2019.12.16

2020년 사이버보안, 주시해야 할 9가지 위협

Michael Nadeau | CSO
사이버보안에 대해 예측하는 일은 재미있는 일이지만, 가장 철저히 준비해야 할 위협을 결정해야 하는 보안 담당자에게 도움이 되지 않을 수도 있다. 아카마이(Akamai)의 보안 인텔리전스 대응팀 선임 엔지니어인 채드 시먼은 “항상 진짜 문제가 되는 부분은 갑자기 튀어나올 수 있기 때문에 미래에 대해 제대로 예측하는 것은 불가능하다”라고 말했다.  
 
ⓒ Getty Images Bank 

2020년 직면할 가장 큰 위협이 새롭고 예상 못한 위협이라면, 미래를 대비해 노력을 집중하는 최상의 방법은 무엇일까? 올해 가장 컸던 위협이 범위와 전술 측면에서 2020년에 어떻게 바뀔지 생각하는 것이 좋은 출발점이 될 수 있다.

본지는 2019년에 가장 빈번히 발생한 중대 위협에 대한 조사 결과들을 살펴봤다. 그리고 조사 및 연구 전문가에게 2020년의 위협 추세에 맞춰 방어 체계를 조정하는 방법에 대한 조언을 구했다. 


1. 장치의 악성코드 감염

엔드포인트 보호는 항상 조직들의 큰 ‘전장’이었다. 카스퍼스키(Kaspersky)의 ‘2019년 IT 보안 경제(IT Security Economics in 2019) 보고서에 따르면, 2019년에 회사 소유 장치가 악성코드에 감염된 조직의 비율이 약 절반에 달한다. 또 직원 소유 장치가 악성코드에 감염된 비율도 절반에 달한다.

카스퍼스키 보고서에 따르면, 대기업의 경우에는 가장 많은 피해를 초래한 보안 사고가 회사 소유 장치가 악성코드에 감염된 사고였다. 구체적으로 사고당 평균 피해액이 273만 달러였다. SMB는 피해액이 여기에 크게 못 미치는 11만 7,000달러였다.

- 2020년 전망: 카스퍼스키의 보안 연구원인 드미트리 갈로프는 2020년에 직원 소유 장치로부터 초래되는 위험이 증가할 것으로 내다봤다. 갈로프는 비용을 절감하고, 원격 근무제를 도입하고, 직원 만족도를 높이기 위해 직원들이 개인 소유 장치를 사용하도록 허락하는 기업들이 늘어날 것이라고 예측했다. 그 결과, 공격자들은 기업 방어선을 우회하는 방법으로 개인 장치를 표적으로 삼을 전망이다. 

갈로프는 “기본적으로 사용자의 개인 장치는 기업 장치보다 안전하지 못한 경향이 있다. 보통 사용자는 자신의 스마트폰과 컴퓨터를 잠재적 위협에서 보호할 추가적인 대책을 마련해 적용하는 경우가 드물기 때문이다. 이런 추세가 계속되는 한, 기업과 직원 소유 장치의 감염이 증가할 것이다. 이 공격 경로가 공격자들에게 여전히 매력적인 이유는 기업 계정을 표적으로 삼을 필요가 없기 때문이다(예를 들어, 회사 메일 주소로 피싱 이메일을 발송)”라고 설명했다.

- 2020년을 위한 조언: 갈로프는 기업들은 개인 장치에 적용되는 정책을 검토 및 업데이트한 후, 이런 정책들을 집행해야 한다고 강조했다. 갈로프는 “기업은 스스로와 데이터를 보호하기 위해 반드시 엄격한 기업 보안 정책을 도입해 적용하고, 적절히 권한을 관리하고, 사용자에게 보안 솔루션을 제공해야 한다. 기술 관련 문제를 관리하는 것에 더해 보안에 대한 인식을 높이는 트레이닝을 실시하는 것이 중요하다. 직원들에게 사이버 위생에 대해 주지시킬 수 있기 때문이다”라고 말했다.


2. 피싱(Phishing)

2019년 버라이즌 데이터 침해 조사 보고서(Verizon Data Breach Investigations Report)에 따르면, 지난 해 보안 침해 사고 가운데 약 1/3에 피싱이 관여되어 있다. 사이버 스파이 공격의 경우, 이 수치가 78%까지 상승한다. 2019년 피싱 공격에 있어 아주 부정적인 새로운 양상은 공격자의 역량이 점점 더 커지고 있는 것이다. 잘 만들어진 ‘오프 더 쉘프(off-the-shelf)’ 도구와 템플릿 때문이다.

아카마이의 <SOTI 보고서 미끼(SOTI Report: Baiting the Hook)>는 피싱 키트 개발자들이 공급하고 있는 서비스형 피싱공격(Phishing-as-a-service, PhaaS)을 분류해 제시하고 있다. 이들 개발자는 소셜 미디어에서 광고를 하면서 장사를 한다. 메일링 서비스에 따라 99달러 이상의 가격에 판매된다. 이런 키트에는 보안 및 보안 회피 기능이 탑재되어 있다. 

이 보고서 작성자는 “저렴한 가격과 유수 브랜드라는 표적 때문에 인기를 끌고 있다. 범죄자들의 피싱 공격 시장 진입 장벽을 낮춘다. 표적으로 선호되는 유수 브랜드는 타겟, 구글, 마이크로소프트, 애플, 리프트, 월마트 등이다”라고 설명했다.

- 2020년 전망: 피싱 키트 개발자들이 더 잘 만들어진 제품을 공급, 피싱 공격 작전 실행에 요구되는 스킬이 지금보다 더 낮아질 전망이다. IDG의 보안 우선순위 조사 결과에 따르면, 2020년 가장 중시할 우선순위로 보안 인식 및 직원 트레이닝 강화를 꼽은 기업의 비율이 44%이다. 공격자들은 피싱 공격에 자주 수반되는 신호들을 최소화하거나 숨기는 방법으로 피싱 공격 작전의 ‘품질’을 높여 여기에 대응할 것으로 예상된다. 

공격자가 침해한, 또는 가짜 내부, 서드파티 계정을 통해 적법해 보이는 피싱 이메일을 보내는 비즈니스 이메일 침해(Business Email Compromise, BEC)의 사용도 증가할 전망이다.

- 2020년을 위한 조언: 피싱 방지 교육을 최신 상태로 유지해 지속적으로 실시해야 한다. BEC 방지를 위해, 돈이나 지불과 관련된 내용의 메일을 받을 경우 반드시 전화로 확인하도록 규정하는 정책을 수립해 적용한다.


3. 랜섬웨어 공격

랜섬웨어 공격은 가장 많이 발생하는 사이버보안 공격 및 사고는 아니지만, 가장 많은 피해를 초래하는 공격이다. 카스퍼스키의 ‘2019년 IT 보안 경제’ 보고서에 따르면, 2019년에 약 40%의 SMB 및 대기업가 랜섬웨어 보안 사고를 경험했다. 대기업의 사고당 평균 피해액은 146만 달러였다.

엔드포인트 보호 도구의 랜섬웨어 탐지 성능이 향상되고 있기는 하지만, 소포스 랩스 2020년 위협 보고서(Sophos Labs 2020 Threat Report)는 랜섬웨어 개발자도 이런 도구에서 사용되는 기법들에 더 효과적으로 대응하고 있다고 지적하고 있다. 

