[결산 인터뷰-1] AVAR 2017에서 강연한 안랩 차민석 수석연구원
여러 공격조직, 한국뿐 아니라 타 국가에서도 활동 중
공격그룹 분석 결과와 함께 IoT, 머신러닝 기술 등 보안이슈 공유
2017년은 한국 전체는 물론 보안 분야에 있어서도 다양한 보안위협이 등장했고, 각종 사건사고로 얼룩진 한 해였다. 이에 본지는 사이버 전장의 최일선에서 보안위협 대응에 최선을 다해 온 백신·악성코드 분석·침해대응 관련 보안업체 대표 및 실무자들에게 올해 주요 보안위협과 2018년 전망을 듣는 시간을 마련했다. [편집자 주]
[보안뉴스 김경애 기자] “여러 공격 조직들은 한국뿐만 아니라 타 국가에서도 활동하고 있습니다. 이러한 공격에 효과적으로 대응하기 위해서는 기본적인 보안수칙을 생활화하는 자세와 함께 관련 업체나 기관 간 협력 등이 필수입니다.” 이는 중국 베이징에서 지난 6일부터 8일까지 개최되는 국제 보안 컨퍼런스 ‘AVAR 2017’에서 안랩 차민석 수석연구원이 한 말이다.
▲국제 보안 컨퍼런스 ‘AVAR 2017’에서 발표하고 있는 안랩 차민석 수석 연구원
그는 이번 컨퍼런스에서 ‘Targeted Attacks on Major Industry Sectors in South Korea(국내 주요 산업군 타깃 공격)’를 주제로 특정 기업을 타깃으로 한 랜섬웨어, ATM 해킹, 암호화폐 거래소 공격에 대해 발표했다. 특히, 주요 타깃형 공격의 특징과 공격 방식 등을 설명해 이목이 집중됐다.
‘AVAR 2017’ 컨퍼런스는 아시아태평양 지역의 안티바이러스 분야 협력 증진을 위해 1998년 창립된 비영리 조직인 AVAR(Association of Anti-Virus Asia Researchers)가 주최하는 국제 컨퍼런스다. 올해 20회째를 맞은 AVAR 컨퍼런스는 전세계 20여 개국 정보보안 전문가 등 300여 명이 참가해 최신 보안 이슈와 기술 등을 공유하는 발표 및 전시를 진행한다. 이에 본지는 안랩 차민석 수석연구원을 통해 주요 보안이슈와 함께 공격조직에 대해 좀더 자세히 들어봤다.
Q. 이번 컨퍼런스에서 보안이슈에 대해 직접 발표하신 걸로 알고 있습니다. 발표 내용에 대한 간략히 설명해 주신다면.
올해 우리나라를 타깃으로 감행된 랜섬웨어, ATM 해킹, 가상화폐 거래소 공격 등에 대해 알아보고 이들 공격의 배후로 추정되는 3개 그룹의 활동에 대해 설명했습니다. 안랩 시큐리티 대응센터에서 발행한 ‘오퍼레이션 고스트 라이플(Operation Ghost Rifle)’, ‘오퍼레이션 레드 닷 (Operation Red Dot)’, ‘오퍼레이션 비터 비스킷(Operation Bitter Biscuit)’ 등의 분석 내용에 대해서도 설명했습니다.
Q. 이번 컨퍼런스에서는 주로 어떤 보안이슈에 대해 논의됐나요?
전반적으로 여러 공격 그룹의 활동에 대해 주로 논의했습니다. 그외 IoT, 머신러닝 기술 등에 대해서도 활발하게 공유됐습니다.
Q. 전 세계 보안 전문가들과 어떤 정보들을 공유했나요?
AVAR가 아시아 지역에서 열리긴 하지만 전 세계 업체 및 기관 보안전문가들이 참가합니다. 지역별로 강세를 보이는 업체들이 존재하는 반면, 많은 업체들의 경우 특정 지역에 대해서는 정보가 부족하기도 합니다. 따라서 특정 지역에서 활동하는 공격 그룹의 현황 등에 대해 정보 공유가 중점적으로 이루어 졌습니다.
Q. 다른 국가에서는 어떤 보안이슈가 문제가 되고 있나요?
여전히 랜섬웨어와 특정 국가, 지역에서 활동하고 있는 공격 그룹이 문제가 되고 있습니다.
