사물인터넷, 이론에서 현실로 급히 튀어나와
오래된 피싱 공격, 다시 한 번 진화 이뤄내 여전히 현역
[보안뉴스 문가용 기자] 정보보안에서 상록수처럼 변하지 않는 것이 있다면, 공격 기법이 항상 변한다는 사실이다. 2016년도 역시 이 법칙에서 1인치도 벗어나지 못했다. 그렇기에 공격자들은 보안 업계에 비해 항상 한 발 앞선 것처럼 보였고, 보안 업계는 일을 제대로 하지 못하는 것 아니냐는 싫은 소리도 들었다. 공격자들이 어떻게 진화했기에 그랬던 것일까? 올해 있었던 주요한 공격 패턴의 변화들을 아주 간략하게 정리해본다.
.jpg)
▲ 기사 분위기와 완전히 달라서 서프라이즈
1. 이렇게 빨리 시작할 줄 몰라서 서프라이즈
사물인터넷이 보안의 큰 위험 요소라는 경고는 오래전부터 나왔다. 하지만 이전까지는 ‘언젠가 위험하게 될 것이다’ 정도의 수준에서 그쳤다. 이론상으로만 존재하는 것 취급을 받아왔던 것으로, 범죄자들이 사물인터넷 기기들을 당장 2016년부터 공격에 활용할 것이라고 예상하지 못했다. 보안 전문 블로거인 브라이언 크렙스(Brian Krebs)와 프랑스의 호스팅 제공업체인 OVH가 라우터와 웹캠으로 만들어진 봇넷의 디도스 공격에 그렇게 허무하게 무너지는 시나리오도 당연히 예상 범주 안에 없었다.
사물인터넷을 통한 디도스 공격은 심지어 무시무시하기까지 했다. OVH에 가해졌던 디도스 공격은 1초에 1.1 테라바이트의 트래픽이라는 경악할만한 수치를 기록하기도 했을 정도다. 지난 10월 공개된 미라이(Mirai) 코드가 이 예상 밖 현상에 지대한 공헌을 했다. 미라이는 사물인터넷 기기들을 가지고 봇넷을 만들 수 있도록 해주는 멀웨어로, 그 소스코드가 공개되는 바람에 누구나 조금만 찾아보면 무시무시한 디도스 공격을 할 수 있는 사물인터넷 봇넷을 만들 수 있게 되었던 것이다. 이에 당한 것이 미국의 DNS 서비스 업체인 딘(Dyn)으로, 딘의 서비스를 받고 있던 CNN, 트위터, 아마존, 레딧 등 유명 웹 사이트들이 일제히 마비되기도 했었다.
결국 미라이가 공개된 10월부터 지금까지, 단 3개월 만에 ‘이론상 존재하지만 언젠가는 닥쳐올 사물인터넷 보안 사고에 주의하세요’라는 뜨듯 미지근한 경고는 모든 업체의 최고 관심을 받는 보안 이슈가 되어버렸다. 쉽고 강력한 디도스 공격이라는 무기가 공격자들의 손에 쥐어졌기 때문이다.
2. 이렇게 치사해질 줄 몰라서 서프라이즈
연초부터 세계인들의 관심은 힐러리냐 트럼프냐 그것이 문제로다로 정리되는 미국 대선에 쏠렸다. 대통령 선거로까지 가는 과정이 진행되는 동안 사이버 보안 사고도 적지 않았다. 특히 힐러리가 속한 민주당에 해킹 공격이 들어와, 여러 당원들 및 의원들의 이메일이 만천하에 공개되기도 했고, 이는 힐러리의 패배에 일조했다고 전문가들은 분석하고 있다. 미국은 이 사건을 가볍게 다루지 않을 것으로 보이며, 러시아가 주도한 공격이라고 확신하고 있다.
이뿐만이 아니다. 일리노이 주와 애리조나 주의 선거 시스템에도 해킹 공격이 있었다. 이는 누군가 선거 및 투표 과정에 직접 개입했을 가능성도 시사하기 때문에 민주당 당원의 이메일이 공개된 것과는 또 다른 차원의 우려 혹은 분노를 낳는다. 게다가 이것이 사실이라면 사이버전이 타국의 정치 시스템에 직접 영향을 끼친 첫 공식 사례가 된다. 오바마 대통령은 얼마 남지 않은 임기 동안 이를 끝까지 파헤치려는 것으로 보이고, 트럼프 차기 대통령은 이에 대해 더는 수사하지 않으려는 의지를 보이고 있다.
