최근 보안이슈는 금전 목적의 공격, 유료 공격 도구 사용, 블랙마켓 시장 확대
연말 보안이슈는 블랙마켓의 데이터 거래, 암호화폐 생태계 공격, 랜섬웨어
[보안뉴스 김경애 기자] “보안업무에 대한 일반적인 시각이 아직도 부정적인 편이에요. 보안으로 인한 불편함을 줄이려고 하지만 여전히 보안을 불필요한 존재라고 생각해요. 중요하다고 느끼기는 하지만 투자에는 인색한 편이죠. 이젠 사회적인 인식 변화와 보안사고 사례 공유에 대한 긍정적인 시각이 많이 퍼졌으면 좋겠어요.”
▲이글루코퍼레이션 보안분석팀 김미희 팀장[사진=보안뉴스]
말 한 마디 한 마디에 진중함과 함께 똑소리 나는 야무짐이 묻어난다. 이글루코퍼레이션 김미희 팀장은 올해 10년째 보안분석팀에서 침해사고 분석과 복구 업무를 담당하고 있는 여성 보안전문가다. 처참한 보안사고 피해 현장을 바라보는 그의 속내는 어떨까. 보안담당자의 참담함을 정면으로 마주하는 그에게서 보안전문가로서의 내공이 느껴진다. 지금부터 김미희 팀장과의 인터뷰를 통해 최근 보안이슈들과 기업의 대응방안 등을 들어봤다.
[보안이슈에 관한 질문 영역]
최근 보안이슈에 대해 설명해 주신다면?
최근 보안이슈 키워드는 △금전적 목적의 공격, △(100% 자체 개발이 아닌 구입) 공격도구의 오픈소스 및 유료 도구 사용 △블랙마켓 3가지로 정리할 수 있습니다.
정치적 이슈를 지향하던 기존의 공격 양상과 다르게 최근 공격은 금전적 목적이 두드러지고 있습니다. 서비스형 랜섬웨어(RaaS·Ransomware as a Service) 강화로 인해 랜섬웨어가 사이버 공격의 전반을 주도하면서 다크사이드(DarkSide), 블랙캣(BlackCat), 콘티(Conti) 랜섬웨어 등 금전을 목적으로 하는 사이버 공격이 증가하고 있어요. 공격 수행 시 자체 제작한 공격 도구 이외에도 오픈소스와 유료 레드팀 도구를 사용하는 비중도 꾸준히 놓아지고 있죠. 미미카츠(Mimikatz), 코발트스트라이크(Cobalt Strike), 블루하운드(BlueHound), AD파인드(AdFind), 미터프리터(Meterpreter) 등 크리덴셜 탈취 및 내부망 이동(Lateral Movement) 등의 공격에서 특히 사용이 증가하고 있습니다.
블랙마켓은 사이버 공격을 하는 해커, 해킹도구 판매자, 정보 접근 브로커 등의 생태계를 제공하고 있다. RaaS 생태계가 활성화될 수 있었던 것도 블랙마켓을 통해서 수요자와 공급자 간의 거래를 조성할 수 있기 때문이다. 기존에 공개된 깃허브 소스를 패키지화해 공격하거나 레드팀 도구들을 이용하거나 유료 도구를 구매해서 공격하는 등 손쉬운 공격으로 공격 속도감이 빨라졌습니다. 공격자는 구매자 형태를 띄고 있으며, 구매자의 만족도를 높이기 위해 다양한 도구와 정보를 판매하는 등 블랙마켓 시장은 광고까지 해가며 점점 커지고 있습니다.
상반기 결산으로 보안이슈 TOP 3를 꼽아주신다면, 그리고 뽑은 이유는?
1. 소프트웨어 기반 공급망 공격
마이크로소프트 익스체인지 서버(Microsoft Exchange Server) 취약점, 로그4쉘(Log4Shell), 스프링4셸(Spring4Shell) 등 2021년 하반기부터 시작된 소프트웨어 취약점의 영향도는 2022년 상반기까지도 영향을 미쳤습니다. 특히, 소프트웨어 기반 공급망 환경에 연쇄적인 영향을 미치면서 오픈소스 레포지토리 보안 강화 및 소프트웨어 재료 명세서(SBoM) 등 다수의 대응이 필요해졌습니다.
