PC 보편화한 1980년대 후반부터 지난해 등장한 워너크라이까지
1세대~5세대 공격·보안 총정리... 5세대 보안 준비된 곳은 단 3%
[보안뉴스 오다인 기자] 시간이 쌓이면 시대가 된다. 사이버(Cyber) 지형에도 시대를 나눌 수 있을 만큼 시간이 축적됐다. ‘방화벽(Firewall)’이라는 개념을 세계에 최초로 소개한 보안업체 체크포인트(Check Point)는 현대를 ‘5세대(5th Generation)’로 구분한다.
[이미지=iclickart]
본지는 개리 킨슬리(Gary Kinsley) 체크포인트 아시아 지역 이사를 만나 사이버 공격과 보안의 시대별 변천에 대해 들었다. 인터뷰는 킨슬리 이사가 방한 중이던 지난 10일 서울 강남구 체크포인트코리아 회의실에서 진행됐다.
킨슬리 이사는 2003년부터 사이버 보안업계에 종사해 왔다. 2014년 체크포인트에 합류한 뒤 아시아·중동·아프리카 지역의 매니징 파트너로 일하고 있다. 사이버 보안 전도사(Evengelist)로서 기업들의 보안 수준을 높이고 공격 리스크를 최소화하는 데 몰두하고 있다.
1세대 공격(1980년대 후반): 바이러스 출몰과 백신의 등장
개인용 컴퓨터(PC)가 대중들 사이에서 보편적으로 쓰임에 따라 바이러스(Virus)가 출몰했다. 바이러스는 컴퓨터에 자기 복제되는 악성 소프트웨어 프로그램이다. 바이러스는 PC 이용자를 비롯해 기업들을 감염시키기 시작했다. 이 같은 바이러스 공격이 빈발하고 피해가 확산되자 상용 백신(Anti-virus) 소프트웨어들이 개발돼 나왔다.
이 시기, 이용자들은 파일을 공유하기 위해 이동식 플로피 디스크(Floppy Disk)를 주로 사용했는데 이는 바이러스의 감염 매개가 되기도 했다.
‘해킹(hacking)’이라는 용어 역시 1980년대에 보편화됐다. 해킹은 ‘컴퓨터에 지장을 주거나 컴퓨터를 공격하는 소프트웨어 프로그램을 작성하는 활동’을 일컫는 말로 쓰였다. 어두컴컴한 지하에 은둔하는 해커라는 이미지도 이때 만들어졌다. 호기심이나 재미, 또는 자신의 똑똑함을 과시하려는 목적에서 컴퓨터 시스템을 해킹하는 10대 청소년들이 대다수였다.
잘 알려진 1세대 공격으로는 ‘엘크 클로너(Elk Cloner)’와 ‘브레인(Brain)’이 있다. 엘크 클로너는 PC 감염을 목적으로 작성·유포된 최초의 바이러스였다. 리처드 스크렌타(Richard Skrenta)라는 15살짜리 소년이 재미(joke)로 만들었는데, 감염된 컴퓨터는 50번째 부팅마다 짧은 시(poem)가 화면에 나타나 이용자에게 짜증을 불러일으켰다고 전해진다.
브레인은 전 세계에 전파된 최초의 바이러스다. 1988년 두 명의 형제에 의해 ‘실수로’ 만들어졌다. 바싯 파루크 알비(Basit Farooq Alvi)과 암자드 파루크 알비(Amjad Farooq Alvi)는 자신들이 개발한 소프트웨어 제품의 불법 복제를 막기 위해 ‘어떤 것’을 제작했는데 이것이 잘못돼 자기 복제하는 바이러스가 돼 버렸다.
최초의 백신은 1985년에 나왔다. 이는 G 데이터 소프트웨어(G Data Software)가 만들었으며, 1987년에는 존 맥아피(John McAfee)가 보안업체 맥아피(McAfee)를 설립한 뒤 ‘바이러스스캔(VirusScan)’을 배포했다.
