[데이터넷] 코로나19 2년차인 2021년, IT 분야에서는 ‘사이버 팬데믹’이 이어졌다. 원격·비대면 환경이 늘어나면서 온라인 활동이 급증했고 공격자들의 접근이 쉬워졌다. 사회적 이슈를 이용한 피싱, 비대면 업무를 위한 커뮤니케이션으로 위장한 스피어피싱, 클라우드·IoT·분산근무로 내부 시스템의 외부 접점이 늘어나면서 확장된 공격표면, 쉽게 구할 수 있는 사용자·관리자 계정정보 등 ‘공격자 친화적’ 환경이 조성됐다.

보안조직의 어려움은 한층 심화됐다. 중앙통제가 어려운 분산업무환경을 지원하는데 많은 노력을 기울였 했으나 기술적 한계로 모든 분산업무에 중앙과 동일하게 통제 할 수 없었다. 달라진 비즈니스 환경을 보호하기 위해 새로운 보안 솔루션을 도입했는데, 기존 시스템과의 통합·연동이 어려워 단절된 보안 이벤트를 더 많이 발생시켰으며, 보안 가시성을 높이는데 실패했다. 클라우드를 도입하면서 복잡한 규제준수 의무가 추가됐으며, 줄어든 예산과 인력으로 더 많은 장비와 더 많은 보안위협에 대응해야 했다.

‘싸고 좋은 공격 서비스’ 찾는 범죄자

보안조직의 사기를 저하시키는 또 다른 요인으로 ‘많은 돈을 버는 공격자’다. 성공한 랜섬웨어 공격은 수십억에서 수백억까지 수익을 얻는다. 그러나 모든 공격자가 높은 수익을 얻을 수 있는 것은 아니다. 지하세계도 철저히 자본주의 원칙에 따라 움직이며, ‘싸고 좋은’ 상품을 찾는 고객(공격자)에게 매력적인 서비스와 가격을 제안한다.

마이크로소프트 조사에 따르면 판매용 사이버 범죄 서비스를 위해 고용된 공격자의 인건비는 작업당 250 달러부터 시작한다. 랜섬웨어 키트는 66달러, 제휴모델을 채택했을 때 공격 수익의 30%로 책정된다. 침해된 장치는 PC당 13센트, 모바일 장치당 82센트부터 시작하며, 스피어피싱은 100달러에서 1000달러 사이다. 도난당한 사용자 이름과 암호 쌍은 평균 1000명당 97센트에서 시작하며 대규모 탈취 정보는 4억개 계정에 겨우 150달러에 불과하다.

▲지하시장에서 거래되는 공격 도구와 서비스

보안 기업들이 탐지한 공격 패턴을 분류해 범죄자들의 그룹을 만들고 이들의 공격 패턴을 따라가지만, 실제로 이들이 같은 공격 그룹에서 활동하는지는 분명하지 않다. 공격자는 대부분 자주 사용하고 성공률이 높은 TTP를 택하는데, 유사한 TTP를 사용하지만 각자 활동하는 범죄자들이 하나의 그룹으로 묶이는 경우도 없다고 할 수 없다. 사이버 범죄자들은 느슨하게 연대하며, 때로 경쟁하고 모방하며 속이거나 상대방에게 죄를 뒤집어씌우기도 한다.

미국 정부가 콜로니얼 파이프라인 등 여러 대규모 사이버 공격을 받은 후 사이버 범죄와의 전면전을 선포하고 적극적인 범죄자 추적과 피해금액 환수에 나서자 다크사이드 등은 활동 종료를 선언했으며, 유명 지하포럼은 불법적인 랜섬웨어·디도스 광고를 중단하는 등 자정노력을 보이는 듯 했다. 그러나 맥아피는 “지하세계에는 랜섬웨어 전용 포럼이 생기고 있다. 유명 포럼에서 활동에 제약을 받는 공격자들이 다른 포럼으로 모여들고 있는 것”이라고 설명했다.

