지난달 27일, 암호화폐 거래소 ‘업비트’에서 핫월렛에 보관 중이던 이더리움 34만 2000개가 알 수 없는 지갑으로 이체되는 사고가 발생했다. 업비트 측은 해당 트랜잭션에 대해 직접 ‘이상거래’임을 언급하며 사실상 ‘해킹’임을 인정했다.
업비트의 해킹 사고는 아직 정확한 원인이 파악되지는 않았으나, 관련 기관에서 조사를 진행중인 만큼, 앞으로 2~3개월 후면 해킹 사고에 대한 조사 결과가 나올 것으로 예상된다. 이처럼 최근 공격자들의 동향을 보면, 암호화폐 거래소 임직원과 이용자를 대상으로 크립토재킹, 랜섬웨어, 피싱 등의 다양한 공격 방식을 동원해 암호화폐를 거둬들이고 있다.
공격자들은 더 높은 금전적 수익을 얻기 위해 암호화폐 시세 변화에 따라 공격 방식에도 변화를 주고 있다. 즉 가상화폐 시세가 상승하는 경우에는 사용자 PC나 서버에 채굴 프로그램을 설치해 암호화폐를 채굴하는 크립토재킹 공격이 눈에 띄게 늘어나고, 가상화폐의 시세가 내려갈 시에는 암호화된 파일을 복호화하는 대가로 암호화폐를 요구하는 랜섬웨어 유포가 급격히 증가하고 있다. 앞으로도 공격자들은 더 많은 암호화폐를 거둬들이기 위해 공격 방식을 변화하고 고도화할 것으로 예상된다.
이글루시큐리티(대표이사 이득춘, www.igloosec.co.kr)는 이와 같은 내용을 포함한 2020년 보안 위협에 대한 주요 예측을 담은 ‘2020년 보안 위협기술 전망 보고서’를 5일 발표했다.
이글루시큐리티 보안분석팀의 예측에 기반해 올해 8번째로 작성된 이번 보고서에는 2020년 발생할 주요 사이버 보안 위협과 더불어 이에 대응하기 위한 보안 기술과 방법론이 함께 제시됐다.
이글루시큐리티 보안분석팀은 차세대 IT 기술을 토대로 한 디지털 전환이 가속화되면서 기존에는 경험하지 못했던 복합적인 보안 위협이 늘어나고 전례 없이 빠른 속도로 확산될 것이라고 내다봤다.
그리고 이에 맞서는 방어자들은 공격자가 노릴만한 기업 내외부의 위협 요인을 정확하게 파악하고 이에 신속히 대응하는데 초점을 둔, 보다 능동적인 보안 방법론과 기술을 필요로 하게 될 것이라고 전망했다.
이글루시큐리티 보안분석팀 김미희 팀장은 “IT 인프라 환경 변화와 함께 기존의 방어 체계로는 대응하기 어려운 지능적인 공격이 점점 더 늘어날 것으로 전망된다. 이에 맞서는 방어자들은 AI(인공지능), SOAR(보안 오케스트레이션·자동화·대응), 위협 인텔리전스 등의 다양한 보안 기술 및 방법론을 활용하여 보안의 효율성을 높임으로써, 보안 위협에 보다 빠르고 능동적으로 대응해야 할 것”이라고 강조했다.
◇ 이글루시큐리티 선정 2020년 5대 보안 위협 전망
① 공격 방식과 표적 바꾸며 더 많은 암호화폐를 거둬들이는 사이버 공격자들
최근 사이버 범죄 조직은 일반 기업과 다를 바 없는 비즈니스 모델을 바탕으로 이윤을 극대화하는데 목적을 두고 있다. 빠르게 가치가 상승하는 암호화폐는 더할 나위 없이 매력적인 표적이 될 수 있다. 공격자들은 암호화폐 거래소 임직원과 이용자를 대상으로 크립토재킹, 랜섬웨어, 피싱 등의 다양한 공격 방식을 동원하여 암호화폐를 거둬들이고 있다.
공격자들은 더 높은 금전적 수익을 얻기 위해 암호화폐 시세 변화에 따라 공격 방식에도 변화를 주고 있다. 실제로, 가상화폐 시세가 상승하는 경우에는 사용자 PC나 서버에 채굴 프로그램을 설치하여 암호화폐를 채굴하는 크립토재킹 공격이 눈에 띄게 늘어나고, 가상화폐의 시세가 내려갈 시에는 암호화된 파일을 복호화하는 대가로 암호화폐를 요구하는 랜섬웨어 유포가 급격히 증가하고 있다.