한편, 미국 컴퓨터 과학자 프레드 코헨(Fred Cohen)은 1987년에 이미 이렇게 말한 바 있다. “모든 컴퓨터 바이러스를 완벽하게 탐지할 수 있는 알고리즘은 없다.”
▲개리 킨슬리(Gary Kinsley) 체크포인트 아시아 지역 이사[사진=개리 킨슬리]
2세대 공격(1990년대 중반): 네트워크 공격과 방화벽의 탄생
인터넷 시대가 개막하면서 모두가 ‘온라인으로’ 이동하게 됐다. 컴퓨터가 네트워크로 연결되고 정부기관·기업·대중이 인터넷으로 묶이면서 악성 소프트웨어가 넓고 빠르게 퍼질 수 있는 문도 함께 열렸다. 연결된 것은 무엇이든 접근할 수 있게 된 이 시기, 네트워크 방화벽(firewall)이 고안됐다.
컴퓨터 간 네트워킹이 활발해지면서 해커들은 월드 와이드 웹(WWW)과 웹사이트로 거점을 옮긴다. 연결성이 높아짐에 따라 공격의 속도와 피해도 높아졌다. 사이버 범죄와 사이버 도난이 이때부터 꿈틀거리게 된다.
2세대 공격의 대표격인 ‘모리스 웜(Morris Worm)’은 1988년 11월 등장했다. 미국 코넬 대학교의 대학원생이던 로버트 모리스(Robert Morris)는 별다른 악의 없이 모리스 웜을 제작했다. 그는 인터넷의 크기를 측정해 보려고 웜을 만들었다고 주장했는데, 이 웜의 오류 때문에 감염 컴퓨터들이 서비스 거부 상태를 겪게 됐다. 약 60,000대의 호스트 시스템이 감염된 것으로 전해진다.
최초의 사이버 범죄는 1994년 미국 시티뱅크(Citibank)를 겨냥한 공격으로 알려져 있다. 러시아에 사는 블라디미르 레빈(Vladimir Levin)은 1994년 여름 자신의 방에서 2달여 동안 미국 시티뱅크 컴퓨터를 해킹해 1,000만 달러(약 108억 원) 이상을 빼돌렸다. 레빈은 미국 연방수사국(FBI)의 추적 끝에 체포됐다.
1999년에는 네트워크 프로그래머 데이비드 스미스(David Smith)가 ‘멜리사 바이러스(Melissa Virus)’를 인터넷에 유포시키기도 했다. 이 바이러스는 마이크로소프트 워드 문서 매크로(macro)에 담겨 있었다. 약 100,000개 이메일 서버를 마비시키고 8,000만 달러(약 866억 원)가량의 손해를 끼쳤다.
네트워크 방화벽은 공용 인터넷에서 개인용 네트워크에 대한 접근을 통제하기 위해 개발됐다. 네트워크 간 장벽을 세우는 것이라고 볼 수 있는데, 흐르는 트래픽 중 어떤 것을 허용하고 어떤 것을 차단할 것인지 규칙(rule)이 있다. 체크포인트는 1994년 ‘방화벽-1(Firewall-1)’을 출시했다.
3세대 공격(2000년대 초반): 애플리케이션 취약점 익스플로잇과 IPS
2000년대 초반 공격자들은 ‘취약점(vulnerability)’을 활용하는 법을 배운다. 취약점이란 ‘시스템 보안 정책을 위반하는 데 악용될 수 있는 시스템 설계·실행·운영·관리에서의 결점 또는 약점’을 뜻한다(국제인터넷표준화기구).
공격자의 먹잇감이 되는 취약점은 너무도 많았다. 운영체제(OS)를 비롯해 애플리케이션에도 취약점이 넘쳐났다. 노련한 공격자는 개인용 네트워크를 뚫고 들어갈 수 있었다. 취약점을 겨냥한 공격은 방화벽·백신·IDS(Intrusion Detection System) 등으로 쉽게 탐지하거나 막을 수 없었다. IDS가 IPS(Intrusion Prevention System)으로 진보하게 된 계기다.
