안랩, 2017년 보안 위협 전망과 대응을 위한 제언
[보안뉴스 원병철 기자] 밝은 곳이 있으면 어두운 곳도 있다는 만고의 진리처럼, IT 기술의 발전은 항상 새로운 보안 위협을 동반해 왔다. 2017년에는 비교적 새로운 기술이라 할 수 있는 사물인터넷 기기와 관련된 위협이 커질 것으로 전망된다. 더불어 기존의 보안 위협은 더욱 강력하고 교묘한 모습으로 사회 전반을 파고들 것으로 보인다.
.jpg)
▲ 몸값을 내놔라, 랜섬웨어 킥!
‘붉은 닭’의 해 정유년(丁酉年)은 여러 요인으로 전 세계 경제와 정치, 외교가 요동치는 한해가 될 전망이다. 사이버 보안의 영역도 마찬가지다. 이미 악성코드 제작 및 유포 서비스가 자리 잡았고, 이를 기반으로 새로운 범죄 생태계가 조성되고 있어 금전적인 이득을 노리는 사이버 공격이 급증할 것으로 보인다. 여기에 기존과 같이 정상적인 서비스를 악용하는 공격이 대중화된 공격 툴과 맞물려 단순한 공격인지 교묘한 범죄조직에 의한 것인지 파악하기 어려운 공격이 범람할 것으로 우려된다.
특히, 올해도 세계 경제 전망이 좋지 않은 만큼 사이버 공격자들은 즉각적으로 금전적 이득을 취할 수 있는 공격에 집중할 것으로 보인다. 2016년 전 세계를 집어삼킨 랜섬웨어(Ransomware)에서 이미 그 조짐이 드러났다. 일반 기업과 마찬가지로 악의적인 공격자들 역시 투자 대비 수익률이 높은 방법을 모색할 것이 분명하다. 사람들의 심리와 최신 기술이 결합된 교묘한 공격 기법을 찾아낼 것이라는 의미다.
랜섬웨어, ‘돈’이 모이는 지점 정조준
지난 2016년 한해 동안 가파른 성장세를 보였던 랜섬웨어는 공격자 관점에서 즉각적으로 금전적 이득을 취할 수 있는 유용한 범죄 수단으로 자리 잡았다. 기업의 경우, 비즈니스 중단이나 고객 정보와 같은 중요 데이터를 잃을 수 있다는 부담 때문에 결국 몸값(Ransom)을 지불하는 사례가 적지 않다. 여기에 랜섬웨어 제작 및 유포의 서비스화(Ransomware as a Service, RaaS) 등 랜섬웨어 자체가 수요자와 공급자가 유기적으로 활동하는 하나의 시장을 형성하기에 이르렀다.
랜섬웨어의 위협은 올해 더욱 고도화되고 공격 범위도 확장될 전망이다. 금전적 이득이 목적이라면 ‘돈’이 모이는 곳으로 향하는 것이 당연지사. 지금까지 금전적인 피해를 야기하는 사이버 범죄는 가짜 홈페이지를 통해 사용자 정보를 탈취하는 ‘피싱’과 ‘파밍’이 주도했지만 이제 랜섬웨어가 그 중심에 있다 해도 과언이 아니다. 특히, 스피어 피싱 등과 결합한 랜섬웨어 및 기업 간 무역 거래 대금을 노린 범죄 조직이 다년간 활동 중이기 때문에 무역 거래가 빈번한 기업의 경우 각별한 주의가 요구된다.
대중화된 공격 툴을 이용한 사이버 범죄의 고도화·가속화
불과 몇 년 전까지만 해도 사이버 공격은 전문적인 IT 지식을 가진 해커 또는 해킹 그룹의 전유물로 여겨졌다. 그러나 최근 사이버 암시장뿐만 아니라 일반 인터넷 상에서도 랜섬웨어 제작 서비스인 RaaS를 비롯해 다양한 스팸 메일 발송 서비스 등을 이용할 수 있어 전문적인 IT 관련 지식이 없더라도 악성코드를 제작하고 사이버 공격을 시도할 수 있게 됐다. 이렇게 대중화된 사이버 공격이 더 많은 범죄에 악용될 것으로 전망된다. 동시에 사이버 범죄자를 특정인 또는 그룹으로 한정 지을 수 없게 됨에 따라 이에 대한 대응 및 수사 등이 더욱 어려워질 전망이다.
