사이버전 피부로 와닿는 문제 될 수도...특히 민간 기업에 대한 공격 조심해야
[보안뉴스 문가용 기자] 사이버 공격이라는 측면에서 2018년은 다시 한 번 여러 가지 기록이 깨진 해였다. 이 패턴이 몇 년째 계속 이어지는 걸로 봐서 2019년도 아마 그럴 것이다. 요즘 공격자들의 가장 주요한 침투 통로는 이메일이다. 이메일을 통한 피싱 공격 기술은 갈수록 벼려지며, 그에 따라 이메일 보안 솔루션들은 빠르게 구시대의 것으로 변한다. 정부와 기업은 보안 전략을 공격자의 속도에 맞춰 수정하지 못하며, 그래서 2019년에도 이메일을 통한 여러 가지 공격이 있을 거라고 예상할 수 있다.
[이미지 = iclickart]
2019년의 위협 지형도
공격자들은 기업과 정부 기관에 대한 공격을 계속해서 증가시켜왔다. 공격의 가장 큰 목적이 돈이라는 사실에는 변함이 없다. 2018년 한 해 동안 랜섬웨어와 스푸핑 공격은 각각 350%와 250% 증가했다. 미국 증권거래위원회의 보고서에 따르면 사이버 침해 사고의 평균 비용은 750만 달러였는데, 전년도가 490만 달러였다는 걸 생각하면 꽤나 가파르게 올라갔다는 걸 알 수 있다. 이런 단순 수치만으로도 꽤나 놀라운데, 사이버 공격에 피해를 입은 지방 자치 기관, 대기업, 중소기업의 수는 경악스럽기까지 하다.
작년 3월 랜섬웨어 공격으로 미국 애틀랜타 시가 마비된 적이 있었다. 1주일 동안 시의 업무를 디지털 기능 없이 진행해야 했다. 아직도 범인에 대해서 이런 말 저런 말이 나오고 있지만, 대부분의 사이버 보안 전문가들은 국가의 선거 시스템이나 행정망 등을 적잖은 국가 지원 해커들이 노리고 있다는 데에는 동의한다. 뿐만 아니라 언더 아머(Under Armour), 파네라(Panera), 페이스북, 스트라바(Strava), 오비츠(Orbitz) 등의 유명한 기업들도 유출 사고를 겪었다. 그렇다고 중소기업이 무사한 것도 아니었다.
무슨 말인가? 공격자들이 무차별적으로 공격을 쏟아 붓는다는 것이다. 게다가 공격자들은 자동 피싱 시스템을 갖추기 시작했다. 아주 적은 노력으로 대단히 높은 투자 수익률을 보장 받게 되었다. 그렇다면 이메일로 공격이 들어올 건 뻔한데, 우린 어떻게 방비해야 할까? 공격을 예상하면 대응이 빨라질 수 있다. 그래서 몇 가지 시나리오를 마련해보았다.
시나리오
1) 낮은 수준의 공격자가 실행하는 고급 공격 : 온라인 암시장에서 판매되는 툴들 덕분에 이제 실력 수준에 상관없이 모든 공격자들이 다양한 공격을 할 수 있게 됐다. 툴들만이 아니라 초보자 가이드와 인공지능 기반의 공격 프로그램이 이미 풍부하다고 알려져 있으며, 피싱 대행 서비스까지도 마련되어 있다. 아주 적은 지식으로도 복잡한 공격을 실시할 수 있다. 게다가 소셜 미디어의 정보까지도 하루가 다르게 쌓여가기 때문에 피싱 공격을 갈수록 정교해질 것이다.
2) 국가 지원 해커들의 공격은 계속된다 : 요 몇 년 사이 국가 지원 해커들은 큰 성공을 여러 차례 거두었다. 반면 치러야할 대가는 굉장히 적었다. 따라서 이들은 지금 의기양양한 상태다. 보다 대담한 공격을 2019년 동안 펼칠 것을 어렵잖게 예상할 수 있다. 하지만 정부 기관들도 적잖은 걸 배웠기 때문에 보안을 강화할 것이고, 이에 따라 국가 지원 해커들이 민간 기업으로 눈을 돌릴 가능성도 높다. 일부 보안 업체들은 사이버전이 피부에 와닿는 문제로 발전할 수 있다고 예측하기도 한다.
