사이버 공격자들이 바쁜 휴가시즌에 경계가 느슨해진 조직을 공격하기 위해 전통적인 공격 전술을 재통합하고 있다.

글로벌 보안 기업 포티넷코리아(조원균 대표)는 자사의 보안연구소인 포티가드랩이 발간한 ‘2019년 3분기 글로벌 위협 전망 보고서’를 발표했다.

보고서에 따르면 사이버 범죄자들은 디지털 공격 영역에서 새로운 공격 기회를 지속적으로 찾고 있다. 공격자들은 피싱과 같은 일반적인 전술에 대응하기 위한 조직들의 직원 훈련 및 교육 노력을 무산시키기 위해 공개적으로 이용 가능한 엣지 서비스를 타깃으로 삼는 등 공격 방식을 바꾸고 있다.

올 3분기 위협 전망 지수(Threat Landscape Index)는 큰 변동 없이 비교적 일관된 상태를 유지했으나, 이는 동시에 사이버범죄 활동의 지속성을 나타내고 있어 조직들이 경계심을 늦춰서는 안 된다고 강조했다.

대부분의 멀웨어는 이메일을 통해 침투되며, 많은 조직들이 최종사용자 교육 및 고급 이메일 보안 도구를 사용하여 피싱 공격을 적극적으로 차단하고 있다. 결과적으로 사이버 범죄자들은 이메일이 아닌 다른 수단을 통해 악성 멀웨어를 침투시키기 위해 그들의 역량을 확장하고 있다.

여기에는 전통적인 피싱 전술에 의존하지 않는 공격 경로를 확보하기 위해 광고 차단기(ad blocker)를 우회하는 기법은 물론, 웹 인프라, 네트워크 통신 프로토콜과 같은 공개된 엣지 서비스를 타깃으로 삼는 기법 등이 해당된다. 예를 들어, 이번 분기에 포티가드랩(FortiGuard Labs)은 모든 지역에서 유행성(prevalence) 지수가 매우 높은 엣지 서비스에 원격으로 코드가 실행되는 취약점 공격을 발견했다.

이 전술은 새롭지는 않지만 방어자가 면밀히 감시하지 않는 영역을 타깃으로 공격자들이 전술을 전환하는 것은 경계가 느슨해진 조직을 성공적으로 공격할 수 있는 방법이 된다. 특히, 온라인 서비스가 크게 활성화되는 바쁜 온라인 쇼핑 시즌에는 이것이 큰 문제가 될 수 있다.

다크웹에서 RaaS(Ransomware-as-a-Service) 솔루션으로 이용이 가능한 수익성 높은 갠드크랩(GandCrab) 랜섬웨어를 살펴보면 사이버 범죄조직들은 수익성을 높이려고 새로운 서비스를 시작하고 있는 것으로 보인다. 사이버 범죄자들은 제휴 파트너 네트워크를 구축하여 랜섬웨어를 더 광범위하게 확산시키고 그 과정에서 수익을 크게 늘릴 수 있다.

포티가드랩(FortiGuard Labs)은 RaaS 솔루션으로 배포되는 2가지 주요 랜섬웨어인 소디노키비(Sodinokibi)와 넴티(Nemty)를 관찰했다. 이는 단지 시작점으로서, 향후에 유사한 사이버 공격용 서비스가 크게 증가할 수 있다는 사실을 잠재적으로 보여준다. 사이버 범죄자들은 이모텟(Emotet) 멀웨어의 진화와 같이, 점점 더 정교하고 악의적인 공격을 실행하고, 탐지 기능을 우회하기 위해 멀웨어를 정제(refining)하고 있다.

사이버 범죄자들은 경제적 수익 기회를 극대화하기 위해 감염된 시스템에 다른 페이로드(payload)를 설치하려고 점점 더 많은 멀웨어를 사용하고 있으며, 이는 조직에게 큰 문제가 될 수 있다. 최근 공격자들은 트릭봇(TrickBot), 아이스드ID(IcedID), 제우스 판다(Zeus Panda)를 포함한 뱅킹 트로이목마, 정보 도용자, 랜섬웨어의 페이로드 전달 메커니즘으로 이모텟(Emotet)을 사용하기 시작했다.

또한, 공격자들은 사용자가 믿을 수 있는 소스의 이메일 스레드(email threads)를 하이재킹(hijacking, 가로채기)하고, 이 이메일 스레드에 악성 멀웨어를 주입함으로써 사용자가 악성 첨부파일을 열 가능성을 크게 높인다.

적절히 보호되지 않은 오래되고 취약한 시스템을 타깃으로 삼는 것은 여전히 효과적인 공격 전략이다. 포티가드랩(FortiGuard Labs)은 사이버 범죄자들이 새로운 공격보다는 12년 이상 된 오래된 취약점을 대상으로 더 많은 공격을 실행한다는 점을 발견했다.

최상위 봇넷은 거의 변화없이 전 분기에서 다음 분기로 전세계적으로 전 지역에서 다음 지역으로 이어지는 경향이 있다. 이는 제어 인프라가 특정 도구나 기능보다 더 영구적이며, 사이버 범죄자들이 새로운 기회를 추구할 뿐만 아니라, 일반적인 비즈니스처럼 그들도 효율성을 높이고 비용을 줄이기 위해 가능한 기존 인프라를 활용한다는 것을 의미한다.

 ▲이미지제공=게티이미지뱅크

사이버 범죄자의 공격 영역 확대 및 공격 전략의 변화를 볼 때, 조직들은 좁은 범위의 위협 트렌드에만 집중해서는 안되며, 분산된 네트워크 환경을 보호하기 위한 전체론적 접근방식(Holistic Approach)을 채택해야 한다. 이를 위해서는 광범위하고 자동화된 통합 보안 패브릭을 구축해야 한다. 이 접근방식을 기반으로 조직들은 통합 장치에 대한 광범위한 가시성을 확보하여 확장된 공격 영역을 줄이고 관리할 수 있으며, AI 기반 침입 방지를 통해 지능형 위협을 차단하면서, 자동화된 운영 및 오케스트레이션(orchestration)으로 복잡성을 줄일 수 있다.

디지털 공격 면을 타깃으로 삼는 공격 방법이 진화하는 가운데, 동적이고 사전 예방적이며 실시간으로 제공되는 위협 인텔리전스는 사이버 위생(cyber hygiene)의 우선순위를 정확하게 파악하고 위협 추세를 식별하는데 중요한 역할을 한다.

데릭 맨키(Derek Manky) 포티넷 보안 인사이트 & 글로벌 위협 얼라이언스를 총괄은 “사이버 범죄자들은 사이버 보안 전문가들보다 한발 앞서 끊임없이 공격을 시도한다. 그들은 새로운 멀웨어 및 제로데이 공격을 지속적으로 개발하는 한편, 이전에 성공한 전술을 다시 시도하여 전체 공격 영역에서 침투 기회를 극대화한다”며 “패치, 망분리 세분화, 교육과 같은 필수 전략 외에도 조직은 자동화 및 AI를 수용하여 위협 인텔리전스를 기반으로 실시간 위협에 대응하는 능력을 키워야 한다. 그러나 이 접근방식은 조직이 모든 보안 리소스를 보안 패브릭에 통합하고 빠르게 확장되는 네트워크에 원활히 적응할 때에만 성공할 수 있다”고 강조했다.