보안

'불황 속 사이버 범죄는 증가한다' CISO가 알아야 할 10가지 사항

Dan Swinhoe | CSO 2020.05.25
경기 침체는 사이버 범죄자가 초점을 바꾸도록 강요하고 일반인이 사이버 범죄에 가담하도록 부추긴다. 이에 대비하는 방법을 알아보자.  
 
ⓒ Getty Images Bank

전세계는 재정적으로 어려운 시기에 직면하고 있으며, 어쩌면 거대한 세계적 불황이 닥쳐올 지도 모른다. 경제가 멈추면 사이버 범죄자는 어떻게 반응할까? 사이버 범죄자는 목표, 기술, 또는 우선 순위를 변경할 것인가? 많은 전문가가 경기 침체를 맞이해 기업 내외부에서 더 많은 위협이 드러날 것이라고 우려한다. 과거의 경기 침체에서 얻은 경험과 통찰력이 미래를 대비하는 데 도움을 줄 수 있다. 
 

경기 침체기, 사이버 범죄가 번성한다 

사이버 범죄는 2008년 마지막 경기 침체기 동안 증가했다. 위험 정보 솔루션 업체 RDC(Regulatory Data Corp)는 2009년 경기 침체 후 2년 동안 사이버 범죄 활동이 평균 40% 증가했다고 밝혔다. 영국 정부는 인터넷에서 카드 부재(card-not-present) 사기로 인해 은행과 지불결제 카드 산업이 큰 손해를 입었는데, 2008년 1억 8100만 파운드(약 2,730억 원)로 정점을 찍은 후 2010년에는 1억 3,500만 파운드(약 2,037억 원)으로 떨어졌다고 밝혔다. 

2009년 로이터 통신은 2008년 미국의 인터넷 사기가 33% 증가했다고 보도했으며, 맥아피의 가상 범죄 보고서는 2008년에 악성코드, 봇, 트로이 목마가 급격히 증가했다고 밝혔다. 그 이후로 공격은 줄어들지 않았고, 디지털 환경의 변화는 공격자에게 더 큰 기회를 제공했다. 

영국 포츠머스 대학교(Portsmouth University)의 최신 연구에 따르면, 1980년, 1990년, 그리고 2008년 불황 시기에 사기 범죄가 모두 5% 이상 증가한 것으로 나타났다. 영국 재무부는 코로나19로 인해 GDP가 12% 감소할 것이라고 예측했으며, 포츠머스 대학 연구진은 주로 온라인에서 실행된 사기 시도가 최대 35%까지 증가할 수 있다고 예상했다. 

다른 데이터에 따르면, 경기 침체가 지역별로 사이버 범죄를 증가시키고 있다. 미국 위협 정보 제공 업체 레코디드 퓨처(Recorded Future)는 2008년 이후 지역 경기 침체로 어려움을 겪었던 브라질, 스페인의 사이버 범죄 활동이 급증했다고 분석했다. 

레코디드 퓨처의 수석 애널리스트 알란 리스카는 “브라질 경기 침체가 절정을 달할 때, 사이버 범죄가 대폭 증가했다. 이런 현상은 스페인에서도 마찬가지였다. 2008년은 실제로 조직화된 지하세계가 있었던 최근 시기이며, 경기 침체 기간동안 사이버 범죄 활동은 두드러진 상승이 있다는 걸 보여준 사례다”라고 말했다.
  
2008년의 경기 침체는 현재와는 아주 다른 기술 환경에서 발생했다. 2008년은 클라우드 서비스와 스마트폰과 같은 것들은 초기 단계에 있었고, 다크 웹(dark web)에서 사이버 범죄 도구와 서비스 판매는 아직 상용화되지 않았던 시기였다. 이 때문에 포레스터 수석 애널리스트 제프 폴라드는 “2008년 경기 침체를 바탕으로 현재를 예측하는 것은 어렵다. 하지만 2020년에는 10년 전보다 훨씬 더 기술에 의존하고 있기 때문에 사이버 범죄는 증가할 것이다”라고 설명했다. 

