2020-02-19 15:25 (수)
[보안칼럼] 진화하고 있는 보안위협, 2019년 우리가 경계해야 할 것들
상태바
[보안칼럼] 진화하고 있는 보안위협, 2019년 우리가 경계해야 할 것들
  • 길민권 기자
  • 승인 2019.03.28 13:05
이 기사를 공유합니다

▲ 배수한 소포스(Sophos) 한국지사장
▲ 배수한 소포스(Sophos) 한국지사장
보안산업은 보호조치 마련이 생명이다. 사이버공격의 진화가 뚜렷했던 지난 한 해를 통해 2019년 우리가 무엇을 준비해야 하는지 생각해 볼 수 있다. 소포스연구소는 매년 위협양상의 변화를 평가하고 그 추이를 파악해, 이같은 변화가 사이버보안 시장의 미래에 미칠 영향을 분석한다. 소포스 2019년 위협전망보고서에서 확인된 내용은 다음과 같다.

◇공격의 개인화

사이버 범죄자들이 사용하는 공격방법은 진화하고 있다. 지난 5년간은 수백만개의 이메일을 자동 배포하는 ‘스프레이앤프레이(spray and pray)’ 방식의 자동화 공격이 크게 증가했다. 공격자들은 목표물을 신속하게 공격하기 위해 자동배포방식을 사용하고, AI와 머신러닝의 이용도 점점 증가하고 있다. 자동화는 워드문서를 무기화하는 것에서부터 피싱 이메일에 이르기까지 다양한 형태를 취했다.

자동화된 공격은 일단 기업이 악성 이메일을 발견하기만 하면 즉각 방어조치를 취할 수 있다. 이러한 자동화공격에 대한 인식강화와 예측가능한 특성때문에 사이버범죄는 점차 고도로 표적화된 수동공격방식으로 변화하고 있고, 그것이 2019년도 보안산업의 주요 트렌드가될 것이다.

얼마전 관련자 두 명이 기소된 샘샘(SamSam) 랜섬웨어 사건이 대표적인 사례다. 샘샘 해커들은 대량 스팸 살포기술을 사용하는 대신 보안 허점이 있는 네트워크, 예를들어 예측 가능한 비밀번호를 가진 원격접속 포털같은 네트워크를 찾아냈다. 일단 네트워크에 침투하면 유저권한상승을(privilege escalation)통해 네트워크 전반에 내부망 이동방식으로 악성코드를 살포했다. 즉, 디지털 슬리퍼셀(sleeper cell, 평소에는 평범하게 생활하다가 명령이 내려지면 활동을 개시하는 잠복간첩)을 심어놓고 공격준비가 될 때까지 기다리게 하는 것이다. 이런 수동공격방식으로 랜섬웨어 개발자는 3년만에 무려 미화로 650만달러를 벌어들였다.

◇ ‘자급자족식(Living off the land)’ 공격의 등장

대부분의 멀웨어는 윈도우상에서만 운영되도록 설계되고 있고 이는 이미 잘 알려진 사실이다. 그러나 관심있게 봐야할 것은 사이버범죄자들이 파워쉘, WMI, 윈도우스트립트호스트같은 윈도우 운영체제(OS)의 정상적인 관리도구를 이용해 탐지되는 것을 피하고 새로운 공격을 감행하고 있다는 것이다.

자급자족식 공격은 단순한 전략이지만 감지하기가 어렵다. 최근에는 문서에 내장된 매크로 차단이나 미리보기 모드를 사용하는 등 보호조치를 이용해 자급자족식 공격을 막아낼 수 있었다. 그러나 사이버범죄자들도 자신들의 공격을 허용하도록 이용자들을 유도하는 방법을 개발해 반격하고 있다.

결과적 으로 지난 2년간 위험한 파일로 여겨지는 범위가 실행파일 외에도 다양한 타입의 다양한 윈도우 파일들까지 확대됐다. 악성이메일 메시지와 함께 사용되면 이런 타입의 파일들은 zip 파일 같은 압축파일형식으로 포장되고 자동감지를 막기위한 패스워드로 보호될 수도 있다.

◇모바일과 loT멀웨어도 둔화 조짐없어

인터넷 사용자들이 데스크톱과 노트북 컴퓨터에서 모바일과 사물인터넷(loT)으로 이동하면서 사이버범죄자들도 따라 이동하고 있다. 안드로이드와 iOS 기반 휴대전화와 태블릿 등의 기기에 멀웨어 앱을 심는 악성활동에 노출되는 모바일기기 이용자들이 점점 늘어나고 있다. 사이버범죄자들이 즐겨구사하는 전략은 구글의 플레이스토어와 애플의 앱스토어에 악성앱을 몰래 끼워 넣는 것이다. 그밖에 잘 쓰이는 전략에는 다음과 같은 것들이 있다.

