Home > 전체기사
사이버 공격 지형도 그려봤더니, 국제 관계 현황 그대로 반영해
  |  입력 : 2019-11-25 09:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버 공격의 절반 가까이가 러시아와 중국에서 출발...국제 관계 고려했을 때 그럴듯
보안 업계가 내부적으로 파편화 돼 경쟁하는 건, 다크웹에 반사이익 가져다주는 것


[보안뉴스 문가용 기자] 사이버 공격 행위에 대한 새로운 보고서가 발표됐다. 2019년 현 시점까지 발생한 사이버 공격의 47%가 중국과 러시아와 연루되어 있으며, 공격 단체가 맞춤형으로 편집하거나 개발한 멀웨어와 ‘프로세스 할로윙(process hollowing)’의 사용률이 올라가고 있다고 한다. 또한 데이터를 파괴하거나 무결성을 훼손하는 종류의 공격이 증가 중에 있으며, 새로운 형태의 아일랜드 호핑(island hopping) 공격이 우려되는 수준으로 올라오고 있다고 한다.

[이미지 = iclickart]


이런 내용이 담겨져 있는 보고서의 이름은 ‘VM웨어 카본블랙 글로벌 사건 대응 위협 보고서(VMWare Carbon Black Global Incident Response Threat Report)’이다. VM웨어 카본블랙의 수석 보안 전략가인 톰 켈러만(Tom Kellermann)은 “VM웨어 카본블랙의 고객만이 아니라 시큐어웍스(SecureWorks), 부즈앨런(Booz Allen), 딜로이트(Deloitte) 등의 고객사들을 대상으로 수집한 데이터를 바탕으로 작성한 것”이라고 말한다. 그만큼 더 신뢰할 만한 결과가 나왔다는 것이다.

“현장에서 발견된 포렌식 풋프린트와 C&C 서버의 위치를 추적해봤을 때 중국과 러시아에서 오는 공격이 가장 많았습니다. 1차 C&C 서버만이 아니라 2차 C&C 서버의 위치도 중국과 러시아가 가장 많았습니다. 물론 다른 나라 해커들이 시선을 중국과 러시아로 돌리기 위해 우회 공격을 한 부분도 있습니다만, 악성 코드에 대한 인간 정보 분석과 공격 동기, 쿠이 보노(cui bono : 누가 이득을 보는가)를 종합적으로 고려했을 때, 그 비율은 그리 높지 않아 보입니다.”

사이버 공격의 범인이 100% 정확하게 지목되지 않는다고 하더라도, 위 결과가 납득이 가는 건 현재 전 세계 지정학적 긴장 관계와 맞아떨어지기 때문이다. “그렇기 때문에 미국의 경우는 특별히 이란의 공격도 많이 받고 있는 중입니다. 미국 내부로부터 발생하는 공격의 비율도 높은데, 이는 미국 내 만연한 불만과 혐오, 환멸의 정서와 맞물립니다. 전 세계의 커다란 흐름을 형성하는 감정이 사이버 공간에 그대로 반영되는 겁니다. 그렇다는 건, 오프라인 공간에서 이뤄지고 있는 실질적 외교 상황 등에서 개선이 있지 않다면 사이버 공간의 지금 상황 역시 개선되지 않을 가능성이 높다는 겁니다.”

미래를 암울하게 만드는 현상은 또 있다. 바로 사이버 보안 인재 문제다. 현재 사이버 보안과 관련된 내용이 점점 더 넓게 교육되고 있는데, 아무리 조기 교육을 받아도 결국에 대학에서까지 정보 보안을 전공하지 않는다면 보안 전문가로서 직장을 구할 수가 없다. “그렇다는 건 보안이나 IT가 아닌 업계에도 해킹 기술과 유사한 실력을 가진 사람들이 대거 포진된다는 뜻입니다. 브라질의 경우 이런 일이 벌써 일어났죠. 브라질 정부가 국민의 IT 능력을 높이려고 지난 20년 동안 교육에 힘을 써왔고, 그 결과 최근 몇 년부터 브라질 해킹 커뮤니티가 급성장을 해왔습니다.”

현재 사이버 공간에서 발생하고 있는 각종 상황이 실제 지정학적 관계를 그대로 반영한다는 건 2020년 미국 대선이 커다란 요소로 작용할 가능성이 높다는 뜻이기도 하다. “이미 다크웹에는 유권자 데이터베이스가 담긴 덤프가 판매되고 있습니다. 보고서 작성을 위해 입수한 덤프의 경우 27개 주의 유권자 정보가 담겨 있었으며, 2019년 10월에만 47번 거래됐습니다. 이미 선거나 정치 현황을 테마로 한 사이버 공격이 차근차근 준비되고 있다는 뜻입니다.”

이런 다량의 개인정보가 거래되는 방식은 여러 가지다. 간단히 돈을 주고 구매하는 경우도 있지만, “최근 들어 사이버 범죄자들은 큰 손들과의 거래를 위해 이런 개인정보를 비축하고 있다”고 한다. “큰 손들은 ‘이런 이런 데이터를 보유하고 있는 곳에 대한 접근 권한을 판매하라’고 요구합니다. 데이터를 다 사서 자기들이 직접 찾아내는 게 아니라, 특정 표적이 되는 곳에 대한 확실한 접근권을 보다 큰 돈을 주고 사는 겁니다. 이를 ‘접근권 채굴(access mining)’이라고 부르는데, 이런 거래 행위가 늘어나는 것도 걱정이 되는 부분입니다.”

