애플리케이션 구동을 차단함으로써 랜섬웨어 등의 실행을 사전에 차단해야 한다”고 당부했다.
[기획취재팀(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