공격자들은 적은 비용을 들여 더 많은 암호화폐를 거둬들이기 위해 한층 고도화된 표적형 랜섬웨어 공격을 감행하고 있다. 이들은 중요 데이터를 많이 보유한 기업과 기관이 복호화 대가를 지불할 가능성이 높다는 사실을 인지하고 높은 이윤을 남길 수 있는 기업·기관을 집중적으로 노리며 수익을 올리고 있다. 실제로 2019년 탐지된 랜섬웨어 공격 건수는 감소했으나, 그 피해 규모는 더 커진 것으로 나타났다.
공격자들이 교섭 성사 가능성을 높이기 위해 복구비용보다 약간 낮은 수준의 암호화폐를 요구하고 있다는 사실 역시 괄목할 만하다. 피해 기업과 기관들이 복구를 하기보다는 비용 협상 테이블에 앉도록 유도하기 위해서다.
② 한 번의 공격으로 큰 효과 거둔다 – 공급망 공격 증가
다수의 사용자들을 한꺼번에 감염시키기 위해 공급망에 침투하는 ‘공급망 공격(Supply Chain Attack)’ 역시 지속될 전망이다. 공급망은 제품 혹은 서비스가 공급자로부터 사용자에게 전달되기 위해 거치는 모든 단계를 포괄한다. 공격자들은 일반적으로 높은 보안 수준을 유지하고 있는 기관 및 기업을 직접 공격하기보다는 상대적으로 보안이 취약한 서드파티 벤더의 제품과 서비스를 공략해 공급망에 침투하려는 시도를 하고 있다.
공격자들은 수많은 기업들이 사용하는 중앙관리형 소프트웨어, IT 시스템, 단말 기기를 공격의 교두보로 활용하고 있다. 공격자들은 주요 서버 관리자 계정 탈취, 크리덴셜 스터핑, 관리 서버 및 솔루션의 취약점 공략 등 다양한 방식을 동원해 소프트웨어 개발 또는 업데이트 서버에 침투한 뒤, 악성코드를 삽입하거나 코드사인 인증서를 탈취해 변조하고 있다. 사용자들이 악성 행위가 포함되거나 변조된 솔루션·제품들을 의심 없이 사용할 가능성이 높다는 점에서 더 큰 문제가 될 것으로 점쳐진다.
③ 디지털 전환 가속화에 따른 보안 위협 증대
5G·IoT·AI·클라우드 등 차세대 IT 기술을 토대로 한 디지털 전환이 가속화되면서 공격자가 노릴 만한 공격 면(Attack surface) 역시 점점 더 확대되고 있다. 산업 간 기술의 경계가 허물어지고 수많은 사물과 사용자, 인프라가 밀접히 연결됨에 따라, 기존에는 경험하지 못했던 새로운 보안 위협이 발생하고 특유의 초연결성에 기반해 전례 없이 빠른 속도로 확산될 가능성이 제기되고 있다.
특히, 교통·에너지·의료 등 사회기반을 구성하고 있는 다양한 접점에서 공격이 발생할 것으로 점쳐진다. 공격자들은 자율주행차량·지능형 교통 시스템 등을 해킹하여 차량 제어권을 탈취하거나, 스마트 의료기기·원격 의료 시스템 정보를 조작해 생명을 위협할 수 있다. 드론이나 CCTV 해킹을 통한 개인 정보 유출 및 사생활 침해 피해도 더욱 늘어날 것으로 예상된다.
④ 클라우드 환경과 서비스를 둘러싼 보안 위협 급증
클라우드를 이용하는 기업과 사용자가 기하급수적으로 증가하면서 클라우드 환경과 서비스를 둘러싼 보안 위협도 계속 증가할 것으로 점쳐진다. 이 위협의 상당수는 클라우드 운영 전반에 걸친 가시성을 확보하지 못하고 클라우드에 올라간 정보에 대한 접근 제어가 잘 이뤄지지 않는 데서 기인한다. 이에, 기술적·관리적인 측면에서 클라우드 가시성과 제어성을 높일 수 있는 보안 방안 마련이 요구될 것이다.