유권자 정보가 거래된다고 했을 때 정치적 목적을 가진 악성 행위자들의 관심이 높아질 수밖에 없다는 것도 경계해야 한다. “유권자들이 투표의 자격을 사이버 공격자들에게 빼앗기는 경우가 있을 수도 있습니다. 유권자 데이터베이스에 접근해 무결성을 훼손하면 되므로, 간단히 진행할 수 있기도 합니다. 이름 스펠링을 살짝 바꿔도 수많은 사람들이 투표를 못하게 됩니다. 사회 시스템의 근간이 흔들리는 공격이 될 수 있습니다.”

그 외에도 두 가지 현상이 새롭게 발견되기도 했다. 하나는 파괴형 멀웨어를 사용하는 사례가 늘어나고 있다는 것이다. “사이버 공격자들은 예나 지금이나 은밀히 움직이면서 들키지 않고, 공격을 최대한 오래 지속시키는 데에 집중합니다. 그러다가 발각되면 예전 같으면 조용히 사라졌는데, 요즘은 시스템을 파괴시킵니다. 올해만 해도 41%의 사이버 공격이 파괴형 멀웨어로 결론이 났습니다. 지난 해보다 10% 오른 수치입니다. 주로 와이퍼 멀웨어나 복호화 키가 없는 랜섬웨어로 일이 벌어집니다.”

다른 하나는 ‘아일랜드 호핑’의 새로운 유형이 눈에 띄기 시작했다는 것이다. 아일랜드 호핑 공격이란 한 조직을 공격하고, 그 조직과 관련된 고객사나 파트너사 등을 연쇄적으로 공격하는 것을 말한다. 말 그대로 이 네트워크 섬과 저 네트워크 섬 사이를 뛰어다니는 것이라고 볼 수 있다. 켈러만에 의하면 공격자들은 다음과 같이 아일랜드 호핑 공격을 진행한다고 한다.
1) 한 조직의 메일 서버를 침해한다.
2) 표적에 따라 선택적으로 파일레스 멀웨어를 몇몇 소수의 표적들에 전송한다.
3) 이 때 고위직이나 주요 직책을 맡은 사람들이 주로 선택된다.
4) 그리고 이 사람들을 통해 관계사나 기관, 조직에 다시 공격을 시작한다.

켈러만은 “그렇기 때문에 이제 최악의 경우는 데이터 침해나 유출이 아니라, 우리 조직으로 인해 다른 조직들이 덩달아 피해를 입는 것”이라고 지적한다. “나만 당하면 되는 것에서부터, 남까지 같이 당하게 하는 것”으로 피해의 성질이 변한 것이다. “이것이 바로 요즘 유행하는 디지털 변혁(digital transformation)이라는 것의 어두운 면이라고 볼 수 있습니다.”

공격의 전략이나 기법이 이렇게 발전하는 것처럼 멀웨어 자체도 빠르게 향상되고 있다. “얼마 전까지만 해도 오래된 멀웨어를 시장(다크웹)에서 사서 사용하는 추세였습니다만, 어느 순간부터 커스터마이징이나 자체 개발을 실시하는 경우가 많아졌습니다. 2019년 1사분기부터 커스텀 멀웨어가 41%의 확률로 사용되더니, 지금은 5% 정도 증가한 상태입니다. 멀웨어를 직접 만들 줄 알 정도로 실력이 뛰어난 해커들이 늘어난 데에는 여러 가지 이유가 있을 수 있습니다. 먼저는 일부 정부가 자체적으로 사이버전 기술을 갖고 있지 않을 경우 용병을 활용하기 시작했다는 점이 꼽힙니다. 또 미국의 스파이 기관에서 사용해오던 도구들이 최근 몇 년 동안 수차례 유출되었다는 점도 있습니다. 아직 국제법이 사이버 공간에서의 행동 규범을 규정하고 있지 않다는 것도 이런 현상을 부추기고 있습니다.”

켈러만은 보안 업계가 통합적인 대책을 마련해야 한다고 주장한다. “하지만 현재 보안 시장은 업체별로 나뉘어져 있습니다. 무슨 뜻이냐면 우리끼리 경쟁을 하고 있다는 것이죠. 정작 우리의 적은 다크웹에서 점점 산업화를 이뤄가고 있는 이들인데 말입니다. 우리가 그들과 직접 대항하지 않고 있는 지금 시간대가 그들의 황금과 같은 성장기가 됩니다. 보안 업계가 각자의 API들을 공개하고 통합해 하나의 커다란 방어막으로서 역할을 할 필요가 있습니다.”

3줄 요약
1. 사이버 공격의 지형도, 현재 국제 관계 지형도와 판박이.
2. 파괴형 멀웨어와 아일랜드 호핑 기법을 활용한 공격 증가 중.
3. 보안 업계가 안에서 끼리끼리 경쟁하느라 다크웹은 견제 없이 성장 중.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)