2. 국가기반 사이버 공격
러시아와 우크라이나 전쟁은 물리적인 전쟁 전에 사이버공격을 통해 정보탈취와 언론플레이 등 사회적인 불안을 야기시켰어요. 우리나라의 경우도 서방국가의 우호 국가로 인식되면서 공공, 국방을 타깃으로 한 스피어피싱 공격 시도가 빈번하게 발생한 바 있습니다. 이 외에도 사이버공격 생태계 전반에 이란, 북한, 중국 등과 같이 국가기반 공격들이 횡행하고 있습니다. 국내에도 랜섬웨어나 사회기반시설을 대상으로 사이버 공격의 빈도와 강도가 높아지면서 공격 표면(Attack Surface) 점검 등이 요구되고 있습니다.
3. 사이버 공격의 서비스화(Cyberattack as a Service)
랜섬웨어뿐만 아니라 사이버 공격의 대중화과 고도화를 이끈 요인은 ‘as a Service’로, 블랙마켓을 통해 생태계가 확장되고 있어 보안에 있어 새로운 뇌관으로 작용할 것으로 우려됩니다.
올해 연말까지 주목되는 보안이슈 TOP 3를 꼽아주신다면, 그리고 그 이유는?
1. 블랙마켓을 통한 데이터 거래 이슈
해킹그룹 랩서스(LAPSUS$)나 메이즈(Maze)의 국내 대기업 정보 탈취 사례에서 보듯 크리덴셜이나 취약점 및 익스플로잇 킷(Exploit Kit) 판매처로 블랙마켓을 통한 거래가 더욱 활발해질 것으로 판단됩니다. 텔레그램이나 디스코드 등을 통한 신용정보 및 개인정보 판매로 인한 2차 피해도 발생할 수 있을 것으로 보입니다. 블랙마켓에서는 공격도구 판매, 취약점 판매, 데이터 판매는 물론 피해기업과의 흥정을 위해 약간의 데이터를 공개하는 방법으로 기업 이미지에 타격을 주기 때문에 보다 철저한 대응이 요구됩니다.
2. 암호화폐 생태계 공격 지속
BGP 하이재킹(Hijacking) 공격기법을 이용한 국내 최대 탈중앙화 거래소(DeFi) 클레이스왑(KLAYswap) 해킹사고나 대체불가능토큰(NFT) 게임인 ‘엑시 인피니티’ 해킹을 통한 암호화폐 탈취, 암호화폐 거래소 해킹, 암호화폐 지갑 탈취 등 암호화폐 관련 공격이 증가될 것으로 보입니다. 탈취된 암호화폐는 자금세탁을 지원하는 믹서들로 인해 불법 금융거래에 악용될 수 있기 때문에 신속한 대응이 필요합니다.
3. 대규모 타깃형 랜섬웨어 공격 그룹 활동 강화
록빗(LockBit), 블랙캣(BlackCat), 귀신(GWISIN), 포보스(Phobos) 등 다수의 랜섬웨어 공격 그룹들이 다중 협박(Multi Extortion) 공격 기조 하에 활발한 활동을 벌이고 있어 랜섬웨어 이슈에 대한 지속적인 모니터링이 필요할 것으로 보입니다. 특히, 랜섬웨어의 경우 타깃이 바뀌었을 뿐 공격 빈도가 줄지 않았는데요. 일반인과 소규모 기업 타깃에서 이미지 타격이 큰 대기업, 피해 공개에 민감한 곳 등 은밀히 협상할 수 있는 곳으로 바뀌었습니다. 이들은 보안사고가 발생해도 돈을 주고 복구할 의사가 있어 언론에 노출되지 않을 수 있습니다. 공격자들이 그런 곳을 노리고 있는 겁니다.