3) 공격은 더 스마트해지고 자동화 된다 : 인공지능과 머신 러닝이 위험요소들을 더 잘 찾아주고, 더 많은 피싱 공격을 막아줄 것이다. 하지만 반대로 공격자의 편에 서서 그런 최신 툴을 뚫는 데에도 큰 도움을 줄 것이다. 실제로 공격자들은 취약점을 찾아내고 멀웨어를 생성하는 데에 자동화 툴을 활발히 사용하기 시작했다. 시만텍(Symantec)의 임원진들은 최근 블로그를 통해 “이전에는 개인화된 피싱 메시지를 하나 작성하는 게 힘들고 어려운 일이었지만 이제는 인공지능 덕분에 그렇지 않다”고 말한 바 있다.
4) 역사는 반복된다 : 공격자들은 새로운 전략을 만들면서 동시에 예전 전략을 가져오기도 한다. 이메일 플러딩(email flooding) 공격은 90년대에도 있던 전략인데, 최근 BEC, 멀웨어, 스피어피싱 공격을 위한 위장막으로써 활용되기도 했다. 공격자들은 피해자의 메일함을 가득히 채워 시선을 끈 다음 멀웨어를 심거나 거래 사기를 친다. 보안 업체 앱리버(AppRiver)의 최근 보고서에 따르면 범죄자들은 12~24시간 동안 여러 개정들에 이메일 폭탄을 떨어트리기도 한다. 다크웹에서 20달러만 주면 한 번에 약 5000개의 메일을 투하할 수 있게 된다. 크라켄(Kraken)이라는 원시적 랜섬웨어가 2018년 9월에 다시 등장하기도 했다.
5) 2중 인증 장치를 우회시키기 위한 시도들 : 해커들은 계속해서 2중 인증을 뚫어내기 위해 노력했다. 맥아피(McAfee)의 최근 보고서에 의하면 이러한 시도는 앞으로 더 하면 더 했지 덜 하지는 않을 것으로 보인다. 그러한 노력 끝에 성공률은 올라갈 것이고, 새로운 방법들이 개발될 것이다. 게다가 범죄자들은 다크웹과 암시장, 포럼 등에서 조직적으로 움직이기 때문에 2중 인증이라고 안심할 수 없는 때가 곧 도래할 수도 있다.
자동화는 해결사인가
피싱 공격에 대한 방어를 할 때, 어떤 점이 가장 어려울까? 먼저는 그 압도적인 물량이다. 보안 업체 피델리스 사이버시큐리티(Fidelis Cybersecurity)에 의하면 60%의 분석가들이 하루에 처리할 수 있는 사건은 최고 8개였다고 한다. 이런 상황 가운데 하루에 수천~수만 개씩 들어오는 피싱 공격을 다 처리할 수는 없다.
그래서 보안 솔루션들에 자동화 기술이 탑재되기 시작했다. 자동으로 일을 처리해주면 분석가들이 보다 자유롭게 분석에 임할 수 있게 될 테니까 말이다. 그러나 아직 이 자동화 기술이라는 게 완벽하지가 않다. 극히 한정된 상황에서만 자동화가 적용되기 때문에 세세한 부분에 자동화를 도입시키려면 규칙을 도출하고, 그걸 또 입력하는 작업이 별도로 필요하다. 자동화를 정착시키기 위한 작업이나, 수동으로 위협을 분석하는 작업이나 양적인 측면에서 별반 다를 게 없다.
최근 유행하는 공격 방식과 현대 해커들의 선호도 정도를 여러 첩보를 통해 알아두면 방어하는 데 있어 생각보다 큰 도움이 된다. 물론 이것만으로 충분하다는 건 아니다. 수집한 정보를 바탕으로 알맞은 조치를 취해야 한다. 피싱 공격이 어느 정도 위에 명시한 시나리오 안에서 벌어진다면, 이 글을 읽었다는 것 자체가 도움이 될 수도 있다. 그러기를 희망한다.
3줄 요약
1. 이메일을 통한 피싱 공격, 가장 빈번한 공격 통로.
2. 2019년에도 여러 가지 공격 시나리오 예상됨. 국가 지원 해커의 활동과 암시장 통한 복잡 다양한 공격 예상 가능.
3. 자동화 기술, 방어에 좋은 만큼 공격에도 좋아 큰 기대는 말아야 함.
글 : 에얄 베니슈티(Eyal Benishti), Ironscales
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>