소포스의 차세대 기술 엔지니어링 책임자 마크 로만은 “목적이나 의도를 바꾸기보다 악성코드의 모양을 바꾸는 것이 훨씬 더 쉽다. 최신 악성코드가 공격을 성공시키기 위해 난독화를 이용하는 이유가 여기에 있다. 그러나 2020년에는 랜섬웨어들이 일부 랜섬웨어 방지 도구나 기법에 혼란을 초래하기 위해, 특유의 특성들을 추가하거나, 변경하는 방법을 사용할 것이다”라고 말했다.

이런 난독화로 일부 랜섬웨어는 신뢰된 소스로 보일 수도 있다. 소포스는 이와 관련, 몇몇 예를 제시했다.

• 표적 머신을 목록으로 나열하는 스크립트를 만들고, 이를 Microsoft Sysinternal의 PsExec 유틸리티, 랜섬웨어와 통합
• Windows GPO(Group Policy Object)를 통해 로그인/로그오프 스크립트를 이용
• 네트워크 내부에 대량 배포되도록 WMI(Windows Management Interface)를 조작

- 2020년 전망: 로만은 랜섬웨어 공격자들이 유리해지기 위해 자신이 사용하는 방법들을 계속 조정할 것으로 예상했다. 로만은 “가장 두드러진 변화는 영향이 최대화되도록 사람의 지능과 자동화 도구를 혼합한 자동화되고 적극적인 공격을 감행하는 랜섬웨어 공격자의 수가 증가하고 있는 것이다. 

여기에 더해, 공격자들은 각 파일에서 극히 일부만 암호화하거나 랜섬웨어 방어 체계가 무력화되도록 운영 체제를 진단 모드로 부팅하는 방법으로 대부분의 방어 체계를 계속 무력화할 것이다”라고 말했다. 

카스퍼스키의 갈로프는 “올해 랜섬웨어 공격으로 꽤 시끄러웠다. 이런 종류의 위협이 감소할 이유가 없다. 인프라와 기업 및 기관, 심지어 스마트 도시를 표적으로 삼는 랜섬웨어가 늘어나고 있다”라고 지적했다.

랜섬웨어 개발자들은 시스템에 발판을 마련하고, 발각되지 않은 상태에서 더 많은 데이터를 암호화하고, 다른 네트워크로 확장할 수 있도록, 더 포착하기 어려운 코드를 만들 것이다. 갈로프는 “올해에는 이런 위협에서 안전한 것으로 간주되었던 네트워크 결합 스토리지(Network Attached Storage, NAS)를 표적으로 하는 공격도 등장했다”라고 덧붙였다.

- 2020년을 위한 조언: 항상 그렇듯, 최고의 랜섬웨어 방어책은 모든 중요 데이터에 대해 검증된 최신 백업을 만들어 유지하는 것이다. 그리고 랜섬웨어가 암호화를 못하도록, 이런 백업을 네트워크와 분리해 유지하는 것이 중요하다. 

직원 트레이닝도 아주 중요하다. 갈로프는 “랜섬웨어로부터 직원들을 보호하기 위해 엄격한 보안 정책을 수립해 적용해야 한다. 또 직원들을 대상으로 사이버보안 트레이닝을 실시해야 한다. 여기에 더해, 데이터 액세스 보안과 안전한 백업 저장, 서버에 애플리케이션 화이트리스팅 기법을 적용하는 것도 반드시 필요하다.

모든 엔드포인트와 네트워크, 시스템을 포괄하는 견고한 보안 통제, 모니터링, 대응책을 수립해 적용하는 것도 아주 중요하며, 배포되는 즉시 소프트웨어 업데이트를 설치해야 한다”라고 강조했다.


4. 서드파티 공급업체 관련 위험

카스퍼스키의 ‘2019년 IT 보안 경제’ 보고서에 따르면, 대기업과 SMB 모두 서드파티 공급업체가 관여된 보안 사고가 발생하고 있다(각각 43% 및 38%). 원 아이덴티티(One Identity) 조사에 따르면, 94%가 서드파티 공급업체가 네트워크에 액세스하도록 허용하고 있다. 

관리자 권한의 액세스를 허용하는 비율도 72%에 달한다. 그러나 서드파티가 승인되지 않은 정보에는 액세스를 하지 않았다고 확신하는 비율은 22%에 불과하고, 서드파티 액세스로 인해 침해 사고가 발생했다고 답한 비율도 18%이다.

카스퍼스키 조사 결과에 따르면, 대기업과 SMB 모두 서드파티 공급업체들이 보안 정책 약정에 서명하도록 강제하고 있다. 구체적으로 75%의 SMB와 79%의 대기업이 이와 같은 정책을 쓰고 있다. 이는 서드파티에 책임이 있는 보안 침해 사고가 발생했을 때, 해당 서드파티로부터 피해 보상을 받는데 큰 차이를 가져온다. 이런 정책을 갖고 있는 대기업 중 실제 피해 보상을 받은 비율은 71%였다. 그러나 정책이 없는 기업이 서드파티로부터 보상을 받은 비율은 22%에 불과했다.

- 2020년 전망: 기업과 공급업체, 파트너 간 디지털 연결이 확대될 전망이다. 이는 위험, 그리고 이런 위험에 대한 인식을 높인다. 유감스럽게도 공격이 점점 더 정교해지고 있다.

갈로프는 “최근 BARIUM이나 APT41 같은 새로운 집단들이 공급 사슬을 표적으로 정교한 공격을 감행했다. 세계 각국의 안전한 인프라에 침입하기 위해 소프트웨어 및 하드웨어 제조업체를 표적으로 삼은 것이다. 2017년과 2019년 발생한 2차례의 정교한 공급망 공격이 여기에 해당된다. 씨클리너(CCleaner)와 쉐도우패드(ShadowPad)에 대한 공격, 게임기업들에 대한 공격이다. 이런 위협 세력이 초래한 침해 사고를 다루는 프로세스는 어렵고 복잡하다. 나중에 다시 침입을 해서 피해를 초래할 백도어를 남기는 경우가 많기 때문이다”라고 설명했다.

- 2020년을 위한 조언: 네트워크에 액세스하는 사람을 파악하고, 이런 사람들에게 필요한 액세스 권한만 부여해야 한다. 서드파티 액세스와 관련된 커뮤니케이션, 규칙을 집행하는 정책을 수립해 적용해야 한다. 모든 서드파티 공급업체를 대상으로 책임과 보안 관련 기대사항, 실제 사고 발생시 일어나는 일에 대해 규정하고 설명한 보안 정책을 수립해 적용해야 한다.

갈로프는 “조직은 내부는 물론 파트너도 높은 수준의 사이버보안 기준을 따르도록 만들어 이런 공격으로부터 스스로를 보호할 수 있다. 서드파티 공급업체가 내부 인프라나 데이터에 액세스를 하는 경우, 통합에 앞서 사이버보안 정책을 수립해야 한다”라고 말했다.