공격자들은 스팸 메일 첨부파일과 홈페이지 방문 시 자동으로 설치하는 드라이브 바이 다운로드(Drive-by-download) 공격을 지속할 뿐 아니라 소프트웨어 보안 패치를 적용하지 않는 사용자들이 더 많다는 사실에 주목하고, 소프트웨어 보안 취약점을 악용하는 익스플로잇 킷을 더욱 적극적으로 활용하는 등 기존 공격 기법의 업그레이드에 주력할 것이다. 지속적으로 증가하는 익스플로잇 킷 기반의 공격에 대비하기 위해 정기적으로 웹사이트 위·변조 여부를 확인하고, 특히 웹쉘을 이용한 공격에 각별한 주의를 기울여야 한다.
치밀한 위장술로 내부 침입 및 시스템 장악 시도
2010년 전후로 발생한 기업 해킹은 기업 기밀이나 기업이 보유하고 있는 개인정보를 탈취하기 위한 목적이 대부분이었다. 그러나 최근에는 단순한 정보 유출을 넘어 기업 내부 인프라를 장악하기 위한 공격으로 변화했다. 이를 위해 특히 올해는 기업 및 기관의 내부 인프라에 성공적으로 침입하기 위해 다양한 속임수를 더한 공격 기법이 등장할 것으로 보인다.
이러한 공격을 통해 감염된 시스템을 거점으로 기업 내부 인프라에 침입해 내부 정보를 수집 및 검색함으로써 시스템 계정 정보를 획득한다. 주요 계정 정보의 수집과 활용을 반복함으로써 내부 관리 시스템 운영에 관련된 권한을 탈취하고 마침내 전체 인프라를 장악한다.
이런 방식으로 특정 기업의 내부 시스템을 장악한 후, 해당 기업의 서비스 이용에 필요한 정상적인 프로그램으로 위장해 광범위한 다수의 PC에 악성코드를 설치할 수 있다. 또 이렇게 감염된 PC와 연결된 네트워크상의 다른 시스템을 통해 또 다른 기업의 내부 시스템 장악까지 시도할 수 있어 이 영역에 대한 공격은 여전히 지속될 것으로 보인다.
멈추지 않는 사회기반시설 공격·사이버 테러
2017년에는 국내뿐만 아니라 전 세계적으로 정치적·경제적 이해관계 대립이 더욱 심화될 전망이다. 국가 간 이념적 갈등 또한 깊어져 타국의 기관과 기업을 겨냥한 사이버 테러 역시 사라지지 않을 전망이다.
최근 공격의 대상(Target)은 기존의 다수 시민들이 이용하는 온라인 서비스를 겨냥하던 것에서 서비스 종류나 규모에 관계없이 거의 모든 기업과 기관으로 확대되고 있다. 사회기반시설 공격 등 사이버 테러의 배후는 주로 테러 단체이거나 적대적인 관계를 맺고 있는 국가로 추정된다. 공격 동기 또한 금전적 이득보다는 종교적·이념적·정치적 갈등에서 찾을 수 있다. 사회기반시설 공격이 성공할 경우 사회적 혼란과 공포를 야기함으로써 자신들의 선전 효과를 극대화할 수 있으며, 종교적·정치적 갈등은 쉽게 해결되기 어렵기 때문에 사회기반시설 공격은 앞으로도 지속될 전망이다.
대부분의 사회기반시설 내 시스템은 외부 인터넷에 직접적으로 연결되지 않는 망분리 환경에서 안전하게 운영되고 있다. 그러나 단 하나라도 인터넷망에 연결된 시스템이나 인터넷망과 내부망을 연결하는 지점이 존재할 수 있기 때문에 보안 위협으로부터 완벽하게 자유롭다고 할 수 없다. 또 어디에서든 보안에 가장 취약한 지점은 사람이다. 불편함 등을 이유로 보안 정책을 어기는 내부 직원이 있을 수 있다. 공격자들은 이러한 취약점을 찾아내기 위해 다양한 방법을 동원해 지속적으로 공격을 시도하고 있다.
Internet of Things vs. Threat of Things
사물인터넷(IoT) 기술의 발전과 확산은 더욱 가속화될 전망이다. 문제는 아직 사물인터넷의 보안 이슈에 대한 인식이 부족해 보안에 취약한 제품의 판매가 지속될 것이라는 점이다. 그리고 이를 노린 사물인터넷 악성코드 또한 빠르게 증가할 것으로 예상된다.
