매월 전세계 보안 위협 동향을 심도있게 분석, 발표하고 있는 시만텍이 산업별, 기업규모별로 2012년 상반기 전세계 표적공격(Targeted Attack) 동향을 분석 발표했다.
 
이번 발표에 따르면 ‘지능형 지속공격(APT, Advanced Persistent Threat)’을 포함한 고도의 표적공격이 지속적으로 발생하고 있는 가운데, 정부 기관이나 대기업뿐만 아니라 중소기업들도 사이버 공격의 주요 표적이 되고 있는 것으로 확인됐다.

 
◇표적공격 지속적으로 증가
시만텍(www.symantec.co.kr) 분석에 따르면 2012년 상반기 표적공격은 2011년 12월 하루 평균154건이 발생해 최고 기록을 갱신한 후 올 1월 잠시 소강상태를 보이다가 2월부터 다시 예년 수준을 회복했다.
 
특히 올 6월에는 이란과 중동지역에서 국가 기간시설에 침투해 중요 정보를 빼돌려온 악성코드 ‘플레이머(W32.Flamer)’가 발견돼 충격을 주기도 했다. ‘플레이머’는 2010년 ‘스턱스넷(Stuxnet)’, 2011년 이와 유사한 ‘듀큐(Duqu)’, 전세계 화학 및 방산업체를 공격한 ‘니트로(Nitro)’ 등과 같은 APT 공격이다.
 
◇산업별 표적공격 양상
산업별로 올 상반기 가장 많은 표적공격을 받은 분야는 국방 분야로 하루 평균 7.3건의 공격을 받은 것으로 나타났다. 이전 분석에서는 국방 분야를 정부 부문에 포함시켰지만 보다 정확한 분석을 위해 이번에는 별도 항목으로 분석한 결과 하루 평균 1.1건의 표적공격을 받은 정부 부문과 비교해 국방 분야가 주요 공격대상으로 부상하고 있음을 확인할 수 있었다.
 
다음으로 화학?제약 및 제조 부문이 공격건수에서 각각 2, 3위를 기록했다. 이들 분야에 대한 표적공격은 2011년과 비교해 확실히 감소했지만, 화학?제약 분야를 겨냥한 공격은 여전히 5건 가운데 1건꼴로 큰 비중을 차지하고 있고, 제조분야 또한 전체 표적공격의 약 10%를 차지했다.
 
◇기업 규모별 표적 공격 양상
주목할 점은 정부 기관이나 대기업뿐만 아니라 중소기업들도 주요 표적이 되고 있다는 점이다. 시만텍은 이미 지난 5월 ‘인터넷 보안 위협 보고서(ISTR) 제 17호’를 통해 2011년 발생한 표적공격의 절반 이상이 직원수 2,500명 미만의 기업을 겨냥하고 있으며, 직원수 250명 미만의 사업장을 겨냥한 표적공격도 18%에 달했다고 분석한 바 있다.
 
이번에 발표된 상반기 분석에서는 소기업을 겨냥한 표적공격이 18%에서 36% 이상으로 급증했는데, 소기업의 경우 지능적인 사이버 공격을 감시할 전담 IT 인력이 부재해 협력관계에 있는 대기업을 겨냥한 표적공격의 전초기지로 삼기가 수월하기 때문이다.
 
◇지리적 위치에 따른 표적공격 양상
표적공격 대상 국가 및 공격 발생 가능 국가 순위에서는 미국이 각 1위를 차지했다. 그러나 미국 외에도 일본, 중국, 영국 등 많은 국가들이 순위에 이름을 올렸다. 여기서 주목할 점은 표적공격의 진원지가 자동으로 ‘공격 발생국’을 의미하지는 않는다는 것이다. 실제 공격에서 이전에 감염된 컴퓨터를 프록시로 사용하는 경우가 많은데, 이때 공격자의 익명성을 어느 정도 보장할 수 있기 때문에 이러한 프록시를 통해 공격하는 경우가 많다.
 
공격자는 공격 대상 컴퓨터와 동일한 국가에 위치한 프록시를 통해 시스템에 접근하는 것이 훨씬 쉬울 수 있다. 이는 공격 진원지 상위 5개 국가 가운데 4개 국가가 공격 대상 순위에서도 1, 2위를 차지한 통계를 통해 증명된다.
 
시만텍코리아의 윤광택 이사는 “산업시설 및 국가 시스템을 노리는 고도의 표적공격과 산업 스파이 활동은 향후 더욱 기승을 부릴 것으로 예상되는 만큼 이 같은 보안 위협에 맞서 기업들은 정보 중심의 보안전략을 바탕으로 전반적인 보안 프로세스를 점검하고, 임직원의 보안 의식 제고와 보안을 생활화해야 한다”고 강조했다.
 