클라우드 보안 연합(Cloud Security Alliance, CSA)을 비롯한 많은 보안 기업·기관들은 클라우드를 둘러싼 주요 보안 위협 요소로 ▲데이터 유출, ▲불충분한 자격 증명 및 접근 관리, ▲안전하지 않은 인터페이스와 API, ▲시스템 취약점, ▲계정 도용, ▲악의적인 내부자, ▲APT, ▲데이터 손실, ▲불충분한 실사, ▲클라우드 서비스 오용과 악용, ▲서비스 거부 공격(DoS), ▲공유 기술 취약점 등을 꼽고 있다.
⑤ AI의 이중성과 취약성에 기반한 보안 위협 대두
오늘날 방어자들은 악성코드의 특징, 비정상적인 행위, 공격자 특성 등을 지도·비지도 학습한 머신 러닝 기반의 AI 알고리즘을 활용해 지능화된 사이버 보안 위협에 대응하고 있다. 하지만, 이에 맞서는 공격자들 역시 AI를 악용해 더욱 효과적인 공격을 수행하거나 지금까지 없었던 새로운 공격을 시도할 가능성이 남아있다. AI는 특정한 용도로 사용되도록 정해진 기술이 아니고(이중성), 비정상적 데이터로 학습할 시 오류가 유발되는 등 아직 해결되지 않은 다수의 취약점이 존재하기 때문이다(취약성).
이와 같은 AI의 이중성과 취약성은 다양한 보안 위협을 야기할 수 있다. ▲방어자의 보안 시스템을 우회하는 것은 물론 ▲이미지 인식용 AI 알고리즘을 속이는 페이크 샘플을 생성해 오작동을 유도하고(적대적 스티커), ▲진위 여부를 가릴 수 없는 가짜 영상을 생성하며(모방 및 흉내), ▲공격 표적을 빠르고 정확하게 분석해 정교한 스피어피싱 공격을 자동 수행(사회공학적 공격 자동화) 하는 등, 다양한 형태의 보안 위협이 발생할 것으로 전망된다. AI의 역기능에 대한 다각도의 대응 방안 마련이 요구될 것이다.
◇ 이글루시큐리티 선정 2020년 5대 기술·방법론
① 혼자서는 공격을 막을 수 없다 – 협업·정보 공유 지속
전략적인 사이버 공격이 급증함에 따라, 국가·기관·기업을 아우르는 위협 정보 공유와 협업의 중요성이 더욱 강조될 것이다. 사이버 범죄가 몇몇 전문가 집단과 단편화된 정보에 기반해 다뤄질 수 있는 영역을 넘어섰기 때문이다.
이에 공격 전술 및 도구, 공격 기법 및 공격 절차 (TTPs)를 빠른 시간 내 도출하여 고위험군 공격에 보다 기민하게 대응할 수 있도록, 최신 위협 첩보를 표준화된 언어와 규격에 따라 공유하고 필요시 범국가적인 공동 대응에 나서는 움직임이 확산될 전망이다.
②보안관제의 효율성과 생산성을 높여라 – SOAR
고도화된 보안 위협이 기하급수적으로 증가하고 있으나, 방대한 데이터를 들여다볼 수 있는 사이버 보안 인력은 절대적으로 부족한 상황이다. 이에 보안관제의 효율성을 높이고 보안관제센터의 복잡성을 해소할 수 있는 ‘SOAR(Security Orchestration, Automation & Response)’ 기술의 중요성이 더욱 부각될 전망이다.
자동화된 분석 및 대응 환경을 형성하는 SOAR는 데이터 분석의 정확도를 끌어올리고 탐지 대응 시간을 단축시키며 보안관제 업무의 생산성을 향상시키는 핵심 동인으로 작용할 전망이다.
SOAR 기술을 구현하기 위해서는 폭넓은 범주의 보안 요소가 뒷받침되어야 한다. ▲외부 보안 위협에 대한 정보를 파악하고 분석하는 ‘위협 인텔리전스’, ▲위협 및 취약점 관리 기술을 토대로 솔루션, 절차, 위협 정보 등을 하나의 과정으로 묶어 프로세스화하는 ‘오케스트레이션’, ▲보안관제 인력의 역할과 책임을 정의한 플레이북에 기반해 단순 반복적인 프로세스는 자동화하는 ‘자동 대응’, ▲공격자가 노릴만한 잠재적인 위협 요인을 능동적으로 탐지해 제거하는 ‘위협 헌팅’ 등이 필수적으로 요구된다.