실제로 지난해 미국에서는 미라이(Mirai) 악성코드에 감염된 사물인터넷 기기를 이용한 대규모 디도스 공격이 발생한 바 있다. 사물인터넷 기기는 한번 판매 또는 설치되면 사후 관리가 이루어지기 어렵고, 대부분 수년간 초기 상태 그대로 사용된다는 특징이 있다. 사용자 입장에서는 사물인터넷 기기 제조사가 제공하는 보안 패치를 적용하는 것 외에는 마땅히 방법이 없다. 그러나 현재 대부분의 사물인터넷 기기 제작 업체는 보안 문제를 고민할 정도의 여유(?)가 없거나 기술력이 부족한 실정이다. 또 사용성의 측면에서 저전력과 저비용이 핵심인 사물인터넷 기기의 특성상 보안 강화를 위한 기능 추가나 가격을 인상하는 것은 현실적으로 어렵다.
따라서 빠르게 확산되고 있는 사물인터넷 기기와 관련된 보안 위협을 방지하기 위해서는 제조사뿐만 아니라 보안 업체와 정부 기관의 유기적인 협력이 필요하다. 또 다양한 국가에서 앞 다퉈 사물인터넷 기술과 제품 개발을 서두르고 있어 개별 국가의 규제만으로는 사물인터넷 기기에 의한 광범위한 보안 위협을 해결하기 어렵다. 각국의 정부와 관련 협회, 제조사의 전방위적인 협업을 통해 사물인터넷 기기에 대한 최소한의 점검 체계 구축과 실질적으로 적용 가능한 보안 가이드 마련이 시급하다.
기업과 기관의 보안에 대한 접근 방식에도 변화의 조짐이 엿보인다. 보안 이슈나 필요에 따라 도입했던 보안 솔루션들의 정보를 하나로 통합 수집 및 관리하기 위한 요구가 발생할 것이며, 보안 업체는 수집된 정보를 효과적으로 처리하고 최신 위협에 대응하기 위해 자동화, 머신 러닝 등 다양한 기술의 접목을 시도할 것으로 보인다.
프로그램을 변조하여 악의적인 기능을 수행하게 하는 전통적인(?) 공격 방식과 더불어 최근에는 프로그램의 설치 및 업데이트 과정이나 관리 솔루션의 동작 과정에 개입하여 악성코드를 다운로드하고 실행하는 방식이 등장했다. 게다가 이러한 악성코드 제작 및 유포하는 기술은 물론 이를 대행해주는 서비스까지 암거래되기에 이르렀다. 지난해 급격하게 성장한 랜섬웨어를 분수령으로, 수요자와 공급자가 활발하게 ‘악성코드에 의한, 악성코드를 위한’ 금전 거래를 하는 새로운 생태계가 자리 잡게 된 것이다.
이제 이 악성코드를 위한 생태계는 경제 원칙에 따라 더욱 다양한 악성코드를 생산해낼 것이고, 왕성한 활동을 통해 영역 확장에 나설 것이다. 또한 자본주의적 상호 경쟁의 시장 논리에 따라 차별화된 악성코드 제작 및 유포 서비스를 위한 투자와 노력이 계속될 것이며, 이로써 올해 보안 위협은 더욱 고도화될 전망이다.
▲ 머신러닝의 길은 멀고도 험하구나
보안 분야에서 급부상하는 머신 러닝
다양하고 방대한 데이터를 분석하기 위한 새로운 기술 연구 속에서 등장한 데이터 마이닝, 머신 러닝 등의 기술이 보안 영역에서도 새롭게 자리 잡는 한 해가 될 것으로 보인다. 날로 복잡다단해지는 보안 위협에 대응하기 위해 다수의 보안 솔루션이 도입되었지만, 이들을 관리하는 인력에는 양적으로, 또 질적으로 한계가 있기 마련이다.
사람의 지식으로 축적된 것을 기술로 풀어내는 과정을 통해 그간 인력 기반으로 해결하려던 보안의 영역을 기술 기반으로 대체하는 다양한 시도가 진행될 것이다. 이를 통해 전통적인 보안 체계에서는 무의미한 것으로 간주되거나 간과되었던 부분에서 새롭게 유의미한 정보를 발견하는 사례도 나타날 것이다. 머신 러닝 등 새로운 기술과의 접목을 통해 전문적인 지식을 가진 분석가 못지 않은 결과물을 산출할 것이고, 동시에 이를 통해 절감된 리소스는 새로운 분야 또는 비즈니스에 투입되는 선순환 구조를 형성할 것이다.