또한 “사용자들도 본인 모르게 프로그램이 생성되거나 삭제된 경우, 알 수 없는 파일이나 공유 폴더가 생긴 경우, 이유 없이 컴퓨터 프로그램 실행 속도가 느려지고 시스템이 멈춘 경우, 사용자 의사와 관계없이 프로그램이 실행되거나 주변 장치가 스스로 움직이는 증상이 나타난 경우에는 즉시 악성코드 감염을 의심해봐야 한다”며, “무엇보다 출처를 알 수 없거나 의심스러운 이메일은 바로 삭제하고 파일공유 사이트 등에서 출처를 알 수 없는 파일은 함부로 내려받지 않는 게 바람직하다”고 당부했다.
 
<시만텍이 제안하는 기업을 위한 보안 베스트 프랙티스 지침>
1. 심층적인 방어 전략을 수립하라= 특정 기술 또는 보호 방식에 존재하는 오류를 막기 위해 여러 방어 시스템을 활용한다. 이를 위해 네트워크 전반에 정기적으로 업데이트되는 방화벽, 게이트웨이 안티바이러스, 침입탐지, 침입차단시스템, 웹보안게이트웨이 솔루션을 구축해야 한다.
 
2. 네트워크 보안 위협, 취약점 및 브랜드 도용을 감시하라= 네트워크 침입, 전파 시도, 기타 의심스러운 트래픽 패턴이 있는지 감시하고 확인된 악성 호스트나 의심스러운 호스트와의 연결 시도를 찾아낸다.여러 벤더의 플랫폼 전반에서 새로운 취약점과 보안 위협에 대한 알림을 수신하고 선제적으로 해결한다. 도메인 알림 기능과 가짜 사이트 보고 기능으로 브랜드 도용 사례를 추적한다.
 
3. 안티바이러스만으로는 충분하지 않다= 시그니처 기반의 안티바이러스만으로는 최신 보안 위협과 웹기반 공격 툴킷으로부터 엔드포인트를 확실하게 보호할 수 없다. 다음과 같은 추가적인 보호 계층을 포함하는 통합적인 엔드포인트 보안 제품을 구축해야 한다.
 
·패치가 적용되지 않은 취약점이나 사회 공학적 공격기법을 차단하며, 엔드포인트를 노리는 악성 코드를 차단하는 엔드포인트 침입 차단 기술
 
·위장 웹 기반 공격을 차단하는 브라우저 보호 기술
 
·사전 예방 차원에서 미확인 보안 위협을 차단하는 클라우드 기반 악성 코드 방지 기술
 
·애플리케이션과 웹 사이트의 리스크와 평판을 평가하여 빠르게 변이하는 악성 코드와 다형성 악성 코드를 차단하는 파일 및 웹 기반 평판 솔루션
 
·애플리케이션과 악성 코드의 행동을 감시하고 악성 코드를 차단하는 행동 기반 차단 기능
 
·애플리케이션과 브라우저 플러그인에서 허가받지 않은 악성 컨텐트의 다운로드를 차단하는 애플리케이션 제어 설정
 
·USB 장치 유형의 사용을 차단하고 제어하는 장치 제어 설정
 
4. 중요한 데이터는 암호화하라= 중요 데이터를 암호화하는 보안 정책을 구현하고, 이에 대한 접근을 제한해야 한다. 이를 위해 데이터를 식별, 모니터링, 보호하는 DLP(데이터 유출방지) 솔루션이 필요하다. 이 솔루션은 데이터 보안 사고를 방지할 뿐 아니라 사내에서 잠재적 데이터 유출의 피해를 줄이는 데도 효과적이다.
 
5. DLP 기술로 데이터가 유출되지 않도록 방지하라= DLP 솔루션을 구현하여 중요 데이터가 저장된 위치를 찾아내고 데이터 사용 현황을 모니터링하며, 손실되지 않도록 보호할 수 있다. DLP는 중요 데이터를 복사하거나 다운로드하는 의심스러운 행동을 탐지해 차단할 수 있도록 구성해야 한다. 또한 DLP를 사용하여 네트워크 파일 시스템과 PC에서 기밀 데이터나 중요한 데이터 자산을 찾아내고 암호화 등 적합한 데이터 보호 기술을 적용함으로써 데이터 손실 위험을 최소화해야 한다.
 
6. 휴대용 저장장치 사용을 제한하라= 가능하다면 외부 휴대용 하드 드라이브나 기타 이동식 저장장치 등의 사용을 제한해야 한다. 이러한 장치는 의도적으로 또는 실수로 악성 코드를 유입하고 지적 재산을 유출하는 빌미를 제공할 수 있다. 외부 미디어 장치가 허용되는 경우에는 장치가 네트워크에 연결되는 즉시 자동으로 바이러스 검사를 실시하고 DLP 솔루션을 이용하여 암호화되지 않은 외부 스토리지 장치에 기밀 데이터가 복사되는지 감시하고 제한해야 한다.
 