정치적인 문제는 그렇다 치고, 러시아가 미국 대선에 개입했다는 의혹이 사실로 드러날 경우 사이버 보안의 측면에서 봤을 때도 의미가 작지 않다. 은밀함으로 수행되고, 의혹과 발뺌으로만 끝났던 사이버전의 전형적인 양상에 ‘신상 털기’ 요소가 가미되었기 때문이다. 이는, 주요 정보와 기밀을 빼내는 것 자체가 이전 사이버전의 주요 목적이었다면, 이제는 지정학적인 유리함을 선점하기 위한 보조 도구로서도 사이버전이 활용된다는 뜻이 된다. 그래서 많은 전문가들은 더 많은 선동 및 선전 활동이 온라인 상에서 벌어질 것이라고 내다보고 있다.
3. 이렇게까지 자랄 줄 몰라서 서프라이즈
2016년의 사이버 보안 및 사고들을 단 한 마디로 정리하라면 대부분 랜섬웨어라고 답할 것이다. 금융 관련 업체들 중 55%, 즉 절반 이상이 올해 랜섬웨어 하나 때문에만 10~50만 달러의 손실을 봤다고 한다. 금융 업체라고 하면 최고의 보안 수준을 자랑하는 곳들이기 때문에 이 55%라는 숫자는 매우 의미심장하다. 평소라면 뚫리지 말아야 할 곳이 절반 이상이나 공격을 허용했기 때문이다.
랜섬웨어는 금융업만 노리지 않았다. 올해 초에는 병원들이 랜섬웨어에 혼쭐이 났다. 2월, 할리우드장로병원이 1주일이 넘는 마비 상태 끝에 1만 7천 달러라는 돈을 범인들에게 지불했고, LA주 의료청, 헨더슨감리교병원, 남 캘리포니아 주의 대형 병원 두 곳 역시 연달아 랜섬웨어에 당했다. 그리고 그 불똥은 교육계로 튀어 학생들의 개인정보가 계속해서 인질이 되기도 했다.
결국 올해 발견된 랜섬웨어 샘플만 봐도 지난 해에 비해 약 80%나 그 수가 늘었다는 계산이 나온다. 게다가 기능이 기발하고 강력해진 것들도 등장한 건 우리가 익히 알고 있는 바다. 예를 들어 3월에 나온 페트야(Petya)는 파일을 암호화하는 게 아니라 하드 디스크 전체를 암호화하며 화려하게 등장했다. 말하는 랜섬웨어라는 케르베르(Cerber)도 나오고, 고객들을 위한 상담 데스크까지 마련된 랜섬웨어도 있었다. 게다가 각종 익스플로잇 킷 역시 랜섬웨어를 탑재하기 시작하면서, 그야 말로 온 세상이 랜섬웨어로 가득하게 되었다. 이미 보안의 역사에서 2016년은 ‘랜섬웨어의 해’로 기록되고 있다.
4. 이렇게 큰 금액일 줄 몰라서 서프라이즈
이전에는 누군가 은행을 공격한다고 한다면 고객들의 계좌 정보를 훔쳐내는 것 정도였다. 끽해봐야 회사의 공식 계좌에 침투하는 것이 다였다. 물론 지금도 이런 범죄들은 계속해서 이루어지고 있으며, 다 공개되지 않을 뿐 많은 업체들이 크고 작은 돈들을 이런 사이버 범죄로 인해 잃고 있다. 하지만 올해 급이 다른 은행 관련 사고가 터졌다. 아직도 다 밝혀지지 않은 공격자들이 세계 은행들 사이의 통신 시스템인 SWIFT를 공략해 은행털이 역사상 가장 큰 금액의 돈을 훔쳐낸 것이다.
이른바 방글라데시 중앙은행 사건으로 올해 2월에 발생했으며, 총 8천 1백만 달러의 돈이 방글라데시의 계정으로부터 스리랑카, 필리핀 등의 계좌로 흩어진 것이다. SWIFT는 방글라데시 중앙은행의 자체 취약점 때문에 이 일이 벌어진 것이라고 했고, 중앙은행은 SWIFT 메신저 탓이라고 했다. 하지만 수사를 진행하다보니 SWIFT를 통한 도난 사건이 과거에도 이미 몇 차례 있었다는 게 드러났다. 결국 SWIFT는 메신저 업데이트를 진행했고, 은행들은 서둘러 이를 설치했다.
