2024-03-29 19:00 (금)
2017년 7대 사이버 공격 전망…”북한, 공격거점 확보에 주력”
상태바
2017년 7대 사이버 공격 전망…”북한, 공격거점 확보에 주력”
  • 길민권 기자
  • 승인 2016.12.05 13:58
이 기사를 공유합니다

표적공격 및 북한의 침투정찰 증가…내년 정치적 이슈에 맞춰 공격 예상

한국인터넷진흥원(KISA)은 5일 ‘사이버 위협 인텔리전스가 선정한 7대 사이버 공격 전망’을 주제로 기자간담회를 진행했다. 이번에 발표된 2017년 7대 사이버공격 전망 리포트는 데일리시큐 자료실에서 다운로드 가능하다.

KISA는 현재 국내 주요 6개 보안업체 안랩, 빛스캔, 이스트소프트, 하우리, 잉카인터넷, NSHC 그리고 해외 주요 보안기업 파이어아이, 포티넷, 인텔리시큐리티, 마이크로소프트, 팔로알토 네트웍스, 시만텍 등과 사이버 위협 인텔리전스 네트워크를 구성해 운영중이며 공조체계를 강화하고 있다. 이날 발표에도 이들 기업들의 전문가들이 참석해 발표를 진행했다.

KISA에서 선정한 7대 사이버공격 전망 주제는 ▲산업전반으로 번지는 맞춤형 공격 ▲공용 소프트웨어를 통한 표적공격 ▲다양한 형태의 랜섬웨어 대랑 유포 ▲사회기반시설 대상 사이버테러 발생 ▲대규모 악성코드 감염 기법의 지능화 ▲모바일 금융서비스에 대한 위협 증가 등이다.

이날 문종현 이스트소프트 부장은 북한발 공격 2017년 예측에 대해 “올해 분석을 바탕으로 예측해 본다면 외형적으로 보여주기식 공격 보다는 거점확보에 주력할 것으로 관측된다. 침투정찰 공격이 많이 질 것”이라며 “내년에 한국에는 대통령 선거 등 대형 정치 이슈가 많다. 이와 때를 맞춘 공격들이 예상된다. 또 꾸준히 한국 내부 공격 거점을 확보할 것으로 보인다. 특정 분야가 아닌 다양한 분야에서 은밀한 공격이 예상된다. 이를 기반으로 최종 타깃을 공격할 것”이라고 밝혔다.

한편 랜섬웨어 공격에 대해 최상명 하우리 센터장은 “북한도 랜섬웨어 제작을 시작했다. 현재 수준으로 보면 랜섬웨어 자동화툴을 언제든 만들 수 있는 수준이다. 첩보에 의하면 북한이 현재 랜섬웨어를 테스트하고 있으며 내년에 실제로 한국을 대상으로 공격을 진행한다면 상당한 피해가 예상된다”며 “북한은 주로 기업이나 기관의 중앙관리솔루션을 해킹해 악성코드를 유포하는 전략을 펴 왔다. 이러한 방법으로 랜섬웨어 악성코드를 유포한다면 기업 전체가 감염될 수 있고 큰 피해가 발생할 수 있다. 특히 파밍악성코드 공격 조직이 만약 내년에 랜섬웨어 공격에 본격 가담한다면 엄청난 피해가 예상된다. 현재 파밍 악성코드 감염은 하루에 2~3만명이 감염되고 있다. 이 정도 규모로 랜섬웨어가 확산될 수도 있는 것”이라고 우려했다.

다음은 KISA에서 발표한 2017년 7대 사이버공격에 대한 인텔리전스 방안 내용 전문이다.

◇산업전반으로 번지는 한국 맞춤형 공격(이스트소프트 발표)
한국의 주요 정부기관 및 기반시설 등을 타깃으로 하는 사이버공격 위험 수위는 갈수록 고도화, 정교화 될 것으로 예상되며, IT 민간기업의 내부 인프라에 대한 은밀한 사이버 침투 시도 역시 가속화 될 것으로 보인다. 특히, 사회 및 정치 혼란 목적의 노골적 사이버 위협 발생 가능성이 높게 전망되며, 공격자는 다양한 SNS 서비스와 주요 언론사를 대상으로 한 심리전도 본격화할 가능성이 있다. 더불어 알려지지 않은 Zero-Day 취약점과 결합한 지능형 사이버 공격은 스피어피싱 수법으로 계속해 이어질 것으로 예상된다.

