오늘날 보안은 가장 중요한 과제로 떠오르고 있다. IT가 광범위하게 활용되고 있는 현실에서 금전적 이익으로 전환할 수 있는 정보를 얻기 위한 사이버 공격이 기승을 부리고 있기 때문이다. 특히 지난해에는 크고 작은 보안사고가 이어지면서 높아진 사이버 위협을 보여줬다. 시만텍이 지난해 사이버 위협 동향을 분석한 ‘인터넷 보안 위협 보고서 제17호’를 통해 사이버 위협 동향을 살핀다. <윤광택 시만텍코리아 이사 / patrick_youn@symantec.com>
시만텍은 2011년 한 해 동안의 주요 사이버 범죄 및 보안 위협 동향을 조사, 분석한 최신 보고서인 ‘인터넷 보안 위협 보고서(ISTR) 제17호’를 발표했다. 이 보고서에 따르면, 지난 2011년 다형성(Polymorphism) 공격의 급증으로 악성코드 공격이 크게 증가했다. 시만텍이 탐지, 차단한 악성코드 공격이 55억건에 달한다는 점은 높아진 위협을 여실히 보여준다. 더불어 표적공격이 기업 규모에 상관없이 전방위로 확산되는 특징도 나타났다. 이로 인해 사이버 스파이 활동이 주요 문제로 대두됐으며, 정치적 목적의 핵티비스트 공격이 늘면서 데이터 유출사고 또한 빈번하게 발생했다.
다른 한편으로 스팸메일 발송에 이용되는 러스톡(Rustock)과 같은 악명높은 봇넷들이 잇따라 폐쇄되면서 전세계 스팸량은 전년대비 34% 감소했다. 그렇지만 전통적인 스팸 메일의 감소에도 불구하고 위협은 여전히 높았다. 사이버 범죄자가 ‘친구맺기’와 ‘정보공유’를 특징으로 하는 소셜 미디어에 눈을 돌리면서 이들 소셜 네트워크가 사이버 범죄의 새로운 온상으로 떠오르면서 새로운 주의가 요청되고 있다. 사이버 범죄자에게 여전히 PC는 수익성이 높은 분야지만 모바일은 더 높은 수익성을 안겨주는 새로운 기회의 땅이다.
일례로 과금을 유발하는 휴대폰 프리미엄 문자메시지 전송 악성코드의 경우 개발자에 문자메시지당 9.99달러의 수익을 안겨준다고 분석된다. 2011년 발견된 모바일 보안 취약점도 전년대비 93% 증가한 315건에 달했다. 이에 따라 악성코드 개발자들이 기존 PC기반 악성코드를 모바일용으로 수정하거나 새로운 모바일 전용 악성코드를 제작하면서 지난해 처음으로 모바일 악성코드가 기업 및 개인사용자에 실제 위협으로 다가왔다.
사이버 산업스파이 활동 ‘급증’
표적공격은 2010년 하루 평균 77건에서 2011년 82건으로 증가했다. 2011년에는 ‘스턱스넷(Stuxnet)’과 유사한 ‘듀큐(Duqu)’, 전세계 화학 및 방산업체를 공격한 ‘니트로(Nitro)’ 등의 지능형 지속공격(APT)이 발생해 많은 이목을 집중시켰으며, 해킹그룹 어나니머스(Anonymous)와 룰즈섹(LulzSec) 등의 핵티비즘(해킹 행위를 정치·이념적 목적으로 사용) 활동이 2011년 보안 메인 뉴스를 장식했다.
일반적으로 표적공격은 표적으로 삼은 기업 또는 조직에 침투하기 위해 정교한 맞춤형 악성코드와 인간의 심리를 공략하는 사회공학적 기법을 이용하며, 공격 성공률을 높이기 위해 공격대상자를 사전에 조사 분석한다. 반면 APT 공격은 보다 장시간에 걸쳐 스파이활동을 수행하는 고도의 표적공격으로, 주로 정부나 산업의 중요 정보와 시스템을 겨냥한다.
특히 APT 공격은 실제 존재하는 매우 위험성 높은 공격으로 더욱 특별한 주의가 요구된다. 예를 들어 2011년 3월 발생한 APT 공격으로 미 방산업체에서 미국 국방부의 무기체계 개발과 관련된 2만4000여개의 파일이 유출됐다. 이 때문에 각국 정부기관들은 APT 공격을 매우 심각하게 받아들이고 있다. 미 국방부는 사이버 보안 연구개발에 최소 5억달러를 배정했고, 영국 정부는 지속적으로 진화하는 사이버 위험과 국가안보 위협에 대처하기 위해 6억5000만 파운드 예산의 국가 사이버 보안 프로그램을 골자로 한 사이버안보전략을 발표했다.
모든 APT 공격은 주요 공격수단으로 표적공격을 이용하며, 이밖에 드라이브바이다운로드(Drive-by-downloads), SQL 인젝션, 악성코드, 피싱, 스팸 등 다양한 공격기법들을 종합적으로 이용한다. APT 공격이 일반 표적공격과 다른 점은 다음과 같다.
