2019.02.22

"사이버 공격 비용은 얼마일까" CSO가 사이버범죄 시장을 알아야 하는 이유

Dan Swinhoe | CSO
기업은 사이버 위협으로부터 네트워크와 자산을 방어하는데 막대한 비용을 소비한다. 카스퍼스키랩에 따르면, 기업의 보안 예산은 연 평균 900만 달러 내외다. 또한 데이터 유출은 기업에게 수백 만 달러의 피해를 입힌다. 반면 저렴하고 비교적 사용하기 쉬운 해킹 툴은 사이버 범죄자의 진입 장벽을 믿을 수 없을 정도로 낮춰 놓았다.

 

ⓒ Getty Images Bank 

 
사이버 공격, 사이버보안보다 훨씬 저렴

사이버 공격과 방어의 수학적 계산은 단순히 불공평하다. 공격자는 데이터를 싼 값에 판매해도 수익이 남지만, 기업과 개인 피해자가 감당해야 할 비용은 이보다 훨씬 더 높다.
탑10VPN(top10vpn)은 개인의 디지털 신원은 주요 온라인 사이트인 아마존, 우버, 스포티파이, 지메일, 페이팔, 트위터, 심지어 그럽허브, 매치닷컴 로그인 정보를 포함해, 전부 합쳐도 1,000달러 가치를 넘지 않는 것으로 추산했다. 온라인 쇼핑이나 페이팔 같은 금융 계정을 제외하면 가치가 100달러 미만에 불과하다.
 
아무르(Armour)의 블랙 마켓 보고서에 따르면, 개인식별정보(Personally Identifiable Information, PII)는 다크웹 상에서, 이보다 더 비싸기는 하지만, 여전히 데이터당 200 달러 미만의 가치를 가진다. 비자 및 마스터카드 신용카드 정보는 데이터당 10달러에 구입할 수 있다. 전체 은행 계좌에 대한 정보도 최대 1만 5,000달러가 들어있는 계좌라도 1,000달러에 불과하다. 

많은 경우, 오래된 정보는 그냥 무료로 유포된다. 이는 데이터 유출에 따른 기업 피해와 극명히 대조된다. IBM의 최신 데이터 유출 비용 보고서에 따르면 유출 데이터 당 기업의 평균 비용은 233달러이고, 규제가 심한 업종은 이보다 훨씬 높을 수 있다. 

탑10VPN의 해킹 툴 가격 지수(Hacking Tools Price Index)에 따르면, 악성코드는 불과 45달러면 구입할 수 있고, 공격을 실행하는 방법에 관한 교재는 5달러에 구입할 수 있다. 단일 컴포넌트를 구입하는데 1,000달러 이상이 드는 흔치 않은 경우도 있다. 제로데이 익스플로잇은 최소 3,000달러, 통화 데이터를 가로채는 셀 타워 시뮬레이터 킷(cell tower simulator kit)은 2만 8,000달러가 넘는다. 
 
그러나 악성코드, 또는 심지어 종합 피싱 키트를 구입했다고 해서 공격을 바로 시작할 수 있는 것은 아니다. 호스팅, 유포 채널, 악성코드 난독화, 계정 체커 등이 필요하다. 최신 보고서인 <블랙 마켓 생태계: "순수 소유권의 비용 추산">에서, 딜로이트는 원가만 단편적으로 나열한 것이 아니라, 악성코드와 키로거로부터 도메인 호스팅, 프록시, VPN, 이메일 유포, 코드 난독화 등에 이르는 총 공격 비용을 계산했다. 다시 말해 사이버 공격자가 전면 공격을 시작하는데 드는 전체 비용이다. 

딜로이트 사이버 위험 서비스의 사이버 첩보 리더인 루시프 카로니는 "대형 해킹 작전이라면 다양한 계층의 서비스가 필요하다"면서, "뱅킹 트로이목마를 심는 작전이라면 최소한 5~6가지 서비스를 이용해야 한다"고 말했다. 

 
사이버 공격 비용, 500달러에서 3,500달러까지 다양  

이 보고서에 따르면, 다크 웹에는 공격자의 개별 요구사항에 따라 손쉽게 이용할 수 있는 서비스가 즐비하고, 얼마를 투자하든 이에 맞는 제품/서비스가 있다. 키로깅 피싱 공격을 위해 감염된 서버가 필요한가. 어렵지 않다. 자체적인 원격 액세스 트로이목마 공격을 실행하고 싶은가. 아무 문제 없다. 
 
