"정교한 위장술로 무장한 APT 공격 주목해야"

카스퍼스키랩, 2016년 보안 전망 발표

컴퓨팅입력 :2015/11/19 16:39

손경호 기자

"지능형지속가능위협(APT) 공격은 더이상 지능형(advanced)이거나 지속가능한(persistent) 형태로 등장하지 않을 것이다."

카스퍼스키랩이 내놓은 내년 보안위협전망이다. 최근까지 은밀하게 진행돼 왔던 APT 공격에 대한 보안업계의 대응이 정밀해지면서 더이상 공격자들이 완벽하게 정체를 숨기기 어려운 실정이다. 때문에 카스퍼스키랩은 공격자들이 앞으로는 목표로 한 대상에게 지속적인 위협을 가하는 대신 자신을 숨기는데 더욱 집중할 것이라고 분석했다.

카스퍼스키랩 전 세계에서 근무 중인 자사 보안전문가 42명으로 구성된 글로벌 연구 및 분석팀(GReAT)의 전문지식을 바탕으로 내년에 전개될 위협의 새로운 방향을 예측했다.

이들의 전망에 따르면 내년 APT공격그룹에게 예상되는 가장 큰 변화는 이전보다 더 적은 정보를 빼가거나 권한을 갖는다고 하더라도 실제 공격을 수행한 조직을 찾지 못하도록 더욱 은밀하게 공격이 수행될 것이라는 점이다.

최근 들어 메모리 상주형 혹은 악성파일 없이도 공격을 수행할 수 있게 하는 수법이 늘어날 것으로 예상된다. 이렇게 되면 공격의 지속성은 낮아지지만 그만큼 탐지될 가능성을 낮추는 효과를 거둘 수 있게 될 것이라는 분석이다.

이런 면에서 연구팀은 공격자들이 부트킷, 루트킷, 맞춤형 악성코드에 대한 투자보다도 기존 악성코드를 위변조해 가공하는 방식의 공격을 수행할 가능성이 높다고 밝혔다. 이렇게 되면 악성코드 플랫폼이 발견되더라도 수많은 다른 공격들이 악용하고 있는 원격관리툴(RAT) 사용기록 속에 APT공격그룹의 정체를 숨길 수 있다는 것이다.

또 다른 변화로는 APT공격그룹에게 필요한 표적에 대한 정보접근권한만을 제공하는 또 다른 해커그룹을 통한 '접근권한서비스'가 등장할 수 있다는 것이다. 예를 들어 정부 후원을 받는 APT공격그룹에게 유명인이 자주 쓰는 계정의 ID, 비밀번호 등의 정보접근권한만을 확보해 놓은 뒤 이런 정보들만 판매하는 서비스가 나올 수 있다는 설명이다. APT공격그룹은 조직을 은폐시킬 수 있고, 접근권한서비스만 제공하는 해커그룹은 직접 공격을 시도하지 않는 대신 고수익을 얻을 수 있게 된다는 설명이다.

연구팀은 또한 파일을 암호화해 인질삼아 풀어주는 대신 댓가를 요구하는 랜섬웨어가 새로운 영역으로까지 확장될 것이라고 전망했다. 공격자들 입장에서는 투자대비수익이 높기 때문에 은행 자금 탈취를 노린 공격만큼이나 성행하게 될 것이라는 지적이다.

최근 발견된 리눅스 서버를 노린 '리눅스.엔코드.1(Linux.Encode.1)'이나 모바일 랜섬웨어인 '심플락커(Simplelocker)' 등이 대표적인 사례다. 카스퍼스키랩은 OS X로 운영되는 맥 제품을 더 집중적으로 노릴 가능성도 크다고 지적했다. 공격자들 입장에서 고가 제품을 쓰는 만큼 내부 파일을 암호화해 더 높은 수익을 얻을 수 있을 것이라는 예상이다. 이밖에도 사물인터넷(IoT)을 노린 랜섬웨어가 TV, 냉장고, 자동차 등까지 인질로 삼는 일까지 벌어질 것으로 전망된다.

금융서비스를 노린 공격은 일반 사용자보다도 은행 등 금융기관 자체를 노리는 방식으로 더욱 대담해질 것으로 보인다. 특히 증권거래소를 마비시키거나 내부 트레이딩 시스템을 조작해 장기적인 수익을 확보할 수도 있다. 연구팀은 지난해 카바낙 해킹그룹이 은행을 대상으로 한 해킹에 성공하거나 POS시스템, ATM을 노린 공격사례들이 더 많아질 것으로 예측했다. 더구나 애플페이, 안드로이드페이 등 대악결제시스템도 새로운 표적으로 부상하게될 가능성이 높다.

보안업체에 대한 공격도 새로운 트렌드다. IDA나 Hiew와 같은 표준 리버스엔지니어링툴이나 OllyDbg나 WinDbg와 같은 디버깅 도구들이 적극적으로 악용되는가 하면, VM웨어나 버추얼박스와 같은 가상화툴을 약화시키려는 시도도 이뤄지고 있다. 개발자용 오픈소스 커뮤니티인 깃허브가 제공하는 무료 리서치 도구에도 악성코드를 심어 개발자들을 매개로 한 해킹시도도 발생할 것으로 예측된다.

이밖에 신상털기, 비밀폭로 등 공격도 기하급수적으로 늘어나게될 것으로 예상된다.

카스퍼스키랩코리아 이창훈 지사장은 "내년에는 사이버 스파이 기술이 상당히 진화할 것으로 보인다"며 "정교한 기술을 가진 조직이 상용 악성코드를 악용해 투자 비용을 최소화하는데다 일반적인 APT 공격 기법을 버리고, 흔적을 남기지 않는 은폐 기법의 사용에 더욱 매진하고 있기 때문"이라고 밝혔다.

이 지사장은 이어 "사이버 용병이나 외부 해킹그룹에 공격을 의뢰하는 아웃소싱 형태의 공격, 접근권한서비스 등이 새로운 해킹그룹의 수익모델로 떠오르고 있다"고 덧붙였다.

이러한 공격을 막기 위해 카스퍼스키랩 연구팀은 크게 기업, 개인이 취해야할 대책을 제시했다.

먼저 기업 입장에서는 ▲직원 대상 사이버보안 교육에 주력 ▲업무가 불편해지더라도 강력한 사전 보호 기능을 가진 다층형 보호 시행 ▲보안업데이트 자동화 ▲모바일 환경에 대한 보안 ▲통신과 중요한 데이터 암호화, 게이트웨이와 이메일, 공동 작업 등 인프라를 구성하는 모든 요소를 보호하는 등 조치가 필수라고 밝혔다.

관련기사

이와 함께 앞으로는 효과적인 탐지와 효율적인 대응을 기초로 잠재적인 위험요소를 예측, 인식된 위험을 방지하는 작업까지 수행해야하기 때문에 전담 보안대응센터를 신설할 것을 권고했다.

개인 입장에서는 ▲모든 기기에 강력한 보안 솔루션을 운영 ▲기본 거부 실행 제어, 화이트리스트 생성, 암호화, 자동 백업 등 보호용 솔루션에 포함되는 추가 옵션을 알아보고 이용 ▲사이버보안의 기본 사항을 공부하고 지인에게도 알려줄 것 ▲암호화 통신으로 전환 ▲인터넷 습관과 공유하는 정보에 대해 생각해보고 안전한 방향으로 교정하는 등 노력을 기울여야할 것이라고 조언했다.