2019-11-19 14:52 (화)
SK인포섹, 해킹∙보안전문가 그룹 ‘이큐스트’, 2018 사이버 위협 전망 내놔
상태바
SK인포섹, 해킹∙보안전문가 그룹 ‘이큐스트’, 2018 사이버 위협 전망 내놔
  • 길민권 기자
  • 승인 2018.01.19 15:39
이 기사를 공유합니다

▲ 이재우 SK인포섹 이큐스트 그룹장이 기자간담회에서 2018년 보안위협 전망에 대해 발표를 하고 있다.
▲ 이재우 SK인포섹 이큐스트 그룹장이 기자간담회에서 2018년 보안위협 전망에 대해 발표를 하고 있다.
“2018년 사이버 공격 5가지 위협을 정리해 보면, △관리서버 신규 취약점을 이용한 APT 공격 지속, △취약점 자동화 공격툴 제로데이화, △범용SW 자동화 공격 위협, △SW공급망 홀에 대한 공격, △대규모 랜섬웨어 감염을 위한 구조적 취약점 공격 등으로 정리할 수 있다.”

SK인포섹(대표이사 안희철)은 18일 서울 종로 SK서린빌딩 수펙스홀에서 열린 이큐스트(EQST) 미디어 데이에서 ‘2018년 5대 사이버 위협 전망’을 발표했다.

이큐스트는 사이버 위협 분석∙연구를 비롯해, 실제 해킹 사고 현장에서 침해사고 대응을 맡고 있는 전문가 그룹이며 100여 명으로 구성돼 있다. 올해부터 보안솔루션을 대상으로 사내 버그바운티도 운영할 예정이며 분기별 위협 리포트도 지속적으로 발간할 계획이다.

이날 이재우 이큐스트 그룹장은 작년 한 해 동안 발생한 주요 보안 사고에 쓰인 해킹 기법과 공격 흐름 분석내용을 발표했고 이를 토대로 올해 유의해야 할 다섯 가지 위협 전망을 내놓았다.

지난해 발생한 주요 보안 사고 및 공격 방식으로는 △ 게임사, IT기업 등을 타깃한 시스템 관리 서버 APT 공격 △ 사드(THADD) 배치로 발단이 된 중국 해커들의 아파치 스트러츠 취약점 공격 △ 호스팅 업체에 피해를 입한 랜섬웨어 공격 △ 가상화폐 채굴을 위한 악성코드 공격 △ 원격관리 소프트웨어 해킹 공격 △ 보안 솔루션을 우회하는 공격 △ 소프트웨어 공급의 구조적 취약점을 노린 공격 등 총 7가지를 꼽았다.

이를 바탕으로 이큐스트 그룹은 △관리서버의 신규 취약점을 이용한 APT 공격 △취약점 자동화 공격 도구의 제로 데이(Zero-Day)화 △범용 소프트웨어를 타깃한 자동화 공격 △ 소프트웨어 공급망의 취약한 구조를 노린 공격 △대규모 랜섬웨어 감염을 노린 공격 등이 작년에 이어, 올해도 여전히 위협적일 것으로 내다 봤다.

이 그룹장은 “공격의 피해를 늘리기 위해 해커들의 공격기법이 날로 지능적이고, 대범해지고 있다”면서 “SK인포섹은 해킹 위협에 대한 지속적인 연구를 통해 효과적인 대응 방안을 마련해 나갈 것”이라고 말했다. 다음은 인포섹 이큐스트에서 발표한 5대 사이버 위협 전망 상세내용이다.

SK-2.jpg
◆2018년 5大 사이버 위협 전망

△관리서버의 신규 취약점을 이용한 APT공격

2011년부터 관리서버를 공격해 내부망에 악성코드를 전파하려는 시도가 지속적으로 증가하고 있다. 관리서버가 APT 공격에 지속적으로 사용되는 이유는 공격 효과가 높기 때문이다. 관리서버는 일반적으로 패치 및 자산관리, 파일 배포 등에 사용되기 때문에, 해커는 이 기능을 이용해 악성파일 배포를 하고 PC를 장악할 수 있다. 최근 몇 년 동안 해커는 관리 서버의 신규 취약점을 연구해 해당 서버를 공격하고 있으며, 이는 관리자가 사후에 발견 하더라도 어떤 취약점을 이용해서 공격 했는지 알 수 가 없기 때문에 대응 조치를 하기가 매우 어렵다. 그리고 관리 서버를 개발하는 국내 Vendor의 개발 및 경영 환경이 어렵기 때문에 취약점을 사전에 발견 하더라도 패치에 장시간이 소요되곤 한다. 이런 특징 때문에 2018년에도 관리 서버에 대한 공격이 지속 될 것으로 보이며, 단순한 권한 획득이 아닌 Zero-Day처럼 신규 취약점을 통해 공격을 시도 할 것으로 예상된다.

