2021-10-23 05:00 (토)
“기존 APT 공격은 잊어라…공격구조와 실행 급격한 변화 생길 것”
상태바
“기존 APT 공격은 잊어라…공격구조와 실행 급격한 변화 생길 것”
  • 길민권
  • 승인 2015.11.19 13:30
이 기사를 공유합니다

카스퍼스키랩, ‘2016년 보안 위협 전망, APT 세상의 최후 보고서’ 발표
“지금까지 우리가 알던 지능형 지속 공격(APT)은 2016년에 막을 내리고 더욱 강한 공격이 그 자리를 차지하게 되어 탐지와 추적이 훨씬 어려워질 것이다. 보안 위협은 여전히 많겠지만 '지능적'이고 '지속적'이라는 개념은 퇴색되고 감염된 시스템에 공격 흔적을 남기지 않는 기법을 사용할 것이다.”
 
카스퍼스키랩(Kaspersky Lab)은 ‘2016년 보안 위협 전망, APT 세상의 최후 보고서’를 발표하고 2016년 보안 위협을 전망했다. 보고서를 통해, 초기 투자 비용을 줄이기 위해 전용 악성 코드를 새로 만들기 보다는 이미 만들어진 악성 코드를 활용하는 부분이 클 것이라고 덧붙였다.
 
카스퍼스키랩은 전 세계에 있는 자사 보안 전문가 42명으로 구성된 글로벌 연구 및 분석팀(GReAT)의 전문지식을 바탕으로 2016년 보안 위협 전망을 내놓았다. 이 팀의 뛰어난 분석 능력 덕분에 2015년 한 해만 해도 프랑스어, 아랍어, 중국어, 러시아어, 영어 등 여러 언어를 '구사하는' 12개의 APT 해킹 조직에 대한 공식 상세 보고서를 발표하는 성과를 거뒀다.
 
카스퍼스키랩이 전망하는 2016년의 위협은 다음과 같다.
APT의 원 개념은 축소하고 수익은 증가하며 APT의 구조와 실행에는 급격한 변화가 생길 것이다. 또 APT는 감염된 시스템에 남는 흔적을 줄여 탐지를 피하는 메모리 상주형 혹은 파일리스 악성 코드에 치중되면서 '지속' 공격의 특성이 감소할 것으로 예상했다.
 
특히 한풀 기세가 꺾인 부트킷과 루트킷, 맞춤 악성 코드에 대한 투자보다는 이미 만들어진 기성품 형태의 악성 코드를 가공해 사용하는 방식이 증가할 것으로 예상했다. 또 뛰어난 사이버 기술에 대한 과시욕이 한풀 꺾이면서 투자수익률(ROI)이 국가가 후원하는 해커의 의사결정을 크게 지배하게 될 것이며, ROI 극대화에는 초기 투자 비용을 낮추는 것만큼 좋은 방법이 없다고 전했다.
 
이외에도 랜섬웨어는 광범위하게 성행할 것이며, OS X 기반의 기기와 모바일, 사물인터넷(IoT) 등의 새로운 영역으로 확장될 것이다.
 
더불어 애플페이나 안드로이드페이와 같은 대안 결제 시스템이 증권거래소와 함께 금융 사이버 공격의 대상이 되는 경우가 증가할 것이라고 예상했다.
 
생활 정보 유출도 증가할 것으로 보고 있다. 2015년에는 신상털기와 비밀 폭로, 금품 강요 형태의 공격 횟수가 증가했다. 핵티비스트부터 국가가 후원하는 해커에 이르기까지 모두가 목표 대상을 난처하게 만드는 사적인 사진 및 정보, 고객 리스트, 코드 등을 전략적으로 대량 방출한 것이다.안타갑게도 카스퍼스키랩에서는 2016년에도 이러한 활동이 기하급수적으로 증가할 것으로 예상하고 있다.
 