◇산업전반으로 번지는 한국 맞춤형 공격(KISA 발표)
국내 특화된 표적공격의 경우 국내에서 개발된 소프트웨어의 취약점을 악용하는 경우가 많은 반면, 이에 대한 취약점 발견 및 보안 업데이트가 원활하지 않은 경우가 많다. 보안 전문가들의 국내 소프트웨어 취약점 발견 및 국내 소프트웨어 업체의 보안 업데이트 개발에 대한 지원 강화가 필요하다. 또한, 기존의 네트워크 보안 솔루션은 물론 호스트 보안 및 문서 보안 등 다계층 보안 솔루션을 도입하고 적절하게 운영해야 기존에 알려지지 않은 지능형 공격에 효과적으로 대응할 수 있다. 이와 병행하여 임직원들의 보안 인식 강화를 위한 주기적인 교육도 필요하다. 빠르게 교체되는 공격 자원 및 기법에 효과적으로 대응하기 위해서는 기업 보안담당자 및 외부 보안전문가들 간의 사이버 위협 정보 및 인텔리전스 공유가 실시간으로 이루어지고 이를 정보보호 활동에 적극적으로 활용해야 한다.

◇공용 소프트웨어를 통한 표적공격(안랩 발표)
자산 관리 등 공용 소프트웨어를 통한 악성코드 유포 시도는 공격 대상의 내부 시스템을 장악하는데 효과적인 공격 방법이라 할 수 있다. 그렇기에 공격자들은 자산 관리 등 공용 소프트웨어에 존재하는 취약점을 찾기 위해서 조직적으로 활발하게 연구할 것이며, 심지어 공용 소프트웨어 제작사를 직접 공격할 가능성도 있다. 그리고 연구를 통해 발견한 자산 관리 등 공용 소프트웨어의 취약점을 사용하여 공격 대상의 내부 시스템에 악성코드 유포 시도도 지속될 것으로 전망된다.

인터넷 망과 내부 분리망은 논리적 또는 물리적으로 분리되어 있다 하더라도 분명 둘을 연결할 수 있는 접점이 있을 것이고 그게 바로 중계 서버가 될 수 있을 것이다. 공격자는 일단 공용 소프트웨어를 통해 악성코드를 내부 시스템들에 유포하고 장악한 후 중계 서버를 통해 내부 분리망에 침투하려는 시도도 지속될 것으로 전망된다.

◇공용 소프트웨어를 통한 표적공격(파이어아이 발표)
사용하는 공개 소프트웨어 조사 및 관리를 철저히 하고 공개 소프트웨어 사용제한 및 상용 소프트웨어 구매가 효과적이다. 또한 로컬 어드민(Local Admin) 계정 삭제 및 별도의 관리자 계정 생성 관리가 필요하다. 2 Factor 인증(물리적 토큰, SW 토큰)과 관리자 권한 억세스 시스템을 파악하고 계정(권한) 사용 모니터링을 강화해야 한다.

한편 네트워크 분리, 세분화도 효과적 보안이 될 수 있고 단말간 통신 차단 및 제어 그리고 형상관리 서버에 대한 사용자 권한 세분화, 개발도구 등 공유 용도 사용 제한도 필요하다.

◇다양한 형태의 랜섬웨어 대량 유포(하우리 발표)
2017년은 신규로 제작되는 악성코드의 상당수를 랜섬웨어가 차지할 것으로 예측된다. 국내를 대상으로 악성코드를 유포하는 토착화된 로컬 주요 보안 위협 세력들은 주로 인터넷 뱅킹을 대상으로 악성코드를 제작하고 있으나, 수익 모델 확장에 대한 새로운 수단으로 랜섬웨어 제작 및 유포에 가세할 것으로 보인다. 또한 기업을 대상으로 주요 자산이 포함된 서버를 타겟으로 직접적인 랜섬웨어 감염 공격 및 패치관리, 자산관리 등 중앙관리솔루션의 권한을 탈취하여 전사 모든 단말에 랜섬웨어를 감염시키는 공격이 발생할 것이다. 모바일 환경을 대상으로 유포되는 랜섬웨어도 해외와 비교하여 아직 국내에서는 그 사례를 찾아보기가 힘들었으나, 내년에는 국내도 모바일 및 IoT 디바이스들에 대해서 랜섬웨어의 직접적인 영향을 받을 것으로 예상된다.

◇다양한 형태의 랜섬웨어 대량 유포(포티넷 발표)
랜섬웨어에 대한 보안은 기업의 전체적인 공격면(attack surface)에 대한 외부 내부 플로우를 모두 보호하고, 기존 보안 장비에서 악성코드에 대한 분석 레벨을 고도화하여 탐지-차단-완화의 다중 방어선을 구축하여, 가시성, 통제성, 대응 억제 능력을 향상시킬 필요가 있다.

