“금융기관 타깃 공격 ‘고도화’…탐지·대응 어려워져”
상태바
“금융기관 타깃 공격 ‘고도화’…탐지·대응 어려워져”
  • 김선애 기자
  • 승인 2017.05.18 13:01
  • 댓글 0
이 기사를 공유합니다

파이어아이 ‘맨디언트 2017 M-트렌드’, 공격 탐지 후에도 뱅킹 네트워크 은닉해 있을 가능성 제기

사이버 공격자들은 금전적인 수익을 극대화할 수 있는 금융기관 타깃 공격을 집중적으로 벌이고 있는 것으로 나타났다. 특히 이러한 공격은 국가의 지원을 받는 그룹에 의해 진행되고 있으며, 공격이 탐지·조치된 후에도 네트워크에 숨어있으면서 더 어려운 공격 미션을 수행하기 위해 준비할 가능성도 있는 것으로 나타났다.

파이어아이의 연례 보고서 ‘맨디언트 2017 M-트렌드’에 따르면 금융기관 타깃 공격이 증가하고 고도화되고 있는 것으로 나타난다. 국가의 지원을 받는 공격 그룹이 지속적으로 고도화된 기법을 보여주며 사이버 공격 수준을 높여가고 있다. 특히 금융기관을 타깃으로 한 공격 그룹 역시 진화를 거듭해 탐지는 물론 조사, 대응 및 해결도 어렵게 만들고 있다.

지난해에는 다양한 종류의 악성코드를 이용한 ATM 공격 및 ATM 네트워크에 대한 공격이 눈에 띄게 증가했다. 금융기관을 타깃으로 한 사이버 공격그룹들은 각각의 침해된 시스템에 대해 각기 독특한 설정을 보유한 커스텀 백도어를 사용하기 시작했고, CnC 인프라의 회복력을 더욱 강화했으며, 개선된 카운터-포렌식 기법을 사용하기 시작했다.

이 그룹들은 더 이상 단순한 스매시 엔드 그랩 공격자로 분류할 수 없다. 탐지, 조사 및 복구가 더 어려워진 공격은 미션을 완수하기 위해 환경에 계속 남아있을 가능성이 본질적으로 더 높고, 이는 더 막대한 양의 금융 정보가 탈취되고 있음을 의미한다.

또한 보고서는 뱅킹 네트워크 사기 사건을 중요하게 다루고 있는데, 방글라데시 중앙은행 SWIFT 해킹을 통해 공격자는 1억달러 이상의 손실을 입혔다. 파이어아이는 아시아 지역 은행이 위험하다고 경고하고 있으며, 이들은 거래, 내부 뱅킹 문서 및 모바일 뱅킹 앱 등의 주요 시스템을 보호하는 데 있어 서구 지역의 은행만큼 강력한 보안 조치를 갖추고 있지 못할 가능성이 있다고 분석했다.

게다가 중국 기반 사이버 공격그룹들은 중국계 기업이 수익성 좋은 계약 성사를 돕기 위해 아시아 지역의 경제 발전에 많은 관심을 가지고 있다. 파이어아이는 광범위하게 벌어지는 뱅킹 네트워크 사건들을 통해 금융 범죄자들이 뱅킹 네트워크가 조작에 적합하다고 생각하고 있음을 알 수 있다고 해석했다.

침해 발견 시간, 4년만에 1/4로 단축

한편 기업/기관이 지능형 타깃 공격 방식과 위험성에 대한 인식이 개선되면서 이전보다 빠르게 공격을 발견하고 대응하게 된 것으로 나타났다. 침해 사실을 발견하는데 까지 걸리는 시간이 2015년 평균 146일이었으나 2016년 99일로 줄어들었다. 이 조사를 처음 시작한 2012년에는 416일에 이르러 일년 이상 공격이 진행되는 동안에도 기업은 이를 몰랐던 것으로 나타났다.

특히 EMEA와 APAC 지역에서 공격자들의 평균(네트워크) 체류 시간에 뚜렷한 감소가 있었는데 이에 대해 파이어아이는 많은 조직들이 보안 태세를 이해하기 위하여 멘디언트 레드팀(Red Team)의 조사나 대응 준비도 평가와 같은 더 발전된 테스트 방식을 도입한 것도 하나의 원인이지만, 공격 자체의 성격 변화가 상당한 영향을 미쳤다고 분석했다.

▲침해에서 탐지까지 걸리는 기간

지난해 나타난 주목할 만한 트렌드 중 하나는 기업 이메일 유출을 위해 다중 인증을 우회하는 공격이 고도화됐다는 것이다. 지난해 미국 대선은 이메일 해킹 및 유출을 사이버 보안의 주요 이슈로 부각시켰다. 지난 몇 년간 유출된 이메일 양은 이제까지 유출된 다른 종류의 전자 데이터를 모두 합친 양보다 더 많다.

지난해 트렌드 중 가장 주목할만한 것은 공격자가 피해자에게 직접 전화를 걸어 피싱 문서의 매크로 기능을 켜도록 시키거나 기업 이메일의 보안 기능을 우회하기 위해 피싱 문서를 보낼 수 있는 개인 이메일 주소를 알아내는 것이었다.

피싱 이메일만으로 타깃 환경에 접근하는 것이 어려운 경우, 공격자는 직접 대화를 하는 방법까지 동원해서 보안을 피해 나갈 방법을 찾으려고 노력하는 등 공격자 그룹들은 권한을 확대하고 지속성을 유지하는 면에서도 더욱 고도화된 모습을 보였다.

전수홍 파이어아이 한국지사장은 “사이버 공격의 경우 공격성 및 양 측면에서 가속화된 양상을 보여주었지만 여전히 방어 역량의 진화화 대응은 느린데 한국도 예외가 아니다”라며 “방어적인 탐지와 대응 기능을 강화하는 것에 더하여, 위협 인텔리전스는 진정한 의미의 선제적인 보안과 위협 헌팅 기능을 가능케 하는 중요한 요소”라고 밝혔다.

이어 그는 “그렇지 못한 경우 기본적인 보안뿐만 아니라 타깃 공격에 대한 가시성 및 탐지 측면에 심각한 허점이 존재하게 되는 위험을 감수해야 한다. 점차 진화하는 사이버 공격 트렌드를 잘 파악하고, 선제적 방어 역량을 지닌 솔루션 도입을 통해 피해를 최소화해야 할 것”이라고 밝혔다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.