사이버 공격을 설명할 때 ‘정교함(Sophistication)’이라는 단어가 쓰인 건 이 시기부터다. 공격자들은 특정한 취약점을 식별해내기 위해 네트워크와 소프트웨어를 분석하기 시작했다. 공격을 설계하고 타깃의 운영이나 자산에 타격을 주기 위해서였다. ‘사회공학적 기법(Social Engineering)’도 이때 대두했다.
2000년 5월 4일 ‘아이러브유(ILOVEYOU)’ 바이러스가 돈다. 바이러스를 전파시키는 이메일 제목이 아이러브유였다. 그 피해가 얼마나 막심했던지 ‘타임지(Time)’ 커버를 장식하기에 이른다. 기업들과 보안업체들은 아이러브유라는 제목의 이메일을 검사하기 시작했지만 공격자들은 제목만 바꿔가며 피해를 확산시켰다.
아이러브유 바이러스는 이메일 수신자의 마이크로소프트 아웃룩 주소록에 있는 모든 사람에게 해당 이메일을 재전송했다. 게다가 이메일 수신자의 하드디스크에서 JPEG, MP3 등의 파일을 삭제해 버렸다. 마이크로소프트 아웃룩은 기업에서 사용되는 경우가 많았기 때문에 기업의 피해가 특히 컸다. 바이러스 감염을 막기 위해 당시 수많은 기업이 이메일 자체를 폐쇄시켜버리기도 했다. 이밖에도 ‘SQL슬래머(SQLSlammer)’, ‘에스토니아(Estonia)’ 등의 공격이 발생했다.
이 시기 IT 산업의 폭발적인 성장과 함께 보안업체와 제품도 크게 증가했다. 보안업체들은 보안의 세부영역마다 특화한 보안제품들을 만들어내기 시작했다. 보안 인프라를 구축하기 위해 ‘포인트 솔루션(point solution)’ 모델이 주목받은 것도 이때다. 특정한 공격을 막기 위해, 또는 특정한 서비스를 보호하기 위해 기업들은 그때마다 새 보안 제품을 추가했다.
4세대 공격(2010년 전후): 페이로드, 타깃형 공격, 그리고 샌드박스
공격자가 전문가의 반열에 오른 건 2010년을 전후한 시점에서다. 국제적인 스파이 활동이나 대규모 개인정보 유출에 이르기까지 사이버 공격이 뉴스 헤드라인에 이 즈음 자주 등장했다. 기업 이사회에서 사이버 공격을 논의하기 시작했고 정부 차원의 수사도 이때 본격적으로 시작됐다.
4세대 해커들은 이력서 또는 사진 파일 등에 숨어서 정교한 공격을 도모했다. 이들은 이용자가 업무를 처리할 때 주로 행해지는 일, 예컨대 공식적으로 보이는 이메일을 가장해 첨부파일을 열도록 유인하는 수법을 썼다. 인터넷상에서 회사 파일을 다운로드 받거나 노트북에 USB를 꽂는 것 등을 아울러 공격은 조용히 이뤄졌다.
2010년 가을 발견된 ‘스턱스넷(Stuxnet)’ 웜은 이 시기 대표적인 공격이다. 이란의 나탄즈(Natanz) 우라늄 농축 시설을 사보타주한 이 공격은 지금까지도 가장 진보한 공격으로 평가된다. 스턱스넷은 시설 내 매우 특정한 제어 장비를 찾아 감염시켰고, 결과적으로 불구화했다. 사건 이후, 미국과 이스라엘이 이란의 핵 개발 계획을 저지하기 위해 스턱스넷을 제작했다는 사실이 보도된 바 있다.