5. DDoS 공격

카스퍼스키의 IT 보안 경제 보고서에 따르면, 2019년 분산 서비스 거부(DDoS) 공격에 직면한 대기업과 SMB의 비율은 각각 42%와 38%였다. 랜섬웨어 공격이 언론에서 더 많이 주목을 받았지만, 공격을 당한 비율은 비슷하다. DDoS는 SMB에 평균 13만 8,000달러의 피해를 유발했다. 

공격자들은 DDoS 공격을 더욱 효과적으로 만들기 위해 계속 혁신을 하고 있다. 이와 관련, 아카마이는 9월 새로운 DDoS 공격 경로인 WSD(Web Services Dynamic Discovery)에 대한 정보를 공개했다. WDS는 로컬 네트워크의 서비스를 찾는 멀티캐스트 검색 프로토콜이다. 공격자는 WSD를 사용, 구성이 잘못된 채 인터넷에 연결된 장치를 찾아 침해한 후 DDoS 공격 범위를 크게 증폭시킬 수 있다.

- 2020년 전망: 카스퍼스키의 갈로프는 5G가 확대되고, IoT 장치 수가 증가하면서 2020년에도 DDoS 공격이 아주 많을 것이라고 예상했다. 갈로프는 “5G가 보급되면서 상수도, 에너지망, 군사시설, 금융업체 등 핵심 인프라의 기존 경계가 미답보 영역으로까지 크게 확대가 될 전망이다. 여기에는 새로운 안전 기준이 필요하며, 연결 속도가 빨라지면서 DDoS 공격 방지에 새로운 도전과제가 초래된다”라고 전망했다.

- 2020년을 위한 조언: 인터넷에 연결된 장치가 잘못 구성되어 있는지, 패치가 적용되지 않아 취약점이 생겼는지 확인해야 한다. 아카마이의 시먼은 “이는 보안 위생, 기본적인 보안 위생이다”라고 말했다.
유감스럽게도 이것만으로는 연결된 소비자 장치를 동원한 DDoS 공격 위험 대응에 큰 도움을 받지 못할 것이다. 

시먼은 “할머니가 베스트 바이에서 차고 진입로에 설치할 새 감시용 웹캠을 구입했다고 가정하자. 이 할머니는 이 장치의 보안 위생에 대해 잘 모른다. 이런 문제들이 계속 중대한 문제가 되고 있다. 할머니가 문제가 아니다. 베트남에 살고 있는 한 사람이 자신이 운영하는 작은 상점에 VDR 보안 시스템을 설치했다고 가정하자. 이 사람은 이 웹캠이 은행을 표적으로 하는 DDoS에 동원되는 것을 크게 걱정하지 않는다”라고 말했다.


6. 애플리케이션 취약점

베라코드(Veracode)의 소프트웨어 보안 현황(State of Software Security) Vol. 10에 따르면, 테스트한 8만 5,000개 애플리케이션 가운데 보안 취약점이 1개 이상 발견된 애플리케이션의 비율이 83%에 달한다. 많은 애플리케션이 여러 보안 취약점을 갖고 있었다. 취약점의 종류가 1,000만 개에 달했으며, 아주 심각한 취약점이 1개 이상인 앱의 비율이 20%였다. 공격자가 제로데이 취약점과 버그를 악용할 기회가 많다는 이야기이다.

이 보고서 저자는 일부 데이터는 낙관적이라고 말했다. 특히 아주 심각한 취약점을 해결하는 비율이 개선되고 있다. 2019년 취약점 해결 비율은 2018년의 52%보다 상승한 56%였으며, 가장 심각한 취약점 해결 비율은 75.7%였다. 가장 긍정적인 부분은 자주 소프트웨어를 스캔 및 테스트하는 데브섹옵스(DevSecOps) 방식이 취약점 수정에 소요되는 시간을 줄일 것이라는 점이다. 스캔 횟수가 연간 12회 이하인 애플리케이션 취약점 수정에 걸리는 시간의 중앙값은 68일이었지만, 매일, 또는 더 자주 스캔을 할 경우 19일로 줄어든다.

- 2020년 전망: 보안 팀과 개발 팀이 최대한 노력하고 있지만, 소프트웨어에는 계속 취약점이 생길 것이다. 베라코드를 공동 창업한 크리스 와이소팔 CTO는 “현재 대부분 소프트웨어가 아주 안전하지 못하다. 2020년에도 오픈소스 라이브러리 코드를 사용하는 90%의 애플리케이션을 중심으로 계속 이런 문제가 존재할 것이다. 

하지만 2019년 한 해 앱 보안(AppSec)과 관련해 긍정적인 신호들이 있었다. 조직들은 보안 취약점을 찾는데 그치지 않고, 이를 수정하는데 초점을 맞추고 있다. 또 위험이 큰 취약점을 우선시하고 있다. 우리가 획득한 데이터에 따르면, 기능 개선만큼 취약점을 찾아 수정하는 활동이 중요해지고 있는 추세다”라고 설명했다.

- 2020년을 위한 조언: 베라코드 조사 결과가 보여주듯, 더 자주 앱의 취약점을 스캔 및 테스트하고, 심각한 취약점을 먼저 고치는 방법이 효과적이다. 와이소팔은 기업들이 ‘보안 부채(Security Debt)’를 계속 주시해야 한다고 강조했다. 

와이소팔은 “애플리케이션 보안에서 확대되고 있는 위협 중 하나는 시간 경과와 함께 애플리케이션 취약점의 증가, 또는 감소 여부와 관련된 ‘보안 부채’와 관련이 있다. 보안 부채가 증가하면 조직이 위험에 노출된다”라고 말했다. 

와이소팔은 “신용카드 부채처럼 지불해야 할 미결제 잔액이 많은 상태에서 새로 지출한 금액에 대해서만 지불을 하면, 미결제 잔액이 줄어들지 않는다. 앱 보안의 경우에도 새로 발견한 보안 문제에 대응하는 동시에, 기존 문제들을 없애 나가야 한다”라고 강조했다.


7. 클라우드 서비스/호스티드 인프라 보안 사고

카스퍼스키의 2019년 IT 보안 경제 보고서에 따르면, 2019년 한 해 서드파티 클라우드 서비스 때문에 보안 사고가 발생한 대기업이 43%에 달했다. SMB에는 클라우드 관련 사고가 아주 많지는 않았지만, 호스티드 서비스에 의존하는 경우가 더 많은 이런 소규모 기업들에 큰 피해를 초래했다. 호스티드 인프라 관련 사고로 SMB에 초래된 평균 피해액은 16만 2,000달러였다.

2019년 한 해 ‘활동’이 증가한 보안 사고 분야 중 하나는 온라인 결제 사기 분야였다. 지난 한 해 특히 바빴던 범죄 집단은 메이지카트(Magecart)였다. 이 범죄 집단은 클라우드의 잘못 구성된 부분을 악용하는 코드로 장바구니 코드를 변경했다. 관련 온라인 전자상거래 서비스를 이용하고 있던 기업들은 고객들이 부당한 요금 청구에 대해 이의를 제기하기 전까지 코드가 변경된 것을 몰랐다.