1. 공격대상을 위한 고도의 맞춤형 툴과 제로데이 취약점, 루트킷 기법 등의 침입 기술을 사용
2. 보안 탐지 회피를 위해 은밀히 잠복한 상태에서 지속적으로 공격
3. 주목적은 군사, 정치, 경제 분야의 국가 기밀정보 수집
4. 충분한 자금과 인력 지원 필요 고려할 때 군 또는 국가 정보기관 지원 추정
5. 일반 기업체보다는 주요 국가기관이나 글로벌 기업이 표적
APT 공격이 지속적으로 발생함에 따라 다른 사이버범죄자들이 이를 통해 새로운 공격기술을 학습하고 있다는 점도 문제다. 실제 최근 서버측 다형성 공격이 기승을 부리고 있고, 소셜 네트워크와 사회공학적 기법을 접목한 표적 공격도 일반화되고 있다. 또한 APT 공격이 주요 지적재산을 겨냥하고 있다는 사실은 산업스파이 활동에서 사이버범죄자들이 정보 브로커로 활동할 수 있다는 점을 시사한다.
표적공격의 3분의 2는 특정 분야의 단일 또는 소수 기업에 집중되고 있고, 그 중 절반 이상이 국방 및 항공우주 산업을 겨냥하고 있다. 표적공격은 각 공격마다 평균 2종의 취약점을 이용한 것으로 나타났고, 그 중 제로데이 취약점이 막강한 파괴력을 가진다.
하지만 대기업만이 표적공격 대상이 아니었다. 표적공격의 절반 이상이 직원수 2500명 미만의 기업을 겨냥했다. 직원수 250명 미만의 사업장을 겨냥한 표적공격도 18%에 달했다. 대부분의 소기업은 대기업과 협력관계에 있지만 상대적으로 방어체계가 취약하기 때문에 소기업을 공격 발판으로 삼아 대기업을 공격하기 위한 의도로 분석된다.
또 표적공격 대상의 42%는 고위 간부, 임원 및 R&D 직원들이었지만 58%는 기밀정보에 직접적인 접근권한이 없는 인사, 영업, 언론 및 홍보담당 직원들이었다. 이러한 간접적인 공격형태는 방어체계를 잘 갖춘 조직에 침투하는데 매우 효과적일 수 있다.
이러한 표적공격과 APT 공격의 대두로 인해 2011년은 데이터 유출의 해로 정의될 정도로 다수의 데이터 유출 사고가 발생했다. 산업별 분석에 따르면 컴퓨터 소프트웨어, IT 및 헬스케어 분야가 전체 데이터 유출 건수의 93%를 차지했다. 해커들은 일부 피해자를 손쉬운 표적으로 간주하고 정보보안이 아닌 소비자 시장에 집중한 것으로 보인다. 2011년 전 산업에 걸쳐 데이터 유출사고 원인 1위는 도난·분실로, 전체 유출사고 건수의 34.3%(1850만건의 개인정보)를 차지했다.
데이터 유출 사고당 약 110만건의 개인정보가 유출됐는데, 주로 해킹공격으로 개인정보가 대규모로 유출됐다. 2011년 한 해를 통틀어 2억3200만건 이상의 개인정보가 유출됐다. 고의적인 정보유출의 경우 주로 고객관련 정보를 겨냥했는데, 이는 고객정보를 사기범죄에 쉽게 이용할 수 있기 때문으로 보인다.
‘BYOD’ 위험성
개인 소유의 스마트폰, 태블릿, 노트북 등을 업무에 활용하는 BYOD(Bring Your Own Device) 현상은 네트워크 내 모든 기기를 제어해야 하는 IT 부서에 큰 도전과제가 되고 있다. 직원은 개인 소유의 모바일 기기를 업무와 관련 없는 활동에 이용할 수 있기 때문에 업무목적으로 엄격히 제한하는 경우와 비교해 악성코드 노출 위험이 증가할 수 있다.
최근 인터넷 접속이 가능한 스마트폰, 클라우드 기반의 애플리케이션과 서비스가 증가하면서 모바일 기기가 폭증하고 있다. 물론 지난 10년간 모바일 기기가 급속도로 확산됐지만 PC만큼 모바일 위협이 크게 증가하지는 않았다. PC 악성코드의 진화 추세를 보면 모바일 악성코드가 급속히 확산되기 위해 필요한 ▲대중화된 플랫폼 ▲쉽게 이용 가능한 개발 툴 ▲충분한 수익성 등 3가지 요소를 기존 모바일 환경은 충족시키지 못했던 것이다.
하지만 최근의 모바일 기기는 이러한 요건을 충족시키면서 모바일 위협의 증가를 예고하고 있다. 일례로 최근 안드로이드 모바일 플랫폼의 등장은 첫번째 요건을 충족시킨다. 가트너에 따르면, 2011년 2분기 기준 전세계 스마트폰 시장에서 안드로이드 OS의 점유율은 43%로 보편적인 플랫폼으로 자리매김하고 있다. 2011년 안드로이드 플랫폼의 시장점유율 증가는 모바일 위협 증가와 궤를 같이 한다.