7. 주기적으로 신속하게 보안 대응조치를 업데이트하라= 2010년 시만텍이 발견한 악성 코드 변종은 2억 8,600만 개 이상이었다. 기업은 매일 수 차례는 아니더라도 1회 이상 보안 바이러스 및 침입 차단 정의를 업데이트해야 한다.
 
8. 적극적으로 업데이트하고 패치를 적용하라= 구버전의 브라우저와 플러그인, 애플리케이션은 벤더가 제공하는 자동 업데이트를 통해 최신 버전으로 업데이트하고 패치를 적용하며 마이그레이션해야 한다. 대부분의 소프트웨어 벤더는 소프트웨어의 취약점 악용을 차단하기 위한 패치를 자주 발표한다. 하지만 이러한 패치를 현장에 적용해야 비로소 안전하다. 가급적 패치 적용을 자동화함으로써 전사적 환경을 취약점 없는 안전한 상태로 유지해야 한다.
 
 
9. 효과적인 암호 정책을 적용하라= 강력한 암호를 사용해야 한다. 강력한 암호는 8~10자 이상이고 대소문자, 숫자, 특수문자를 모두 포함해야 한다. 사용자가 여러 웹 사이트에서 동일한 암호를 사용하지 않도록 하고 다른 사용자와 암호를 공유하는 것도 금지해야 한다. 90일마다 1회 이상 정기적으로 암호를 변경하고 암호는 기록해 두지 않는다.
 
 
10. 이메일 첨부를 제한하라= .VBS, .BAT, .EXE, .PIF, .SCR 파일 등 주로 바이러스를 확산시키는 데 사용되는 첨부 파일이 있는 경우 이메일을 차단하거나 제거하도록 이메일 서버를 구성한다. 또한 이메일 첨부가 허용되는 PDF 파일은 엄격한 보안 정책을 적용한다.
 
11. 감염 및 사고 대응 절차를 마련하라=
·보안 벤더의 연락처 정보를 확보하고 하나 이상의 시스템이 감염될 경우 어디에 연락하고 어떤 절차를 거쳐야 하는지 파악해둔다.
 
·공격이 성공하거나 심각한 데이터 손실이 발생할 경우 손실되거나 손상된 데이터를 복원할 수 있도록 백업 및 복구 솔루션을 마련한다.
 
·웹 게이트웨이, 엔드포인트 보안 솔루션, 방화벽의 사후 감염 탐지 기능을 활용하여 감염된 시스템을 찾아 격리시켜 추가 감염이 발생하지 않도록 한다.
 
·악성 코드나 기타 보안 위협에서 네트워크 서비스의 취약점을 악용할 경우 패치가 적용될 때까지 서비스 접속을 제한하거나 차단한다.
 
·감염된 시스템에 대해 사후 분석을 실시하고 신뢰할 수 있는 미디어를 사용하여 복원한다. 
 
12. 변화하는 보안 위협 환경에 대해 사용자 교육을 실시하라=
·확실하고 믿을 수 있는 출처에서 발송한 첨부 파일이 아니면 열어보지 않는다. 인터넷 다운로드가 허용되는 경우 다운로드한 소프트웨어는 반드시 바이러스 검사를 실시한 후에 실행한다.
 
·이메일이나 소셜 미디어 프로그램에 포함된 URL을 누를 때 비록 믿을 수 있는 출처에서 발송되거나 친구가 보낸 경우라도 신중을 기한다.
 
·단축 URL을 누를 때는 먼저 사용 가능한 툴과 플러그인을 통해 미리 보거나 펼쳐 본다.
 
·사용자가 소셜 네트워킹 솔루션을 통해 정보를 제공할 경우 이러한 정보가 사용자 본인을 노리는 공격에 이용되거나 악성 URL 또는 첨부 파일을 열도록 유도하는 데 사용될 수 있으므로 주의해야 한다.
 
·검색 엔진 결과를 무조건 신뢰해서는 안되며, 특히 미디어에서 집중적으로 다루는 주제에 관해 검색할 때는 신뢰할 수 있는 출처의 결과만 눌러야 한다.
 
·검색 결과에 웹 사이트의 평판을 표시하는 웹 브라우저 URL 평판 플러그인 솔루션을 구축한다.
 
·소프트웨어 다운로드가 허용되는 경우 회사 공유 시스템만 이용하거나 벤더의 웹 사이트에서 직접 다운로드한다.
 
·사용자가 URL을 누르거나 검색 엔진을 사용한 후에 감염되었다는 경고 메시지가 나타날 경우(가짜 안티바이러스 감염) Alt-F4, CTRL+W 또는 작업 관리자를 사용하여 브라우저를 닫거나 종료하도록 교육한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com