"신들을 속인 시시포스는 형벌로 바위를 영원히 산 위로 굴려 올려놔야 했습니다. 산 정상에 다다를 때마다, 바위는 다시 굴러떨어졌습니다. 이는 마치 체크포인트 리서치에서 하는 일과 비슷합니다. 계속해서 새로운 맬웨어와 취약점을 찾고, 우리 제품이 이를 차단할 수 있도록 만들죠. 하나를 차단할 때쯤이면 새로운 문제가 발생하곤 합니다."
13일 글로벌 사이버보안 기업 체크포인트는 마야 호로위츠 위협인텔리전스 이사가 올해 열린 회사 컨퍼런스 'CPX360 2021'에서 발표한 기조연설 내용을 공유했다.
기조연설에서 호로위츠 이사는 그리스 신화 내용에서 떠올릴 수 있는 사이버보안 업계 특성들을 짚었다. 시시포스 일화는 그 중 하나다. 끊임없이 허점을 찾아 공격하려는 해커들과, 이에 맞서야 하는 보안 기업들의 대결에 빗댄 것이다. 이같은 통찰을 토대로 체크포인트를 비롯한 보안업계가 지향해야 할 방향도 제시했다.
■판도라의 상자 속 '희망', 피싱의 기본 원리
체크포인트에 따르면 작년 맬웨어와 피싱 공격의 80% 이상이 악성 메일에서 비롯됐다.
이런 메일들은 전세계에 유행 중인 코로나19, 블랙프라이데이 같은 연례 행사 및 공휴일, 택배 등 관련 정보로 위장했다. 악성 메일은 이용자가 마이크로소프트(MS)365, 구글, 왓츠앱 등 주요 IT 서비스의 자격증명 정보를 입력하도록 유도하는 경우가 대다수였다. 이런 방식으로 탈취된 자격증명 정보는 기업 네트워크의 침투 경로로 악용됐다.
호로위츠 이사는 "그리스 신화 속 판도라처럼, 우리는 매번 메일 속 악성 링크를 클릭하게 된다"며 "판도라의 상자에 남아 있던 '희망' 때문에 이용자들은 소포를 주문했거나, 복권을 구입하지 않았더라도 무언가를 기대하게 되는 것"이라고 말했다.
■신화 속 '트로이목마' 전술, 현대 해커도 애용
호로위츠 이사는 그리스 신화에서 군사들을 숨겨 침입시킨 '트로이목마' 전술에 대해, 해커들이 현재까지 활발히 사용하는 전략이라고 언급했다.
체크포인트가 작년 식별한 지능형지속위협(APT) 공격 '비셔스 판다(Vicious Panda)'를 일례로 들었다. 해당 공격을 수행한 해커는 몽골 공공기관을 공격하기 위해 몽골 외교부를 사칭해 작성한 문서 속에 수식 편집기 RTF 취약점을 심었다. 이 취약점을 통해 해커는 결과적으로 감염된 기기에서 파일과 스크린샷 등 정보를 탈취할 수 있었다.
■"모든 기술에는 보안 '아킬레스건' 존재"
아킬레우스를 죽일 수 있는 유일한 약점이었던 '아킬레스건'에 대해서는 보안 취약점이 갖는 위험성과 연관지어 생각해볼 수 있다고 말했다.
호로위츠 이사는 "스틱스 강에 닿지 않은 발목은 아킬레우스의 유일한 약점이었다"며 "체크포인트 리서치는 여러 소프트웨어와 하드웨어가 가지고 있는 '아킬레스건'을 찾아내는 것을 목표로 삼고 있고, 이를 다시 강에 담그도록 노력을 기울이고 있다"고 했다.
리서치 팀에서 발견한 MS 애저의 원격코드실행(RCE) 취약점과 윈도 서버 취약점 '시그레드'를 이같은 사례로 꼽았다. 이 취약점들은 감염된 기기 외 다른 기기에 대한 해킹을 불러일으킬 수 있어 심각도가 10점 만점에 10점으로 높게 평가됐다. 해당 팀이 퀄컴 칩에서 발견한 취약점도 아킬레스건처럼 심각한 피해를 낳을 수 있었다고 강조했다.
호로위츠 이사는 "클라우드든, 네트워크 혹은 모바일이든 모든 기술은 저마다 아킬레스건이 존재하고, 해커의 독화살로부터 보호할 필요가 있다"며 "체크포인트는 아킬레스건을 강으로 다시 가져가 책임있게 조율해 공개하고, 벤더와 함께 약점을 패칭하는 노력을 기울이고 있다"고 말했다.
■"능력 과신하는 해커들, '나르키소스'처럼 파멸"
자만에 빠져 호수 속 자신을 바라보다 수선화로 변한 나르키소스 일화도 언급했다. 익명에 숨어 활동하는 해커 중 능력을 과신하는 사례와 유사점이 있다는 설명이다.
관련기사
- 체크포인트 "원격근무 맞춰 해킹도 진화…지금 보안으론 역부족"2021.04.13
- 교묘해진 스마트폰 해킹…앱스토어도 안전지대 아냐2021.03.23
- 체크포인트, 클라우드 특화 웹방화벽 출시2021.03.18
- 코로나19로 '디지털 전환' 서둘렀지만 보안은 아직 숙제2021.03.16
2019년 말 트리니다드토바고 정부 웹사이트를 공격한 해커 '반다더갓(VandaTheGod)'을 예시로 들었다. 체크포인트 리서치 팀은 해킹에 사용된 도메인과 이메일을 분석한 결과 이 해커가 브라질 우베를란지아 출신일 확률이 높다는 것을 파악했다. 아울러 동일한 닉네임을 사용하는 SNS 계정을 탐색하고, 해당 지역 출신이라고 밝힌 경우로 좁힌 결과 해커의 것으로 의심되는 계정 'M.R.'을 찾을 수 있었다. 해커가 사용한 이미지와 동일한 이미지도 해당 SNS에서 발견됐다.
호로위츠 이사는 "피싱 공격에서 맬웨어, 취약점 공격에 이르기까지, 우리는 위협 행위자들이 신화에 등장하는 그리스 신들과 매우 유사한 방법으로 공격을 감행하는 것을 볼 수 있다"며 "위협 행위자들은 자만심과 자아도취를 절제해야 한다는 교훈을 얻지 못하는 경우도 있다"고 말했다.