카스퍼스키랩코리아 이창훈 지사장은 “2016년에는 사이버 스파이 기술이 상당히 진화할 것이다. 정교한 기술을 가진 조직이 상용 악성 코드를 사용해 투자 비용을 최소화하는데다 일반적인 APT 공격 기법을 버리고, 흔적을 남기지 않는 은폐 기법의 사용에 더욱 매진하고 있기 때문이다. 또한 사이버 범죄에 발을 들여놓는 사람이 더 늘어날 것”이라며 “사이버 공격의 수익성이 확실히 드러나자 더욱 많은 사람이 이를 노리고 있다. 사이버 용병 세력도 진입하면서 더욱 발달된 형태의 아웃소싱 범죄 업계가 형성되어 새로운 악성 코드에 대한 수요, 심지어 전체 작업에 대한 수요까지도 감당하게 되었다. 후자의 경우 이미 해킹한 대상에 대한 접근 권한을 최고 입찰자에게 갖다 바치는 '접근 권한 서비스'(Access-as-a-Service)라는 새로운 범죄 모델로 떠오르고 있다”고 말했다.
 
카스퍼스키랩은 또 장기적인 전망도 내놨다. 우선 APT 영역에 새로운 세력이 들어올 것으로 예상했다. 온라인 공격을 통해 이익을 추구하는 집단이 늘면서 사이버 용병의 수가 증가할 것이다. 이들은 편의상 '접근 권한 서비스'라 이름 붙일 수 있는 서비스를 통해, 비용만 치른다면 누구에게나 공격 노하우를 제공하고 유명인에 대한 디지털 정보 접근 권한을 관심 있는 제3자에게 판매할 것으로 예상하고 있다.
 
또 인터넷이 국가별로 나뉘는 인터넷 발칸화 현상이 나타날 것으로 예상했다. 이 경우 여러 국가에 걸쳐 접근 권한을 제공하는 서비스 접점을 공격하면 어느 지역이든 인터넷 사용을 제어할 수 있다. 이러한 상황이 되면 심지어 인터넷 연결을 놓고 암시장까지 등장할 수도 있다. 같은 맥락에서 인터넷 지하 세계를 움직이는 기술이 계속해서 광범위하게 사용될 것이며 사이버 지하 세계가 진정한 지하 세계로 남도록 해줄 더욱 정교한 범죄 기술을 개발하게 될 것이라고 분석했다.
 
카스퍼스키랩 관계자는 “IT 보안 업계는 다가오는 한 해 더욱 힘겨운 국면을 맞이하게 될 것이다. 동종업계 종사자끼리는 물론이고 정부와 사법기관, 민간기업과도 통찰력과 전망을 공유해야 다가오는 어려운 상황의 적극적 사전 대응에 꼭 필요한 협업을 이룰 수 있게 될 것”이라고 언급했다.
 
한편 미래 사이버 위험에 대한 기업과 개인의 대처 방법은 무엇일까.
현재 기업이 취해야 할 조치는 다음과 같다.
△직원 대상 사이버보안 교육에 주력 △업무에 불편이 있더라도 강력한 사전 보호 기능을 가진 다층형 보호를 시행 △취약점 패치는 처음부터 자주 실행하며 이 과정을 자동화 △모바일 환경에서의 모든 것을 주의 △통신과 중요한 데이터는 암호화 △게이트웨이와 이메일, 공동 작업 등 인프라를 구성하는 모든 요소를 보호해야 한다.
 
또 앞으로 기업이 취해야 할 조치는 △완성도 높은 보안 전략을 구상해 전개해야 한다. 이 전략은 효과적인 '탐지' 기능과 효율적 '대응' 조치를 기초로 해 잠재적 위험 요소 '예측'부터 현재 인식된 위험의 '방지'까지 아우르는 것이어야 한다.
 
△사이버보안은 너무 복잡하고 중요해서 일반적인 IT와 묶어서 처리할 수 없다. 전담 보안대응센터 신설을 고려해야 한다.
 
그렇다면 개인이 취해야 할 조치는 무엇일까. △모든 기기에 강력한 보안 솔루션을 운영해야 한다. 그리고 △기본 거부 실행 제어, 화이트리스트 생성, 암호화, 자동 백업 등 보호용 솔루션에 포함되는 추가 옵션을 알아보고 이용해야 한다. △사이버보안의 기본 사항을 공부 △암호화 통신으로 전환 △인터넷 습관과 공유하는 정보에 대해 생각해보고 안전한 방향으로 교정해야 한다. 일단 업로드한 정보는 인터넷에 평생 남아 해당 개인이나 속한 회사에 불리하게 이용될 수 있다는 것을 인식해야 한다.
 
보다 상세한 2016년 보안 위협 전망, APT 세상의 최후 보고서 전문은 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com