보안 영역의 세분화와 통합된 관리 및 대응에 대한 요구
사물인터넷과 클라우드로 대변되는 IT 변화의 시대를 맞아 다양한 플랫폼과 서비스에 따른 세분화된 보안 요구가 증가할 것이다. 다양한 연구결과와 직접적인 체험을 통해 어느 정도 최신 기술에 대한 이해를 마련한 기업들은 각 산업 분야에 맞는 기술과 서비스를 업무에 적용해 나가고 있다. 이 과정에서 당연히 보안 요소에 대한 검토가 동반되어야 할 것이며, 각각의 환경에 적합한 보안 기술과 솔루션을 선택해 나가는 한해가 될 것이다.
각각 세분화되어 있는 보안의 영역을 전체적으로 관리 및 모니터링하며 이를 토대로 실질적이고 효과적인 대응을 수행할 수 있는 통합보안에 대한 요구가 구체화될 전망이다. 특히, 위협 정보의 시각화가 필수적이며 발견된 문제점을 해결하기 위한 실질적인 대응이 보안의 주요한 항목으로 자리잡을 것으로 보인다.
공격 도구의 대중화, ‘악인’의 구분이 모호한 시대
불과 몇 년전까지만 해도 사이버 공격은 전문적인 IT 지식을 가진 해커 또는 해킹 그룹의 전유물로 여겨졌다. 그러나 최근 사이버 암시장뿐만 아니라 일반 인터넷 상에서도 스팸 메일 발송 서비스를 비롯해 랜섬웨어 제작 서비스인 RaaS(Ransomware as a Service) 등을 어렵지 않게 구할 수 있어 전문적인 IT 지식이 없는 사람도 사이버 공격을 시도할 수 있게 됐다. 여기에 주요 응용 프로그램의 보안 취약점을 이용하는 익스플로잇 킷(Exploit Kit)을 다방면으로 활용하는 공격 기법이 업그레이드되면서 사이버 공격이 더 많은 범죄에 악용될 가능성을 높이고 있다.
악성코드 제작 및 유포 대행 서비스로 인한 사이버 공격의 대중화로 인해 공격자를 더 이상 특정인 또는 특정 그룹으로 한정 지을 수 없게 됐다. 즉, 사이버 공격 대응은 물론 공격 주체에 대한 수사에 많은 어려움을 겪게 될 전망이다. 따라서 보안 취약점을 이용한 사이버 공격에 노출되는 범위를 최소화하기 위해서는 보안 패치의 중요성에 대한 사용자 인식 제고가 요구된다. 기업 및 기관의 경우, 임직원들의 보안 패치 적용을 강제하고 관리하기 위한 방안 마련이나 솔루션 도입에 대한 투자를 고려할 필요가 있다.
결국, 모든 것은 ‘사람’으로 귀결된다
최근 국내외에서 발생하고 있는 해킹 사고의 대부분은 조직 내 특정 개인이나 그룹을 표적으로 삼아 공격을 수행하고 최종 목적을 달성하는 형태다. 공격 기법 또한 특정인 또는 그룹에게만 이메일을 보내 첨부파일을 실행하도록 유도하는 스피어 피싱(Spear Phishing)이나, 특정인이 주로 이용하는 웹사이트를 해킹해 악성코드를 유포하는 워터링 홀(Watering Hole) 공격 등이 주를 이룬다.
일련의 최신 해킹 사례에서 주목해야 할 점은 표적 공격도 결국 ‘악성코드’ 유입에서 출발하며, 제대로 관리되지 않은 PC나 서버가 교두보 역할을 한다는 점이다. 보안 위협을 사전에 차단하기 위해 다양한 솔루션을 구축하거나 전문화된 서비스를 이용하는 것도 필요하지만, 이보다 더 중요한 것은 이를 어떻게 활용하고 운영하느냐다. 솔루션 도입만으로 충분하다고 성급하게 판단하는 보안관리자나 책임자뿐만 아니라 ‘나 하나쯤은 괜찮겠지’라는 안일한 사용자의 보안 인식으로 인해 보안 침해 사고는 지속적으로 발생할 수밖에 없다.
결국 모든 것의 시작과 끝에는 사람이 있다. 2017년에는 각 솔루션과 서비스 체계에 대한 점검 및 효과적인 운용을 위한 노력과 더불어 변함없는 보안의 취약점인 ‘사람’에 대한 교육과 관리 등 구체적인 노력이 요구된다. 조직 내 일반 사용자부터 보안 관리자, 기업 책임자까지, 사람에 의한 보안 문제를 최소화하기 위한 노력이 지속적으로 이루어져야 한다.