경기 침체 동안 사이버 범죄의 증가 예상을 넘어 공격자의 목표, 우선 순위, TTP(Tactics, Techniques and Procedures)가 급격히 변할 것이라고 예측한 CSO 전문가는 아무도 없었다. 공격자는 코로나19 이후 도입된 규모에 따른 원격 작업이 일부 제어 및 모니터링의 효과를 낮춰 위험을 증가시킬 수 있다는 점에 주목했다.  


피싱, 여전히 공격의 핵심 요소

공격자는 새로운 기술을 개발하거나 피싱 관련 전술을 바꾸진 않는다. 단순히 새로운 테마로 기존 기능을 다시 사용한다. 

딜로이트 위험 및 재무 자문팀 책임자 뎁 골든은 “혼란과 공황은 사람들이 내일 무엇이 닥쳐올 지 알지 못할 때 발생한다”면서, “대부분 피싱 시도나 소셜 엔지니어링 캠페인과 관련된 사기가 증가할 것은 확실하다”라고 말했다. 
 
전염병이 유행하는 동안 코로나19와 관련된 미끼가 급증한 것과 마찬가지로, 금융 관련 미끼가 등장하기 시작했다. 리스카는 “지난 2주동안 수천 개의 도메인이 ‘부양(stimulus)’, 환불(refund), 구제(relief), 환급(rebate)와 같은 단어로 등록된 것을 목격했다”면서, “코로나19 관련 이메일에서 ‘정부로부터 수표를 받는 방법’, 또는 ‘여기서 구제 대출을 받는 방법’, 또는 ‘자금 지원의 추가 정보를 얻는 방법은 다음과 같습니다’와 같은 이메일이 급증했다”라고 덧붙였다.

기업은 중소벤처기업부나 이와 유사한 정부기관을 사칭한 피싱 대상이 될 것으로 보인다. 일반적으로 영국의 후루 구제 기금(furlough relief fund)에 대한 급여 보고서나 미국의 IRS 및 경기 부양점검과 같은 보고서를 미끼로 삼는다. 


비즈니스 이메일 침해 공격, 계속 증가   

리스카는 랜섬웨어가 돈을 벌기 때문에 계속해서 인기있는 공격 방법이 될 것이라고 예측했다. 이와 함께 BEC(Business Email Compromise, 비즈니스 이메일 침해) 또한 인기가 있을 것으로 보고 있다. 지하 시장에는 팔려고 내놓은 기록이 너무 많아 사이버범죄 사업을 시작하는 방법을 쉽게 찾을 수 있다. 
 
리스카는 액세스 자체를 악용할 뿐만 아니라 공격자가 사기 또는 랜섬웨어를 통해 돈을 벌 수 있는 서드파티에 해당 액세스를 판매할 수 있다고 경고했다. 포레스터의 폴라드는 “공격자는 물처럼 저항이 가장 적은 경로를 따라 흘러간다. 기업과 마찬가지로 공격자는 전염병이 확산하면서 상황에 많은 변화가 생겨 수익 창출 모델에 변화를 주어야한다. 상황은 6개월 전과 달라져 몸값 지불 가능성이 낮아졌기 때문에 크립토마이닝(Cryptomining) 공격과 같은 것이 증가할 수 있다”라고 말했다. 

 
더 저렴해지는 해킹 툴 

기성 해킹 툴은 공격자가 범죄 활동을 시작하는 데 비용이 많이 들지 않고 훨씬 저렴하고 쉽게 접근할 수 있다. 레코디드 퓨처는 사이버 범죄자들, 특히 하위 계층의 공격자가 특정 유형의 익스플로잇 킷이 보상을 덜 받기 때문에 대폭적인 할인을 제공하고 있다고 주장했다. 리스카는 “사이버범죄자는 우리가 현실에서 경험하는 것과 똑 같은 경험을 하고 있다. 많은 소매 업체가 문을 닫았기 때문에 할인 판매를 제공하는 도매상들이 나타났다”라고 말했다.  

