"2015년 암호화 악용 사이버 공격 증가"

이글루시큐리티 보안 위협 트렌드 전망

일반입력 :2014/12/23 08:32    수정: 2014/12/23 08:40

손경호 기자

내년에는 인터넷에서 정보를 안전하게 전송하기 위해 활용되는 암호화 기술을 악용하는 공격기법이 지금보다 늘어날 것으로 전망된다. 이전과 달리 리눅스, 맥OS를 대상으로한 해킹과 함께 새로운 모바일 결제 방식을 노린 공격 기법에 대해서도 충분한 대비가 필요하다.

22일 이글루시큐리티(대표 이득춘)는 자사 보안분석팀을 통해 해킹기법, 악성코드분석을 수행한 결과를 토대로 내년에 보안 실무자들이 주의를 기울여야할 보안 위협 트렌드를 발표했다.

보고서에 따르면 먼저 기존에 보안성을 높이기 위해 활용하고 있는 암호화 기술이 해킹에 악용될 위험성이 높아졌다.

웹사이트를 통한 정보유출사고가 끊이지 않으면서 주소창에 'HTTPS'로 표시되는 SSL 암호화 방식을 적용한 기업들이 늘어났다. 문제는 공격자들이 암호화된 패킷 속에 악성코드를 삽입해 정상적인 트래픽으로 위장시키면서도 기존 보안장비로 탐지가 어렵게 하고 있다는 점이다. 보고서는 개인정보보호 강화, 암호화된 공격에 대비하기 위한 방어체계를 동시에 구축해야하는 어려움이 예상된다고 설명했다.

리눅스 및 맥OS를 노린 보안위협이 증가하는 것도 새로운 추세다. 이전까지는 윈도에 비해 상대적으로 적은 사용자수를 가졌기 때문에 공격대상으로 노출되는 경우가 적었다. 그러나 올해 오픈SSL에서 발견된 하트블리드와 배시셸에서 발견된 셸쇼크, 맥OS에 대한 관리자 권한을 얻는 루트파이프 등이 등장하면서 내년부터는 각별한 주의가 요구된다. 최근 사물인터넷(IoT) 환경이 주목받기 시작하고 있다는 점도 다른 OS를 노린 보안위협을 부추긴다.

국내서 새로운 방식의 간편결제가 트렌드로 부상하면서 편의성은 높아졌지만 그만큼 위험성은 늘어날 것으로 예상된다.

카카오페이는 결제카드를 선택한 뒤 결제비밀번호만 입력하면 되고, 애플페이는 NFC단말기에 아이폰을 태그한 뒤 등록된 카드를 선택, 터치ID를 통해 지문으로 본인인증을 하면 결제가 이뤄진다. 이러한 류의 결제 방식이 활성화될 수록 기존 인터넷/모바일 뱅킹을 노리던 공격자들의 해킹 행태도 변화할 것으로 전망된다.

연장선상에서 PC보다는 스마트폰 OS, 애플리케이션(앱)의 취약점을 악용해 금융정보를 탈취하는 공격도 늘어날 것으로 보인다. 이전까지는 스미싱 등을 통해 외부 링크 접속을 유도한 뒤 악성앱을 설치하는 방식이 쓰였으나 앞으로는 PC 대신 스마트폰을 해킹도구로 악용하거나 여러 스마트폰을 악성공격을 위한 경유지로 사용하는 등 고도 공격기법이 등장할 수 있다.

방화벽, 침입탐지시스템(IPS), 백신 등을 통해 중요 내부 정보에 접근할 수 있는 경계선을 보호했다면 지능형 공격이 등장하고 있는 시점에서는 내부 중요 데이터 자체를 보호하기 위한 노력이 더 중요해질 것으로 예상된다.

IoT 역시 보안위협 대상으로 빼놓을 수 없는 요소다. 모든 기기들이 센서와 통신기능을 내장하면서 하나로 연결되기 시작하면 단순 정보 유출에만 그치지 않고, 실제 사람들에게 물리적인 피해까지 입힐 수 있는 공격들이 등장할 가능성이 높다. 해외에서 보고된 원격의료기기 해킹이나 스마트카 해킹 시연 등을 보면 먼 미래 얘기가 아니기 때문이다. IoT가 특성상 최소한의 임베디드 시스템을 구현하는데 집중하다보면 인증, 암호화 등 중요한 보안 기능을 놓치는 경우가 생겨날 수 있다.

국내 인터넷뱅킹에 넓게 활용됐던 액티브X, NPAPI 등 추가프로그램을 설치하기 위해 필요한 플러그인 역시 완벽한 대체기술이 나오기까지 시간이 걸리는 만큼 그 사이를 노린 공격이 출몰할 가능성이 있다.

관련기사

최근 한국수력원자력 해킹과 같이 의료, 교통, 환경, 제조 등 외부에 공개되지 않은 인프라를 노린 공격도 대비가 필요하다. 스마트기기로 업무를 보는 BYOD 트렌드가 확산되면서 비공개 인프라 역시 타깃이 될 수 있기 때문이다.

이글루시큐리티 보안분석팀 정일옥 팀장은 국내 보안관제 현장에서 축적한 통계 데이터와 대응 노하우를 적극 활용해 보고서를 작성했다며 앞으로도 각종 중요 위협 정보와 리서치 결과를 더 많은 사람들과 공유해 안전하고 편안한 사회를 구축하는데 기여할 것이라 말했다.