미국의 대형 유통업체 타깃(Target)은 2013년 12월 사이버 공격에 당해 뉴스 헤드라인을 장식한다. 타깃 포스(POS) 시스템에 깔린 멀웨어 때문에 소비자 4,000만 명의 결제카드정보 및 개인정보가 유출된다. 재정적인 피해는 말할 것도 없고, 이 사건으로 타깃 최고경영자(CEO)와 이사장이 사임했다.
4세대에는 시그니처 기반 방어만으로는 충분치 않다는 인식이 싹 텄다. 공격이 발견·분석되고 업계에 알려진 이후에야 도출된 시그니처인데, 이것에 바탕해 만들어진 보안 제품들이 크게 효과적일 수 없다는 생각에 기인한 것이었다. 이에 ‘알려지지 않은(Unknown)’ 공격과 ‘제로데이(zero-day)’ 공격을 방어하기 위한 기술들이 개발됐다. ‘안티-봇(anti-bot)’과 ‘샌드박스(sandbox)’가 나타난 배경이다.
샌드박스 등 포인트 솔루션이 계속해서 덧붙여지다 보니 보안 인프라가 하나로 통합되지 못하고 더욱 복잡해지는 문제도 생겼다.
5세대 공격(2017년 전후): 대규모·멀티벡터의 ‘메가 공격’ 도래
지난해 워너크라이(WannaCry) 공격은 150개국 300,000대의 컴퓨터에 영향을 끼쳤다. 워너크라이는 미국 국가안보국(NSA)이 개발한 익스플로잇 ‘이터널블루(EternalBlue)’를 활용한 랜섬웨어였다. 이처럼 정부기관에서 개발한 고도의 툴이 유출됨에 따라 대규모·멀티벡터의 ‘메가 공격(Mega Attack)’ 시대가 도래하게 됐다.
맞춤 제작된 정교한 멀웨어들이 IT 인프라의 각종 매개를 타고 전파되는 중이다. 기업 네트워크, 클라우드 인스턴스, 원격 사무실, 모바일 기기, 서드파티 등 공격자들은 침투할 수 있는 모든 매개를 살핀다. 현대의 공격과 관련해 세계경제포럼(WEF)은 ‘글로벌 리스크 리포트 2018’에서 “한때 매우 이례적이라고 여겨졌던 사건들이 점점 더 흔하게 발생하고 있다”고 서술했다.
지금은 △사이버 범죄자가 자체적인 소셜 네트워크를 갖고 있고 △멀웨어에 라이선스가 부여될 수 있으며 △봇넷을 시간당 대여하거나 △돈을 지불하고 멀웨어 감염 서비스를 이용할 수 있는 데다 △제로데이 익스플로잇 시장이 활성화한 때다.
개리 킨슬리 체크포인트 아시아 지역 이사는 “기업의 보안 수준이 다가올 공격의 수준보다 매우 낮은 상황”이라면서 “5세대 공격에 대응하기 위해선 무엇보다 통합적인 보안 인프라가 필요하다”고 강조했다. 한 마디로 ‘보안 아키텍처’를 구축하는 것이 시급하다는 것. 공격 매개와 전파 경로는 인터넷에 연결된 그 어떤 것도 될 수 있기 때문이다.
체크포인트가 2018년 1분기 설문조사한 결과에 따르면, 5세대 공격에 상응하는 보안을 구축한 기업은 단 3%에 불과했다. 세대별로는 △1세대 82% △2세대 95% △3세대 97% △4세대 21%로 나타났다.
5세대 보안은 △앞선 세대의 보안 솔루션들을 하나의 통합된 보안 시스템으로 연결·구축하는 것(consolidate) △실시간 위협 정보를 실시간으로 공유하는 것 △새롭고 진화한 5세대 공격을 최초에 막아내는 것(patient-zero) △클라우드 및 모바일 환경까지 아울러 단 하나의 통합된 보안 시스템으로 방어하는 것 △기업의 전체 IT 인프라를 공격으로부터 일률적으로 방어하는 것 △모든 보안 활동과 이벤트를 중앙에서 관리·모니터링·대응하는 것을 말한다.