서동현 맥아피코리아 이사는 “랜섬웨어, 국가기반 공격, 소셜 미디어, 원격근무라는 큰 변화가 2021년 보안의 주요 헤드라인이었다. 악의적인 공격자는 이런 변화를 인지하고 그들의 공격 전술을 더 스마트하게 변화시켜 왔으며 이는 2022년에도 동일할 것”이라며 “내년에는 서비스형 랜섬웨어와 함께 네트워크를 공격하는 컴퓨터 네트워크 익스플로잇(CNE) 공격이 부상할 것으로 예상된다. 이에 따라 광범위한 네트워크 공격 방어 체계를 구축해야 한다”고 말했다.

초기 침투에 사용되는 스피어피싱

거의 대부분의 공격에서 초기 침투 성공률이 가장 높은 것은 스피어피싱이다. 사용자 기기에 잠입한 공격자가 주소록을 보고 평소 자주 연락하는 사람으로 위장해 커뮤니케이션하면 악성파일·링크를 정상 업무인 것처럼 꾸며 보낼 수 있다. 자금 담당자 이메일을 보면서 자금결제일에 다른 계좌 정보를 알려주면서 송금해달라고 하면 악성 파일 없이도 돈을 벌 수 있다. 포털 사이트 로그인 오류 알림 안내, 신뢰할 수 있는 기관의 공문, 업무협조, 세미나 자료 전송 등 다양한 방법으로 사용자를 속이고 감염시킨다.

사용자 계정을 탈취하기 위한 피싱 공격도 자주 사용하는데, 로그인 오류로 계정, 비밀번호를 입력하게 해 사용자 계정을 수집한다. 봇을 이용해 수집한 대량의 계정정보는 다른 웹사이트에 로그인해 추가 정보를 수집하는데 이용하거나 피싱·스피어피싱 발송 정보로 위장하는데 사용하기도 한다.

딥페이크를 이용해 유명인사의 조작된 음성·영상 메시지로 가짜 상품을 판매하거나 여론을 조작하는데 사용하기도 한다. 가짜 인플루언서를 만들어 과장·허위광고를 진행하며, 전자금융사기를 펼치기도 한다.

공격자가 목표 조직으로 침투한 후에는 중요 시스템 접근권한을 획득하면서 확장 이동, 중요 데이터를 수집하고 유출한다. 유출할 때 이메일, 웹하드, 클라우드 스토리지 등을 사용하는데, 외부유출 모니터링을 피하기 위해 권한계정을 만든 후 외부 별도 사이트를 만들고 IP 주소를 직접 입력해 권한계정을 이용해 데이터를 빼돌린다.

사용자 계정을 탈취하고, 권한계정을 만들어 데이터를 유출하거나 중요 시스템에 접근하는 것을 막기 위해 계정권한관리가 철저하게 이뤄져야 하며, 생산성을 해치지 않도록 편의성도 반드시 고려해야 한다.

업무 생산성에 영향 없이 데이터를 안전하게 보호하기 위해 사용자 중심 데이터 보호 전략도 필요하다. 사용자의 상황과 권한에 따라 데이터 접근권한을 제어하고, 클라우드, 엔드포인트, 네트워크 등 모든 채널에 대한 데이터 유출 관리 전략을 적용한다. 외부침입이나 고의 혹은 실수에 의한 데이터 유출을 막기 위해 상황인지 행위분석 기술이 반드시 필요하다.

에스에스앤씨가 국내에 공급하는 포스포인트 DLP는 클라우드, 엔드포인트, 네트워크, 웹, 이메일 등 정보가 유출될 수 있는 모든 채널에 대해 철저한 통제와 모니터링을 제공하며 사용자 행위분석과 핑거프린팅 기술로 데이터 유출을 통제한다. 데이터 유출 상황을 점수화 해 높은 수준의 위협은 즉시 대응하고 낮은 수준의 위협은 지속적인 모니터링으로 위협을 제어할 수 있게 한다.

다크웹, 딥웹 등 모든 공개된 소스에서 개인정보, 기밀정보를 찾아 제거하는 OSINT 정보수집도 필요하다. 다크웹에서 거래되는 중요·기밀정보를 제거해 악용하지 못하도록 함으로써 데이터를 보호하고 탈취된 계정 정보를 이용하는 공격도 차단할 수 있다.