기업들은 여전히 클라우드 서비스가 잘못 구성되어 데이터가 인터넷에 노출되는 문제를 걱정해야 한다. 공격자들이 정기적으로 이렇게 노출된 데이터를 획득하기 위해 인터넷을 스캔하기 때문이다. 다행히 아마존과 구글 같은 클라우드 플랫폼 공급업체는 2016년 데이터를 보호되지 않은 상태로 누출시키는 클라우드 시스템의 오류, 잘못된 구성을 찾는데 도움을 주는 새로운 도구와 서비스를 배포했다.

- 2020년 전망: 악성코드와 이를 이용했을 때의 금전적 보상 때문에 2020년에도 온라인 결제 사기가 계속 증가할 전망이다. 메이지카트만 놓고 보더라도 수백 만 달러의 피해를 초래한 것으로 추정된다. 그리고 메이지카트의 성공은 모방자가 생기도록 부추길 것이다. 

기업들은 클라우드 보안에 대한 투자를 늘려 이런 위협과 다른 종류의 클라우드 관련 위협에 대응할 것이다. IDG의 보안 우선선위 조사에 따르면, 프로덕션 단계에서 클라우드 데이터 보호 기술을 운영하고 있는 기업의 비율은 27%에 불과하다. 그러나 49%가 이에 대해 연구하고 있거나, 파일럿 프로젝트를 진행하고 있다.

- 2020년을 위한 조언: 전자상거래 스크립트의 소스코드를 검사하고, 서브리소스 무결성으로 승인 없이 수정된 스크립트가 로딩되지 않도록 만들어야 한다. 클라우드 공급업체가 사기나 부정 행위를 방지하기 위해 자신들의 코드를 평가하고 있는지 확인한다. 정기적으로 인터넷에 데이터를 노출시키는 구성 오류가 있는지 여부를 조사한다.


8. IoT 취약점

SIA(Security Industry Association)의 2019년 보안 메가트렌드(2019 Security Megatrends) 보고서에 따르면, 2019년 한 해 보안 분야 종사자에게 2번째로 큰 영향을 준 트렌드는 사물인터넷(IoT)과 사물인터넷 장치가 생성하는 데이터였다. IoT 성장 전망은 명확하지 않고, 예측이 어렵다. 시장 조사 업체인 스태티스타(Statista)는 2020년 인터넷에 연결된 장치 수를 66억~300억 개로 추정하고 있다. 범위가 너무 커서 유용하지 못한 전망이다.

2019년, 대부분의 조직이 IoT가 초래할 위협을 크게 신경 썼다. 마시 마이크로소프트의 2019년 글로벌 위험에 대한 인식 조사(Marsh Microsoft 2019 Global Risk Perception Survey)에 따르면, IoT를 사이버 위험으로 판단한 비율은 66%, IoT 위험을 아주 위험한 위험으로 평가한 비율은 23%였다. 

사이버X(CyberX)의 산업 사이버보안 담당 부사장인 필 네레이는 “IoT 장치들은 공격에 취약한 표적이다. 엔드포인트 보안 에이전트를 지원하지 않는 등 관리가 되지 않고, 패칭이 되지 않거나 잘못 구성되는 경우가 많기 때문이다. 이로 인해, 공격자가 쉽게 침해를 해서 기업 네트워크에 침투할 발판을 마련하고, 파괴적인 랜섬웨어 공격을 감행하고, 요주의 지적 재산을 훔치고, DDoS 공격 작전과 크립토재킹에 컴퓨팅 리소스를 동원할 수 있다”라고 말했다.

사이버X의 2020년 글로벌 IoT/ICS 위험 보고서는 지난 12개월 동안 IoT 장치들을 취약하게 만든 가장 흔한 보안 취약점들을 세분화해 제시하고 있다. 몇몇 분야는 크게 향상됐다. 취약성이 있는 원격 액세스 장치는 30% 포인트가 감소, 조사 대상 장소의 54%에 발견되었다. 직접 인터넷 연결의 경우 40%에서 27%로 감소했다.

그러나 71%의 장소는 운영체제가 구식인 것으로 조사됐다. 지난 해의 53%보다 증가한 것이다. 또 66%는 안티바이러스가 자동 업데이트되지 않고 있었다. 역시 지난 해의 43%보다 증가했다.

- 2020년 전망: 네레이는 2020년에 노출된 IoT 장치로 인해 초래되는 위험이 증가할 것으로 내다봤다. 연결된 장치가 늘어나고, 국가의 지원을 받는 적대 및 사이버범죄 세력의 동기 부여가 커지고, 역량이 강화되고 있기 때문이다. 특히 에너지 유틸리티와 제조, 화학, 제약, 석유 가스 등 산업 및 공업 관련 환경에 초래되는 위험이 커질 전망이다. 네레이는 “이런 보안 침해는 훨씬 심각한 결과를 초래할 수도 있다. 공장 가동이 중지되고, 사람의 안전과 환경에 위험이 초래될 수 있다”라고 설명했다.

네레이는 건물 관리 시스템(Building Management Systems, BMS)이 공격자의 주요 표적이 될 것이라고 말했다. 네레이는 “보안에 대한 전문성이 부족한 시설 관리 팀이 설치를 하는 경우가 많기 때문이다. 또 인터넷에 노출된 것을 모르는 경우도 많고, 기업 SOC(Security Operations Centers)가 모니터링을 하는 경우도 드물기 때문이다”라고 설명했다. 

- 2020년을 위한 조언: 네레이에 따르면, 기업들은 다계층 심층 방어(defense-in-depth) 전략을 활용하는 것이 좋다.

• 더 견고한 네트워크 분리
• 서드파티 계약업체의 산업 제어 네트워크 원격 액세스를 제한하고, 이중 인증(2FA)과 암호 금고 같은 강력한 액세스 통제책을 사용
• 공격자가 시설 운영을 중단시키기 전에, 에이전트리스(Agentless) 네트워크 보안 모니터링으로 신속하게 IoT 공격을 감지해 억제

궁극적으로 단순히 기술적으로 접근하지 않고, 조직 측면에서 접근하는 것이 중요하다. 네레이는 “사우디아라비아 정유 화학 시설의 안전 시스템을 공격한 트리톤(TRITON)을 예로 들면, 주요 문제점 중 하나는 누구도 산업 제어 네트워크의 보안을 책임지지 않은 것이다. 이로 인해, 보안 모니터링에 큰 문제점이 생겼다. 또 아웃소싱 업체가 설치한 DMZ의 방화벽이 제대로 구성되어 있는지 확인한 사람이 한 명도 없었다. CISO들에게 조언하면, IoT 및 OT 보안을 책임지고, OSC 워크플로우와 보안 스택에 통합하는 방식으로 IT 보안과 함께 IoT, OT 보안을 통합적으로 다룰 필요가 있다”라고 강조했다.


9. 크립토재킹(Cryptojacking)

크립토재킹과 관련해 좋은 소식이 있다. 2020년에는 크립토마이닝 공격이 감소할 것으로 예상된다. 카스퍼스키의 2019년 IT 보안 경제 보고서에 따르면, 크립토마이닝 공격은 대기업과 SMB 모두 자주 빈번히 발생한 공격은 아니었지만, 대기업에 큰 금전적 피해를 줬다. 구체적으로 평균 피해액이 162만 달러에 달했다.

