check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

"2019년, 네트워크와 보안 운영이 통합되는 해가 될 것"

길민권 기자 mkgil@dailysecu.com 2019년 01월 03일 목요일

new-years-day-3683748_640.jpg
아버네트웍스가 2019년 보안전망을 발표했다. 구체적인 내용은 다음과 같다.

1. 2019년은 네트워크와 보안 운영이 통합되는 해가 될 것

2018년에는 DDoS사이버보안 솔루션과 네트워크 및 애플리케이션 보장 기술의 발전으로 DDoS 방어 및 방지 기법이 크게 향상되었다. 2019년에는 네트워크 운영팀이 가시성과 인사이트를 보안팀과 공유하게 되면서 조직 차원에서 이와 유사한 일이 일어날 것이다. 보안팀이 엔터프라이즈 인프라 내에 이미 존재하는 인사이트를 활용하게 되면서 기존 가시성을 위협 방어 프로세스에 훨씬 스마트하게 통합할 수 있게 될 것이다.

엔터프라이즈, 서비스 프로바이더, 국가 주요 시설을 겨냥한 악성 공격이 급증하고 있다. DDoS 공격이 일상화됨에 따라 CISO와 보안 담당자들은 핵심 디지털 인프라를 보호할 수 있는 새로운 전략과 솔루션을 모색이 시급한 상황이다. 여기에는 DDoS 공격을 조기에 탐지하여 이러한 공격이 생산성, 비즈니스 성과, 기업 평판에 심각한 피해를 입히기 전에 차단할 수 있는 기능이 포함된다. 새로운 보안 전략의 목표는 공격을 방어하고, 궁극적으로 공격 발생 자체를 방지하는 것이다.

후자(방지)는 노련한 CISO에게도 쉽지 않은 일이다. 왜냐하면 사이버 범죄자들은 어떤 종류의 방어라도 우회할 수 있는 방법을 찾아낼 것이기 때문이다. 하이브리드 클라우드/멀티 클라우드 아키텍처로 전환하는 기업이 급증하면서 IT 네트워크와 인프라의 복잡성이 증가하고 공격 노출과 새로운 취약성 또한 확대되고 있다. 여태까지 보안팀은자체 업무만으로도 충분하며, 클라우드 도입과 신규 서비스 및 애플리케이션 통합에 대해 따로 걱정할 필요가 없었다. 하지만앞으로 보안 운영과 네트워크 운영을나누던 경계가 흐려지고 보안팀과 네트워크 운영팀이 인텔리전스를 공유하고 협업할 수 있게 됨에 따라 모든 것이 바뀌게 될 것이다.

▶가시성을 공유함으로써 더불어 성공할 수 있게 될 것

네트워크팀과 보안팀은 여러 해 동안 비슷한 역할을 공유해왔다. 양 팀 모두가 엔터프라이즈 네트워크, 서비스, 애플리케이션을 감독하고 시스템 장애나 이상을 살피는 일을 담당한다.

NOC(network operations center)와 SOC(security operations center)의통합은 기업에 실질적인 이득을 가져다 줄 것이다. 두 부서가 협력하여 운영됨으로써 엔터프라이즈 네트워크를 보다 성공적으로 관리, 모니터, 방어할 수 있게 될 것이다. 네트워크팀과 보안팀이 효율적으로 소통하고 협조할 수 있게 될 것이며, 이를 통해 효율성 증대, 자원 최적화, 비용 절감의 효과를 얻을 수 있다.

보장(assurance)과 DDoS 보안이 하나로 통합됨으로써 자체 보안 운영팀과 네트워크 운영팀에 오늘날 시장에서 얻을 수 있는 최고 수준의 가시성을 제공할 것이다. 또한 통합 운영에서 나오는 스마트 데이터 및 분석은 종합적인 가시성을 통해 보안팀과 네트워크팀에 조직 IT 인프라 전반에 대한 실시간 현황을 알려줌으로써 즉각적인 대응이 가능하도록 해줄 것이다.

2: 2019년에는 서구 국가들이 사이버 범죄와의 전쟁을 벌이는 해가 될 것

2018년부터 서방세계 국가 기관들은 사이버 범죄를 행하는 집단과 국가를 상대로 단속을 벌여왔다. 이러한 조치는 서구 국가들이 사이버범죄와의 전쟁을 위한 공조를 강화하면서 2019년에 더욱 본격화될 것이다.

서구권의 각국 정부들은 향후 12개월 동안 적극적인 기소와 체포를 통해 사이버 범죄자들을 법의 심판대에 세우기 위한 정책을 마련하고 있다. 국가 기반시설, 금융 기관, 대기업에 대한 공격을 시도하는 악성 행위자들을 정부가 더 이상 뒤에서 지켜보고만 있지는 않겠다는 것이다.

