아크로니스, 2023년 사이버 위협 전망 발표
“복잡해지는 IT 환경 속에서 복원력 부족한 조직은 비즈니스 지속 힘들 것”
인증정보 탈취, 랜섬웨어, 데이터 유출, 메시징 서비스 공격 등 10가지 선정
[보안뉴스 김영명 기자] 2023년 새해에 예상되는 사이버 보안 위협 요인 10가지는 △인증(Authentication) 정보 탈취 △랜섬웨어(Ransomware) △데이터 유출(Data breaches) △이메일을 넘어 메시징 서비스 공격 △암호화폐 거래 및 스마트 계약 △서비스 제공기업의 소프트웨어를 통한 침투 △브라우저를 통한 공격 △API를 통한 공격 △비즈니스 프로세스의 약점을 분석해 공격 △AI/ML를 이용한 공격 증가 등으로 크게 요약할 수 있다.
[이미지=utoimage]
통합 사이버 보호 선두기업 아크로니스(지사장 고목동)는 이 같은 내용을 중심으로 한 2023년 사이버 위협 전망을 발표했다. 칸디드 뷔스트(Candid Wuest) 아크로니스 사이버보호 리서치 부사장은 “오늘날의 세계는 어느 때보다 디지털 의존도가 높다”며 “IT 환경은 점점 더 복잡해지고 있으며 복원력이 부족한 조직은 보안 사고나 침해 사고 발생 시 비즈니스를 지속할 수 없을 것”이라고 강조했다.
먼저 ‘인증 정보 탈취’는 “정말 당신이 맞습니까?”를 묻고 있다. 인증 및 ID 액세스 관리(Identity and Access Management, IAM)는 더욱 빈번하게 공격받을 것으로 보인다. 많은 공격자가 이미 MFA(Multi-Factor Authentication, 다중 팩터 인증) 토큰을 훔치거나 우회하기 시작했다. 한 예로, MFA 푸시 알림을 계속 보내 상대방을 지치게 만들어 로그인 승인 버튼을 누르게 만드는 공격인 ‘MFA 피로 공격(fatigue attacks)’과 같은 다른 상황에서 요청이 많은 대상은 취약성 없이 성공적인 로그인으로 이어질 수 있다. 인증서비스 제공기업인 옥타(Okta)와 클라우드 기업 트와일로(Twilio)에 대한 최근의 공격도 외부 서비스도의 침해를 보여준다. 이 사건은 지난 몇 년 동안 진행돼 온 미흡하고 재사용된 암호가 문제였다. 이를 방지하기 위해서는 인증 방식과 데이터 액세스하려는 사람 및 액세스 방식을 이해해야 한다.
‘랜섬웨어(Ransomware)’는 여전한 최대 보안 위협 요인으로 강력하며 더욱 치밀하게 진화하고 있다. 큰 규모의 해킹 조직들은 공격 대상을 MacOS 및 리눅스(Linux) 운영체제로 확장했으며 클라우드 환경도 보고 있다. 고(Go), 러스트(Rust)와 같은 새로운 프로그래밍 언어가 점점 보편화되고 있어, 보안 환경 분석 툴도 재조정하고 추가 도입이 필요하다. 특히, 사이버 보험에 가입해 랜섬웨어 공격을 대비하는 기업은 수익성이 있다는 것으로 파악하고 이에 대한 해킹 공격이 증가할 것으로 전망된다. 공격자는 소프트웨어 업데이트 버전에 몰래 악성코드를 추가해 △보안 툴 제거 △백업 삭제 △재해 복구 계획 비활성화에 집중할 것으로 전망된다. 특히 LotL(Living-off-the Land attack, 타깃 시스템에 미리 설치돼 있는 도구를 활용해 공격하는 행위) 기술이 핵심적인 역할을 할 것으로 보인다.