애플 iOS 모바일 플랫폼과 달리 안드로이드 플랫폼은 개방형이다. 따라서 일반 개발자뿐 아니라 악성코드 제작자들도 애플리케이션 제작 및 배포가 훨씬 쉽다. 2011년 오프페이크(Opfake)와 같은 악성코드 군이 안드로이드폰에서 발견됐으며, 최신 오프페이크 변종은 전통적인 시그니처 기반 탐지방식을 우회하기 위해 서버측 다형성 공격을 이용했다. 안드로이드의 경우 단일 애플리케이션 마켓과 배포 앱에 대한 중앙 통제가 없어 악성코드 개발자가 인기 애플리케이션과 매우 유사한 트로이 목마를 제작하기 쉽다.
현재 안드로이드 위협 가운데 절반 이상은 기기상의 데이터를 수집하거나 사용자의 활동을 추적하는 악성코드다. 2011년 확인된 모바일 위협의 약 4분의 1은 콘텐츠 전송을 위해 개발됐고, 모바일 악성코드 개발자가 돈을 벌기 위해 가장 많이 사용한 방식은 감염된 휴대폰에서 프리미엄 SMS 메시지를 전송하는 것이다. 이 방식은 2011년 확인된 모바일 위협의 18%를 차지했다. 점점 많은 모바일 악성코드가 단지 SMS 전송에 끝나지 않는다. 예를 들어 GPS로 사용자의 위치를 추적하고 정보를 탈취하고 있다.
모바일 위협은 서버측 다형성 공격기법을 이용하고 있고, 모바일 악성코드 변종 개수가 고유 모바일 악성코드 수보다 더 빠르게 증가하고 있다. 2011년 탐지된 모바일 취약점은 315건으로 지속적인 증가세를 보이고 있으며, 이 같은 모바일 악성코드 증가의 배경에는 여전히 금전적 이득이 주요 원인으로 작용하고 있다. 아직까지 모바일 위협은 PC에서 만큼 수익성이 좋진 않지만 사이버 범죄자들에게 새로운 시장 기회를 제공하고 있다고 평가된다.
클라우드 신뢰 확보
소비자 기술이 기업 업무영역을 침범하고 있다. 다양한 목적의 SNS 이용 등 파일 저장이나 커뮤니케이션을 위해 기업이 관리하는 소프트웨어보다 클라우드 애플리케이션을 더 많이 이용하고 있다. 이러한 행동은 대부분 회사의 동의 없이 이뤄진다. 반대로 비용 절감과 생산성 향상을 위해 클라우드 컴퓨팅, 스마트 모바일 워크 및 개인 소유 기기를 업무에 수용하는 기업도 있다.
예를 들어 전세계 기업의 37%는 이미 클라우드 솔루션을 채택하고 있다. 직원이 임의로 업무에 클라우드 컴퓨팅과 개인 기기 및 개인 웹사이트를 이용한다면 분명 위험하다. 설사 기업이 일부러 소비자화를 받아들인다고 해도 여전히 보안 문제가 존재한다. 기업 주변에 침투가 불가능한 장벽을 세우기도 어렵고 직원 PC나 모바일 기기에 어떤 데이터가 있는지, 데이터가 어떻게 저장, 관리 또는 이동되고 있는지 정확히 관리하기 어렵다. 특히 클라우드에서는 기업 데이터가 어디에서 어떻게 사용되고 있는지 추적하기 더욱 어려워진다.
또한 많은 기업들이 클라우드 컴퓨팅 채택에 큰 관심을 보이고 있다. 클라우드는 이메일, CRM 등과 같은 반복적인 업무를 써드파티 전문기업에 아웃소싱시켜 비용을 절감할 수 있고, 사내에 하드웨어를 힘들게 설치하거나 또는 업그레이드할 필요 없이 뛰어난 성능의 최신 기술을 이용할 수 있다는 점에서 매력적이다.
그러나 위험도 고려해야 한다. 일례로 직원들이 클라우드 서비스를 회사 동의 없이 이용하는 것이다. 파일 공유 웹사이트를 이용해 대용량 문서를 고객 또는 공급업체에 전송하거나 SNS에 비공식 기업 페이지를 개설할 수도 있다. IT 부서가 기기 사용을 더 통제하려 할수록 회사 직원들은 써드파티 웹사이트를 이용해 그 구속에서 벗어나려는 경향이 있다.
IT 관리자와 최고정보보호책임자(CISO)는 온프레미스 소프트웨어를 승인한 방식과 동일하게 클라우드 애플리케이션을 검증함으로써 클라우드 서비스 사용에 따른 이러한 위험을 해결할 수 있다. 여기에 적절한 사용 허가 정책과 직원교육 및 필요하다면 웹 사이트 접근제어 기술 등을 적용할 수 있어야 한다. 또한 기업은 직원들이 마케팅을 위해 SNS를 사용하는 등 업무 목적으로 개인 사이트에 접속할 때 웹 호스트 악성코드 및 스팸과 같은 공격으로부터 사용자를 안전하게 보호해야 한다.