전체 공격 비용은, 경우에 따라 근사한 한끼 식사 정도의 비용이 들어가기도 하는데, 다음과 같은 몇 가지 예시를 들수 있다.
 
- 호스팅, 피싱 키트를 포함한 전체 피싱 공격: 평균 월 500달러이며, 시작 가격은 월 30달러다. 
- 정보 절취/키로깅 공격(악성코드, 호스팅 및 유포): 평균 723달러이고 183달러 정도까지 낮은 가격도 있다. 
- 랜섬웨어 및 원격 접근 트로이목마 공격: 1회 공격 시 평균 1,000달러
- 뱅킹 트로이목마 작전: 약 1,400달러에서 시작하지만, 3,500달러까지 높아질 수 있다. 


낮아진 사이버 범죄 진입 장벽 

딜로이트는 월 34달러에 불과한 저렴한 사이버 공격조차 2만 5,000달러의 수익을 거둘 수 있고, 수천 달러를 호가하는 보다 값비싸고 정교한 공격이라면 수익이 무려 월 100만 달러에 이를 수 있다고 추산했다. 한편 IBM은 데이터 유출에 따른 기업의 평균 비용을 386만 달러로 추정한다. 

낮은 진입 비용, 공격의 비교적 손쉬운 전개, 높은 수익은 잠재적 공격자가 기술 숙련 수준에 의해 제한되지 않는다는 의미다. 딜로이트 사이버 위험 서비스의 매니지드 위협 서비스 책임자인 키스 브로건은 "3년 전의 진입 장벽과 현재의 진입 장벽을 고려해보자. 3년 전에는 고도로 집중화된 서비스가 존재하기 않았거나, 겨우 시장으로 진입하기 시작하고 있었다"고 지적했다. 

이어 브로건은 "사이버 범죄자는 많은 돈이나 어려움을 들이지 않고 돈을 쉽게 벌 수 있다. 진입 장벽이 매우 낮고, 각종 서비스와 인에이블러를 쉽게 이용할 수 있고, 매우 쉽게 수익을 낼 수 있다. 상상력에 제한이 있을 뿐이다"고 덧붙였다.
 
보안 사업자 진영과 매우 흡사하게 사이버 범죄 서비스 시장은 소규모 전문 사업자로 가득하다. 이 보고서는 "다크 웹은 사이버 범죄자가 한 제품 또는 서비스에 전문화되는 매우 효율적인 지하 경제이고, 상이하고 고도화된 각종 기술을 터득하려고 노력할 필요가 없다"고 전했다.

브로건은 "몇 가지 공격 방법을 완전히 터득하는데 집중하는 것이 더 저렴하고 더 적은 노력을 필요로 한다. 그러면 아무래도 사이버 범죄 지하 경제에서의 연계가 줄어들 것이고, 따라서 누출도 더 적어져서 차단될 확률도 그만큼 낮아진다"고 덧붙였다.
 
이 시장에서는 많은 사업자가 다양한 수준의 제품 및 서비스를 공급한다. 더 저렴하고 덜 정교한 선택지를 이용할 수 있지만, 수익이 낮고 차단될 확률이 더 높다. 일부 랜섬웨어 킷은 선행 비용이 없는 대신 수익을 공유하기 때문에 기본적으로 원가 개념이 사라진다. 반면 고급 서비스에 돈을 쓰면 성공 확률도 높아지고 ROI도 높아진다. 흔히 위협 행위자에게 가장 복잡한 요소는 여러 컴포넌트를 하나의 완전한 공격으로 짜깁기하는 것이다. 


CSO가 사이버 범죄 시장에 대해 알아야 하는 이유 

브로건은 저렴하고 단순한 공격이 IT 팀에게 대단한 걱정거리는 아니라고 말한다. 브로건은 "보안 업무를 양호하게 운영한다면 100달러짜리 공격 대다수는 우수한 IT 위생 및 기본적 보안 제어 수단에 의해 처리된다. 그렇다면 정말 걱정을 해야 할 고급 위협이 어느 것인지 판단하는데 집중할 수 있다. 이 후 우리를 추적하는 보안 범죄자가 어떤 유형이고, 무엇에 관심이 있는지, 위협 행위자가 공격을 개시하는데 인에이블러를 과거에는 어떻게 이용했고, 미래에는 어떠할 것인지 등으로 파고들 수 있다"고 설명했다.
 