세 번째는 ‘데이터 유출(Data breaches)’로 IT 인프라의 복잡성 증가가 개인정보 유출 우려를 키우고 있다. 라쿤(Racoon) 및 레드라인(Redline)과 자격 증명 정보를 도용하는 멀웨어는 감염의 표준이 되고 있다. 도난당한 데이터에는 종종 자격 증명이 포함되며, 이는 초기 액세스 브로커를 통해 추가 공격을 위해 판매된다. 상호 연결된 클라우드 서비스의 복잡성과 결합된 미가공 데이터의 수가 증가하면서 데이터 추적은 더 어려워지고 있다. 여러 사용자가 데이터에 액세스하면서 데이터를 암호화하고 보호하는 것이 더욱 어려워지고 있다. 예를 들어 깃허브(GitHub) 또는 모바일 앱에서 유출된 API 액세스 키로 모든 데이터를 훔칠 수 있다. 개인 사생활이 컴퓨팅으로 연결된 세상에서 제대로 된 보호는 더욱 어려워지고 있다.
네 번째는 ‘이메일을 넘어 메시징 서비스 공격’이 심화되고 있다. 악의적인 이메일과 피싱 공격이 계속해서 수백만 건 이상 전송되고 있다. 공격자는 이전에 유출된 데이터를 사용해 공의 자동화와 개인화를 계속 시도할 것으로 보인다. BEC(Business Email Compromise Attacks, 비즈니스 이메일 침해 공격)은 필터링과 감지를 피하기 위해 문자, 슬랙(Slack), 팀즈(Teams) 채팅 등 다양한 메시징 서비스로 확산될 전망이다. 하지만 피싱은 프록시를 사용해 세션 토큰을 캡처하고, MFA 토큰을 훔치고 QR 코드로 위장하는 등 자신을 더욱 숨길 것으로 예측된다.
‘암호화폐 거래 및 스마트 계약’ 등을 대상으로 한 정교한 사이버보안 위협도 늘어나는 추세다. 블록체인에 대한 암호화폐 거래소 및 스마트 계약에 대한 공격은 다양한 방법으로 계속 이어질 것으로 전망된다. 공공기관에 대한 공격을 통해 수억 달러의 디지털 통화를 훔치려고 시도한다. 사용자에 대한 고전적인 피싱, 멀웨어 공격 외에도 스마트 계약, 알고리즘 코인 및 DeFi 솔루션에 대한 보다 정교한 공격이 계속될 것으로 보인다.
다음으로 ‘서비스 제공기업의 소프트웨어를 통한 침투’도 피해를 유발하고 있다. 서비스 제공기업(SP)에 대한 공격은 끊임없이 늘어나고 있다. 공격자는 PSA(Platform Security Architecture), RMM(Remote Monitoring and Management, 원격 모니터링 및 관리) 또는 기타 배포도구 등에 몰래 침투해 오랜 기간 머무르며 공격 시기를 모색한다. 이러한 공격은 관리 IT 서비스 제공자이면서도 컨설팅사와 파트너사 등도 공격 대상으로 삼고 있다. 이러한 공격은 힘들게 소프트웨어 공급망을 공격하는 방식을 선택하지 않고도 공격이 가능하다.
일곱 번째는 거래 대상 주소를 교환하거나 백그라운드에서 암호를 도용하는 악성 브라우저 확장 프로그램을 통해 ‘브라우저를 통한 공격의 증가’가 있다. 이러한 도구의 소스 코드를 탈취하고 깃허브(GitHub) 저장소를 통해 백도어를 추가한다. 반면에 웹사이트는 계속해서 자바스크립트를 사용해 사용자를 추적하고 마케팅 서비스에 대한 HTTP 리퍼러(HTTP referrers, 웹브라우저로 월드와이드웹을 서핑할 때 사이트를 방문하면서 남는 흔적) 간에 세션 ID를 과도하게 공유될 것으로 보인다. 공격자는 작은 재사용 가능한 추가 소스 코드를 활용해 웹사이트의 모든 배경 정보를 훔치는 폼재킹(formjacking) 및 메이지카트(magecart) 기술을 확장한다. 서버리스 컴퓨팅이 증가하면서 이러한 공격에 대한 분석이 복잡해지고 있다.
