코로나19와 5G 시대, 사이버 보안의 역할과 과제

Ensign 발표한 ‘Cyber Threat Landscape Report 2020’ 보고서 살펴보니
코로나19 사태와 5G 시대 도래에 따른 사이버 공격의 변화와 향후 대응방안 제시

[보안뉴스 권 준 기자] “5G 시대가 정보통신, 미디어, 교육기관 및 금융 서비스 등 사회 전반에 걸쳐 혁신을 앞당기고 있다. 이러한 상황에서 현재 사이버 공격으로부터 안전한 부문은 없다.” 해커들은 첨단기술과 관련한 산업부문이 고도로 디지털화 됐다는 특성을 악용해 공격의 표적으로 삼고 있다. 데이터센터 등의 인프라를 봇넷(Botnet) 활동 확장을 통해 악용할 수 있기 때문이다.

[이미지=utoimage]

“완벽한 사이버 보안을 위해서는 국내외 데이터를 종합적으로 비교 분석해 정확하고 깊이 있는 인텔리전스 정보를 취득해야 하고, 이와 더불어 사이버 보안 조직을 강화하여 특정 위협에 대비할 수 있는 통찰력을 키워야 한다”고 엔사인(Ensign)의 InfoSecurity 부문 제이 림(Jay Lim) 한국 정보보호실장은 강조했다.

동남아시아의 최대 규모 사이버보안 회사인 Ensign은 싱가포르 정부에서 운영하는 Temasek 금융투자회사에서 설립한 회사로, 올해 한국에 지사를 만들었다. 현재 한국에서 사이버 위협 정보 제공 및 분석, 사이버 보안 컨설팅, OT/IoT 보안, C-Level 보안 권고 및 교육 등 여러 가지 분야에서 서비스 활동을 하고 있다.

최근 Ensign이 지난해 아시아에서 여러 분야 기업들의 취약점을 노리고 자행된 해커들의 공략 트렌드 분석과 함께 진화하고 있는 사이버위협 대응방안을 담은 ‘Cyber Threat Landscape Report 2020’ 보고서를 내놓아 보안업계의 주목을 끌고 있다.

Ensign InfoSecurity 부문의 독점 보유 기술인 ‘위협 탐지 분석 엔진 및 플랫폼’ 분석에 의하면, 2019년에 가장 표적이 된 Top 5 산업 분야는 첨단기술, 정보통신, 미디어, 교육기관 및 금융 서비스다. 이러한 산업 분야가 해커 공격에 효과적으로 대응하기 위해서는 해당 위협과 업계의 관련성 파악이 가장 중요하다. 위협 트렌드가 업종과 지역에 따라 다를 수 있기 때문이다.

우선 사이버 공격에 있어서는 워터링 홀 공격(Waterhole Attack)이 대부분을 차지하는 것으로 집계됐다. 해당 보고서의 데이터에 의하면 지난해부터 관찰된 아시아 지역의 사이버 위협 및 침해사고 중 워터링 홀 공격이 84%에 해당되는 것으로 조사됐다.

워터링 홀 공격의 시작은 타깃이 되는 웹사이트를 손상시키고 해당 내용을 악성 페이로드로 교체하는 것이다. 이를 다운로드한 유저들은 컴퓨터에 악성코드가 감염되어 무방비로 피해를 입게 된다. 위협 행위자인 해커는 이를 기반으로 공급망(Supply Chain Attack) 공격이 가능해진다. 사용 빈도가 높은 소프트웨어의 업데이트 서버들을 감염시킨 후, 악성코드로 대체해 악성 프로그램을 유포할 수 있게 된다. 이렇듯 사용자들이 신뢰하고 선호하지만 취약한 웹 서버를 찾아 사용자들을 대량 감염시키는 해킹 수법이 가장 많이 사용된다.

두 번째로 많이 포착된 공격 방법은 악성 스팸메일(Malspam)이다. 사이버 공격 중 37%에 해당되는 악성 메일은 피싱 공격 위협 중 가장 큰 피해를 주는 방법으로써 사회공학적 기법(Social Engineering)을 활용하여 다수의 피해자를 양산하고 있다.

