"데이터센터나 사내망은 많은 보안 솔루션이 탑재된 상태로 운영된다. 이와 비교할 때 서비스형 소프트웨어(SaaS) 형태를 띠고 있는 협업 도구들은 보안 장치를 거쳐 사용하는 형태가 아니다."
장성민 트렌드마이크로코리아센터장은 최근 코로나19로 변화하는 기업 근무 환경에서 주목해야 할 사이버위협 트렌드에 대해 이같이 진단했다.
트렌드마이크로는 코로나19가 본격적으로 확산된 올해 1분기 사이버 위협 현황에 대해 최근 공유하면서 원격근무 환경의 사용자를 노리는 공격이 급증했다고 밝혔다.
회사에 따르면 올해 1분기 90만건 이상의 코로나19 이슈를 악용한 이메일, URL, 문서 관련 위협이 확인됐다. 특히 3월에는 악성 URL 클릭 횟수가 전월 대비 260% 이상 증가하고, 관련 스팸 위협은 220배 증가하는 등 공격이 성행했다.
해커들이 코로나19로 원격근무하게 된 사용자를 공격하기 위해 노리는 빈틈은 협업 도구다. 장성민 센터장은 "클라우드 기반 협업 소프트웨어 도구 'G스위트'나 클라우드 기반의 '오피스365' 등 가정에서도 연결해 사용할 수 있는 업무 도구들을 노리는 위협이 코로나19를 계기로 부각되고 있다"며 "기업들이 클라우드 기반 업무 환경을 구축함에 따라 기업에서 많이 쓰이는 SaaS를 위협하는 사이버공격들이 지속적으로 늘어나는 상황"이라고 언급했다.
과거에 비해 공격에 감염될 경우 다각적인 위협에 노출될 가능성도 커졌다. 해커들이 복합적인 악성코드를 사용하고 있어서다. 장 센터장은 "랜섬웨어에 감염되더라도 데이터를 암호화한 뒤 금전을 요구하는 데 그치는 게 아니라, 정보 탈취도 시도하는 식의 행태가 관찰된다"고 말했다.
이어 "작년 즈음부터는 메모리에 상주하면서 악성 행위한 뒤 파일 등의 흔적 없이 사라져 버리는 '파일리스'형 악성코드가 가장 문제가 되고 있다"며 "실시간으로 바뀌는 명령제어(C2) 서버 정보를 분석해내지 않으면 악성코드를 살펴보기 어렵고, 조기에 대응할 수 있는 인텔리전스가 필요한 상황"이라고 강조했다.
악성코드가 다기능화되고 보안 솔루션의 추적을 피하도록 강화되고 있다. 이런 상황에서 보안이 충분히 고려되지 않은 채로 SaaS를 활용할 경우, 해커가 내부망의 보안 체계를 우회하게 될 소지가 생긴다.
장 센터장은 "사내에선 업무용 PC와 인터넷 PC를 나누는 망분리 상황에서 근무하더라도, 집에선 업무용 PC와 인터넷 PC를 함께 쓰게 된다"며 "해커는 직원이 개인 이메일을 통해 악성코드에 감염되면 사내로 연결되는 가상사설망(VPN)을 타고 침투하는 상황을 노리며, 이를 위한 지능형지속위협(APT) 공격이 나타나는 추세"라고 지적했다.
장 센터장은 이같은 공격 피해를 막기 위해 직원들을 대상으로 한 보안 교육이 중요하고, 해킹됐을 경우 피해를 최소화하기 위한 데이터 백업의 중요성을 강조했다.
관련기사
- 기업 이메일 공격 271% ↑…'오피스365' 관리자 계정 악용2020.06.02
- 트렌드마이크로, 기업보안 새 빈틈으로 '컨테이너' 지목2020.06.02
- "작년 한국서 익스플로잇킷 공격 1만4천건 발견…세계 4위"2020.06.02
- 트렌드마이크로, 김진광 한국 지사장 선임2020.06.02
교육, 백업과 함께 중요 대책으로 강조한 것이 위협 인텔리전스의 활용이다. 특히 최신 위협에도 적시에 대응할 수 있도록 해주는 인텔리전스인지를 따져봐야 한다고 강조했다.
장 센터장은 "사내, 사외와 관계 없이 활용할 수 있어야 하고, 최신 위협에 대해 방어할 수 있는 인텔리전스인지가 중요한 변수"라며 "이와 동시에 다변화된 악성코드에 대응할 수 있도록 엔드포인트 위협 탐지 및 대응(EDR) 기능을 포함한 엔드포인트 보호 플랫폼(EPP) 솔루션을 활용해 다양한 레이어에서 나타나는 위협 징후를 포착할 수 있도록 해야 한다"고 당부했다.