③ 기존 정보 보안의 한계를 극복하는 차세대 보안 기술이 될까 – 양자암호기술
물리학적 최소 단위인 양자(Quantum)의 특성을 보안에 접목한 양자암호기술(Quantum encryption)은 보안성을 높일 수 있는 새로운 대안으로 떠오를 것이다. 쉽게 복사 및 붙이기가 가능한 디지털 비트와 달리, 양자는 특유의 중첩, 얽힘, 불확정성으로 인해 도청이나 해킹을 할 수 없다. 암호 키를 가진 송·수신자만 암호화된 정보를 해독할 수 있고, 제3자가 중간에서 정보를 가로채려고 시도할 시에는 양자의 상태 값이 훼손되어 복제가 불가능하기 때문이다.
대한민국을 비롯한 여러 국가들은 5G 상용화에 발맞춰 양자 키 분배(Quantum Key Distribution, QKD) 등의 양자암호기술 도입에 속도를 붙이고 있다. 양자암호기술이 주류 보안 기술로 자리 잡기 까지는 상당한 시간이 걸릴 것으로 보인다. 빛의 최소 단위인 단일 광자를 검출하고, 큐비트에 중첩된 값을 기록하면서 발생하는 퀀텀 비트 에러율을 낮추는 과정에서 적지 않은 어려움이 발생하고 있는 까닭이다. 그러나, 안정성이 확보될 시에는 기존 정보 보안의 한계를 극복할 수 있는 대안이 될 것으로 점쳐진다.
④ 완벽하진 않지만 매력적인 카드 – 인공지능
AI의 이중성과 취약성에도 불구하고, 자동화된 대응에 초점을 둔 AI 기술 도입은 2020년에도 변함없이 강조될 전망이다. 먼저, AI 기술은 신·변종 악성코드를 잡아내는데 유용하게 사용될 것이다. 머신러닝 알고리즘이 악성코드 실행 전후 생성된 데이터와 사용자 행위 데이터를 학습하여 비정상적인 행위를 분류한 모델을 만들고, 의심되는 행위 데이터가 군집된 악성코드 분류에서 얼마나 벗어나 있는지를 확인하게 함으로써 수동 분석 시 많은 시간이 걸리는 유사 변종 및 악성 여부를 가려낼 수 있다.
보안관제 분야에서도 AI 기술 적용이 더욱 활발해질 전망이다. 보안관제 요원들이 들여다보아야 할 데이터가 기하급수적으로 증가하면서, 위협이 아니지만 위협이라고 탐지하는 ‘오탐(false positive)’과 위협이 존재하지만 없다고 판단하는 ‘미탐(false negative)’ 역시 늘어나고 있다. 지도학습과 비지도학습을 병행하여 오탐과 미탐 경보를 정확히 가려냄으로써, 우선 처리해야 할 고위험 이벤트를 빠르게 선별하고 심각한 위협이 될 수 있는 이상 행위에 보다 기민하게 대응할 수 있게 될 것이다.
⑤ 모든 것을 의심하고 검증하라 – Zero Trust 모델
네트워크 경계 안과 밖을 구분했던 기존의 ‘경계 보안’ 체계에서 나아가 모든 것을 의심하는 ‘제로 트러스트(Zero Trust)’ 모델’이 확산될 전망이다. 클라우드, 모바일 등 차세대 IT 기술 확산과 더불어 제로 트러스트의 중요성은 점점 더 높아질 것이다. 공격자가 노릴 만한 ‘공격 면’이 확대되고 IT 보안 인프라의 복잡성이 증가하며, 내부와 외부, 적과 아군의 경계를 구분하기가 더욱 어려워졌기 때문이다.
이에 외부는 물론, 그동안 신뢰하고 있었던 내부 요인 역시 잠재적인 위험 요소가 될 수 있다는 사실에 기반해, 허가받은 사용자가 인가된 기기로 안전한 경로를 통해 데이터에 접근하고 있는지 사용자의 신원과 행위를 검증하고 최소한의 권한만을 부여하는 형태로 보안의 패러다임이 변화하게 될 것이다. 방어자들은 IT 인프라 환경의 변화에 부합하는 보안 방식을 찾기 위해 지속적으로 고민해야 할 것이다.
▶기사제보 및 보도자료 : press@blockmedia.co.kr
▶블록미디어 유튜브: http://bitly.kr/9VH08l
▶블록미디어 텔레그램: http://bitly.kr/0jeN