이와 함께 Ensign의 보고서에는 사이버 공격을 일삼는 해커그룹 분석도 포함됐다. 그 가운데서도 주목받는 해커그룹은 바로 ‘APT32’다. 이 그룹은 ‘이모텟’ 악성코드(Emotet Malware)로 악명이 높고, 기술적으로 진화된 공격으로 아시아 전역을 위협하고 있다고 발표했다. APT 32는 2014년에 동남아시아에서 활동을 시작했는데, ‘Oceanlotus’라는 해커그룹과 연관되어 있으며, 정부 및 기업들을 공격하는 것으로 알려져 있다.

Ensign이 34개 업종을 대상으로 연구·수집한 데이터에 의하면, 2019년에 23개 업종이 APT32의 공격을 받은 것으로 확인됐다. 특히, 지난해 4월과 5월 사이에 APT32의 활동이 5배(500%)나 증가했는데, 주 대상은 제조 산업 분야였다. 무엇보다 10월과 12월 두 달 사이에는 무려 800%의 활동 증가추세를 보였고, 주요 사례를 보면 피싱 캠페인을 통한 쇼핑 시즌 및 휴일 행사 악용 피해였다.

APT32가 가장 많이 사용한 ‘이모텟’ 악성코드는 2019년에 가장 많은 활동이 관찰된 멀웨어이기도 하다. 34개 업종 중 27개 분야에서 직·간접적인 이모텟 활동이 있었으며 이는 총 악성코드 비율 중 79%를 차지하고 있다. 2019년 상반기 2월부터 4월까지 취약한 포트인 445에서도 대량의 이모텟 관련 활동이 감지된 것으로 나타났다. 3분기와 4분기에는 각각 9배와 11배 이상의 이메일 공격 캠페인 등의 활동이 각각 9배와 11배 증가했으며, 이모텟 관련 C&C(Command & Control 명령·제어) 발신 트래픽 내역도 관찰됐다. 이는 여러 서버에서 발견된 이모텟 관련 침해지표(IoC: Indicators of Compromise)를 통해 알 수 있다.

Ensign의 이번 보고서는 해커의 공격을 받은 후, 사후 대처를 하는 ‘어제’의 사이버 보안 방식이 ‘오늘’의 위협 환경에는 적절하지 못할 것이라는 점을 강조하고 있다. 각 기업이 다각화되고 정교한 위협에 적절히 대응하기 위해서는 우선 ‘MITRE ATT&CK®Framework’가 권고한 매뉴얼을 따를 필요가 있다는 입장이다. MITRE ATT&CK®Framework가 제공하는 사이버 위협 전술 및 기술에 대한 정보가 사이버 보안 연구원 및 전문가들의 위협 분석 및 평가에 큰 도움을 줄 것이라는 설명이다.

따라서 향후의 사이버 보안은 현지화된 공격의 사전예방, 활용 가능한 위협정보 및 위협탐지 직후의 행동 전술을 갖춘 방식으로 새롭게 변해야 한다는 점을 강조하고 있다. 즉, 국내외를 망라한 글로벌 데이터를 종합적으로 비교 분석해 정확하고 깊이 있는 인텔리전스 정보를 취득하는 한편, 사이버 보안 조직을 강화하여 특정 위협에 대비할 수 있는 통찰력을 키워야 한다는 얘기다.

이와 관련 Ensign 측은 각 기업이 진화하고 있는 보안 위협에 적절히 대응하기 위해서는 기술·프로세스·사람 등 여러 측면에서 전략을 개선할 필요가 있다고 제인한다. 최신식 사이버 보안 솔루션 채택은 물론이고, 인적 자원에 대한 적절한 훈련 및 교육을 실행하는 게 무엇보다 중요하다는 것이다.

결론적으로 Ensign의 ‘Cyber Threat Landscape Report 2020’는 기업들이 조직화·정교화되고 있는 사이버공격 대응을 위해 좀 더 전문적이고 전략화된 관점에서 사이버 보안 인프라를 혁신한다면, 최근 코로나19와 5G 출시 등의 이유로 가속화되고 있는 원격·협업 트렌드에 보다 효과적으로 대응할 수 있다는 점을 강조하고 있다.
[권 준 기자(editor@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)