[오다인 기자(boan2@boannews.com)]
1세대~5세대 공격·보안 총정리... 5세대 보안 준비된 곳은 단 3%
[보안뉴스 오다인 기자] 시간이 쌓이면 시대가 된다. 사이버(Cyber) 지형에도 시대를 나눌 수 있을 만큼 시간이 축적됐다. ‘방화벽(Firewall)’이라는 개념을 세계에 최초로 소개한 보안업체 체크포인트(Check Point)는 현대를 ‘5세대(5th Generation)’로 구분한다.
[이미지=iclickart]
본지는 개리 킨슬리(Gary Kinsley) 체크포인트 아시아 지역 이사를 만나 사이버 공격과 보안의 시대별 변천에 대해 들었다. 인터뷰는 킨슬리 이사가 방한 중이던 지난 10일 서울 강남구 체크포인트코리아 회의실에서 진행됐다.
킨슬리 이사는 2003년부터 사이버 보안업계에 종사해 왔다. 2014년 체크포인트에 합류한 뒤 아시아·중동·아프리카 지역의 매니징 파트너로 일하고 있다. 사이버 보안 전도사(Evengelist)로서 기업들의 보안 수준을 높이고 공격 리스크를 최소화하는 데 몰두하고 있다.
1세대 공격(1980년대 후반): 바이러스 출몰과 백신의 등장
개인용 컴퓨터(PC)가 대중들 사이에서 보편적으로 쓰임에 따라 바이러스(Virus)가 출몰했다. 바이러스는 컴퓨터에 자기 복제되는 악성 소프트웨어 프로그램이다. 바이러스는 PC 이용자를 비롯해 기업들을 감염시키기 시작했다. 이 같은 바이러스 공격이 빈발하고 피해가 확산되자 상용 백신(Anti-virus) 소프트웨어들이 개발돼 나왔다.
이 시기, 이용자들은 파일을 공유하기 위해 이동식 플로피 디스크(Floppy Disk)를 주로 사용했는데 이는 바이러스의 감염 매개가 되기도 했다.
‘해킹(hacking)’이라는 용어 역시 1980년대에 보편화됐다. 해킹은 ‘컴퓨터에 지장을 주거나 컴퓨터를 공격하는 소프트웨어 프로그램을 작성하는 활동’을 일컫는 말로 쓰였다. 어두컴컴한 지하에 은둔하는 해커라는 이미지도 이때 만들어졌다. 호기심이나 재미, 또는 자신의 똑똑함을 과시하려는 목적에서 컴퓨터 시스템을 해킹하는 10대 청소년들이 대다수였다.
잘 알려진 1세대 공격으로는 ‘엘크 클로너(Elk Cloner)’와 ‘브레인(Brain)’이 있다. 엘크 클로너는 PC 감염을 목적으로 작성·유포된 최초의 바이러스였다. 리처드 스크렌타(Richard Skrenta)라는 15살짜리 소년이 재미(joke)로 만들었는데, 감염된 컴퓨터는 50번째 부팅마다 짧은 시(poem)가 화면에 나타나 이용자에게 짜증을 불러일으켰다고 전해진다.
브레인은 전 세계에 전파된 최초의 바이러스다. 1988년 두 명의 형제에 의해 ‘실수로’ 만들어졌다. 바싯 파루크 알비(Basit Farooq Alvi)과 암자드 파루크 알비(Amjad Farooq Alvi)는 자신들이 개발한 소프트웨어 제품의 불법 복제를 막기 위해 ‘어떤 것’을 제작했는데 이것이 잘못돼 자기 복제하는 바이러스가 돼 버렸다.
최초의 백신은 1985년에 나왔다. 이는 G 데이터 소프트웨어(G Data Software)가 만들었으며, 1987년에는 존 맥아피(John McAfee)가 보안업체 맥아피(McAfee)를 설립한 뒤 ‘바이러스스캔(VirusScan)’을 배포했다.
