한국을 겨냥한 중국 및 북한발 사이버 위협이 내년에도 계속될 것이라는 관측이 나왔다. 보안솔루션업체 파이어아이가 지난 8일 발표한 '2017 아태지역 사이버 보안 트렌드 전망' 일부다.
파이어아이가 제시한 내년 발생할 사이버 위협 양상은 이렇게 요약된다. 한국이 중국과 북한발 사이버 위협 표적이 되는 등 '정부주도형 위협 활동'이 계속된다. 소비자가전 등 사물인터넷(IoT)과 발전소 등 주요 인프라 그리고 보안이 취약한 산업제어시스템(ICS)을 겨냥한 공격도 늘어난다. 종교단체가 뜻밖의 표적이 된다. 악성코드 배포에 보안이 취약한 IoT 기기가 동원된다. 탐지가 어려운 스크립트기반 악성코드 공격이 이어진다. 보안담당자가 예상하지 못한 파일 포맷을 활용한 매크로기반 악성코드가 확산된다.
에릭 호(Eric Hoh) 파이어아이 APJ 총괄 사장은 "기업들은 언제 공격이 발생할 것인지에 대한 대비를 하고, 사고 대응 및 억제를 위한 보안 태세를 갖춰야 한다"며 "한가지 방법은 전형적인 침입 시나리오들을 시뮬레이션하는 사고 대응 훈련을 통해, 임원, 법률 담당자 및 기타 직원을 포함한 모든 임직원들이 사고 대응 절차와 개념을 익히게 하는 것"이라고 말했다.
회사 전망에 따르면 기업들은 몇년간 보안 경고 대응에 많은 인력을 투입했다. 연동하기 어려운 여러 보안 기술과 인프라 운영에 상당 비용을 지출했다. 내년 기업들은 '통합'으로 눈을 돌릴 것이다. 기업들이 보유한 보안 제품이 진정한 가치를 발휘하도록 오케스트레이션과 자동화에 상당한 투자를 할 것이다. 전문인력 부족 상황에 따라 자동화 혁신도 이뤄진다. 최소 인력 개입으로 공격에 대응하는 보안 솔루션 도입이 확대된다.
다음은 파이어아이 보안 전망의 주요 사이버 위협 시나리오다.
■"중국-북한, 한국 노린다"
중국은 정치적 목표 달성을 위해 미국, 일본, 호주, 한국을 대상으로 사이버 작전 수행을 지속한다. 한국은 지속적으로 중국뿐아니라 북한 사이버공격의 표적이 된다. 공격자들은 금융 사이버 범죄를 더 많이 학습해 핵무기 보유 관련 국제적 제재조치에 따른 경제적 손실을 상쇄할 이익 창출 도구로 사용한다.
러시아 기반 공격조직 APT28, APT29가 미국 민주당같은 정치조직을 해킹한 사건은 사이버전을 지속하려는 의지를 드러낸 것이다. 다른 국가가 러시아를 따라 사이버전에 뛰어들고 비슷한 전략을 쓸 것이다.
■"서구 종교단체-개발도상국 금융시스템 및 기업 위험하다"
개인정보같은 중요 데이터를 보유한 종교단체가 APT공격자 주요 타깃이 된다. 주로 서방국가 종교기관이 위험에 노출돼 있다. 정부주도 공격자들이 이들을 노리지만 종교단체가 사이버 산업스파이 행위 대상이 될 것이라 예상하는 경우는 많지 않기 때문이다.
개발도상국, 신흥시장 금융시스템과 기업이 사이버 공격의 집중 표적이 된다. 구형 ATM 소프트웨어와 윈도XP를 사용하는 개발도상국의 ATM은 보안이 취약하다.
■"국가기간설비-산업제어시스템, 소비자기기 공격 표적된다"
정부기반서비스, 공공에너지 및 상업시스템이 의존하는 ICS의 식별된 취약점 가운데 30%는 패치가 없었다. 작년말 우크라이나 발전소 관련 사례가 ICS 사이버공격으로 발생할 수 있는 피해를 보여준다.
발전소, 가전제품 등 소비자기기의 물리 시스템을 겨냥한 국가주도공격이 늘어난다. 공격자가 정부 기능을 마비시키고 물리적 시스템을 인질삼아 정치적 협상 카드로 이용한다.
■"랜섬웨어-스크립트 및 매크로기반 악성코드 공격, 다양해진다"
서비스형 랜섬웨어 모델이 공격 수단으로 동원된다. 사이버 범죄 진입 장벽도 낮춰 준다. 보안에 취약한 IoT 기기를 분산서비스거부(DDoS)공격, 네트워크 인증정보 탈취, 원격접근 트로이목마(RAT) 악성코드 배포에 악용하는 사례도 나온다.
관련기사
- MS "타사와 윈도10 사용자 정보공유, 사실 아냐"2016.12.09
- 파이어아이, 클라우드 기반 지능형 위협탐지 서비스2016.12.09
- "中 사이버 공격, 산업 스파이 행위 지속될 것"2016.12.09
- 실적 압박 탓, 파이어아이 수장 바뀐다2016.12.09
보안 벤더가 탐지하기 어려운 스크립트기반 악성코드 공격이 계속된다. 스크립트기반 악성코드 공격은 이메일 공격, 측면이동에 널리 쓰이는 추세다.
매크로기반 악성코드가 보안팀이 예상하지 못하는 포맷으로 전환해 탐지를 회피한다. '마이크로소프트 퍼블리셔' 프로그램 문서파일(PUB)을 악성 매크로 전송에 사용한 사례가 확인됐다. 매크로를 포함하는 파워포인트 문서파일(PPTM)이 공격자의 차기 악용 수단이 될 수 있다.