외국의 경우 어떤 공격 위협이 있었다는 정보가 공유되는 반면, 국내의 경우 특정 기업명 노출과 함께 사회적으로 비난하는 분위기입니다. 보안에 신경썼음에도 불구하고, 보안담당자가 감내해야 하는 몫이 큰 경우가 있습니다. 이럴 경우 사고에 대한 정보 공유 분위기를 저해하게 됩니다. 비난하기보단 자연스럽게 정보 공유가 될 수 있는 분위기로 전환돼야 합니다. 또한, 영세기업의 경우 백업과 백신 의무화 등 각종 정책 및 제도를 통해 보안을 강화해야 합니다.
[사진=보안뉴스]
[분위기 전환, 지극히 개인적인 질문 영역]
요즘 듣는 곡 또는 좋아하는 음악(장르, 노래 등)은?
BPM이 빠른 바이올린 연주곡이나 클래식도 좋아하고요. 에너지가 느껴지는 여자아이돌 음악도 좋아합니다. 아이브요(웃음).
좋아하는 색깔은 무엇인가요?
파란색을 좋아해요.
취미는 무엇인가요?
아무래도 보안업무 특성상 시각적인 걸 많이 접하다 보니 산이나 궁궐 등을 산책하는 걸 좋아합니다.
최근 받은 가장 큰 스트레스는 무엇이며, 스트레스 해소는 어떻게 하나요?
산책을 하다 보면 자연스레 스트레스도 해소되고 충전도 돼요. 사람에 대한 스트레스는 상대방도 이유가 있을 것이라고 ‘역지사지’로 입장을 바꿔 생각해보면서 생각을 정리하는 편입니다.
존경하는 인물, 롤모델, 멘토 등에 대해 소개해 주신다면?
보안전문가 중에는 멋지고 출중한 실력자가 너무 많아 꼽을 수가 없어요. 그분들에 비하면 전 아직 많이 부족하다고 느끼죠. 저 역시 자기계발을 위해 노력하지만 보안전문가들이 SNS 등을 통해 내놓은 보안 관련 분석 자료 등을 통해서도 많이 배우게 됩니다.
[김경애 기자(boan3@boannews.com)]
연말 보안이슈는 블랙마켓의 데이터 거래, 암호화폐 생태계 공격, 랜섬웨어
[보안뉴스 김경애 기자] “보안업무에 대한 일반적인 시각이 아직도 부정적인 편이에요. 보안으로 인한 불편함을 줄이려고 하지만 여전히 보안을 불필요한 존재라고 생각해요. 중요하다고 느끼기는 하지만 투자에는 인색한 편이죠. 이젠 사회적인 인식 변화와 보안사고 사례 공유에 대한 긍정적인 시각이 많이 퍼졌으면 좋겠어요.”
▲이글루코퍼레이션 보안분석팀 김미희 팀장[사진=보안뉴스]
말 한 마디 한 마디에 진중함과 함께 똑소리 나는 야무짐이 묻어난다. 이글루코퍼레이션 김미희 팀장은 올해 10년째 보안분석팀에서 침해사고 분석과 복구 업무를 담당하고 있는 여성 보안전문가다. 처참한 보안사고 피해 현장을 바라보는 그의 속내는 어떨까. 보안담당자의 참담함을 정면으로 마주하는 그에게서 보안전문가로서의 내공이 느껴진다. 지금부터 김미희 팀장과의 인터뷰를 통해 최근 보안이슈들과 기업의 대응방안 등을 들어봤다.
[보안이슈에 관한 질문 영역]
최근 보안이슈에 대해 설명해 주신다면?
최근 보안이슈 키워드는 △금전적 목적의 공격, △(100% 자체 개발이 아닌 구입) 공격도구의 오픈소스 및 유료 도구 사용 △블랙마켓 3가지로 정리할 수 있습니다.