브로건에 따르면, 범죄 서비스 제공업자에 대해 최대한 많이 아는 것이 이를 이용해 네트워크를 공격하는 위협 행위자에 대해 아는 것만큼 중요하다. 브로건은 "사람들은 이에 관심이 없고, 이들 소규모 업체야말로 진정으로 위협이라는 사실을 생각해내지 못한다"면서, "공격을 감행하기 위해 사이버 범죄자가 이런 툴을 짜깁기한다는 사실을 알지 못하는 것이다"고 지적했다. 

브로건은 "내가 만약 CSO라면 자사의 첩보 팀은 이들 서비스에 일일이 집중할 것이다. 나라면 대형 호스팅 사업자, 일체의 프록시, 트래픽 리다이렉션 서비스, 계정 체커가 어떻게 작용하는 지를 알고 싶을 것이다"면서, "이 후 이들에 맞춰 방어 체계를 구축할 것이다. 생태계를 이해하고, 서비스 인에이블러가 어떻게 작용하는지 이해하고, 이에 맞서 방어와 가시성 툴을 조직화할 것이다"고 말했다.
 
범죄자가 범죄 행위를 하는 비용이 너무 낮기 때문에 이를 높게 만드는 것은 어렵겠지만, 기성품을 이용하는 평범한 공격자에게 조직을 덜 매력적인 표적으로 만들 수는 있다. 예를 들어 로그인 시스템에 대해 인증 정보를 자동 대입하는 계정 체커가 어떻게 작용하는지 파악하고, 이의 효과를 차단하거나 줄이는 잠재적 방법을 찾아내는 식이다. 브로건은 "시간은 돈이다. 따라서 공격을 이행하는데 많은 시간을 쓰게 만든다면 비용을 높이는 것과 같은 효과가 있다"고 말했다. editor@itworld.co.kr  


2019.02.22

"사이버 공격 비용은 얼마일까" CSO가 사이버범죄 시장을 알아야 하는 이유

Dan Swinhoe | CSO
기업은 사이버 위협으로부터 네트워크와 자산을 방어하는데 막대한 비용을 소비한다. 카스퍼스키랩에 따르면, 기업의 보안 예산은 연 평균 900만 달러 내외다. 또한 데이터 유출은 기업에게 수백 만 달러의 피해를 입힌다. 반면 저렴하고 비교적 사용하기 쉬운 해킹 툴은 사이버 범죄자의 진입 장벽을 믿을 수 없을 정도로 낮춰 놓았다.

 

ⓒ Getty Images Bank 

 
사이버 공격, 사이버보안보다 훨씬 저렴

사이버 공격과 방어의 수학적 계산은 단순히 불공평하다. 공격자는 데이터를 싼 값에 판매해도 수익이 남지만, 기업과 개인 피해자가 감당해야 할 비용은 이보다 훨씬 더 높다.
탑10VPN(top10vpn)은 개인의 디지털 신원은 주요 온라인 사이트인 아마존, 우버, 스포티파이, 지메일, 페이팔, 트위터, 심지어 그럽허브, 매치닷컴 로그인 정보를 포함해, 전부 합쳐도 1,000달러 가치를 넘지 않는 것으로 추산했다. 온라인 쇼핑이나 페이팔 같은 금융 계정을 제외하면 가치가 100달러 미만에 불과하다.
 
아무르(Armour)의 블랙 마켓 보고서에 따르면, 개인식별정보(Personally Identifiable Information, PII)는 다크웹 상에서, 이보다 더 비싸기는 하지만, 여전히 데이터당 200 달러 미만의 가치를 가진다. 비자 및 마스터카드 신용카드 정보는 데이터당 10달러에 구입할 수 있다. 전체 은행 계좌에 대한 정보도 최대 1만 5,000달러가 들어있는 계좌라도 1,000달러에 불과하다. 