한편, 미국 컴퓨터 과학자 프레드 코헨(Fred Cohen)은 1987년에 이미 이렇게 말한 바 있다. “모든 컴퓨터 바이러스를 완벽하게 탐지할 수 있는 알고리즘은 없다.”
▲개리 킨슬리(Gary Kinsley) 체크포인트 아시아 지역 이사[사진=개리 킨슬리]
2세대 공격(1990년대 중반): 네트워크 공격과 방화벽의 탄생
인터넷 시대가 개막하면서 모두가 ‘온라인으로’ 이동하게 됐다. 컴퓨터가 네트워크로 연결되고 정부기관·기업·대중이 인터넷으로 묶이면서 악성 소프트웨어가 넓고 빠르게 퍼질 수 있는 문도 함께 열렸다. 연결된 것은 무엇이든 접근할 수 있게 된 이 시기, 네트워크 방화벽(firewall)이 고안됐다.
컴퓨터 간 네트워킹이 활발해지면서 해커들은 월드 와이드 웹(WWW)과 웹사이트로 거점을 옮긴다. 연결성이 높아짐에 따라 공격의 속도와 피해도 높아졌다. 사이버 범죄와 사이버 도난이 이때부터 꿈틀거리게 된다.
2세대 공격의 대표격인 ‘모리스 웜(Morris Worm)’은 1988년 11월 등장했다. 미국 코넬 대학교의 대학원생이던 로버트 모리스(Robert Morris)는 별다른 악의 없이 모리스 웜을 제작했다. 그는 인터넷의 크기를 측정해 보려고 웜을 만들었다고 주장했는데, 이 웜의 오류 때문에 감염 컴퓨터들이 서비스 거부 상태를 겪게 됐다. 약 60,000대의 호스트 시스템이 감염된 것으로 전해진다.
최초의 사이버 범죄는 1994년 미국 시티뱅크(Citibank)를 겨냥한 공격으로 알려져 있다. 러시아에 사는 블라디미르 레빈(Vladimir Levin)은 1994년 여름 자신의 방에서 2달여 동안 미국 시티뱅크 컴퓨터를 해킹해 1,000만 달러(약 108억 원) 이상을 빼돌렸다. 레빈은 미국 연방수사국(FBI)의 추적 끝에 체포됐다.
1999년에는 네트워크 프로그래머 데이비드 스미스(David Smith)가 ‘멜리사 바이러스(Melissa Virus)’를 인터넷에 유포시키기도 했다. 이 바이러스는 마이크로소프트 워드 문서 매크로(macro)에 담겨 있었다. 약 100,000개 이메일 서버를 마비시키고 8,000만 달러(약 866억 원)가량의 손해를 끼쳤다.
네트워크 방화벽은 공용 인터넷에서 개인용 네트워크에 대한 접근을 통제하기 위해 개발됐다. 네트워크 간 장벽을 세우는 것이라고 볼 수 있는데, 흐르는 트래픽 중 어떤 것을 허용하고 어떤 것을 차단할 것인지 규칙(rule)이 있다. 체크포인트는 1994년 ‘방화벽-1(Firewall-1)’을 출시했다.
3세대 공격(2000년대 초반): 애플리케이션 취약점 익스플로잇과 IPS
2000년대 초반 공격자들은 ‘취약점(vulnerability)’을 활용하는 법을 배운다. 취약점이란 ‘시스템 보안 정책을 위반하는 데 악용될 수 있는 시스템 설계·실행·운영·관리에서의 결점 또는 약점’을 뜻한다(국제인터넷표준화기구).
공격자의 먹잇감이 되는 취약점은 너무도 많았다. 운영체제(OS)를 비롯해 애플리케이션에도 취약점이 넘쳐났다. 노련한 공격자는 개인용 네트워크를 뚫고 들어갈 수 있었다. 취약점을 겨냥한 공격은 방화벽·백신·IDS(Intrusion Detection System) 등으로 쉽게 탐지하거나 막을 수 없었다. IDS가 IPS(Intrusion Prevention System)으로 진보하게 된 계기다.