[자료제공: 안랩닷컴]
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 밝은 곳이 있으면 어두운 곳도 있다는 만고의 진리처럼, IT 기술의 발전은 항상 새로운 보안 위협을 동반해 왔다. 2017년에는 비교적 새로운 기술이라 할 수 있는 사물인터넷 기기와 관련된 위협이 커질 것으로 전망된다. 더불어 기존의 보안 위협은 더욱 강력하고 교묘한 모습으로 사회 전반을 파고들 것으로 보인다.
▲ 몸값을 내놔라, 랜섬웨어 킥!
‘붉은 닭’의 해 정유년(丁酉年)은 여러 요인으로 전 세계 경제와 정치, 외교가 요동치는 한해가 될 전망이다. 사이버 보안의 영역도 마찬가지다. 이미 악성코드 제작 및 유포 서비스가 자리 잡았고, 이를 기반으로 새로운 범죄 생태계가 조성되고 있어 금전적인 이득을 노리는 사이버 공격이 급증할 것으로 보인다. 여기에 기존과 같이 정상적인 서비스를 악용하는 공격이 대중화된 공격 툴과 맞물려 단순한 공격인지 교묘한 범죄조직에 의한 것인지 파악하기 어려운 공격이 범람할 것으로 우려된다.
특히, 올해도 세계 경제 전망이 좋지 않은 만큼 사이버 공격자들은 즉각적으로 금전적 이득을 취할 수 있는 공격에 집중할 것으로 보인다. 2016년 전 세계를 집어삼킨 랜섬웨어(Ransomware)에서 이미 그 조짐이 드러났다. 일반 기업과 마찬가지로 악의적인 공격자들 역시 투자 대비 수익률이 높은 방법을 모색할 것이 분명하다. 사람들의 심리와 최신 기술이 결합된 교묘한 공격 기법을 찾아낼 것이라는 의미다.
랜섬웨어, ‘돈’이 모이는 지점 정조준
지난 2016년 한해 동안 가파른 성장세를 보였던 랜섬웨어는 공격자 관점에서 즉각적으로 금전적 이득을 취할 수 있는 유용한 범죄 수단으로 자리 잡았다. 기업의 경우, 비즈니스 중단이나 고객 정보와 같은 중요 데이터를 잃을 수 있다는 부담 때문에 결국 몸값(Ransom)을 지불하는 사례가 적지 않다. 여기에 랜섬웨어 제작 및 유포의 서비스화(Ransomware as a Service, RaaS) 등 랜섬웨어 자체가 수요자와 공급자가 유기적으로 활동하는 하나의 시장을 형성하기에 이르렀다.
랜섬웨어의 위협은 올해 더욱 고도화되고 공격 범위도 확장될 전망이다. 금전적 이득이 목적이라면 ‘돈’이 모이는 곳으로 향하는 것이 당연지사. 지금까지 금전적인 피해를 야기하는 사이버 범죄는 가짜 홈페이지를 통해 사용자 정보를 탈취하는 ‘피싱’과 ‘파밍’이 주도했지만 이제 랜섬웨어가 그 중심에 있다 해도 과언이 아니다. 특히, 스피어 피싱 등과 결합한 랜섬웨어 및 기업 간 무역 거래 대금을 노린 범죄 조직이 다년간 활동 중이기 때문에 무역 거래가 빈번한 기업의 경우 각별한 주의가 요구된다.
대중화된 공격 툴을 이용한 사이버 범죄의 고도화·가속화
불과 몇 년 전까지만 해도 사이버 공격은 전문적인 IT 지식을 가진 해커 또는 해킹 그룹의 전유물로 여겨졌다. 그러나 최근 사이버 암시장뿐만 아니라 일반 인터넷 상에서도 랜섬웨어 제작 서비스인 RaaS를 비롯해 다양한 스팸 메일 발송 서비스 등을 이용할 수 있어 전문적인 IT 관련 지식이 없더라도 악성코드를 제작하고 사이버 공격을 시도할 수 있게 됐다. 이렇게 대중화된 사이버 공격이 더 많은 범죄에 악용될 것으로 전망된다. 동시에 사이버 범죄자를 특정인 또는 그룹으로 한정 지을 수 없게 됨에 따라 이에 대한 대응 및 수사 등이 더욱 어려워질 전망이다.