- 2020년 전망: 크립토마이닝 보안 사고는 암호화폐 가치에 대응해 증가, 또는 감소한다. 그러나 크립토재킹 공격이 쉬워지고 있기 때문에 2020년에도 이런 위협이 계속 존재할 전망이다. 갈로프는 “2019년에 마이닝(채굴) 활동이 꾸준히 감소했다. 그리고 2020년에도 이 추세가 바뀌지 않을 것이다. 바뀔 이유가 없기 때문이다. 이 위협에 맞서 싸웠던 암호화폐의 영향 등에 힘입어 크립토마이닝 수익이 감소했다”라고 설명했다.

- 2020년을 위한 조언: 크립토마이닝 위협을 탐지할 수 있는 보안 솔루션을 활용하고, 크립토재킹 공격을 증가시킬 암호화폐의 가치 상승 여부를 계속 주시한다. editor@itworld.co.kr 


2019.12.16

2020년 사이버보안, 주시해야 할 9가지 위협

Michael Nadeau | CSO
사이버보안에 대해 예측하는 일은 재미있는 일이지만, 가장 철저히 준비해야 할 위협을 결정해야 하는 보안 담당자에게 도움이 되지 않을 수도 있다. 아카마이(Akamai)의 보안 인텔리전스 대응팀 선임 엔지니어인 채드 시먼은 “항상 진짜 문제가 되는 부분은 갑자기 튀어나올 수 있기 때문에 미래에 대해 제대로 예측하는 것은 불가능하다”라고 말했다.  
 
ⓒ Getty Images Bank 

2020년 직면할 가장 큰 위협이 새롭고 예상 못한 위협이라면, 미래를 대비해 노력을 집중하는 최상의 방법은 무엇일까? 올해 가장 컸던 위협이 범위와 전술 측면에서 2020년에 어떻게 바뀔지 생각하는 것이 좋은 출발점이 될 수 있다.

본지는 2019년에 가장 빈번히 발생한 중대 위협에 대한 조사 결과들을 살펴봤다. 그리고 조사 및 연구 전문가에게 2020년의 위협 추세에 맞춰 방어 체계를 조정하는 방법에 대한 조언을 구했다. 


1. 장치의 악성코드 감염

엔드포인트 보호는 항상 조직들의 큰 ‘전장’이었다. 카스퍼스키(Kaspersky)의 ‘2019년 IT 보안 경제(IT Security Economics in 2019) 보고서에 따르면, 2019년에 회사 소유 장치가 악성코드에 감염된 조직의 비율이 약 절반에 달한다. 또 직원 소유 장치가 악성코드에 감염된 비율도 절반에 달한다.

카스퍼스키 보고서에 따르면, 대기업의 경우에는 가장 많은 피해를 초래한 보안 사고가 회사 소유 장치가 악성코드에 감염된 사고였다. 구체적으로 사고당 평균 피해액이 273만 달러였다. SMB는 피해액이 여기에 크게 못 미치는 11만 7,000달러였다.

- 2020년 전망: 카스퍼스키의 보안 연구원인 드미트리 갈로프는 2020년에 직원 소유 장치로부터 초래되는 위험이 증가할 것으로 내다봤다. 갈로프는 비용을 절감하고, 원격 근무제를 도입하고, 직원 만족도를 높이기 위해 직원들이 개인 소유 장치를 사용하도록 허락하는 기업들이 늘어날 것이라고 예측했다. 그 결과, 공격자들은 기업 방어선을 우회하는 방법으로 개인 장치를 표적으로 삼을 전망이다. 

갈로프는 “기본적으로 사용자의 개인 장치는 기업 장치보다 안전하지 못한 경향이 있다. 보통 사용자는 자신의 스마트폰과 컴퓨터를 잠재적 위협에서 보호할 추가적인 대책을 마련해 적용하는 경우가 드물기 때문이다. 이런 추세가 계속되는 한, 기업과 직원 소유 장치의 감염이 증가할 것이다. 이 공격 경로가 공격자들에게 여전히 매력적인 이유는 기업 계정을 표적으로 삼을 필요가 없기 때문이다(예를 들어, 회사 메일 주소로 피싱 이메일을 발송)”라고 설명했다.

- 2020년을 위한 조언: 갈로프는 기업들은 개인 장치에 적용되는 정책을 검토 및 업데이트한 후, 이런 정책들을 집행해야 한다고 강조했다. 갈로프는 “기업은 스스로와 데이터를 보호하기 위해 반드시 엄격한 기업 보안 정책을 도입해 적용하고, 적절히 권한을 관리하고, 사용자에게 보안 솔루션을 제공해야 한다. 기술 관련 문제를 관리하는 것에 더해 보안에 대한 인식을 높이는 트레이닝을 실시하는 것이 중요하다. 직원들에게 사이버 위생에 대해 주지시킬 수 있기 때문이다”라고 말했다.


2. 피싱(Phishing)

2019년 버라이즌 데이터 침해 조사 보고서(Verizon Data Breach Investigations Report)에 따르면, 지난 해 보안 침해 사고 가운데 약 1/3에 피싱이 관여되어 있다. 사이버 스파이 공격의 경우, 이 수치가 78%까지 상승한다. 2019년 피싱 공격에 있어 아주 부정적인 새로운 양상은 공격자의 역량이 점점 더 커지고 있는 것이다. 잘 만들어진 ‘오프 더 쉘프(off-the-shelf)’ 도구와 템플릿 때문이다.

아카마이의 <SOTI 보고서 미끼(SOTI Report: Baiting the Hook)>는 피싱 키트 개발자들이 공급하고 있는 서비스형 피싱공격(Phishing-as-a-service, PhaaS)을 분류해 제시하고 있다. 이들 개발자는 소셜 미디어에서 광고를 하면서 장사를 한다. 메일링 서비스에 따라 99달러 이상의 가격에 판매된다. 이런 키트에는 보안 및 보안 회피 기능이 탑재되어 있다. 

이 보고서 작성자는 “저렴한 가격과 유수 브랜드라는 표적 때문에 인기를 끌고 있다. 범죄자들의 피싱 공격 시장 진입 장벽을 낮춘다. 표적으로 선호되는 유수 브랜드는 타겟, 구글, 마이크로소프트, 애플, 리프트, 월마트 등이다”라고 설명했다.

- 2020년 전망: 피싱 키트 개발자들이 더 잘 만들어진 제품을 공급, 피싱 공격 작전 실행에 요구되는 스킬이 지금보다 더 낮아질 전망이다. IDG의 보안 우선순위 조사 결과에 따르면, 2020년 가장 중시할 우선순위로 보안 인식 및 직원 트레이닝 강화를 꼽은 기업의 비율이 44%이다. 공격자들은 피싱 공격에 자주 수반되는 신호들을 최소화하거나 숨기는 방법으로 피싱 공격 작전의 ‘품질’을 높여 여기에 대응할 것으로 예상된다. 

공격자가 침해한, 또는 가짜 내부, 서드파티 계정을 통해 적법해 보이는 피싱 이메일을 보내는 비즈니스 이메일 침해(Business Email Compromise, BEC)의 사용도 증가할 전망이다.

- 2020년을 위한 조언: 피싱 방지 교육을 최신 상태로 유지해 지속적으로 실시해야 한다. BEC 방지를 위해, 돈이나 지불과 관련된 내용의 메일을 받을 경우 반드시 전화로 확인하도록 규정하는 정책을 수립해 적용한다.