사이버 공격을 설명할 때 ‘정교함(Sophistication)’이라는 단어가 쓰인 건 이 시기부터다. 공격자들은 특정한 취약점을 식별해내기 위해 네트워크와 소프트웨어를 분석하기 시작했다. 공격을 설계하고 타깃의 운영이나 자산에 타격을 주기 위해서였다. ‘사회공학적 기법(Social Engineering)’도 이때 대두했다.
2000년 5월 4일 ‘아이러브유(ILOVEYOU)’ 바이러스가 돈다. 바이러스를 전파시키는 이메일 제목이 아이러브유였다. 그 피해가 얼마나 막심했던지 ‘타임지(Time)’ 커버를 장식하기에 이른다. 기업들과 보안업체들은 아이러브유라는 제목의 이메일을 검사하기 시작했지만 공격자들은 제목만 바꿔가며 피해를 확산시켰다.
아이러브유 바이러스는 이메일 수신자의 마이크로소프트 아웃룩 주소록에 있는 모든 사람에게 해당 이메일을 재전송했다. 게다가 이메일 수신자의 하드디스크에서 JPEG, MP3 등의 파일을 삭제해 버렸다. 마이크로소프트 아웃룩은 기업에서 사용되는 경우가 많았기 때문에 기업의 피해가 특히 컸다. 바이러스 감염을 막기 위해 당시 수많은 기업이 이메일 자체를 폐쇄시켜버리기도 했다. 이밖에도 ‘SQL슬래머(SQLSlammer)’, ‘에스토니아(Estonia)’ 등의 공격이 발생했다.
이 시기 IT 산업의 폭발적인 성장과 함께 보안업체와 제품도 크게 증가했다. 보안업체들은 보안의 세부영역마다 특화한 보안제품들을 만들어내기 시작했다. 보안 인프라를 구축하기 위해 ‘포인트 솔루션(point solution)’ 모델이 주목받은 것도 이때다. 특정한 공격을 막기 위해, 또는 특정한 서비스를 보호하기 위해 기업들은 그때마다 새 보안 제품을 추가했다.
4세대 공격(2010년 전후): 페이로드, 타깃형 공격, 그리고 샌드박스
공격자가 전문가의 반열에 오른 건 2010년을 전후한 시점에서다. 국제적인 스파이 활동이나 대규모 개인정보 유출에 이르기까지 사이버 공격이 뉴스 헤드라인에 이 즈음 자주 등장했다. 기업 이사회에서 사이버 공격을 논의하기 시작했고 정부 차원의 수사도 이때 본격적으로 시작됐다.
4세대 해커들은 이력서 또는 사진 파일 등에 숨어서 정교한 공격을 도모했다. 이들은 이용자가 업무를 처리할 때 주로 행해지는 일, 예컨대 공식적으로 보이는 이메일을 가장해 첨부파일을 열도록 유인하는 수법을 썼다. 인터넷상에서 회사 파일을 다운로드 받거나 노트북에 USB를 꽂는 것 등을 아울러 공격은 조용히 이뤄졌다.
2010년 가을 발견된 ‘스턱스넷(Stuxnet)’ 웜은 이 시기 대표적인 공격이다. 이란의 나탄즈(Natanz) 우라늄 농축 시설을 사보타주한 이 공격은 지금까지도 가장 진보한 공격으로 평가된다. 스턱스넷은 시설 내 매우 특정한 제어 장비를 찾아 감염시켰고, 결과적으로 불구화했다. 사건 이후, 미국과 이스라엘이 이란의 핵 개발 계획을 저지하기 위해 스턱스넷을 제작했다는 사실이 보도된 바 있다.