여덟 번째는 ‘API를 통한 공격’이 클라우드로 연결된 전체 인프라 감염으로 이어지고 있다. 데이터, 프로세스 및 인프라는 이미 상당 부분 클라우드로 이동했다. 이것은 서로 다른 서비스 간의 더 많은 자동화로 이어지고 있다. 수많은 IoT 기기가 이 대규모 초연결 서비스 클라우드 일부가 될 것이다. 이제 인터넷에서 많은 API에 액세스할 수 있으므로 이에 대한 공격이 증가할 것이며, 특히 자동화로 인해 대규모 공격을 유발할 수도 있다.
다음은 ‘비즈니스 프로세스의 약점을 분석해 공격’하는 방법이다. 예를 들어 조직의 청구 시스템 템플릿에서 수신 은행 계좌정보를 변경하거나 클라우드 버킷(cloud bucket)을 이메일 서버의 백업 대상으로 추가하는 것 등이 있다. 이러한 공격은 종종 멀웨어를 포함하지 않으며, 내부자 공격과 마찬가지로 사용자 행동을 분석해 취약점을 찾아 공격한다.
마지막은 ‘AI/ML를 이용한 공격 증가’도 주목해야 한다. AI 시대가 도래하면서 허위 정보를 활용한 사기와 AI/ML 모델 자체에 대한 공격이 증가하고 있다. 시뮬레이션 등으로 생성된 합성 데이터의 발전으로 딥페이크(허위) 콘텐츠를 사용하는 일부 신원 사기 등이 늘어날 것으로 전망된다. AI/ML 모델 자체에 대한 공격은 더 큰 문제다. 공격자는 모델의 약점을 이용하거나, 데이터 세트에 일부러 편견을 심거나, 트리거를 사용해 IT 운영에 잘못된 경고를 보낼 수도 있다.
[김영명 기자(boan@boannews.com)]
“복잡해지는 IT 환경 속에서 복원력 부족한 조직은 비즈니스 지속 힘들 것”
인증정보 탈취, 랜섬웨어, 데이터 유출, 메시징 서비스 공격 등 10가지 선정
[보안뉴스 김영명 기자] 2023년 새해에 예상되는 사이버 보안 위협 요인 10가지는 △인증(Authentication) 정보 탈취 △랜섬웨어(Ransomware) △데이터 유출(Data breaches) △이메일을 넘어 메시징 서비스 공격 △암호화폐 거래 및 스마트 계약 △서비스 제공기업의 소프트웨어를 통한 침투 △브라우저를 통한 공격 △API를 통한 공격 △비즈니스 프로세스의 약점을 분석해 공격 △AI/ML를 이용한 공격 증가 등으로 크게 요약할 수 있다.
[이미지=utoimage]
통합 사이버 보호 선두기업 아크로니스(지사장 고목동)는 이 같은 내용을 중심으로 한 2023년 사이버 위협 전망을 발표했다. 칸디드 뷔스트(Candid Wuest) 아크로니스 사이버보호 리서치 부사장은 “오늘날의 세계는 어느 때보다 디지털 의존도가 높다”며 “IT 환경은 점점 더 복잡해지고 있으며 복원력이 부족한 조직은 보안 사고나 침해 사고 발생 시 비즈니스를 지속할 수 없을 것”이라고 강조했다.