사람들이 구매를 줄이고 있기 때문에 지불을 가로채기 위해 고안된 익스플로잇 킷은 특히 영향을 받는다. 리스카는 경기 침체에 직면하면 해킹 툴 가격은 더 많은 구매자를 끌어들이기 위해 더 낮아질 수 있다고 예상했다. 


더 많은 사람이 해킹 툴을 사용할 것이다

영구적으로 감소한 일자리 수는 수백만으로 추산된다. 다국적 조직범죄 방지를 위한 글로벌 이니셔티브(Global Initiative Against Transnational Organized Crime)의 새로운 보고서에 따르면, 나이지리아, 온두라스 같은 국가에서 그랬던 것처럼 젊은이들, 특히 IT 기술을 가진 이가 사이버범죄로 눈을 돌릴 수 있다고 경고했다. 이 보고서는 개발도상국 젊은이들의 높은 실업률과 합법적인 IT 분야의 제한된 취업 기회가 ‘편향적 세계화(deviant globalization)’의 요인이 되고 있다고 분석했다. 


내부자 위협 증가 

오늘날까지도 남아 있는 이전 경기 침체의 한 경향은 내부자 위협의 문제다. 2009년 PwC 연구에 따르면, 그 당시 상당수의 기업은 실직, 감봉, 어려운 재무 환경, 달성하기 어려운 목표로 인한 내부자의 사기 행각을 우려하거나 피해를 본 것으로 나타났다. 리스카는 “해고와 휴가는 항상 내부자 위협에 대한 더 큰 우려를 야기한다. 2000년 닷컴 붕괴 사고로 거슬러 올라가면 과거에도 감원 사태 때마다 내부자 위협 활동은 급격하게 증가한 것을 볼 수 있었다”라고 설명했다. 

대대적인 재택근무로 인해 직원의 행동 분석이 예전처럼 쉽지 않다. 일상적인 업무와는 방식이 다르고 변동하기 쉽기 때문이다. 플라드는 “기업은 직원이 액세스할 수 있는 정보를 제한하고 직원이 현재 작업중인 환경을 반영하는 분석 도구를 보유하고 내부 작업의 위협 활동을 모니터링하고 예방할 수 있도록 사전 작업 통지를 수신하기 위해 제로 트러스트(zero-trust) 정책을 채택해야 한다”라고 권고했다.
 
딜로이트의 골든은 내부자 위협을 대비하기 위해 CISO가 HR 및 재무 책임자와 긴밀하게 협력해 중요한 변화를 만들 것을 권장했다. CISO가 정리해고, 임금 삭감, 복지 혜택 감소 등 향후 일정을 알게되면 좀 더 능동적으로 대처할 수 있다. 다른 부서의 사전 통지를 통해 일주일 전, 시행 후 일주일 동안 직원들의 이상한 활동을 적극적으로 모니터링할 수 있다는 걸 의미한다. 

골든은 기업에 종합적인 내부
자 위협 프로그램이 없다면, 현재 보유하고 있는 모든 위협 인텔리전스를 직원 사이의 비정상적인 행동을 찾는 데 사용하기를 권장했다. 


APT 그룹, 더 활성화된다 

국제적인 제제 도중에 외화를 벌기 위해 크립토마이닝(Cryptomining)을 사용하든, 자국 산업을 혁신하고 경쟁국보다 앞서기 위해 지적재산을 훔치든 정부가 주도하는 APT 그룹은 더 많은 지시를 받을 것이다. 

리스카는 “특히 국가가 깊은 경기 침체에 빠질 때 이런 APT 활동이 더 많이 증가할 것이다. 경쟁국이 무엇을 계획하고 있는지 알아내기 위한 전통적인 첩보인지, 자국 기업에게 경쟁력을 제공하기 위한 것인지는 상관없다”라고 말했다. 

포레스터의 폴라드는 현재의 긴 혼란이 공격자에게 미래에 완전히 악용될 수 있는 경로를 제공한다는 점에 동의했다. “기업은 원격 액세스를 수용해야 하고, 우선 순위를 변경하며, 환경을 확장해야 하기 때문에 위협 그룹은 공격 입지를 쉽게 확보할 수 있다”라고 설명했다. 