미국의 대형 유통업체 타깃(Target)은 2013년 12월 사이버 공격에 당해 뉴스 헤드라인을 장식한다. 타깃 포스(POS) 시스템에 깔린 멀웨어 때문에 소비자 4,000만 명의 결제카드정보 및 개인정보가 유출된다. 재정적인 피해는 말할 것도 없고, 이 사건으로 타깃 최고경영자(CEO)와 이사장이 사임했다.
4세대에는 시그니처 기반 방어만으로는 충분치 않다는 인식이 싹 텄다. 공격이 발견·분석되고 업계에 알려진 이후에야 도출된 시그니처인데, 이것에 바탕해 만들어진 보안 제품들이 크게 효과적일 수 없다는 생각에 기인한 것이었다. 이에 ‘알려지지 않은(Unknown)’ 공격과 ‘제로데이(zero-day)’ 공격을 방어하기 위한 기술들이 개발됐다. ‘안티-봇(anti-bot)’과 ‘샌드박스(sandbox)’가 나타난 배경이다.
샌드박스 등 포인트 솔루션이 계속해서 덧붙여지다 보니 보안 인프라가 하나로 통합되지 못하고 더욱 복잡해지는 문제도 생겼다.
5세대 공격(2017년 전후): 대규모·멀티벡터의 ‘메가 공격’ 도래
지난해 워너크라이(WannaCry) 공격은 150개국 300,000대의 컴퓨터에 영향을 끼쳤다. 워너크라이는 미국 국가안보국(NSA)이 개발한 익스플로잇 ‘이터널블루(EternalBlue)’를 활용한 랜섬웨어였다. 이처럼 정부기관에서 개발한 고도의 툴이 유출됨에 따라 대규모·멀티벡터의 ‘메가 공격(Mega Attack)’ 시대가 도래하게 됐다.
맞춤 제작된 정교한 멀웨어들이 IT 인프라의 각종 매개를 타고 전파되는 중이다. 기업 네트워크, 클라우드 인스턴스, 원격 사무실, 모바일 기기, 서드파티 등 공격자들은 침투할 수 있는 모든 매개를 살핀다. 현대의 공격과 관련해 세계경제포럼(WEF)은 ‘글로벌 리스크 리포트 2018’에서 “한때 매우 이례적이라고 여겨졌던 사건들이 점점 더 흔하게 발생하고 있다”고 서술했다.
지금은 △사이버 범죄자가 자체적인 소셜 네트워크를 갖고 있고 △멀웨어에 라이선스가 부여될 수 있으며 △봇넷을 시간당 대여하거나 △돈을 지불하고 멀웨어 감염 서비스를 이용할 수 있는 데다 △제로데이 익스플로잇 시장이 활성화한 때다.
개리 킨슬리 체크포인트 아시아 지역 이사는 “기업의 보안 수준이 다가올 공격의 수준보다 매우 낮은 상황”이라면서 “5세대 공격에 대응하기 위해선 무엇보다 통합적인 보안 인프라가 필요하다”고 강조했다. 한 마디로 ‘보안 아키텍처’를 구축하는 것이 시급하다는 것. 공격 매개와 전파 경로는 인터넷에 연결된 그 어떤 것도 될 수 있기 때문이다.
체크포인트가 2018년 1분기 설문조사한 결과에 따르면, 5세대 공격에 상응하는 보안을 구축한 기업은 단 3%에 불과했다. 세대별로는 △1세대 82% △2세대 95% △3세대 97% △4세대 21%로 나타났다.
5세대 보안은 △앞선 세대의 보안 솔루션들을 하나의 통합된 보안 시스템으로 연결·구축하는 것(consolidate) △실시간 위협 정보를 실시간으로 공유하는 것 △새롭고 진화한 5세대 공격을 최초에 막아내는 것(patient-zero) △클라우드 및 모바일 환경까지 아울러 단 하나의 통합된 보안 시스템으로 방어하는 것 △기업의 전체 IT 인프라를 공격으로부터 일률적으로 방어하는 것 △모든 보안 활동과 이벤트를 중앙에서 관리·모니터링·대응하는 것을 말한다.
[오다인 기자(boan2@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