백악관은 얼마전 국가 인프라를 강화하고 개인과 조직에 대한 보호를 확대하기 위한 새로운 사이버 보안 전략을 공개하였다. 무엇보다 이 새로운 사이버 보안 전략의 핵심은 정부와 법 집행 기관에 사이버 범죄자 및 국가 차원의 공격에 대항할 수 있는 수단을 제공하는 것이다. 미국과 영국을 주축으로 한 서방 국가들은 사이버 공간에서 러시아와 중국의 공격 행위를 강도 높게 비판하고 있다. 미국과 영국 정부의 조치는 갈수록 심각해지는 전세계 사이버범죄 위협에 대응하기 위한 국가적 차원의 정책이 진화하고 있음을 보여준다.

▶국가 간 연대를 통해 위협을 억제할 것

이러한 변화는 2019년에도 계속될 것이다. 이미 정책 및 법 집행 기관들 사이의 국제적 협조가 강화되고 위협 대응을 위한 활발한 공조와 정보 공유가 이루어지고 있다. 그러나 관련 당국만의 힘으로 사이버범죄가 해결될 수는 없다. 사이버 공격에 대한 튼튼하고 강력한 방어체계를 구축할 수 있도록 지원하기 위한 기업들의 적극적인 동참과 지원도 이어질 것이다.

2019년에는 민간 부문이 정부의 요청에 부응하여 국가적, 국제적 차원의 사이버범죄 대응에 동참할 것이다. 백악관은 사이버 위협 대응을 위한 AI와 양자컴퓨팅 같은 신기술 개발을 위해 기술 스타트업과 민간 산업이 정부 기관과 긴밀하게 협조할 것을 기대하고 있다. 이것이 성공하기 위해서는 정부와 기술 커뮤니티 간의 매우 긴밀하고 적극적인 공조가 필요할 것이다. 즉, 시스템 레벨 보안 문제에 있어서 초동 조치를 담당하는 정보 보안 전문가들이 최신 위협과 기존 위협에 맞서기 위한 정부적 차원의 요구사항과 대응 방법을 알려줄 것이다.

또한 2019년에는 정보 전쟁을 위한 사이버 수단의 사용이 증가할 것이다. 미국 소니엔터테인먼트, 민주당전국위원회(DNC) 해킹사례와 같은 선전 목적의 이메일 해킹과 소셜 미디어를 사용한 가짜 뉴스 전파 등이 여기에 속한다. 또한 툴과 기술이 급증하면서 민간부문 타겟을 대상으로 한 정보 전쟁 행위가 크게 늘어날 것이다. 이렇게 되면 사이버 전문가는 기존의 사이버보안 역할 외에도 홍보와 관련하여 허위정보에 대응하는 역할을 일부 담당하게 될 것이다.

3: 2019년에는 DDoS 공격 서비스가 사이버 범죄자들의 프랜차이즈 사업 될 것

단일 봇으로 이루어진 단순한 DDoS 공격은 이제 더 이상 찾아볼 수 없다. 오늘날의 DDoS 위협 환경에서 공격자들은 갈수록 봇을 다양화하고 있으며 네트워크를 무너뜨리기 위해 다양한 변종 공격과 프로토콜을 사용한다. 또한 부터(booter)나 스트레서(stressor)같은 임대형 봇넷 서비스가 누구나 적은 비용과 낮은 위험으로 손쉽게 멀티벡터 공격을 감행할 수 있도록 해준다.

우리는 테라빗 DDoS 공격의 시대에 살고 있다. 향후 12개월 간 이와 같은 대규모 위협이 더욱 증가할 것이며, 멀티벡터 공격도 급증할 것이다. 공식적으로 기록된 가장 큰 공격은 Memcached 서버 관련 공격이다. 이 공격 벡터는 해당 공격이 시작된 지 불과 며칠 만에 부터와 스트레서에서 제공되었다. 사실 이것은 지하시장에서 구할 수 있는 수많은 공격 벡터 중 하나일 뿐이다.

2019년에는 가장 높은 값을 부르는 입찰자에게 서비스를 제공하는 공격자들이 급증할 것으로 예상된다. 이들은 약간의 요금을 받고 의뢰 받은 대로 타겟을 공격한다. 때로는 고객이 직접 공격을 실행할 수 있게끔 DDoS 툴 자체를 고객에게 넘기기도 한다. 이처럼 신종 공격을 손쉽게 활용하고 신속하게 재현할 수 있는 임대형 공격 툴은 이미 보편화되었다. 그리고 다양한 전세계 고객들이 이를 사용하면서 파괴적인 멀웨어를 손에 쥔 아마추어 사이버 범죄자가 양산되고 있다.

수많은 부터 및 스트레서 서비스 운영자들이 일종의 비즈니스 형태로 SaaS(software as a service) 모델을 사용하여 고객들에게 미화 50달러가 채 안되는 가격에 월간 서브스크립션을 판매한다. 결제는 암호화폐를 사용하여 처리할 수 있으며, PayPal 같은 합법적인 사이트를 통해 이루어지기도 한다. 이런 식으로 수익을 취하고 향후 활동을 위한 자금을 마련한다.