이 사건은 누군가는 은행의 긴밀한 네트워크와 시스템을 아주 잘 이해하고 있고, 이를 악용할 준비가 되어 있다는 경각심을 주기에 충분했다. 이런 지식을 가진 자들이 적국의 해킹 부대에 포진해 있다면 어떨까? 정치와 경제 시스템이 이런 큰 사건들로 흔들리기 시작하면 앞으로 어떤 일이 일어날까? 2017년이 어떤 형태로 빚어질지 많은 전문가들이 두려움 찬 시선으로 바라보는 것도 무리가 아니다. 시만텍의 CSO인 브라이언 케년(Brian Kenyon)은 “내년 많은 국가들의 정치, 경제, 군사 시스템에서 혼란이 가중될 것으로 보인다”고 말한다.
5. 이렇게 오래 살아남을 줄 몰라서 서프라이즈
이미 고전의 반열에 들어서도 무리가 없을 그 이름, 피싱. 여전히 범죄자들 사이에서 가장 인기가 높은 공격 방법으로 남아있다. 2016년에 발생한 공격 중 91%가 피싱 공격으로부터 시작되었다는 통계가 나왔을 정도다. 올해는 이 지난한 공격 기법의 역사에서도 특이할 만한 해인데, 바로 PhaaS라는 서비스형 피싱 공격 기법이 개발되었기 때문이다. PhaaS를 활용하면 공격자들이 1) 공격 비용을 낮출 수 있게 되고, 2) 공격 효율을 높일 수 있으며, 3) 공격 난이도가 쉬워져 누구나 피싱 공격을 시도할 수 있게 된다고 한다.
PhaaS의 비밀은 엉뚱한 웹 서버를 미리 감염시켜, 그곳에서부터 공격을 실시하는 것이다. 호스팅 업체나 서버 소유 업체는 이러한 사실을 전혀 모른다고 한다. 그러니 인프라 비용도 많이 들지 않고, 공격자가 자신을 숨기기에도 더 없이 좋은 환경이 마련되는 것이다. 보안업체인 임퍼바(Imperva)가 실험한 결과 PhaaS를 활용할 경우 공격 비용이 1/4 수준으로 내려간다고 한다. 때문에 2017년은 피싱이 성행할 것으로 예상된다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
오래된 피싱 공격, 다시 한 번 진화 이뤄내 여전히 현역
[보안뉴스 문가용 기자] 정보보안에서 상록수처럼 변하지 않는 것이 있다면, 공격 기법이 항상 변한다는 사실이다. 2016년도 역시 이 법칙에서 1인치도 벗어나지 못했다. 그렇기에 공격자들은 보안 업계에 비해 항상 한 발 앞선 것처럼 보였고, 보안 업계는 일을 제대로 하지 못하는 것 아니냐는 싫은 소리도 들었다. 공격자들이 어떻게 진화했기에 그랬던 것일까? 올해 있었던 주요한 공격 패턴의 변화들을 아주 간략하게 정리해본다.
▲ 기사 분위기와 완전히 달라서 서프라이즈
1. 이렇게 빨리 시작할 줄 몰라서 서프라이즈
사물인터넷이 보안의 큰 위험 요소라는 경고는 오래전부터 나왔다. 하지만 이전까지는 ‘언젠가 위험하게 될 것이다’ 정도의 수준에서 그쳤다. 이론상으로만 존재하는 것 취급을 받아왔던 것으로, 범죄자들이 사물인터넷 기기들을 당장 2016년부터 공격에 활용할 것이라고 예상하지 못했다. 보안 전문 블로거인 브라이언 크렙스(Brian Krebs)와 프랑스의 호스팅 제공업체인 OVH가 라우터와 웹캠으로 만들어진 봇넷의 디도스 공격에 그렇게 허무하게 무너지는 시나리오도 당연히 예상 범주 안에 없었다.
사물인터넷을 통한 디도스 공격은 심지어 무시무시하기까지 했다. OVH에 가해졌던 디도스 공격은 1초에 1.1 테라바이트의 트래픽이라는 경악할만한 수치를 기록하기도 했을 정도다. 지난 10월 공개된 미라이(Mirai) 코드가 이 예상 밖 현상에 지대한 공헌을 했다. 미라이는 사물인터넷 기기들을 가지고 봇넷을 만들 수 있도록 해주는 멀웨어로, 그 소스코드가 공개되는 바람에 누구나 조금만 찾아보면 무시무시한 디도스 공격을 할 수 있는 사물인터넷 봇넷을 만들 수 있게 되었던 것이다. 이에 당한 것이 미국의 DNS 서비스 업체인 딘(Dyn)으로, 딘의 서비스를 받고 있던 CNN, 트위터, 아마존, 레딧 등 유명 웹 사이트들이 일제히 마비되기도 했었다.