먼저 ‘인증 정보 탈취’는 “정말 당신이 맞습니까?”를 묻고 있다. 인증 및 ID 액세스 관리(Identity and Access Management, IAM)는 더욱 빈번하게 공격받을 것으로 보인다. 많은 공격자가 이미 MFA(Multi-Factor Authentication, 다중 팩터 인증) 토큰을 훔치거나 우회하기 시작했다. 한 예로, MFA 푸시 알림을 계속 보내 상대방을 지치게 만들어 로그인 승인 버튼을 누르게 만드는 공격인 ‘MFA 피로 공격(fatigue attacks)’과 같은 다른 상황에서 요청이 많은 대상은 취약성 없이 성공적인 로그인으로 이어질 수 있다. 인증서비스 제공기업인 옥타(Okta)와 클라우드 기업 트와일로(Twilio)에 대한 최근의 공격도 외부 서비스도의 침해를 보여준다. 이 사건은 지난 몇 년 동안 진행돼 온 미흡하고 재사용된 암호가 문제였다. 이를 방지하기 위해서는 인증 방식과 데이터 액세스하려는 사람 및 액세스 방식을 이해해야 한다.
‘랜섬웨어(Ransomware)’는 여전한 최대 보안 위협 요인으로 강력하며 더욱 치밀하게 진화하고 있다. 큰 규모의 해킹 조직들은 공격 대상을 MacOS 및 리눅스(Linux) 운영체제로 확장했으며 클라우드 환경도 보고 있다. 고(Go), 러스트(Rust)와 같은 새로운 프로그래밍 언어가 점점 보편화되고 있어, 보안 환경 분석 툴도 재조정하고 추가 도입이 필요하다. 특히, 사이버 보험에 가입해 랜섬웨어 공격을 대비하는 기업은 수익성이 있다는 것으로 파악하고 이에 대한 해킹 공격이 증가할 것으로 전망된다. 공격자는 소프트웨어 업데이트 버전에 몰래 악성코드를 추가해 △보안 툴 제거 △백업 삭제 △재해 복구 계획 비활성화에 집중할 것으로 전망된다. 특히 LotL(Living-off-the Land attack, 타깃 시스템에 미리 설치돼 있는 도구를 활용해 공격하는 행위) 기술이 핵심적인 역할을 할 것으로 보인다.
세 번째는 ‘데이터 유출(Data breaches)’로 IT 인프라의 복잡성 증가가 개인정보 유출 우려를 키우고 있다. 라쿤(Racoon) 및 레드라인(Redline)과 자격 증명 정보를 도용하는 멀웨어는 감염의 표준이 되고 있다. 도난당한 데이터에는 종종 자격 증명이 포함되며, 이는 초기 액세스 브로커를 통해 추가 공격을 위해 판매된다. 상호 연결된 클라우드 서비스의 복잡성과 결합된 미가공 데이터의 수가 증가하면서 데이터 추적은 더 어려워지고 있다. 여러 사용자가 데이터에 액세스하면서 데이터를 암호화하고 보호하는 것이 더욱 어려워지고 있다. 예를 들어 깃허브(GitHub) 또는 모바일 앱에서 유출된 API 액세스 키로 모든 데이터를 훔칠 수 있다. 개인 사생활이 컴퓨팅으로 연결된 세상에서 제대로 된 보호는 더욱 어려워지고 있다.
네 번째는 ‘이메일을 넘어 메시징 서비스 공격’이 심화되고 있다. 악의적인 이메일과 피싱 공격이 계속해서 수백만 건 이상 전송되고 있다. 공격자는 이전에 유출된 데이터를 사용해 공의 자동화와 개인화를 계속 시도할 것으로 보인다. BEC(Business Email Compromise Attacks, 비즈니스 이메일 침해 공격)은 필터링과 감지를 피하기 위해 문자, 슬랙(Slack), 팀즈(Teams) 채팅 등 다양한 메시징 서비스로 확산될 전망이다. 하지만 피싱은 프록시를 사용해 세션 토큰을 캡처하고, MFA 토큰을 훔치고 QR 코드로 위장하는 등 자신을 더욱 숨길 것으로 예측된다.