많은 경우, 오래된 정보는 그냥 무료로 유포된다. 이는 데이터 유출에 따른 기업 피해와 극명히 대조된다. IBM의 최신 데이터 유출 비용 보고서에 따르면 유출 데이터 당 기업의 평균 비용은 233달러이고, 규제가 심한 업종은 이보다 훨씬 높을 수 있다. 

탑10VPN의 해킹 툴 가격 지수(Hacking Tools Price Index)에 따르면, 악성코드는 불과 45달러면 구입할 수 있고, 공격을 실행하는 방법에 관한 교재는 5달러에 구입할 수 있다. 단일 컴포넌트를 구입하는데 1,000달러 이상이 드는 흔치 않은 경우도 있다. 제로데이 익스플로잇은 최소 3,000달러, 통화 데이터를 가로채는 셀 타워 시뮬레이터 킷(cell tower simulator kit)은 2만 8,000달러가 넘는다. 
 
그러나 악성코드, 또는 심지어 종합 피싱 키트를 구입했다고 해서 공격을 바로 시작할 수 있는 것은 아니다. 호스팅, 유포 채널, 악성코드 난독화, 계정 체커 등이 필요하다. 최신 보고서인 <블랙 마켓 생태계: "순수 소유권의 비용 추산">에서, 딜로이트는 원가만 단편적으로 나열한 것이 아니라, 악성코드와 키로거로부터 도메인 호스팅, 프록시, VPN, 이메일 유포, 코드 난독화 등에 이르는 총 공격 비용을 계산했다. 다시 말해 사이버 공격자가 전면 공격을 시작하는데 드는 전체 비용이다. 

딜로이트 사이버 위험 서비스의 사이버 첩보 리더인 루시프 카로니는 "대형 해킹 작전이라면 다양한 계층의 서비스가 필요하다"면서, "뱅킹 트로이목마를 심는 작전이라면 최소한 5~6가지 서비스를 이용해야 한다"고 말했다. 

 
사이버 공격 비용, 500달러에서 3,500달러까지 다양  

이 보고서에 따르면, 다크 웹에는 공격자의 개별 요구사항에 따라 손쉽게 이용할 수 있는 서비스가 즐비하고, 얼마를 투자하든 이에 맞는 제품/서비스가 있다. 키로깅 피싱 공격을 위해 감염된 서버가 필요한가. 어렵지 않다. 자체적인 원격 액세스 트로이목마 공격을 실행하고 싶은가. 아무 문제 없다. 
 
전체 공격 비용은, 경우에 따라 근사한 한끼 식사 정도의 비용이 들어가기도 하는데, 다음과 같은 몇 가지 예시를 들수 있다.
 
- 호스팅, 피싱 키트를 포함한 전체 피싱 공격: 평균 월 500달러이며, 시작 가격은 월 30달러다. 
- 정보 절취/키로깅 공격(악성코드, 호스팅 및 유포): 평균 723달러이고 183달러 정도까지 낮은 가격도 있다. 
- 랜섬웨어 및 원격 접근 트로이목마 공격: 1회 공격 시 평균 1,000달러
- 뱅킹 트로이목마 작전: 약 1,400달러에서 시작하지만, 3,500달러까지 높아질 수 있다. 


낮아진 사이버 범죄 진입 장벽 

딜로이트는 월 34달러에 불과한 저렴한 사이버 공격조차 2만 5,000달러의 수익을 거둘 수 있고, 수천 달러를 호가하는 보다 값비싸고 정교한 공격이라면 수익이 무려 월 100만 달러에 이를 수 있다고 추산했다. 한편 IBM은 데이터 유출에 따른 기업의 평균 비용을 386만 달러로 추정한다. 

낮은 진입 비용, 공격의 비교적 손쉬운 전개, 높은 수익은 잠재적 공격자가 기술 숙련 수준에 의해 제한되지 않는다는 의미다. 딜로이트 사이버 위험 서비스의 매니지드 위협 서비스 책임자인 키스 브로건은 "3년 전의 진입 장벽과 현재의 진입 장벽을 고려해보자. 3년 전에는 고도로 집중화된 서비스가 존재하기 않았거나, 겨우 시장으로 진입하기 시작하고 있었다"고 지적했다. 