결국 미라이가 공개된 10월부터 지금까지, 단 3개월 만에 ‘이론상 존재하지만 언젠가는 닥쳐올 사물인터넷 보안 사고에 주의하세요’라는 뜨듯 미지근한 경고는 모든 업체의 최고 관심을 받는 보안 이슈가 되어버렸다. 쉽고 강력한 디도스 공격이라는 무기가 공격자들의 손에 쥐어졌기 때문이다.
2. 이렇게 치사해질 줄 몰라서 서프라이즈
연초부터 세계인들의 관심은 힐러리냐 트럼프냐 그것이 문제로다로 정리되는 미국 대선에 쏠렸다. 대통령 선거로까지 가는 과정이 진행되는 동안 사이버 보안 사고도 적지 않았다. 특히 힐러리가 속한 민주당에 해킹 공격이 들어와, 여러 당원들 및 의원들의 이메일이 만천하에 공개되기도 했고, 이는 힐러리의 패배에 일조했다고 전문가들은 분석하고 있다. 미국은 이 사건을 가볍게 다루지 않을 것으로 보이며, 러시아가 주도한 공격이라고 확신하고 있다.
이뿐만이 아니다. 일리노이 주와 애리조나 주의 선거 시스템에도 해킹 공격이 있었다. 이는 누군가 선거 및 투표 과정에 직접 개입했을 가능성도 시사하기 때문에 민주당 당원의 이메일이 공개된 것과는 또 다른 차원의 우려 혹은 분노를 낳는다. 게다가 이것이 사실이라면 사이버전이 타국의 정치 시스템에 직접 영향을 끼친 첫 공식 사례가 된다. 오바마 대통령은 얼마 남지 않은 임기 동안 이를 끝까지 파헤치려는 것으로 보이고, 트럼프 차기 대통령은 이에 대해 더는 수사하지 않으려는 의지를 보이고 있다.
정치적인 문제는 그렇다 치고, 러시아가 미국 대선에 개입했다는 의혹이 사실로 드러날 경우 사이버 보안의 측면에서 봤을 때도 의미가 작지 않다. 은밀함으로 수행되고, 의혹과 발뺌으로만 끝났던 사이버전의 전형적인 양상에 ‘신상 털기’ 요소가 가미되었기 때문이다. 이는, 주요 정보와 기밀을 빼내는 것 자체가 이전 사이버전의 주요 목적이었다면, 이제는 지정학적인 유리함을 선점하기 위한 보조 도구로서도 사이버전이 활용된다는 뜻이 된다. 그래서 많은 전문가들은 더 많은 선동 및 선전 활동이 온라인 상에서 벌어질 것이라고 내다보고 있다.
3. 이렇게까지 자랄 줄 몰라서 서프라이즈
2016년의 사이버 보안 및 사고들을 단 한 마디로 정리하라면 대부분 랜섬웨어라고 답할 것이다. 금융 관련 업체들 중 55%, 즉 절반 이상이 올해 랜섬웨어 하나 때문에만 10~50만 달러의 손실을 봤다고 한다. 금융 업체라고 하면 최고의 보안 수준을 자랑하는 곳들이기 때문에 이 55%라는 숫자는 매우 의미심장하다. 평소라면 뚫리지 말아야 할 곳이 절반 이상이나 공격을 허용했기 때문이다.
랜섬웨어는 금융업만 노리지 않았다. 올해 초에는 병원들이 랜섬웨어에 혼쭐이 났다. 2월, 할리우드장로병원이 1주일이 넘는 마비 상태 끝에 1만 7천 달러라는 돈을 범인들에게 지불했고, LA주 의료청, 헨더슨감리교병원, 남 캘리포니아 주의 대형 병원 두 곳 역시 연달아 랜섬웨어에 당했다. 그리고 그 불똥은 교육계로 튀어 학생들의 개인정보가 계속해서 인질이 되기도 했다.