▶진화하는 위협에 대응하기 위해서는 더욱 강력한 경계가 필요

부터 및 스트레서 서비스 운영자들은 알려진 취약성 익스플로잇, 기존 봇넷, 잘 알려진 공격 기법을 지속적으로 활용하는 동시에 불법 행위로 벌어들인 돈을 기반으로멀웨어와 공격 기술을 한층 더 발전시켜 나갈 것이다.

봇넷이 수많은 악성 로그인 시도를 반복하여DDoS 공격과 유사한 효과를 가져오는 크리덴셜 스터핑(credential stuffing)공격도 증가할 것이다. 무차별대입공격(brute force attack)의 일종인 크리덴셜 스터핑은 유출된 크리덴셜을 구입한 공격자가 자동화 기술을 사용해 여러 웹사이트에 비밀번호를 마구 대입해 보는것이다. 사용자가 하나의 비밀번호를 여러 사이트에서 동일하게 사용할 경우, 해커가 계정을 탈취하게 된다.

지난 수년 간 위협 환경을 분석하면서 우리가 알게 된 중요한 사실은 새로운 유형의 DDoS 공격은 일단 한번 나타나면 절대 사라지지 않는다는 것이다. 공격 툴이 고도화되고 새로운 공격 벡터가 등장함에 따라 공격자들은 더욱 규모가 크고 효과적인 공격을 한층 쉽고 저렴한 방식으로 자행할 수 있게 된다. 그렇기 때문에 진화하는 공격의 빈도, 규모, 범위에 대응하기 위해서는 온프레미스 방어와 클라우드 방어 기능이 결합된 하이브리드/다단계 DDoS 방어 체계가 필요하다.

4: 위협 인터넷(Internet of Threats)–2019년에는 IoT 기기를 활용하는 봇넷 공격이 증가할 것

내년에는 IoT 도입이 급증하면서 사이버범죄를 위한 ‘퍼펙트 스톰(perfect storm)’이 만들어지고 기업과 소비자 모두에게 심각한 영향이 있을 것으로 전망된다. 수많은 커넥티드 IoT 기기들이 스마트 팩토리, 제품 라인, 교통망을 지원하는 산업 전반에 도입되고 있는 상황을 감안해 본다면 IoT 보안에 따른 위험은 너무나도 자명해진다. 의료 행위를 지원하고 환자 상태를 모니터하는 헬스케어 같이 위험과 직결되는 분야에서도 IoT 사용이 확대되고 있다는 사실은 두말할 나위도 없다.

IoT 영역은 여전히 초기 단계에 있으며, 새로운 취약성을 찾는 사이버범죄자들에게는 비옥한 텃밭이 될 것이다. 그러므로 커넥티드 기기의 확산은 산업 시설, 기업, SME 부문과 스마트 홈 전반에 설치된 IoT를 노리는 신종 익스플로잇과 멀웨어를 위해 수문을 열어주는 격이 될 것이다. IoT 기기 제조사들이 커넥티드 기기 개발 과정에서 제품 단가를 낮추기 위해 보안 프로토콜을 무시하는 경우가 많다는 사실이 사이버보안 상황을 더욱 악화시킨다. 그 결과, 수많은 기기들이 설계에서부터 기본적인 보안 기능 없이 위협에 그대로 노출된 채로 출시되고 있다.

▶IoT가 새로운 보안 표준 제시할 것

이러한 기기들이 멀웨어 제작자들의 타겟이 될 것임은 너무나 당연하다. 2018년, IoT 봇넷에 의한 대용량 DDoS(Distributed Denial of Service) 공격이 급격히 증가했다. 우리는 이미 IoT를 겨냥한 봇넷의 수와 규모가 급격히 증가하고 있음을 확인했다. 2019년에는 이러한 공격이 더욱 고도화될 것이다. Mirai는 IoT 봇넷 개발자들 사이에서 널리 사용되고 있다. 이들은Mirai 소스 코드를 프레임웍으로 사용하여 신종 멀웨어를 개발한다. 또한 오리지널 Mirai 코드 베이스에 새로운 기능을 추가하여 확장하기도 한다. OMG, JENX, Satori, IoTrojan 등등 수많은 변종이 개발되어 전세계 DDoS 공격에 사용되었다. 당사의 조사는 이러한 기기들이 어떻게 침입을 위한 진입 포인트로 사용되고 내부 자산에 대한 DDoS 공격에 활용되는지를 보여준다.

2019년에는 IoT가 더욱 보편화되면서 사이버범죄자들이 보다 심각한 결과를 가져올 수 있는 특정 IoT 설비, 벤더, 제조사에 집중하게 될 것으로 예상된다. 공격자들은 한층 대담하고 빠르게 IoT 취약성을 익스플로잇하고 특정 기기와 프로세스를 겨냥하게 될 것이다. 이것은 끊임없이 변화하는 환경에서 가장 최근의 추세일 따름이다. 오늘날 민첩한 공격자들은 기존 사이버보안 방어 체계를 우회하기 위해 계속해서 기술을 진화시키고 새로운 툴을 개발한다. 그러므로 기업과 소비자는 지속적인 경계와 대응을 통해 공격을 방어하고 새로운 모범사례를 만들어 나가야 한다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록