상단여백
HOME 이슈 긴급속보
[안랩 2017년 보안 위협 전망] “즉각적 금전이득 위한 공격에 집중”안랩, 2017년 보안위협 전망 전문

밝은 곳이 있으면 어두운 곳도 있다는 만고의 진리처럼, IT 기술의 발전은 항상 새로운 보안 위협을 동반해왔다. 2017년에는 비교적 새로운 기술이라 할 수 있는 사물인터넷 기기와 관련된 위협이 전망된다. 더불어 기존의 보안 위협은 더욱 강력하고 교묘한 모습으로 사회 전반을 파고들 것으로 보인다. 특히 올해도 세계 경제 전망이 좋지 않은 만큼, 사이버 공격자들은 즉각적으로 금전적 이득을 취할 수 있는 공격에 집중할 것으로 보인다. 2016년 전세계를 집어삼킨 랜섬웨어(Ransomware)에서 이미 그 조짐이 드러났다. 일반 기업과 마찬가지로 악의적인 공격자들 역시 투자 대비 수익률이 높은 방법을 모색할 것이 분명하다. 사람들의 심리와 최신 기술이 결합된 교묘한 공격 기법을 찾아낼 것이라는 의미다.

이 글에서는 안랩 보안 전문가들이 전망한 2017년 보안 위협 동향을 살펴본다.

▶랜섬웨어, “돈”이 모이는 지점 정조준
지난 2016년 한 해 동안 가파른 성장세를 보였던 랜섬웨어(Ransomware)는 공격자 관점에서 즉각적으로 금전적 이득을 취할 수 있는 유용한 범죄 수단으로 자리잡았다. 기업의 경우, 비즈니스 중단이나 고객 정보와 같은 중요 데이터를 잃을 수 있다는 부담 때문에 결국 몸값(ransom)을 지불하는 사례가 적지 않다. 여기에 랜섬웨어 제작 및 유포의 서비스화(Ransomware as a Service, RaaS) 등 랜섬웨어 자체가 수요자와 공급자가 유기적으로 활동하는 하나의 시장을 형성하기에 이르렀다.

랜섬웨어의 위협은 올해 더욱 고도화되고 공격 범위도 확장될 전망이다. 금전적 이득이 목적이라면 “돈”이 모이는 곳으로 향하는 것이 당연지사. 지금까지 금전적인 피해를 야기하는 사이버 범죄는 가짜 홈페이지를 통해 사용자 정보를 탈취하는 피싱과 파밍이 주도했지만 이제 랜섬웨어가 그 중심에 있다해도 과언이 아니다. 특히 스피어피싱 등과 결합한 랜섬웨어 및 기업 간 무역 거래 대금을 노린 범죄 조직이 다년간 활동 중이기 때문에 무역 거래가 빈번한 기업의 경우 각별한 주의가 요구된다.

▶대중화된 공격 툴을 이용한 사이버 범죄의 고도화-가속화
불과 몇 년 전까지만 해도 사이버 공격은 전문적인 IT 지식을 가진 해커 또는 해킹 그룹의 전유물로 여겨졌다. 그러나 최근 사이버 암시장뿐만 아니라 일반 인터넷 상에서도 랜섬웨어 제작 서비스인 RaaS를 비롯해 다양한 스팸 메일 발송 서비스 등을 이용할 수 있어, 전문적인 IT 관련 지식이 없더라도 악성코드를 제작하고 사이버 공격을 시도할 수 있게 됐다. 이렇게 대중화된 사이버 공격이 더 많은 범죄에 악용될 것으로 전망된다. 동시에 사이버 범죄자를 특정인 또는 그룹으로 한정 지을 수 없게 됨에 따라 이에 대한 대응 및 수사 등이 더욱 어려워질 전망이다.

공격자들은 스팸 메일 첨부파일과 홈페이지 방문 시 자동으로 설치하는 드라이브 바이 다운로드(Drive-by-download) 공격을 지속할 뿐 아니라 소프트웨어 보안 패치를 적용하지 않는 사용자들이 더 많다는 사실에 주목하고 소프트웨어 보안 취약점을 악용하는 익스플로잇 킷을 더욱 적극적으로 활용하는 등 기존 공격 기법의 업그레이드에 주력할 것이다. 지속적으로 증가하는 익스플로잇킷 기반의 공격에 대비하기 위해 정기적으로 웹사이트 위-변조 여부를 확인하고, 특히 웹쉘을 이용한 공격에 각별한 주의를 기울여야 한다.

▶치밀한 위장술로 내부 침입 및 시스템 장악 시도
2010년 전후로 발생한 기업 해킹은 기업 기밀이나 기업이 보유하고 있는 개인정보를 탈취하기 위한 목적이 대부분이었다. 그러나 최근에는 단순한 정보 유출을 넘어 기업 내부 인프라를 장악하기 위한 공격으로 변화했다. 이를 위해 특히 올해는 기업 및 기관의 내부 인프라에 성공적으로 침입하기 위해 다양한 속임수를 더한 공격 기법이 등장할 것으로 보인다.