공격자들은 스팸 메일 첨부파일과 홈페이지 방문 시 자동으로 설치하는 드라이브 바이 다운로드(Drive-by-download) 공격을 지속할 뿐 아니라 소프트웨어 보안 패치를 적용하지 않는 사용자들이 더 많다는 사실에 주목하고, 소프트웨어 보안 취약점을 악용하는 익스플로잇 킷을 더욱 적극적으로 활용하는 등 기존 공격 기법의 업그레이드에 주력할 것이다. 지속적으로 증가하는 익스플로잇 킷 기반의 공격에 대비하기 위해 정기적으로 웹사이트 위·변조 여부를 확인하고, 특히 웹쉘을 이용한 공격에 각별한 주의를 기울여야 한다.
치밀한 위장술로 내부 침입 및 시스템 장악 시도
2010년 전후로 발생한 기업 해킹은 기업 기밀이나 기업이 보유하고 있는 개인정보를 탈취하기 위한 목적이 대부분이었다. 그러나 최근에는 단순한 정보 유출을 넘어 기업 내부 인프라를 장악하기 위한 공격으로 변화했다. 이를 위해 특히 올해는 기업 및 기관의 내부 인프라에 성공적으로 침입하기 위해 다양한 속임수를 더한 공격 기법이 등장할 것으로 보인다.
이러한 공격을 통해 감염된 시스템을 거점으로 기업 내부 인프라에 침입해 내부 정보를 수집 및 검색함으로써 시스템 계정 정보를 획득한다. 주요 계정 정보의 수집과 활용을 반복함으로써 내부 관리 시스템 운영에 관련된 권한을 탈취하고 마침내 전체 인프라를 장악한다.
이런 방식으로 특정 기업의 내부 시스템을 장악한 후, 해당 기업의 서비스 이용에 필요한 정상적인 프로그램으로 위장해 광범위한 다수의 PC에 악성코드를 설치할 수 있다. 또 이렇게 감염된 PC와 연결된 네트워크상의 다른 시스템을 통해 또 다른 기업의 내부 시스템 장악까지 시도할 수 있어 이 영역에 대한 공격은 여전히 지속될 것으로 보인다.
멈추지 않는 사회기반시설 공격·사이버 테러
2017년에는 국내뿐만 아니라 전 세계적으로 정치적·경제적 이해관계 대립이 더욱 심화될 전망이다. 국가 간 이념적 갈등 또한 깊어져 타국의 기관과 기업을 겨냥한 사이버 테러 역시 사라지지 않을 전망이다.
최근 공격의 대상(Target)은 기존의 다수 시민들이 이용하는 온라인 서비스를 겨냥하던 것에서 서비스 종류나 규모에 관계없이 거의 모든 기업과 기관으로 확대되고 있다. 사회기반시설 공격 등 사이버 테러의 배후는 주로 테러 단체이거나 적대적인 관계를 맺고 있는 국가로 추정된다. 공격 동기 또한 금전적 이득보다는 종교적·이념적·정치적 갈등에서 찾을 수 있다. 사회기반시설 공격이 성공할 경우 사회적 혼란과 공포를 야기함으로써 자신들의 선전 효과를 극대화할 수 있으며, 종교적·정치적 갈등은 쉽게 해결되기 어렵기 때문에 사회기반시설 공격은 앞으로도 지속될 전망이다.
대부분의 사회기반시설 내 시스템은 외부 인터넷에 직접적으로 연결되지 않는 망분리 환경에서 안전하게 운영되고 있다. 그러나 단 하나라도 인터넷망에 연결된 시스템이나 인터넷망과 내부망을 연결하는 지점이 존재할 수 있기 때문에 보안 위협으로부터 완벽하게 자유롭다고 할 수 없다. 또 어디에서든 보안에 가장 취약한 지점은 사람이다. 불편함 등을 이유로 보안 정책을 어기는 내부 직원이 있을 수 있다. 공격자들은 이러한 취약점을 찾아내기 위해 다양한 방법을 동원해 지속적으로 공격을 시도하고 있다.
Internet of Things vs. Threat of Things
사물인터넷(IoT) 기술의 발전과 확산은 더욱 가속화될 전망이다. 문제는 아직 사물인터넷의 보안 이슈에 대한 인식이 부족해 보안에 취약한 제품의 판매가 지속될 것이라는 점이다. 그리고 이를 노린 사물인터넷 악성코드 또한 빠르게 증가할 것으로 예상된다.