3. 랜섬웨어 공격

랜섬웨어 공격은 가장 많이 발생하는 사이버보안 공격 및 사고는 아니지만, 가장 많은 피해를 초래하는 공격이다. 카스퍼스키의 ‘2019년 IT 보안 경제’ 보고서에 따르면, 2019년에 약 40%의 SMB 및 대기업가 랜섬웨어 보안 사고를 경험했다. 대기업의 사고당 평균 피해액은 146만 달러였다.

엔드포인트 보호 도구의 랜섬웨어 탐지 성능이 향상되고 있기는 하지만, 소포스 랩스 2020년 위협 보고서(Sophos Labs 2020 Threat Report)는 랜섬웨어 개발자도 이런 도구에서 사용되는 기법들에 더 효과적으로 대응하고 있다고 지적하고 있다. 

소포스의 차세대 기술 엔지니어링 책임자 마크 로만은 “목적이나 의도를 바꾸기보다 악성코드의 모양을 바꾸는 것이 훨씬 더 쉽다. 최신 악성코드가 공격을 성공시키기 위해 난독화를 이용하는 이유가 여기에 있다. 그러나 2020년에는 랜섬웨어들이 일부 랜섬웨어 방지 도구나 기법에 혼란을 초래하기 위해, 특유의 특성들을 추가하거나, 변경하는 방법을 사용할 것이다”라고 말했다.

이런 난독화로 일부 랜섬웨어는 신뢰된 소스로 보일 수도 있다. 소포스는 이와 관련, 몇몇 예를 제시했다.

• 표적 머신을 목록으로 나열하는 스크립트를 만들고, 이를 Microsoft Sysinternal의 PsExec 유틸리티, 랜섬웨어와 통합
• Windows GPO(Group Policy Object)를 통해 로그인/로그오프 스크립트를 이용
• 네트워크 내부에 대량 배포되도록 WMI(Windows Management Interface)를 조작

- 2020년 전망: 로만은 랜섬웨어 공격자들이 유리해지기 위해 자신이 사용하는 방법들을 계속 조정할 것으로 예상했다. 로만은 “가장 두드러진 변화는 영향이 최대화되도록 사람의 지능과 자동화 도구를 혼합한 자동화되고 적극적인 공격을 감행하는 랜섬웨어 공격자의 수가 증가하고 있는 것이다. 

여기에 더해, 공격자들은 각 파일에서 극히 일부만 암호화하거나 랜섬웨어 방어 체계가 무력화되도록 운영 체제를 진단 모드로 부팅하는 방법으로 대부분의 방어 체계를 계속 무력화할 것이다”라고 말했다. 

카스퍼스키의 갈로프는 “올해 랜섬웨어 공격으로 꽤 시끄러웠다. 이런 종류의 위협이 감소할 이유가 없다. 인프라와 기업 및 기관, 심지어 스마트 도시를 표적으로 삼는 랜섬웨어가 늘어나고 있다”라고 지적했다.

랜섬웨어 개발자들은 시스템에 발판을 마련하고, 발각되지 않은 상태에서 더 많은 데이터를 암호화하고, 다른 네트워크로 확장할 수 있도록, 더 포착하기 어려운 코드를 만들 것이다. 갈로프는 “올해에는 이런 위협에서 안전한 것으로 간주되었던 네트워크 결합 스토리지(Network Attached Storage, NAS)를 표적으로 하는 공격도 등장했다”라고 덧붙였다.

- 2020년을 위한 조언: 항상 그렇듯, 최고의 랜섬웨어 방어책은 모든 중요 데이터에 대해 검증된 최신 백업을 만들어 유지하는 것이다. 그리고 랜섬웨어가 암호화를 못하도록, 이런 백업을 네트워크와 분리해 유지하는 것이 중요하다. 

직원 트레이닝도 아주 중요하다. 갈로프는 “랜섬웨어로부터 직원들을 보호하기 위해 엄격한 보안 정책을 수립해 적용해야 한다. 또 직원들을 대상으로 사이버보안 트레이닝을 실시해야 한다. 여기에 더해, 데이터 액세스 보안과 안전한 백업 저장, 서버에 애플리케이션 화이트리스팅 기법을 적용하는 것도 반드시 필요하다.

모든 엔드포인트와 네트워크, 시스템을 포괄하는 견고한 보안 통제, 모니터링, 대응책을 수립해 적용하는 것도 아주 중요하며, 배포되는 즉시 소프트웨어 업데이트를 설치해야 한다”라고 강조했다.


4. 서드파티 공급업체 관련 위험

카스퍼스키의 ‘2019년 IT 보안 경제’ 보고서에 따르면, 대기업과 SMB 모두 서드파티 공급업체가 관여된 보안 사고가 발생하고 있다(각각 43% 및 38%). 원 아이덴티티(One Identity) 조사에 따르면, 94%가 서드파티 공급업체가 네트워크에 액세스하도록 허용하고 있다. 

관리자 권한의 액세스를 허용하는 비율도 72%에 달한다. 그러나 서드파티가 승인되지 않은 정보에는 액세스를 하지 않았다고 확신하는 비율은 22%에 불과하고, 서드파티 액세스로 인해 침해 사고가 발생했다고 답한 비율도 18%이다.

카스퍼스키 조사 결과에 따르면, 대기업과 SMB 모두 서드파티 공급업체들이 보안 정책 약정에 서명하도록 강제하고 있다. 구체적으로 75%의 SMB와 79%의 대기업이 이와 같은 정책을 쓰고 있다. 이는 서드파티에 책임이 있는 보안 침해 사고가 발생했을 때, 해당 서드파티로부터 피해 보상을 받는데 큰 차이를 가져온다. 이런 정책을 갖고 있는 대기업 중 실제 피해 보상을 받은 비율은 71%였다. 그러나 정책이 없는 기업이 서드파티로부터 보상을 받은 비율은 22%에 불과했다.

- 2020년 전망: 기업과 공급업체, 파트너 간 디지털 연결이 확대될 전망이다. 이는 위험, 그리고 이런 위험에 대한 인식을 높인다. 유감스럽게도 공격이 점점 더 정교해지고 있다.

갈로프는 “최근 BARIUM이나 APT41 같은 새로운 집단들이 공급 사슬을 표적으로 정교한 공격을 감행했다. 세계 각국의 안전한 인프라에 침입하기 위해 소프트웨어 및 하드웨어 제조업체를 표적으로 삼은 것이다. 2017년과 2019년 발생한 2차례의 정교한 공급망 공격이 여기에 해당된다. 씨클리너(CCleaner)와 쉐도우패드(ShadowPad)에 대한 공격, 게임기업들에 대한 공격이다. 이런 위협 세력이 초래한 침해 사고를 다루는 프로세스는 어렵고 복잡하다. 나중에 다시 침입을 해서 피해를 초래할 백도어를 남기는 경우가 많기 때문이다”라고 설명했다.