결국 올해 발견된 랜섬웨어 샘플만 봐도 지난 해에 비해 약 80%나 그 수가 늘었다는 계산이 나온다. 게다가 기능이 기발하고 강력해진 것들도 등장한 건 우리가 익히 알고 있는 바다. 예를 들어 3월에 나온 페트야(Petya)는 파일을 암호화하는 게 아니라 하드 디스크 전체를 암호화하며 화려하게 등장했다. 말하는 랜섬웨어라는 케르베르(Cerber)도 나오고, 고객들을 위한 상담 데스크까지 마련된 랜섬웨어도 있었다. 게다가 각종 익스플로잇 킷 역시 랜섬웨어를 탑재하기 시작하면서, 그야 말로 온 세상이 랜섬웨어로 가득하게 되었다. 이미 보안의 역사에서 2016년은 ‘랜섬웨어의 해’로 기록되고 있다.
4. 이렇게 큰 금액일 줄 몰라서 서프라이즈
이전에는 누군가 은행을 공격한다고 한다면 고객들의 계좌 정보를 훔쳐내는 것 정도였다. 끽해봐야 회사의 공식 계좌에 침투하는 것이 다였다. 물론 지금도 이런 범죄들은 계속해서 이루어지고 있으며, 다 공개되지 않을 뿐 많은 업체들이 크고 작은 돈들을 이런 사이버 범죄로 인해 잃고 있다. 하지만 올해 급이 다른 은행 관련 사고가 터졌다. 아직도 다 밝혀지지 않은 공격자들이 세계 은행들 사이의 통신 시스템인 SWIFT를 공략해 은행털이 역사상 가장 큰 금액의 돈을 훔쳐낸 것이다.
이른바 방글라데시 중앙은행 사건으로 올해 2월에 발생했으며, 총 8천 1백만 달러의 돈이 방글라데시의 계정으로부터 스리랑카, 필리핀 등의 계좌로 흩어진 것이다. SWIFT는 방글라데시 중앙은행의 자체 취약점 때문에 이 일이 벌어진 것이라고 했고, 중앙은행은 SWIFT 메신저 탓이라고 했다. 하지만 수사를 진행하다보니 SWIFT를 통한 도난 사건이 과거에도 이미 몇 차례 있었다는 게 드러났다. 결국 SWIFT는 메신저 업데이트를 진행했고, 은행들은 서둘러 이를 설치했다.
이 사건은 누군가는 은행의 긴밀한 네트워크와 시스템을 아주 잘 이해하고 있고, 이를 악용할 준비가 되어 있다는 경각심을 주기에 충분했다. 이런 지식을 가진 자들이 적국의 해킹 부대에 포진해 있다면 어떨까? 정치와 경제 시스템이 이런 큰 사건들로 흔들리기 시작하면 앞으로 어떤 일이 일어날까? 2017년이 어떤 형태로 빚어질지 많은 전문가들이 두려움 찬 시선으로 바라보는 것도 무리가 아니다. 시만텍의 CSO인 브라이언 케년(Brian Kenyon)은 “내년 많은 국가들의 정치, 경제, 군사 시스템에서 혼란이 가중될 것으로 보인다”고 말한다.
5. 이렇게 오래 살아남을 줄 몰라서 서프라이즈
이미 고전의 반열에 들어서도 무리가 없을 그 이름, 피싱. 여전히 범죄자들 사이에서 가장 인기가 높은 공격 방법으로 남아있다. 2016년에 발생한 공격 중 91%가 피싱 공격으로부터 시작되었다는 통계가 나왔을 정도다. 올해는 이 지난한 공격 기법의 역사에서도 특이할 만한 해인데, 바로 PhaaS라는 서비스형 피싱 공격 기법이 개발되었기 때문이다. PhaaS를 활용하면 공격자들이 1) 공격 비용을 낮출 수 있게 되고, 2) 공격 효율을 높일 수 있으며, 3) 공격 난이도가 쉬워져 누구나 피싱 공격을 시도할 수 있게 된다고 한다.
PhaaS의 비밀은 엉뚱한 웹 서버를 미리 감염시켜, 그곳에서부터 공격을 실시하는 것이다. 호스팅 업체나 서버 소유 업체는 이러한 사실을 전혀 모른다고 한다. 그러니 인프라 비용도 많이 들지 않고, 공격자가 자신을 숨기기에도 더 없이 좋은 환경이 마련되는 것이다. 보안업체인 임퍼바(Imperva)가 실험한 결과 PhaaS를 활용할 경우 공격 비용이 1/4 수준으로 내려간다고 한다. 때문에 2017년은 피싱이 성행할 것으로 예상된다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.JPG)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