실제로 지난해 미국에서는 미라이(Mirai) 악성코드에 감염된 사물인터넷 기기를 이용한 대규모 디도스 공격이 발생한 바 있다. 사물인터넷 기기는 한번 판매 또는 설치되면 사후 관리가 이루어지기 어렵고, 대부분 수년간 초기 상태 그대로 사용된다는 특징이 있다. 사용자 입장에서는 사물인터넷 기기 제조사가 제공하는 보안 패치를 적용하는 것 외에는 마땅히 방법이 없다. 그러나 현재 대부분의 사물인터넷 기기 제작 업체는 보안 문제를 고민할 정도의 여유(?)가 없거나 기술력이 부족한 실정이다. 또 사용성의 측면에서 저전력과 저비용이 핵심인 사물인터넷 기기의 특성상 보안 강화를 위한 기능 추가나 가격을 인상하는 것은 현실적으로 어렵다.
따라서 빠르게 확산되고 있는 사물인터넷 기기와 관련된 보안 위협을 방지하기 위해서는 제조사뿐만 아니라 보안 업체와 정부 기관의 유기적인 협력이 필요하다. 또 다양한 국가에서 앞 다퉈 사물인터넷 기술과 제품 개발을 서두르고 있어 개별 국가의 규제만으로는 사물인터넷 기기에 의한 광범위한 보안 위협을 해결하기 어렵다. 각국의 정부와 관련 협회, 제조사의 전방위적인 협업을 통해 사물인터넷 기기에 대한 최소한의 점검 체계 구축과 실질적으로 적용 가능한 보안 가이드 마련이 시급하다.
기업과 기관의 보안에 대한 접근 방식에도 변화의 조짐이 엿보인다. 보안 이슈나 필요에 따라 도입했던 보안 솔루션들의 정보를 하나로 통합 수집 및 관리하기 위한 요구가 발생할 것이며, 보안 업체는 수집된 정보를 효과적으로 처리하고 최신 위협에 대응하기 위해 자동화, 머신 러닝 등 다양한 기술의 접목을 시도할 것으로 보인다.
프로그램을 변조하여 악의적인 기능을 수행하게 하는 전통적인(?) 공격 방식과 더불어 최근에는 프로그램의 설치 및 업데이트 과정이나 관리 솔루션의 동작 과정에 개입하여 악성코드를 다운로드하고 실행하는 방식이 등장했다. 게다가 이러한 악성코드 제작 및 유포하는 기술은 물론 이를 대행해주는 서비스까지 암거래되기에 이르렀다. 지난해 급격하게 성장한 랜섬웨어를 분수령으로, 수요자와 공급자가 활발하게 ‘악성코드에 의한, 악성코드를 위한’ 금전 거래를 하는 새로운 생태계가 자리 잡게 된 것이다.
이제 이 악성코드를 위한 생태계는 경제 원칙에 따라 더욱 다양한 악성코드를 생산해낼 것이고, 왕성한 활동을 통해 영역 확장에 나설 것이다. 또한 자본주의적 상호 경쟁의 시장 논리에 따라 차별화된 악성코드 제작 및 유포 서비스를 위한 투자와 노력이 계속될 것이며, 이로써 올해 보안 위협은 더욱 고도화될 전망이다.
▲ 머신러닝의 길은 멀고도 험하구나
보안 분야에서 급부상하는 머신 러닝
다양하고 방대한 데이터를 분석하기 위한 새로운 기술 연구 속에서 등장한 데이터 마이닝, 머신 러닝 등의 기술이 보안 영역에서도 새롭게 자리 잡는 한 해가 될 것으로 보인다. 날로 복잡다단해지는 보안 위협에 대응하기 위해 다수의 보안 솔루션이 도입되었지만, 이들을 관리하는 인력에는 양적으로, 또 질적으로 한계가 있기 마련이다.
사람의 지식으로 축적된 것을 기술로 풀어내는 과정을 통해 그간 인력 기반으로 해결하려던 보안의 영역을 기술 기반으로 대체하는 다양한 시도가 진행될 것이다. 이를 통해 전통적인 보안 체계에서는 무의미한 것으로 간주되거나 간과되었던 부분에서 새롭게 유의미한 정보를 발견하는 사례도 나타날 것이다. 머신 러닝 등 새로운 기술과의 접목을 통해 전문적인 지식을 가진 분석가 못지 않은 결과물을 산출할 것이고, 동시에 이를 통해 절감된 리소스는 새로운 분야 또는 비즈니스에 투입되는 선순환 구조를 형성할 것이다.