- 2020년을 위한 조언: 네트워크에 액세스하는 사람을 파악하고, 이런 사람들에게 필요한 액세스 권한만 부여해야 한다. 서드파티 액세스와 관련된 커뮤니케이션, 규칙을 집행하는 정책을 수립해 적용해야 한다. 모든 서드파티 공급업체를 대상으로 책임과 보안 관련 기대사항, 실제 사고 발생시 일어나는 일에 대해 규정하고 설명한 보안 정책을 수립해 적용해야 한다.

갈로프는 “조직은 내부는 물론 파트너도 높은 수준의 사이버보안 기준을 따르도록 만들어 이런 공격으로부터 스스로를 보호할 수 있다. 서드파티 공급업체가 내부 인프라나 데이터에 액세스를 하는 경우, 통합에 앞서 사이버보안 정책을 수립해야 한다”라고 말했다.


5. DDoS 공격

카스퍼스키의 IT 보안 경제 보고서에 따르면, 2019년 분산 서비스 거부(DDoS) 공격에 직면한 대기업과 SMB의 비율은 각각 42%와 38%였다. 랜섬웨어 공격이 언론에서 더 많이 주목을 받았지만, 공격을 당한 비율은 비슷하다. DDoS는 SMB에 평균 13만 8,000달러의 피해를 유발했다. 

공격자들은 DDoS 공격을 더욱 효과적으로 만들기 위해 계속 혁신을 하고 있다. 이와 관련, 아카마이는 9월 새로운 DDoS 공격 경로인 WSD(Web Services Dynamic Discovery)에 대한 정보를 공개했다. WDS는 로컬 네트워크의 서비스를 찾는 멀티캐스트 검색 프로토콜이다. 공격자는 WSD를 사용, 구성이 잘못된 채 인터넷에 연결된 장치를 찾아 침해한 후 DDoS 공격 범위를 크게 증폭시킬 수 있다.

- 2020년 전망: 카스퍼스키의 갈로프는 5G가 확대되고, IoT 장치 수가 증가하면서 2020년에도 DDoS 공격이 아주 많을 것이라고 예상했다. 갈로프는 “5G가 보급되면서 상수도, 에너지망, 군사시설, 금융업체 등 핵심 인프라의 기존 경계가 미답보 영역으로까지 크게 확대가 될 전망이다. 여기에는 새로운 안전 기준이 필요하며, 연결 속도가 빨라지면서 DDoS 공격 방지에 새로운 도전과제가 초래된다”라고 전망했다.

- 2020년을 위한 조언: 인터넷에 연결된 장치가 잘못 구성되어 있는지, 패치가 적용되지 않아 취약점이 생겼는지 확인해야 한다. 아카마이의 시먼은 “이는 보안 위생, 기본적인 보안 위생이다”라고 말했다.
유감스럽게도 이것만으로는 연결된 소비자 장치를 동원한 DDoS 공격 위험 대응에 큰 도움을 받지 못할 것이다. 

시먼은 “할머니가 베스트 바이에서 차고 진입로에 설치할 새 감시용 웹캠을 구입했다고 가정하자. 이 할머니는 이 장치의 보안 위생에 대해 잘 모른다. 이런 문제들이 계속 중대한 문제가 되고 있다. 할머니가 문제가 아니다. 베트남에 살고 있는 한 사람이 자신이 운영하는 작은 상점에 VDR 보안 시스템을 설치했다고 가정하자. 이 사람은 이 웹캠이 은행을 표적으로 하는 DDoS에 동원되는 것을 크게 걱정하지 않는다”라고 말했다.


6. 애플리케이션 취약점

베라코드(Veracode)의 소프트웨어 보안 현황(State of Software Security) Vol. 10에 따르면, 테스트한 8만 5,000개 애플리케이션 가운데 보안 취약점이 1개 이상 발견된 애플리케이션의 비율이 83%에 달한다. 많은 애플리케션이 여러 보안 취약점을 갖고 있었다. 취약점의 종류가 1,000만 개에 달했으며, 아주 심각한 취약점이 1개 이상인 앱의 비율이 20%였다. 공격자가 제로데이 취약점과 버그를 악용할 기회가 많다는 이야기이다.

이 보고서 저자는 일부 데이터는 낙관적이라고 말했다. 특히 아주 심각한 취약점을 해결하는 비율이 개선되고 있다. 2019년 취약점 해결 비율은 2018년의 52%보다 상승한 56%였으며, 가장 심각한 취약점 해결 비율은 75.7%였다. 가장 긍정적인 부분은 자주 소프트웨어를 스캔 및 테스트하는 데브섹옵스(DevSecOps) 방식이 취약점 수정에 소요되는 시간을 줄일 것이라는 점이다. 스캔 횟수가 연간 12회 이하인 애플리케이션 취약점 수정에 걸리는 시간의 중앙값은 68일이었지만, 매일, 또는 더 자주 스캔을 할 경우 19일로 줄어든다.

- 2020년 전망: 보안 팀과 개발 팀이 최대한 노력하고 있지만, 소프트웨어에는 계속 취약점이 생길 것이다. 베라코드를 공동 창업한 크리스 와이소팔 CTO는 “현재 대부분 소프트웨어가 아주 안전하지 못하다. 2020년에도 오픈소스 라이브러리 코드를 사용하는 90%의 애플리케이션을 중심으로 계속 이런 문제가 존재할 것이다. 

하지만 2019년 한 해 앱 보안(AppSec)과 관련해 긍정적인 신호들이 있었다. 조직들은 보안 취약점을 찾는데 그치지 않고, 이를 수정하는데 초점을 맞추고 있다. 또 위험이 큰 취약점을 우선시하고 있다. 우리가 획득한 데이터에 따르면, 기능 개선만큼 취약점을 찾아 수정하는 활동이 중요해지고 있는 추세다”라고 설명했다.

- 2020년을 위한 조언: 베라코드 조사 결과가 보여주듯, 더 자주 앱의 취약점을 스캔 및 테스트하고, 심각한 취약점을 먼저 고치는 방법이 효과적이다. 와이소팔은 기업들이 ‘보안 부채(Security Debt)’를 계속 주시해야 한다고 강조했다. 

와이소팔은 “애플리케이션 보안에서 확대되고 있는 위협 중 하나는 시간 경과와 함께 애플리케이션 취약점의 증가, 또는 감소 여부와 관련된 ‘보안 부채’와 관련이 있다. 보안 부채가 증가하면 조직이 위험에 노출된다”라고 말했다. 

와이소팔은 “신용카드 부채처럼 지불해야 할 미결제 잔액이 많은 상태에서 새로 지출한 금액에 대해서만 지불을 하면, 미결제 잔액이 줄어들지 않는다. 앱 보안의 경우에도 새로 발견한 보안 문제에 대응하는 동시에, 기존 문제들을 없애 나가야 한다”라고 강조했다.


7. 클라우드 서비스/호스티드 인프라 보안 사고

카스퍼스키의 2019년 IT 보안 경제 보고서에 따르면, 2019년 한 해 서드파티 클라우드 서비스 때문에 보안 사고가 발생한 대기업이 43%에 달했다. SMB에는 클라우드 관련 사고가 아주 많지는 않았지만, 호스티드 서비스에 의존하는 경우가 더 많은 이런 소규모 기업들에 큰 피해를 초래했다. 호스티드 인프라 관련 사고로 SMB에 초래된 평균 피해액은 16만 2,000달러였다.