이어 브로건은 "사이버 범죄자는 많은 돈이나 어려움을 들이지 않고 돈을 쉽게 벌 수 있다. 진입 장벽이 매우 낮고, 각종 서비스와 인에이블러를 쉽게 이용할 수 있고, 매우 쉽게 수익을 낼 수 있다. 상상력에 제한이 있을 뿐이다"고 덧붙였다.
 
보안 사업자 진영과 매우 흡사하게 사이버 범죄 서비스 시장은 소규모 전문 사업자로 가득하다. 이 보고서는 "다크 웹은 사이버 범죄자가 한 제품 또는 서비스에 전문화되는 매우 효율적인 지하 경제이고, 상이하고 고도화된 각종 기술을 터득하려고 노력할 필요가 없다"고 전했다.

브로건은 "몇 가지 공격 방법을 완전히 터득하는데 집중하는 것이 더 저렴하고 더 적은 노력을 필요로 한다. 그러면 아무래도 사이버 범죄 지하 경제에서의 연계가 줄어들 것이고, 따라서 누출도 더 적어져서 차단될 확률도 그만큼 낮아진다"고 덧붙였다.
 
이 시장에서는 많은 사업자가 다양한 수준의 제품 및 서비스를 공급한다. 더 저렴하고 덜 정교한 선택지를 이용할 수 있지만, 수익이 낮고 차단될 확률이 더 높다. 일부 랜섬웨어 킷은 선행 비용이 없는 대신 수익을 공유하기 때문에 기본적으로 원가 개념이 사라진다. 반면 고급 서비스에 돈을 쓰면 성공 확률도 높아지고 ROI도 높아진다. 흔히 위협 행위자에게 가장 복잡한 요소는 여러 컴포넌트를 하나의 완전한 공격으로 짜깁기하는 것이다. 


CSO가 사이버 범죄 시장에 대해 알아야 하는 이유 

브로건은 저렴하고 단순한 공격이 IT 팀에게 대단한 걱정거리는 아니라고 말한다. 브로건은 "보안 업무를 양호하게 운영한다면 100달러짜리 공격 대다수는 우수한 IT 위생 및 기본적 보안 제어 수단에 의해 처리된다. 그렇다면 정말 걱정을 해야 할 고급 위협이 어느 것인지 판단하는데 집중할 수 있다. 이 후 우리를 추적하는 보안 범죄자가 어떤 유형이고, 무엇에 관심이 있는지, 위협 행위자가 공격을 개시하는데 인에이블러를 과거에는 어떻게 이용했고, 미래에는 어떠할 것인지 등으로 파고들 수 있다"고 설명했다.
 
브로건에 따르면, 범죄 서비스 제공업자에 대해 최대한 많이 아는 것이 이를 이용해 네트워크를 공격하는 위협 행위자에 대해 아는 것만큼 중요하다. 브로건은 "사람들은 이에 관심이 없고, 이들 소규모 업체야말로 진정으로 위협이라는 사실을 생각해내지 못한다"면서, "공격을 감행하기 위해 사이버 범죄자가 이런 툴을 짜깁기한다는 사실을 알지 못하는 것이다"고 지적했다. 

브로건은 "내가 만약 CSO라면 자사의 첩보 팀은 이들 서비스에 일일이 집중할 것이다. 나라면 대형 호스팅 사업자, 일체의 프록시, 트래픽 리다이렉션 서비스, 계정 체커가 어떻게 작용하는 지를 알고 싶을 것이다"면서, "이 후 이들에 맞춰 방어 체계를 구축할 것이다. 생태계를 이해하고, 서비스 인에이블러가 어떻게 작용하는지 이해하고, 이에 맞서 방어와 가시성 툴을 조직화할 것이다"고 말했다.
 
범죄자가 범죄 행위를 하는 비용이 너무 낮기 때문에 이를 높게 만드는 것은 어렵겠지만, 기성품을 이용하는 평범한 공격자에게 조직을 덜 매력적인 표적으로 만들 수는 있다. 예를 들어 로그인 시스템에 대해 인증 정보를 자동 대입하는 계정 체커가 어떻게 작용하는지 파악하고, 이의 효과를 차단하거나 줄이는 잠재적 방법을 찾아내는 식이다. 브로건은 "시간은 돈이다. 따라서 공격을 이행하는데 많은 시간을 쓰게 만든다면 비용을 높이는 것과 같은 효과가 있다"고 말했다. editor@itworld.co.kr  


X