"해커, 한번에 14가지 공격 기법 써 털어간다"

"해커들 사이에서 가장 인기 있는 공격 기법이 6개월 단위로 바뀌고, 한 기업의 보안을 뚫기 위해 동시에 십 수개의 공격 기법이 동원되고 있다. 이제 단일 공격에 대비하는 방식으로는 해커를 막을 수 없다는 의미다."

아카마이코리아 한준형 상무는 최근 서울 역삼동 아카마이코리아 사무실에서 진행한 인터뷰에서 이 같은 최근 공격 트렌드를 소개하며 "기업이 대응하기 위해서는 전반적인 보안 아키텍처의 변화가 필요하다"고 강조했다.

아카마이는 콘텐츠 딜리버리 네트워크(CDN) 부문 글로벌 1위 사업자로, 인터넷 트래픽에 기반한 다양한 트렌드 분석이 가능하다. 사이버 공격 트래픽 분석도 여기에 포함돼 있다.

한 상무에 따르면 아카마이는 최근 2~3년간 공격 트래픽을 분석해, 팬데믹 기간 해커들의 공격 행태가 시시각각 변화한 것을 확인했다.

2021년 2분기에는 공격 받은 사이트 수가 전 분기와 비교해 7배로 늘었고, 그동안 커머스 분야에 집중됐던 공격이 게임, 주식, 엔터테인먼트 등 다양한 산업군으로 분산되는 흐름이 포착됐다. 팬데믹으로 온라인 활동이 늘자 공격 범위가 확대된 것이다.

같은해 3분기에는 공격 받은 사이트 수는 전 분기 대비 5분의 1로 줄어들었는데, 웹공격 트래픽은 오히려 두 배가 늘었다. 한 상무는 "공격했을 때 돈이 되는 분야와 기업을 해커들이 빠르게 학습해 집중 공격 대상을 찾은 결과"라고 설명했다.

해커들이 선호하는 공격 기법이 빠르게 바뀌고 있다는 점도 새롭게 포착된 트렌드다. 한 상무는 "공격자들이 먹히는 공격을 찾아 빠르게 공격 기법을 바꾸기 시작했다"고 설명했다.

실제 아카마이 분석에 따르면 2020년 4분기부터 2021년 2분기까지 가장 많이 쓰인 공격 기법은 SQL인젝션이었는데, 2021년 3·4분기에는 크로사이트 스크립트(xss·웹사이트에 악성 스크립트를 주입해 이용자의 브라우저에 스크립트가 실행되게 하는 공격 기법 )로 바뀌었다. 올해 1분기에는 또다시 로컬 파일 인클루션(LFI·서버 내 파일을 변조해 정보를 탈취하는 기법)으로 1위 공격 기법이 바뀌었다.

해커들이 목적을 달성하기위해 한 번에 여러 공격 기법을 동원하고 있다는 점도 최근 눈에 띄는 흐름이다.

한 상무는 "단기간 집중 공격을 퍼부어 가치 있는 데이터를 탈취하는 '단기 캠페인' 사건이 많다"며 "10일 간 한 기업의 12개 서버를 공격하면서, 총 14가지 공격 기법을 쓴 사례도 봤다"고 했다.

또, "분산서비스거부(DDoS) 공격도 진화해, 서버 한 개에 DDoS 공격을 가해 보안 인력들의 시선을 분산시킨 다음 다른 쪽 서버에 침투에 데이터를 탈취해가는 경우도 많다"고 소개했다.

기업들이 방어 전략을 짜는 일은 더 어려워졌다. 해커들이 선호하는 공격 기법이 빠르게 변하고 있고, 한 번에 여러 공격 기법을 동원하는 형태로 발전하고 있는 만큼 특정 공격을 막는 솔루션으로는 대응이 어려워진 것이다.

한 상무는 이에 "전반적인 보안 아키텍처 차원에서 보안 전략을 다시 고려해야 한다"며 "제로트러스트가 필요하고, 만약에 뚫린다해도 피해를 최소화하기 위해 마이크로 세그멘테이션이 되어 있어야 한다"고 강조했다.

제로트러스트는 암묵적인 신뢰를 없애고 (no implicit trust), 모든 단계에서 항상 검증해야 한다는 새로운 보안 원칙이다. 이전에는 사용자를 인증하고 네트워크에서 보안 검증을 거친 이후에는 더 이상 보안 검증을 요구하지 않는 경우가 많았다. 제로트러스트 원칙에서는 검증을 통해 네트워크에 안에 들어온 사용자도 계속적으로 모니터링하고 워크로드, 애플리케이션, 데이터에 접근할 때마다 추가로 검증할 것을 권장한다.