 
경기 침체 속 공급업체 리스크 증가 

공급업체, 특히 스타트업이 사업을 중단하면 서드파티 위험이 커진다. 이로 인해 데이터와 서비스에 대한 액세스, 지원되지 않은 도구나 애플리케이션, 악용할 수 있는 남은 액세스와 관련해 문제가 발생할 수 있다. 리스카는 “내가 걱정하는 것은 아웃소싱 업체에 크게 의존하는 중소기업들이다. 중소기업의 경우, 일부 또는 모든 서비스를 맡겨 둔 스타트업에 문제가 발생하면 사업마저 중단해야 할 수 있다”라고 우려했다. 

딜로이트의 골든은 공급망의 주요 공급업체에게 유동성에 관해 까다로운 질문을 할 것을 추천했다. 기업은 생태계의 취약점을 찾아내고 이를 얼마나 빨리 해결할 수 있는지가 중요하다. 


보안 예산, 삭감될 수 있다 

경기 침체동안 사이버보안이 최악의 상황을 면하게 할 수 있을지 모르지만, 예산은 거의 증가하지 않는다. 회계 법률 업체인 그랜트 손튼(Grant Thornton)의 코로나19 이전 연구에 따르면, 경기 침체 기간동안 사이버보안 예산은 안전할 것이라고 추정했으며, 최근 PwC의 CFO 여론조사는 IT와 디지털 트랜스포메이션이 보안에 앞서 도마 위에 오를 가능성이 높다는 것을 시사했다.
   
리스카는 “실제적으로 광범위하지만 기본 사항은 가장 안전하게 보호하는 것이다. 좋은 자산 관리, 좋은 자산 인벤토리, 양호한 취약점 검색 및 패치를 할 수 없거나 해결할 수 없는 것에 대해 대체 기능을 제공할 수 있는 방법이 있다. 하지만 기본 사항을 다루지 않으면 처음부터 끝까지 다른 모든 일은 원점에서 벗어나면서 결점이 생기게 된다”라고 지적했다.
 
딜로이트의 골든은 CISO가 보호해야 하는 주요 데이터, 자산, 프로세스를 이해하는데 시간을 할애할 것을 권고했다. 모든 것을 동일하게 보호할 수 없으므로 가장 중요한 것이 무엇인지 이해하는 것이 매우 중요하다. 


CISO, 리더가 되어야 한다 

어려운 시기에는 사기가 떨어질 수 있고, 이는 CISO가 리더십을 발휘할 수 있는 좋은 기회다. 골든은 “많은 CISO가 잠시 뒤로 물러서서 조금 더 많은 의사 소통을 하기 위해 노력하는 것을 보고 있다. 이 가운데 일부는 이미 안심하고 있으며 대부분의 사람이 알다시피 긴급한 상황에서 흐지부지되는 것에 각별히 신경써야 한다. 예를 들어, 기본적인 교육으로 되돌아가 이메일 인식 교육이나 비밀번호를 다른 곳에 적어두지 말 것, 비밀번호를 재사용하지 말 것 등이다. 

리스카와 폴라드는 CISO가 어려운 시기에 특히 공감할 수 있는 직무를 수행해야만 기억하며, 특히 정리해고에 직면했을 때 담당 직원이 이를 극복할 수 있도록 도와줘야 한다고 말했다. 리스카는 “직원 수가 줄어든 경우, 직원을 돌보고 기업에서 적절한 휴가와 시간을 얻도록 하라. 직원을 과로하지 않도록 하고, 그들이 원하지 않더라도 키보드에서 떨어져 적절한 휴식을 갖도록 하라. 많은 이가 연중 무휴 24시간 일하길 원하지만, 정말 필요한 것은 정신적 휴식이다”라고 덧붙였다.  

폴라드는 “다른 대형 재난이나 경제적인 문제처럼 결정적인 끝이 보이지 않는 상황에 팀에 동기를 부여하고 집중력을 유지하려면 지구력이 필요하다. 그러면 직원과 그 가족, 사랑하는 사람과 고객, 그리고 함께 일하는 다른 의사결정권자에게도 공감을 얻을 것이다”라고 충고했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.