정치적 이슈를 지향하던 기존의 공격 양상과 다르게 최근 공격은 금전적 목적이 두드러지고 있습니다. 서비스형 랜섬웨어(RaaS·Ransomware as a Service) 강화로 인해 랜섬웨어가 사이버 공격의 전반을 주도하면서 다크사이드(DarkSide), 블랙캣(BlackCat), 콘티(Conti) 랜섬웨어 등 금전을 목적으로 하는 사이버 공격이 증가하고 있어요. 공격 수행 시 자체 제작한 공격 도구 이외에도 오픈소스와 유료 레드팀 도구를 사용하는 비중도 꾸준히 놓아지고 있죠. 미미카츠(Mimikatz), 코발트스트라이크(Cobalt Strike), 블루하운드(BlueHound), AD파인드(AdFind), 미터프리터(Meterpreter) 등 크리덴셜 탈취 및 내부망 이동(Lateral Movement) 등의 공격에서 특히 사용이 증가하고 있습니다.
블랙마켓은 사이버 공격을 하는 해커, 해킹도구 판매자, 정보 접근 브로커 등의 생태계를 제공하고 있다. RaaS 생태계가 활성화될 수 있었던 것도 블랙마켓을 통해서 수요자와 공급자 간의 거래를 조성할 수 있기 때문이다. 기존에 공개된 깃허브 소스를 패키지화해 공격하거나 레드팀 도구들을 이용하거나 유료 도구를 구매해서 공격하는 등 손쉬운 공격으로 공격 속도감이 빨라졌습니다. 공격자는 구매자 형태를 띄고 있으며, 구매자의 만족도를 높이기 위해 다양한 도구와 정보를 판매하는 등 블랙마켓 시장은 광고까지 해가며 점점 커지고 있습니다.
상반기 결산으로 보안이슈 TOP 3를 꼽아주신다면, 그리고 뽑은 이유는?
1. 소프트웨어 기반 공급망 공격
마이크로소프트 익스체인지 서버(Microsoft Exchange Server) 취약점, 로그4쉘(Log4Shell), 스프링4셸(Spring4Shell) 등 2021년 하반기부터 시작된 소프트웨어 취약점의 영향도는 2022년 상반기까지도 영향을 미쳤습니다. 특히, 소프트웨어 기반 공급망 환경에 연쇄적인 영향을 미치면서 오픈소스 레포지토리 보안 강화 및 소프트웨어 재료 명세서(SBoM) 등 다수의 대응이 필요해졌습니다.
2. 국가기반 사이버 공격
러시아와 우크라이나 전쟁은 물리적인 전쟁 전에 사이버공격을 통해 정보탈취와 언론플레이 등 사회적인 불안을 야기시켰어요. 우리나라의 경우도 서방국가의 우호 국가로 인식되면서 공공, 국방을 타깃으로 한 스피어피싱 공격 시도가 빈번하게 발생한 바 있습니다. 이 외에도 사이버공격 생태계 전반에 이란, 북한, 중국 등과 같이 국가기반 공격들이 횡행하고 있습니다. 국내에도 랜섬웨어나 사회기반시설을 대상으로 사이버 공격의 빈도와 강도가 높아지면서 공격 표면(Attack Surface) 점검 등이 요구되고 있습니다.
3. 사이버 공격의 서비스화(Cyberattack as a Service)
랜섬웨어뿐만 아니라 사이버 공격의 대중화과 고도화를 이끈 요인은 ‘as a Service’로, 블랙마켓을 통해 생태계가 확장되고 있어 보안에 있어 새로운 뇌관으로 작용할 것으로 우려됩니다.
올해 연말까지 주목되는 보안이슈 TOP 3를 꼽아주신다면, 그리고 그 이유는?
1. 블랙마켓을 통한 데이터 거래 이슈
해킹그룹 랩서스(LAPSUS$)나 메이즈(Maze)의 국내 대기업 정보 탈취 사례에서 보듯 크리덴셜이나 취약점 및 익스플로잇 킷(Exploit Kit) 판매처로 블랙마켓을 통한 거래가 더욱 활발해질 것으로 판단됩니다. 텔레그램이나 디스코드 등을 통한 신용정보 및 개인정보 판매로 인한 2차 피해도 발생할 수 있을 것으로 보입니다. 블랙마켓에서는 공격도구 판매, 취약점 판매, 데이터 판매는 물론 피해기업과의 흥정을 위해 약간의 데이터를 공개하는 방법으로 기업 이미지에 타격을 주기 때문에 보다 철저한 대응이 요구됩니다.