Q. 한 해를 되돌아보면서 올해 가장 중요하다고 생각한 보안이슈 3가지와 이유에 대해 설명해 주신다면.
랜섬웨어, 전 세계적으로 발생한 금융권 타깃 공격, 가상화폐 열풍입니다. 먼저 랜섬웨어의 경우 워너크립터(워너크라이), 페트야처럼 공격 프로그램으로 사용될 수 있고 우리나라에서는 웹호스팅 서비스 업체를 공격해 웹사이트를 사용하지 못하게 차단하는 일도 발생했습니다. 앞으로 랜섬웨어 기법은 계속 발전할 것으로 봅니다.
두 번째로는 올해 금융권을 직접 공격하는 사건이 많이 발생했다는 점입니다. 금융권은 돈을 다루기 때문에 공격자들은 더욱 다양한 방법으로 공격할 것으로 보입니다.
세 번째로 가상화폐 가치 상승에 따른 다양한 보안이슈입니다. 가상화폐 가치가 오르면서 가상화폐 채굴기를 사용자 몰래 설치하는 일도 잦아지고 있습니다. 가상화폐 거래소를 공격하는 일도 빈번해 지는 등 향후 가상화폐 관련 보안이슈가 점점 더 증가할 것으로 봅니다.
Q. 가장 개선되지 않는 기업의 정보보안 문제는 무엇이라고 보시나요?
예를 들어, 실행 파일을 문서 파일로 가장해 공격하는 방식이 있습니다. 이 방법은 기술적으로 전혀 뛰어난 방법도 아닙니다. 임직원들이 조금만 보안에 신경 쓰면 해결할 수 있는데 보안에 대해 잘 모르거나 알아도 보안인식 부재로 피해를 입는 경우가 있습니다. 또한, 보안을 투자가 아닌 비용으로 인식하는 경우도 있습니다. 보통 단일 제품 구매만으로 문제를 해결하려고 하는데, 각자 환경에 맞는 보안이슈를 해결하기 위해서는 결국 솔루션과 사람에 대한 통합적 투자가 필요합니다.
Q. 보안 분야에서 가장 필요한 사항은 무엇인가요?
현재 보안 위협은 한 업체, 한 기관이 해결할 수 없는 상황이라 업체 및 기관 간에 협력이 매우 중요하다고 생각합니다.
Q. 향후 어떤 계획이 있으신가요?
국내에서 활동하고 있는 주요 공격 그룹에 대해 좀 더 정리하고 발표하고 싶습니다.
[김경애 기자(boan3@boannews.com)]
여러 공격조직, 한국뿐 아니라 타 국가에서도 활동 중
공격그룹 분석 결과와 함께 IoT, 머신러닝 기술 등 보안이슈 공유
2017년은 한국 전체는 물론 보안 분야에 있어서도 다양한 보안위협이 등장했고, 각종 사건사고로 얼룩진 한 해였다. 이에 본지는 사이버 전장의 최일선에서 보안위협 대응에 최선을 다해 온 백신·악성코드 분석·침해대응 관련 보안업체 대표 및 실무자들에게 올해 주요 보안위협과 2018년 전망을 듣는 시간을 마련했다. [편집자 주]
[보안뉴스 김경애 기자] “여러 공격 조직들은 한국뿐만 아니라 타 국가에서도 활동하고 있습니다. 이러한 공격에 효과적으로 대응하기 위해서는 기본적인 보안수칙을 생활화하는 자세와 함께 관련 업체나 기관 간 협력 등이 필수입니다.” 이는 중국 베이징에서 지난 6일부터 8일까지 개최되는 국제 보안 컨퍼런스 ‘AVAR 2017’에서 안랩 차민석 수석연구원이 한 말이다.
▲국제 보안 컨퍼런스 ‘AVAR 2017’에서 발표하고 있는 안랩 차민석 수석 연구원
그는 이번 컨퍼런스에서 ‘Targeted Attacks on Major Industry Sectors in South Korea(국내 주요 산업군 타깃 공격)’를 주제로 특정 기업을 타깃으로 한 랜섬웨어, ATM 해킹, 암호화폐 거래소 공격에 대해 발표했다. 특히, 주요 타깃형 공격의 특징과 공격 방식 등을 설명해 이목이 집중됐다.
‘AVAR 2017’ 컨퍼런스는 아시아태평양 지역의 안티바이러스 분야 협력 증진을 위해 1998년 창립된 비영리 조직인 AVAR(Association of Anti-Virus Asia Researchers)가 주최하는 국제 컨퍼런스다. 올해 20회째를 맞은 AVAR 컨퍼런스는 전세계 20여 개국 정보보안 전문가 등 300여 명이 참가해 최신 보안 이슈와 기술 등을 공유하는 발표 및 전시를 진행한다. 이에 본지는 안랩 차민석 수석연구원을 통해 주요 보안이슈와 함께 공격조직에 대해 좀더 자세히 들어봤다.