보안 영역의 세분화와 통합된 관리 및 대응에 대한 요구
사물인터넷과 클라우드로 대변되는 IT 변화의 시대를 맞아 다양한 플랫폼과 서비스에 따른 세분화된 보안 요구가 증가할 것이다. 다양한 연구결과와 직접적인 체험을 통해 어느 정도 최신 기술에 대한 이해를 마련한 기업들은 각 산업 분야에 맞는 기술과 서비스를 업무에 적용해 나가고 있다. 이 과정에서 당연히 보안 요소에 대한 검토가 동반되어야 할 것이며, 각각의 환경에 적합한 보안 기술과 솔루션을 선택해 나가는 한해가 될 것이다.
각각 세분화되어 있는 보안의 영역을 전체적으로 관리 및 모니터링하며 이를 토대로 실질적이고 효과적인 대응을 수행할 수 있는 통합보안에 대한 요구가 구체화될 전망이다. 특히, 위협 정보의 시각화가 필수적이며 발견된 문제점을 해결하기 위한 실질적인 대응이 보안의 주요한 항목으로 자리잡을 것으로 보인다.
공격 도구의 대중화, ‘악인’의 구분이 모호한 시대
불과 몇 년전까지만 해도 사이버 공격은 전문적인 IT 지식을 가진 해커 또는 해킹 그룹의 전유물로 여겨졌다. 그러나 최근 사이버 암시장뿐만 아니라 일반 인터넷 상에서도 스팸 메일 발송 서비스를 비롯해 랜섬웨어 제작 서비스인 RaaS(Ransomware as a Service) 등을 어렵지 않게 구할 수 있어 전문적인 IT 지식이 없는 사람도 사이버 공격을 시도할 수 있게 됐다. 여기에 주요 응용 프로그램의 보안 취약점을 이용하는 익스플로잇 킷(Exploit Kit)을 다방면으로 활용하는 공격 기법이 업그레이드되면서 사이버 공격이 더 많은 범죄에 악용될 가능성을 높이고 있다.
악성코드 제작 및 유포 대행 서비스로 인한 사이버 공격의 대중화로 인해 공격자를 더 이상 특정인 또는 특정 그룹으로 한정 지을 수 없게 됐다. 즉, 사이버 공격 대응은 물론 공격 주체에 대한 수사에 많은 어려움을 겪게 될 전망이다. 따라서 보안 취약점을 이용한 사이버 공격에 노출되는 범위를 최소화하기 위해서는 보안 패치의 중요성에 대한 사용자 인식 제고가 요구된다. 기업 및 기관의 경우, 임직원들의 보안 패치 적용을 강제하고 관리하기 위한 방안 마련이나 솔루션 도입에 대한 투자를 고려할 필요가 있다.
결국, 모든 것은 ‘사람’으로 귀결된다
최근 국내외에서 발생하고 있는 해킹 사고의 대부분은 조직 내 특정 개인이나 그룹을 표적으로 삼아 공격을 수행하고 최종 목적을 달성하는 형태다. 공격 기법 또한 특정인 또는 그룹에게만 이메일을 보내 첨부파일을 실행하도록 유도하는 스피어 피싱(Spear Phishing)이나, 특정인이 주로 이용하는 웹사이트를 해킹해 악성코드를 유포하는 워터링 홀(Watering Hole) 공격 등이 주를 이룬다.
일련의 최신 해킹 사례에서 주목해야 할 점은 표적 공격도 결국 ‘악성코드’ 유입에서 출발하며, 제대로 관리되지 않은 PC나 서버가 교두보 역할을 한다는 점이다. 보안 위협을 사전에 차단하기 위해 다양한 솔루션을 구축하거나 전문화된 서비스를 이용하는 것도 필요하지만, 이보다 더 중요한 것은 이를 어떻게 활용하고 운영하느냐다. 솔루션 도입만으로 충분하다고 성급하게 판단하는 보안관리자나 책임자뿐만 아니라 ‘나 하나쯤은 괜찮겠지’라는 안일한 사용자의 보안 인식으로 인해 보안 침해 사고는 지속적으로 발생할 수밖에 없다.
결국 모든 것의 시작과 끝에는 사람이 있다. 2017년에는 각 솔루션과 서비스 체계에 대한 점검 및 효과적인 운용을 위한 노력과 더불어 변함없는 보안의 취약점인 ‘사람’에 대한 교육과 관리 등 구체적인 노력이 요구된다. 조직 내 일반 사용자부터 보안 관리자, 기업 책임자까지, 사람에 의한 보안 문제를 최소화하기 위한 노력이 지속적으로 이루어져야 한다.
[자료제공: 안랩닷컴]
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