2. 암호화폐 생태계 공격 지속
BGP 하이재킹(Hijacking) 공격기법을 이용한 국내 최대 탈중앙화 거래소(DeFi) 클레이스왑(KLAYswap) 해킹사고나 대체불가능토큰(NFT) 게임인 ‘엑시 인피니티’ 해킹을 통한 암호화폐 탈취, 암호화폐 거래소 해킹, 암호화폐 지갑 탈취 등 암호화폐 관련 공격이 증가될 것으로 보입니다. 탈취된 암호화폐는 자금세탁을 지원하는 믹서들로 인해 불법 금융거래에 악용될 수 있기 때문에 신속한 대응이 필요합니다.
3. 대규모 타깃형 랜섬웨어 공격 그룹 활동 강화
록빗(LockBit), 블랙캣(BlackCat), 귀신(GWISIN), 포보스(Phobos) 등 다수의 랜섬웨어 공격 그룹들이 다중 협박(Multi Extortion) 공격 기조 하에 활발한 활동을 벌이고 있어 랜섬웨어 이슈에 대한 지속적인 모니터링이 필요할 것으로 보입니다. 특히, 랜섬웨어의 경우 타깃이 바뀌었을 뿐 공격 빈도가 줄지 않았는데요. 일반인과 소규모 기업 타깃에서 이미지 타격이 큰 대기업, 피해 공개에 민감한 곳 등 은밀히 협상할 수 있는 곳으로 바뀌었습니다. 이들은 보안사고가 발생해도 돈을 주고 복구할 의사가 있어 언론에 노출되지 않을 수 있습니다. 공격자들이 그런 곳을 노리고 있는 겁니다.
외국의 경우 어떤 공격 위협이 있었다는 정보가 공유되는 반면, 국내의 경우 특정 기업명 노출과 함께 사회적으로 비난하는 분위기입니다. 보안에 신경썼음에도 불구하고, 보안담당자가 감내해야 하는 몫이 큰 경우가 있습니다. 이럴 경우 사고에 대한 정보 공유 분위기를 저해하게 됩니다. 비난하기보단 자연스럽게 정보 공유가 될 수 있는 분위기로 전환돼야 합니다. 또한, 영세기업의 경우 백업과 백신 의무화 등 각종 정책 및 제도를 통해 보안을 강화해야 합니다.
[사진=보안뉴스]
[분위기 전환, 지극히 개인적인 질문 영역]
요즘 듣는 곡 또는 좋아하는 음악(장르, 노래 등)은?
BPM이 빠른 바이올린 연주곡이나 클래식도 좋아하고요. 에너지가 느껴지는 여자아이돌 음악도 좋아합니다. 아이브요(웃음).
좋아하는 색깔은 무엇인가요?
파란색을 좋아해요.
취미는 무엇인가요?
아무래도 보안업무 특성상 시각적인 걸 많이 접하다 보니 산이나 궁궐 등을 산책하는 걸 좋아합니다.
최근 받은 가장 큰 스트레스는 무엇이며, 스트레스 해소는 어떻게 하나요?
산책을 하다 보면 자연스레 스트레스도 해소되고 충전도 돼요. 사람에 대한 스트레스는 상대방도 이유가 있을 것이라고 ‘역지사지’로 입장을 바꿔 생각해보면서 생각을 정리하는 편입니다.
존경하는 인물, 롤모델, 멘토 등에 대해 소개해 주신다면?
보안전문가 중에는 멋지고 출중한 실력자가 너무 많아 꼽을 수가 없어요. 그분들에 비하면 전 아직 많이 부족하다고 느끼죠. 저 역시 자기계발을 위해 노력하지만 보안전문가들이 SNS 등을 통해 내놓은 보안 관련 분석 자료 등을 통해서도 많이 배우게 됩니다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
