모바일과 사물인터넷을 통한 공격 매우 미비.. “아직은 이론에서만”
[보안뉴스 문가용] 날로 증가하는 웹 공격, 생각보다 모바일과 사물인터넷의 영향은 미비하다는 연구결과가 나왔다. 그렇다면 웹 공격의 증가에 가장 큰 빌미를 제공하는 것은 무엇일까? 버라이즌 데이터 유출 수사 보고서(Verizon Data Breach Investigations Report, 이하 DBIR)에 따르면 사용자들의 암호다. 버라이즌은 보고서 작성을 위해 6만 4천여 건의 보안 사고를 분석했다.
보고서에 의하면 사용자의 암호 중 63%가 약하거나, 디폴트 그대로 사용되고 있거나, 이미 도난당한 것이라고 한다. 해커들이 사용자의 암호 및 로그인 정보를 노린다는 것 자체는 새로울 것이 없는 소식이나 63%라는 수치 자체는 예상 밖이라는 버라이즌 측의 의견이다. 이번 연구보고서의 공동 저자 중 하나인 마크 스피틀러(Marc Spitler)는 “암호에 문제가 있다는 건 알고 있었지만, 절반이 훨씬 넘는 숫자였을 줄은 몰랐다”고 표현했다.
이를 좀 더 세분화해서 보면, 도난당한 로그인 정보 혹은 암호가 가장 큰 문제라고 보고서는 기록한다. 즉 현재 해커들이 가장 애용하는 공격법은 정식 암호를 탈취한 후, 그걸 활용하는 것이라는 뜻이다. 멀웨어, 피싱, 키로거가 뒤를 잇고 있다.
또 특이한 건 웹 애플리케이션에 대한 공격이 작년 한 해 동안 33% 증가했다는 것이며, 공격의 95%가 ‘금전적인 이득’을 취하기 위해서였다는 사실이다. 그래서 그런지 금융 기관 및 서비스에 대한 웹 공격이 지난 해 31%에서 82%로 급격히 올라갔다. 피해가 늘어난 산업은 그 외에 정보 산업과 도소매업이었다.
사물인터넷과 모바일, 생각보다 양호하다
버라이즌이 수많은 사건을 분석했을 때 모바일 취약점이 결정적인 역할을 한 경우는 매우 드물었다. 2014년의 공격을 분석한 작년 보고서에서도 버라이즌은 비슷한 결과를 얻어낸 바 있다. “수천만 대의 모바일 기기 중 일주일에 약 100대꼴로 공격을 받고 있었습니다. 0.68% 정도로 집계가 되었는데요, 그나마도 대부분 애드웨어(adware : 특정 광고를 노출시키는 멀웨어) 수준이었습니다.”
사물인터넷 기기가 공격에 활용되는 예는 더욱 미비했다. 그래서 이번 보고서에서는 특별히 다뤄지지도 않았다고. “솔직히 사물인터넷 공격은 이론에서만 존재한다고 봐도 무방합니다. 저희가 분석한 사건에서는 없었습니다. 아마 점점 늘어날 것이 분명하긴 하지만, 아직은 특별히 사물인터넷이 공포스러운 때는 아닌 듯 합니다. 사물인터넷이 안전하다고 말하는 건 아닙니다. 아직은 때가 아니라는 겁니다.”
가장 피해를 많이 본 건 누구?
2015년 가장 많은 공격을 받은 건 금융기관들이었다. 데이터 유출 사건만 795건이 있었다. 다음은 호텔 및 숙박업으로 총 282건, 정보 산업이 194건, 공공 기관이 193건, 도소매가 137건, 의료 및 건강 산업이 115건이었다. POS 공격에 대한 보안인식이 높아짐에 따라 도소매업에서 발생한 정보 유출 사건은 2014년에 비해 줄어들었고, 해커들은 호텔 및 숙박업으로 눈길을 돌려, 이 부분에서는 공격이 늘어났다.
또한 공격은 점점 빨라지고 있는데 대응은 여전히 느리다는 결과도 나타났다. 전체 공격의 82%가 수분 내에 발생했고, 원하는 데이터를 조금씩 빼돌리는 데에는 수일이 걸렸다(67%). 하지만 공격을 탐지하는 데에 수일 혹은 더 적게 걸린 조직은 25%도 되지 않았다. “확실히 탐지 기능에서부터 문제가 있습니다. 공격을 전부 차단한다는 건 현실적이지 않습니다. 그러면 공격을 알아채는 것이라도 빨라야죠. 그것도 안 되고 있는 겁니다.”
약한 암호 외에 또 다른 공격 루트로 비상하고 있는 건 콘텐츠 관리 시스템, CMS라는 사실도 드러났다. “CMS에는 플러그인이 정말 많은데요, 플러그인에는 취약점이 정말로 많습니다. 애플리케이션 보안이 어려운 이유는, 이런 셀 수 없이 많은 플러그인과 그것보다 더 많은 취약점들 때문입니다. 여기에 해커가 개입하지 않을 리 없죠.”
또 위에서 말한 것처럼 웹을 통한 데이터 유출 사고의 95%가 금전적인 목적에 기반을 두고 있다. “그래서 온라인 쇼핑몰이나 상점에 대한 공격에서는 웹쉘이 주로 사용되고 있습니다. 지불 관련 애플리케이션 코드 및 사용자 입력 내용을 캡처하기 위해서죠.” POS에 대한 공격은 전부 피싱 및 멀웨어가 활용된 것으로 나타났다.
이번 보고서로 인해 암호가 가지고 있는 보안성에 큰 약점이 있는 것이 보다 명확히 드러났다. 개인정보 및 지불정보를 보호함에 있어 새로운 방법이 거론되어야 할 때다. 올해 6월 9~10일 한국에서 열리는 PIS FAIR(개인정보보호페어)에서 암호 뿐 아니라 개인정보를 보호할 수 있는 여러 수단과 정책, 방침에 대한 참신한 이야기가 나올 것으로 기대된다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>