△취약점 자동화 공격 도구 Zero-Day화

새로운 취약점이 발표되면 보안장비를 패턴 업데이트하는데 평균 일주일의 시간이 소요된다. 이전에는 신규 취약점이 발표된 후 약 2~3일 후에 자동화 공격 툴이 만들어졌지만 최근에는 취약점이 발표되기도 전에 자동화 공격 도구(Tool)이 발견 되는 사례가 있었다.

Zero-Day 취약점 공격과 자동화 공격 도구를 이용한 공격이 동시에 행해지면 매우 큰 피해를 입힐 뿐만 아니라, 대응하는 입장에서도 매우 어려운 상황들이 발생하게 된다. 때문에 공격자는 적은 노력으로 매우 큰 효과를 볼 수 있는 Zero-Day Package 공격을 계속해서 시도할 것으로 예상된다.

△범용 소프트웨어 자동화 공격

최근 공격자들은 외부에 공개된 범용 소프트웨어를 스캐닝하고, 발견된 보안 취약점 및 취약 계정을 통해 침투 한 후 악성코드를 설치하거나 자동화된 공격을 감행하고 있다. 또한 최근에는 오픈 소스 소프트웨어를 타깃한 공격들이 증가되고 있다. 보안에 취약한 오픈 소스 소프트웨어를 별도 망에 설치하고 테스트한 결과, 5시간도 되지 않아 악성코드가 설치되는 것을 확인했다.

범용 소프트웨어는 불특정 다수가 사용하고 있어 타깃 할 수 있는 대상이 많고, 자동화된 공격으로 큰 피해를 입힐 수 있기 때문에 심각한 위협이 될 것으로 전망하고 있다.

△소프트웨어 공급망 홀에 대한 공격

소프트웨어 공급망은 개발사, 총판, 리셀러, 협력업체, 구매회사로 이어지는 매우 복잡한 구조를 가지고 있다. 때문에 소프트웨어가 배포되는 과정에서 보안에 취약한 지점이 반드시 존재하며, 해커는 이 구조적인 취약점을 노려 악성코드를 설치하거나 원본 파일을 악성코드로 변경하는 공격을 감행하고 있다. 보안 수준이 높은 회사라 할지라도 악성코드로 변경된 소프트웨어의 악성 유무를 확인하기가 매우 어렵기 때문에 소프트웨어 공급망에 대한 공격이 늘어날 것으로 예상한다.

△대규모 랜섬웨어 감염을 위한 구조적 취약점 공격

대규모 시스템에 악성코드를 감염시켜 중요한 데이터를 인질 삼아 금전을 요구하는 랜섬웨어 공격은 계속 증가할 것으로 예상된다. 해커는 클라우드에서 사용되는 파일 공유 기능이나 파일 서버를 공격해 랜섬웨어에 감염시키려는 시도를 하고 있다. 특히 파일 배포 기능이 있는 관리서버나 자원을 공유해서 사용하는 서버 환경의 경우에는 랜섬웨어 감염 리스크가 높다고 볼 수 있다. ‘17년에 있었던 보안 사고 중에서 데스크톱 가상화(VDI) 서버 내에 있는 가상머신(VM) 전체가 감염돼 시스템 전체를 초기화 했던 사례가 있었다. 올해에도 이러한 구조적 취약점을 이용한 공격이 늘 것으로 예상된다.

SK-3.jpg
이러한 위협에 대응하기 위해 SK인포섹은 위협 인텔리전스와 빅데이터 기반 보안관제 플랫폼 ‘시큐디움(Secudium)을 이용해 네트워크 및 IT인프라에 대한 지능형 공격을 방어하고 있다고 전했다.

이재우 이큐스트 그룹장은 SK인포섹의 2018년 위협대응 전략에 대해 “통합 SOC 관제 서비스를 고도화하고 글로벌 보안기업 및 백신업체들과 협력해 인텔리전스 기반 탐지를 기반으로 알려지지 않은 공격에 대한 대응력을 더욱 발전시켜 나가겠다”고 전했다.

또 “엔드포인트 단에서 악성코드 초기 감염단계 활동부터 탐지, 대응하고 랜섬웨어나 APT 공격 등 알려지지 않은 공격 탐지, 차단은 행위분석 기반 EDR 솔루션을 활용하겠다. 한편 다크웹 정보 수집을 강화해 해킹도구, 최신 해킹정보, 해커들의 동향을 파악하는데도 주력할 방침이다. 이와 함께 이큐스트 랩 활동을 통해 신규 취약점 연구, 공격 탐지 연구, 공격자 기법 연구를 강화하고 이러한 정보를 취합해 정기적으로 위협 동향 보고서를 제공할 예정이며 인포섹의 모든 서비스에 녹아들 수 있도록 하겠다”고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★