Q. 이번 컨퍼런스에서 보안이슈에 대해 직접 발표하신 걸로 알고 있습니다. 발표 내용에 대한 간략히 설명해 주신다면.
올해 우리나라를 타깃으로 감행된 랜섬웨어, ATM 해킹, 가상화폐 거래소 공격 등에 대해 알아보고 이들 공격의 배후로 추정되는 3개 그룹의 활동에 대해 설명했습니다. 안랩 시큐리티 대응센터에서 발행한 ‘오퍼레이션 고스트 라이플(Operation Ghost Rifle)’, ‘오퍼레이션 레드 닷 (Operation Red Dot)’, ‘오퍼레이션 비터 비스킷(Operation Bitter Biscuit)’ 등의 분석 내용에 대해서도 설명했습니다.
Q. 이번 컨퍼런스에서는 주로 어떤 보안이슈에 대해 논의됐나요?
전반적으로 여러 공격 그룹의 활동에 대해 주로 논의했습니다. 그외 IoT, 머신러닝 기술 등에 대해서도 활발하게 공유됐습니다.
Q. 전 세계 보안 전문가들과 어떤 정보들을 공유했나요?
AVAR가 아시아 지역에서 열리긴 하지만 전 세계 업체 및 기관 보안전문가들이 참가합니다. 지역별로 강세를 보이는 업체들이 존재하는 반면, 많은 업체들의 경우 특정 지역에 대해서는 정보가 부족하기도 합니다. 따라서 특정 지역에서 활동하는 공격 그룹의 현황 등에 대해 정보 공유가 중점적으로 이루어 졌습니다.
Q. 다른 국가에서는 어떤 보안이슈가 문제가 되고 있나요?
여전히 랜섬웨어와 특정 국가, 지역에서 활동하고 있는 공격 그룹이 문제가 되고 있습니다.
Q. 한 해를 되돌아보면서 올해 가장 중요하다고 생각한 보안이슈 3가지와 이유에 대해 설명해 주신다면.
랜섬웨어, 전 세계적으로 발생한 금융권 타깃 공격, 가상화폐 열풍입니다. 먼저 랜섬웨어의 경우 워너크립터(워너크라이), 페트야처럼 공격 프로그램으로 사용될 수 있고 우리나라에서는 웹호스팅 서비스 업체를 공격해 웹사이트를 사용하지 못하게 차단하는 일도 발생했습니다. 앞으로 랜섬웨어 기법은 계속 발전할 것으로 봅니다.
두 번째로는 올해 금융권을 직접 공격하는 사건이 많이 발생했다는 점입니다. 금융권은 돈을 다루기 때문에 공격자들은 더욱 다양한 방법으로 공격할 것으로 보입니다.
세 번째로 가상화폐 가치 상승에 따른 다양한 보안이슈입니다. 가상화폐 가치가 오르면서 가상화폐 채굴기를 사용자 몰래 설치하는 일도 잦아지고 있습니다. 가상화폐 거래소를 공격하는 일도 빈번해 지는 등 향후 가상화폐 관련 보안이슈가 점점 더 증가할 것으로 봅니다.
Q. 가장 개선되지 않는 기업의 정보보안 문제는 무엇이라고 보시나요?
예를 들어, 실행 파일을 문서 파일로 가장해 공격하는 방식이 있습니다. 이 방법은 기술적으로 전혀 뛰어난 방법도 아닙니다. 임직원들이 조금만 보안에 신경 쓰면 해결할 수 있는데 보안에 대해 잘 모르거나 알아도 보안인식 부재로 피해를 입는 경우가 있습니다. 또한, 보안을 투자가 아닌 비용으로 인식하는 경우도 있습니다. 보통 단일 제품 구매만으로 문제를 해결하려고 하는데, 각자 환경에 맞는 보안이슈를 해결하기 위해서는 결국 솔루션과 사람에 대한 통합적 투자가 필요합니다.
Q. 보안 분야에서 가장 필요한 사항은 무엇인가요?
현재 보안 위협은 한 업체, 한 기관이 해결할 수 없는 상황이라 업체 및 기관 간에 협력이 매우 중요하다고 생각합니다.
Q. 향후 어떤 계획이 있으신가요?
국내에서 활동하고 있는 주요 공격 그룹에 대해 좀 더 정리하고 발표하고 싶습니다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