1. 크립토마이너

크립토마이너는 정상적인 앱안에 기능이 한가지인것 처럼 몰래 숨겨놓을 수 있어서 사용자들이 자신의 기기프로세서가 느려지고 있다는 사실을 알아차리기 힘들다.

2. 광고클릭사기

사용자가 수익창출을 위해 광고를 클릭하도록 유인하는 앱안에 크립토마이닝처럼 악성앱을 심어놓는 전략이다. 이용자는 배터리와 프로세서 소진이라는 피해를 입고, 광고주는 쓸모없는 클릭에 돈을 지불해야 하고 결국 온라인 광고비 지출도 커지게 된다.

3. 공급망피해

지난해 소포스연구소는 소형전화 기업체의 스톡펌웨어에 포함된 정상적인 앱이 공급망에서 트로이목마 공격을 받았다는 사실을 발견했고, 다행히 기기가 판매되기 전에 미리 예방할 수 있었다.

이와 마찬가지로, loT가 우리 일상생활에 자리잡게 됨에 따라 이런 기기들을 해킹하고 조종하는 새로운 방법들이 쏟아지고 있다.

해커들이 즐겨 사용하는 방식은 loT기기를 해킹해 대규모 봇넷공격의 노드로 이용하는 것이다. 이런 봇넷은 크립토마이닝과 네트워트 침투활동, DDoS 공격에 이용된다. 이런 공격은 기기감염여부가 뚜렷이 나타나지 않아서 네트워크상에서 이상이 생기기 전까지는 탐지가 어렵다.

지난 2년동안 loT기기를 겨냥한 공격량이 크게증가 했다. 앞으로 loT해킹공격대상이 계속 확대되어 데이터베이스 서버와 상업용 라우터, 인터넷에 연결된 CCTV 시스템까지 포함될 가능성이 크다.

◇우리가 명심해야 할 것은 무엇인가?

지난해 최악의 표적형 랜섬웨어 공격중 상당수가, 관리자가 윈도우 컴퓨터의 원격데스크톱 방화벽에 허점을 만들었다는 사실을 발견하고 시작됐다. 이런 손쉬운 허점을 메우는 것이 랜섬웨어 공격을 예방하는데 큰 도움이 된다.

악성스팸은 악성링크나 악성 첨부파일의 가장 흔한 소스인 이메일 멀웨어 기법이다. 기업들은 일반적으로 위험하지 않다고 여겨지는 파일, 예를들면 오피스문서 등을 통해 멀웨어에 감염될 수도 있다는 걸 최소한 인지하고 있어야 한다. 직원들을 상대로 이메일의 위험성을 알리고, 악성링크를 찾아내는 법과 파일을 열기 전 확인하는 습관을 들이도록 교육해야 한다.

관리자 패스워드의 사용과 패스워드 재사용금지 등 기본적인 보안조치를 취해야 한다. 가정에서 사용하는 라우터와 모뎀, 네트워크 연결 저장서버 등의 디폴트관리자 암호를 바꾸고 휴대전화에 PIN코드나 패스워드 패턴을 추가하여야 한다. 관리자들은 운영체계 패치와 앱, 그리고 소프트웨어 업데이트를 항시 잘 챙겨서 숙지하고 있는 것이 필수적이다. 이것들이 종종 사이버공격의 수단으로 사용되기 때문이다.

마지막으로, 사용하는 모든 기기에 멀티팩터인증을 사용하는 것이 중요하다. 멀티팩터인증은 신원도용 및 남용을 예방하는 매우 효과적인 수단이다. 아직 멀티팩터 인증을 사용하지 않는 단체나 기업은 반드시 사용해야 한다.

2019년 한 해를 대비한 최고의 조언은, 항상 경계를 늦추지 말고 수상한 파일이나 메시지, 링크는 자동반사적으로 의심하고 대처하라는 것이다.

[글. 배수한 소포스(Sophos) 한국지사장]


-국내 최대 개인정보보호&정보보안 컨퍼런스 <G-PRIVACY 2019> 4월 10일 개최. 7시간 보안교육 이수 가능.

-사전등록: http://conf.dailysecu.com/conference/g-privacy/2019.html

★정보보안 대표 미디어 데일리시큐!★