이러한 공격을 통해 감염된 시스템을 거점으로 기업 내부 인프라에 침입하여 내부 정보를 수집 및 검색함으로써 시스템 계정 정보를 획득한다. 주요 계정 정보의 수집과 활용을 반복함으로써 내부 관리 시스템 운영에 관련된 권한을 탈취하고 마침내 전체 인프라를 장악한다.

이런 방식으로 특정 기업의 내부 시스템을 장악한 후, 해당 기업의 서비스 이용에 필요한 정상적인 프로그램으로 위장하여 광범위한 다수의 PC에 악성코드를 설치할 수 있다. 또 이렇게 감염된 PC와 연결된 네트워크상의 다른 시스템을 통해 또 다른 기업의 내부 시스템 장악까지 시도할 수 있어 이 영역에 대한 공격은 여전히 지속될 것으로 보인다.

▶멈추지 않는 사회기반시설 공격과 사이버 테러
2017년에는 국내뿐만 아니라 전세계적으로 정치적, 경제적 이해 관계 대립이 더욱 심화될 전망이다. 국가간 이념적 갈등 또한 깊어져 타국의 기관과 기업을 겨냥한 사이버 테러 역시 사라지지 않을 전망이다.

최근 공격의 대상은 기존의 다수 시민들이 이용하는 온라인 서비스를 겨냥하던 것에서 서비스 종류나 규모에 관계없이 거의 모든 기업과 기관으로 확대되고 있다. 사회기반시설 공격 등 사이버 테러의 배후는 주로 테러 단체이거나 적대적인 관계를 맺고 있는 국가로 추정된다. 공격 동기 또한 금전적 이득보다는 종교적, 이념적, 정치적 갈등에서 찾을 수 있다. 사회기반시설 공격이 성공할 경우 사회적 혼란과 공포를 야기함으로써 자신들의 선전 효과를 극대화할 수 있으며, 종교적, 정치적 갈등은 쉽게 해결되기 어렵기 때문에 사회기반시설 공격은 앞으로도 지속될 전망이다.

대부분의 사회기반시설 내 시스템은 외부 인터넷에 직접적으로 연결되지 않는 망분리 환경에서 안전하게 운영되고 있다. 그러나 단 하나라도 인터넷망에 연결된 시스템이나 인터넷망과 내부망을 연결하는 지점이 존재할 수 있기 때문에 보안 위협으로부터 완벽하게 자유롭다고 할 수 없다. 또 어디에서든 보안에 가장 취약한 지점은 사람이다. 불편함 등을 이유로 보안 정책을 어기는 내부 직원이 있을 수 있다. 공격자들은 이러한 취약점을 찾아내기 위해 다양한 방법을 동원해 지속적으로 공격을 시도하고 있다.

▶Internet of Things vs. Threat of Things
사물인터넷(Internet of Things, IoT) 기술의 발전과 확산은 더욱 가속화될 전망이다. 문제는 아직 사물인터넷의 보안 이슈에 대한 인식이 부족해 보안에 취약한 제품의 판매가 지속될 것이라는 점이다. 그리고 이를 노린 사물인터넷 악성코드 또한 빠르게 증가할 것으로 예상된다.

실제로 지난해 미국에서는 미라이(Mirai) 악성코드에 감염된 사물인터넷 기기를 이용한 대규모 DDoS 공격이 발생한 바 있다. 사물인터넷 기기는 한번 판매 또는 설치되면 사후 관리가 이루어지기 어렵고, 대부분 수년간 초기 상태 그대로 사용된다는 특징이 있다. 사용자 입장에서는 사물인터넷 기기 제조사가 제공하는 보안 패치를 적용하는 것 외에는 마땅히 방법이 없다. 그러나 현재 대부분의 사물인터넷 기기 제작 업체는 보안 문제를 고민할 정도의 여유(?)가 없거나 기술력이 부족한 실정이다. 또 사용성의 측면에서 저전력과 저비용이 핵심인 사물인터넷 기기의 특성상 보안 강화를 위한 기능 추가나 가격을 인상하는 것은 현실적으로 어렵다.

따라서 빠르게 확산되고 있는 사물인터넷 기기와 관련된 보안 위협을 방지하기 위해서는 제조사뿐만 아니라 보안 업체와 정부 기관의 유기적인 협력이 필요하다. 또 다양한 국가에서 앞다퉈 사물인터넷 기술과 제품 개발을 서두르고 있어 개별 국가의 규제만으로는 사물인터넷 기기에 의한 광범위한 보안 위협을 해결하기 어렵다. 각국의 정부와 관련 협회, 제조사의 전방위적인 협업을 통해 사물인터넷 기기에 대한 최소한의 점검 체계 구축과 실질적으로 적용 가능한 보안 가이드 마련이 시급하다. [글. 안랩]

★정보보안 대표 미디어 데일리시큐!★

길민권 기자  mkgil@dailysecu.com

<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>

길민권 기자의 다른기사 보기
여백
icon인기기사
기사 댓글 0
전체보기
첫번째 댓글을 남겨주세요.
여백
여백
여백
여백
여백
여백
여백
여백
여백
Back to Top