◇사회기반시설 대상 사이버 테러 발생(NSHC 발표)
사회기반 시설에 대한 공격은 빈번하게 이루어지지는 않지만, 공격이 성공할 경우 큰 사회 혼란이나 범국가적 피해를 발생시킬 수 있기 때문에, 공격자들의 공격시도가 꾸준히 증가하고 있다. 사회기반시설에 대한 2017년 보안위협의 공격범위에 대해, 이전에 자주 공격 시도의 대상이 되던 발전소, 철도 뿐 아니라 상수도, 항공, 의료 등으로 공격범위가 더 확대 될 것으로 보인다. 그리고 해외 컨퍼런스에서 소개된 바 있는, 탐지하기 어렵고, 대응하기도 쉽지 않은 PLC 장비에서 동작하는 악성코드를 이용한 공격시도도 등장할 것으로 보인다. 사회기반시설에 대한 공격의 피해를 최소화하기 위해서 무엇보다 지속적인 감시와 점검이 필요하다.

◇사회기반시설 대상 사이버 테러 발생(인텔시큐리티 발표)
지능형 공격(APT) 증가에 따른 보안위협 대응으로 네트워크 장비, 정보보호시스템 로그관리 및 분석체계를 강화한다. 또한 전력 등 핵심 제어시스템의 연계점검 최소화 등 보안대책을 수립한다. 물리적으로 USB, 노트북 등 미승인 매체 사용통제, 보안관제시스템을 활용한 악성코드 모니터링 강화, 악성코드 탐지·차단 및 패턴 업데이트 최신 유지, 불필요한 소프트웨어 제거, 공유폴더 사용제한 등 악성코드 감염 방지대책을 마련해야 한다. 제어시스템에서는 경영정보 활용을 위한 망연계시 ‘일방향전송장치’를 활용하고 비인가 전산장비 연결금지 및 USB포트 물리적 봉인을 하여 제어시템스 보안관리 강화를 한다. 또한 고출력전자기파(EMP) 공격에 대한 대응으로 EMP 침해 방지 대책 가이드라인을 구축하여 피해 대응방안을 마련한다.

◇대규모 악성코드 감염기법의 지능화(빛스캔 발표)
한국을 타깃으로 하는 위협사이트의 위험 수위는 갈수록 정교화 및 가속화 될 것으로 보인다. 정교화 및 가속화 시키는 원인으로 PC와 브라우저 취약점이 삽입되어 있는 Exploit Kit을 통해 자동으로 감염되는데, 이를 통해 대량의 감염 PC를 확보한다. 이런 위협사이트를 숨기기 위해서, 분석방해 코드를 넣어 놓기도 하고, 새로운 경유지가 탐지되지 않도록 소스코드를 난독화 시킨다. 또한 Exploit Kit에 신규 취약점을 추가시켜 멀티바이징 공격으로 한번에 몇백곳을 동시에 악성링크를 유포하는 MalwareNet을 통한 공격기법을 이용한다. 이에 따라 PC와 개인의 정보유출형 타깃 공격은 더욱 심각해질 것으로 전망된다. 그리고 취약한 광고 서버를 이용하여, 방문자가 급증하는 특정 시점에 악성 URI와 Exploit Kit을 삽입시켜, 접속만 해도 단시간 내에 감염을 확산시키는 시간차 공격 또한 성행할 것으로 보인다.

◇대규모 악성코드 감염기법의 지능화(팔로알토 네트웍스 발표)
국내외를 겨냥한 다양한 사이버 공격에 사용되는 감염기법에 대해서 지속적인 모니터링 및 분석이 필요하며 글로벌 기반 위협 인텔리전스 인프라의 활용을 적극적으로 고려해야 된다. 특히 2012~2015년 사이 46% 에 달하는 SaaS 어플리케이션 사용량의 증가는 이러한 서비스가 야기하는 데이타 감염 및 누출 위협 증가가 예상되어 SaaS 애플리케이션의 취약점 및 악성코드 전파 악용 방지를 위한 감시와 통제가 요구 되어 진다. 무엇보다도, 은밀하고 기존 보안 시스템을 우회 하는 감염기법에 대한 효과적인 대응은 공격 전반에 걸친 과정에 대해 자동화된 프로세스를 통한 선제 탐지 및 차단 보안 정책을 수립하는 것이다.

◇모바일 금융 서비스에 대한 위협 증가(잉카인터넷 발표)
모바일 금융 서비스가 확대되고 있는 추세로, 이에 따라 공격 대상의 확대와 위협은 갈수록 고도화 및 지능화 될 것으로 보인다. 악성 앱의 유포방식 또한 구글 광고 서비스인 애드센스 등의 광고 네트워크를 통해 배포하여 불특정 다수 및 많은 피해를 줄 수 있는 방식으로 점차 확대 될 것으로 예상되며, 피싱 창을 이용한 악성 앱은 SNS 및 메일, 구글플레이 및 뮤직 앱에 이르기까지 다양한 애플리케이션에도 덮어쓰기로 인한 공격도 가능할 것으로 예측된다. 또한 SMS, ARS 투팩터 인증에 대한 위협도 증가하여, 수신된 문자메시지를 가로채거나 지우고, 내부에 저장된 데이터를 삭제 및 통화 내역을 가로채어 착신전화를 통해 다른 번호에서 수신하는 기능을 가진 다수의 악성 앱이 증가 할 것 예상된다.