‘암호화폐 거래 및 스마트 계약’ 등을 대상으로 한 정교한 사이버보안 위협도 늘어나는 추세다. 블록체인에 대한 암호화폐 거래소 및 스마트 계약에 대한 공격은 다양한 방법으로 계속 이어질 것으로 전망된다. 공공기관에 대한 공격을 통해 수억 달러의 디지털 통화를 훔치려고 시도한다. 사용자에 대한 고전적인 피싱, 멀웨어 공격 외에도 스마트 계약, 알고리즘 코인 및 DeFi 솔루션에 대한 보다 정교한 공격이 계속될 것으로 보인다.
다음으로 ‘서비스 제공기업의 소프트웨어를 통한 침투’도 피해를 유발하고 있다. 서비스 제공기업(SP)에 대한 공격은 끊임없이 늘어나고 있다. 공격자는 PSA(Platform Security Architecture), RMM(Remote Monitoring and Management, 원격 모니터링 및 관리) 또는 기타 배포도구 등에 몰래 침투해 오랜 기간 머무르며 공격 시기를 모색한다. 이러한 공격은 관리 IT 서비스 제공자이면서도 컨설팅사와 파트너사 등도 공격 대상으로 삼고 있다. 이러한 공격은 힘들게 소프트웨어 공급망을 공격하는 방식을 선택하지 않고도 공격이 가능하다.
일곱 번째는 거래 대상 주소를 교환하거나 백그라운드에서 암호를 도용하는 악성 브라우저 확장 프로그램을 통해 ‘브라우저를 통한 공격의 증가’가 있다. 이러한 도구의 소스 코드를 탈취하고 깃허브(GitHub) 저장소를 통해 백도어를 추가한다. 반면에 웹사이트는 계속해서 자바스크립트를 사용해 사용자를 추적하고 마케팅 서비스에 대한 HTTP 리퍼러(HTTP referrers, 웹브라우저로 월드와이드웹을 서핑할 때 사이트를 방문하면서 남는 흔적) 간에 세션 ID를 과도하게 공유될 것으로 보인다. 공격자는 작은 재사용 가능한 추가 소스 코드를 활용해 웹사이트의 모든 배경 정보를 훔치는 폼재킹(formjacking) 및 메이지카트(magecart) 기술을 확장한다. 서버리스 컴퓨팅이 증가하면서 이러한 공격에 대한 분석이 복잡해지고 있다.
여덟 번째는 ‘API를 통한 공격’이 클라우드로 연결된 전체 인프라 감염으로 이어지고 있다. 데이터, 프로세스 및 인프라는 이미 상당 부분 클라우드로 이동했다. 이것은 서로 다른 서비스 간의 더 많은 자동화로 이어지고 있다. 수많은 IoT 기기가 이 대규모 초연결 서비스 클라우드 일부가 될 것이다. 이제 인터넷에서 많은 API에 액세스할 수 있으므로 이에 대한 공격이 증가할 것이며, 특히 자동화로 인해 대규모 공격을 유발할 수도 있다.
다음은 ‘비즈니스 프로세스의 약점을 분석해 공격’하는 방법이다. 예를 들어 조직의 청구 시스템 템플릿에서 수신 은행 계좌정보를 변경하거나 클라우드 버킷(cloud bucket)을 이메일 서버의 백업 대상으로 추가하는 것 등이 있다. 이러한 공격은 종종 멀웨어를 포함하지 않으며, 내부자 공격과 마찬가지로 사용자 행동을 분석해 취약점을 찾아 공격한다.
마지막은 ‘AI/ML를 이용한 공격 증가’도 주목해야 한다. AI 시대가 도래하면서 허위 정보를 활용한 사기와 AI/ML 모델 자체에 대한 공격이 증가하고 있다. 시뮬레이션 등으로 생성된 합성 데이터의 발전으로 딥페이크(허위) 콘텐츠를 사용하는 일부 신원 사기 등이 늘어날 것으로 전망된다. AI/ML 모델 자체에 대한 공격은 더 큰 문제다. 공격자는 모델의 약점을 이용하거나, 데이터 세트에 일부러 편견을 심거나, 트리거를 사용해 IT 운영에 잘못된 경고를 보낼 수도 있다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