◇모바일 금융 서비스에 대한 위협 증가(마이크로소프트 발표)
기본적으로 이동전화 등에 암호 등을 통해 잠금설정을 해 두면 해당 디바이스 분실시 개인정보 등이 유출되는 것을 제1차적으로 방지할 수 있다. 앱스토어 등에서 해당 앱의 출처, 사용자 의견 등을 참조하지 않은 상태에서 앱을 다운로드 하는 것은 위험할 수 있다. 또한 이메일 또는 SNS 등에 포함된 링크는 사용자의 개인정보를 노리는 바이러스, 악성코드 또는 스파이웨어 등이 숨겨져 있을 수 있으므로 해당 링크를 클릭하는 경우에는 주의를 기울여야 한다. 또한 블루투스는 이동전화기와 다른 디바이스 사이를 무선으로 연결시키므로 해당 연결을 통해 해커가 이동전화기에 저장된 정보에 접근하여 정보를 탈취할 수 있다. 따라서 블루투스 기기를 사용하는 경우에만 블루투스 기능을 켜서 사용하고, 사용자가 블루투스 기기를 사용하지 않는 경우에는 해당 기능을 꺼 두어야 한다. 개인용 핫스팟의 경우에도 블루투스와 유사하게 개인정보 유출의 결과가 발생할 수 있다. 그리고 검증된 모바일용 백신프로그램 앱을 설치하여 악성코드 등의 감염을 제한적이나마 예방할 수 있다. 마지막으로 이동전화의 OS의 업데이트는 보안 취약성을 발견한 경우에 이루어지는 경우가 있으므로 OS를 업데이트하라는 통지가 오면 반드시 업데이트를 해야 한다.

◇좀비화된 사물 인터넷(IoT) 기기의 무기화(KISA 발표)
2017년에는 더욱 다양한 IoT 기기가 선보일 예정이며 기존 IoT 기기들도 기능이 고도화됨에 따라, IoT 기기에 설치된 S/W에 대한 다양한 보안 취약점이 발견될 것으로 예상된다. 이에 따라, IoT 기기에 대한 악성코드 감염 및 전파가 방법이 다양해지고 이에 효과적으로 대응하기 위해서는 다양한 보안대책이 요구될 것이다. 또한, 기존 좀비 PC 봇넷과 같이 악성코드에 감염된 좀비 IoT 기기 봇넷의 거래가 활성화되어 사이버 범죄에 악용될 가능성이 높다. 앞으로 가능한 모든 기기가 IoT로 연결될 것이며 IoT의 활용이 늘면서 IoT기기를 노리는 새로운 악성코드의 등장 및 이로 인한 다양한 사이버 공격이 발생할 것으로 예상된다.

더불어 백기승 KISA 원장은 내년도 보안위협 대책방안에 대해 “IoT 제품 및 서비스 설치 시 보안을 위한 기본 설정 값들이 가장 안전한 설정이 되도록 하는 ‘Secure by Default’ 기본원칙이 준수되어야 한다. 예를들어, IoT 제품 및 서비스가 취약한 초기 비밀번호를 사용하는 경우, 사용 전에 반드시 사용자가 이를 변경할 수 있어야 하며 이때, 안전한 비밀번호를 사용하도록 제한해야 한다. IoT 제품 및 서비스 설계 단계부터 보안을 고려하는 “Secure by Design” 기본원칙도 준수해야 한다”고 전했다.

또 “최소한의 개인정보만을 수집‧활용될 수 있도록 설계하고 수집된 정보 보호를 위해 암호화, 비식별화, 접근관리 등의 방안을 제공해야 한다. 사용자는 제품 및 서비스 구매 시 이러한 보안 사항을 충분히 고려하여 제품을 선택해야 한다. IoT 제품 및 서비스의 취약점 보안패치 및 업데이트가 지속적으로 이행되어야 한다. 제조 및 서비스 업체는 IoT 제품 및 서비스에 대한 보안취약점 발견 시, 이에 대한 분석 수행 및 보안패치 배포 등의 사후조치 방안을 마련해야 하고 보안취약점 및 보호조치 사항은 홈페이지, SNS 등을 통해 사용자에게 공개해야 한다”고 당부했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★