2019년 한 해 ‘활동’이 증가한 보안 사고 분야 중 하나는 온라인 결제 사기 분야였다. 지난 한 해 특히 바빴던 범죄 집단은 메이지카트(Magecart)였다. 이 범죄 집단은 클라우드의 잘못 구성된 부분을 악용하는 코드로 장바구니 코드를 변경했다. 관련 온라인 전자상거래 서비스를 이용하고 있던 기업들은 고객들이 부당한 요금 청구에 대해 이의를 제기하기 전까지 코드가 변경된 것을 몰랐다.

기업들은 여전히 클라우드 서비스가 잘못 구성되어 데이터가 인터넷에 노출되는 문제를 걱정해야 한다. 공격자들이 정기적으로 이렇게 노출된 데이터를 획득하기 위해 인터넷을 스캔하기 때문이다. 다행히 아마존과 구글 같은 클라우드 플랫폼 공급업체는 2016년 데이터를 보호되지 않은 상태로 누출시키는 클라우드 시스템의 오류, 잘못된 구성을 찾는데 도움을 주는 새로운 도구와 서비스를 배포했다.

- 2020년 전망: 악성코드와 이를 이용했을 때의 금전적 보상 때문에 2020년에도 온라인 결제 사기가 계속 증가할 전망이다. 메이지카트만 놓고 보더라도 수백 만 달러의 피해를 초래한 것으로 추정된다. 그리고 메이지카트의 성공은 모방자가 생기도록 부추길 것이다. 

기업들은 클라우드 보안에 대한 투자를 늘려 이런 위협과 다른 종류의 클라우드 관련 위협에 대응할 것이다. IDG의 보안 우선선위 조사에 따르면, 프로덕션 단계에서 클라우드 데이터 보호 기술을 운영하고 있는 기업의 비율은 27%에 불과하다. 그러나 49%가 이에 대해 연구하고 있거나, 파일럿 프로젝트를 진행하고 있다.

- 2020년을 위한 조언: 전자상거래 스크립트의 소스코드를 검사하고, 서브리소스 무결성으로 승인 없이 수정된 스크립트가 로딩되지 않도록 만들어야 한다. 클라우드 공급업체가 사기나 부정 행위를 방지하기 위해 자신들의 코드를 평가하고 있는지 확인한다. 정기적으로 인터넷에 데이터를 노출시키는 구성 오류가 있는지 여부를 조사한다.


8. IoT 취약점

SIA(Security Industry Association)의 2019년 보안 메가트렌드(2019 Security Megatrends) 보고서에 따르면, 2019년 한 해 보안 분야 종사자에게 2번째로 큰 영향을 준 트렌드는 사물인터넷(IoT)과 사물인터넷 장치가 생성하는 데이터였다. IoT 성장 전망은 명확하지 않고, 예측이 어렵다. 시장 조사 업체인 스태티스타(Statista)는 2020년 인터넷에 연결된 장치 수를 66억~300억 개로 추정하고 있다. 범위가 너무 커서 유용하지 못한 전망이다.

2019년, 대부분의 조직이 IoT가 초래할 위협을 크게 신경 썼다. 마시 마이크로소프트의 2019년 글로벌 위험에 대한 인식 조사(Marsh Microsoft 2019 Global Risk Perception Survey)에 따르면, IoT를 사이버 위험으로 판단한 비율은 66%, IoT 위험을 아주 위험한 위험으로 평가한 비율은 23%였다. 

사이버X(CyberX)의 산업 사이버보안 담당 부사장인 필 네레이는 “IoT 장치들은 공격에 취약한 표적이다. 엔드포인트 보안 에이전트를 지원하지 않는 등 관리가 되지 않고, 패칭이 되지 않거나 잘못 구성되는 경우가 많기 때문이다. 이로 인해, 공격자가 쉽게 침해를 해서 기업 네트워크에 침투할 발판을 마련하고, 파괴적인 랜섬웨어 공격을 감행하고, 요주의 지적 재산을 훔치고, DDoS 공격 작전과 크립토재킹에 컴퓨팅 리소스를 동원할 수 있다”라고 말했다.

사이버X의 2020년 글로벌 IoT/ICS 위험 보고서는 지난 12개월 동안 IoT 장치들을 취약하게 만든 가장 흔한 보안 취약점들을 세분화해 제시하고 있다. 몇몇 분야는 크게 향상됐다. 취약성이 있는 원격 액세스 장치는 30% 포인트가 감소, 조사 대상 장소의 54%에 발견되었다. 직접 인터넷 연결의 경우 40%에서 27%로 감소했다.

그러나 71%의 장소는 운영체제가 구식인 것으로 조사됐다. 지난 해의 53%보다 증가한 것이다. 또 66%는 안티바이러스가 자동 업데이트되지 않고 있었다. 역시 지난 해의 43%보다 증가했다.

- 2020년 전망: 네레이는 2020년에 노출된 IoT 장치로 인해 초래되는 위험이 증가할 것으로 내다봤다. 연결된 장치가 늘어나고, 국가의 지원을 받는 적대 및 사이버범죄 세력의 동기 부여가 커지고, 역량이 강화되고 있기 때문이다. 특히 에너지 유틸리티와 제조, 화학, 제약, 석유 가스 등 산업 및 공업 관련 환경에 초래되는 위험이 커질 전망이다. 네레이는 “이런 보안 침해는 훨씬 심각한 결과를 초래할 수도 있다. 공장 가동이 중지되고, 사람의 안전과 환경에 위험이 초래될 수 있다”라고 설명했다.

네레이는 건물 관리 시스템(Building Management Systems, BMS)이 공격자의 주요 표적이 될 것이라고 말했다. 네레이는 “보안에 대한 전문성이 부족한 시설 관리 팀이 설치를 하는 경우가 많기 때문이다. 또 인터넷에 노출된 것을 모르는 경우도 많고, 기업 SOC(Security Operations Centers)가 모니터링을 하는 경우도 드물기 때문이다”라고 설명했다. 

- 2020년을 위한 조언: 네레이에 따르면, 기업들은 다계층 심층 방어(defense-in-depth) 전략을 활용하는 것이 좋다.

• 더 견고한 네트워크 분리
• 서드파티 계약업체의 산업 제어 네트워크 원격 액세스를 제한하고, 이중 인증(2FA)과 암호 금고 같은 강력한 액세스 통제책을 사용
• 공격자가 시설 운영을 중단시키기 전에, 에이전트리스(Agentless) 네트워크 보안 모니터링으로 신속하게 IoT 공격을 감지해 억제

궁극적으로 단순히 기술적으로 접근하지 않고, 조직 측면에서 접근하는 것이 중요하다. 네레이는 “사우디아라비아 정유 화학 시설의 안전 시스템을 공격한 트리톤(TRITON)을 예로 들면, 주요 문제점 중 하나는 누구도 산업 제어 네트워크의 보안을 책임지지 않은 것이다. 이로 인해, 보안 모니터링에 큰 문제점이 생겼다. 또 아웃소싱 업체가 설치한 DMZ의 방화벽이 제대로 구성되어 있는지 확인한 사람이 한 명도 없었다. CISO들에게 조언하면, IoT 및 OT 보안을 책임지고, OSC 워크플로우와 보안 스택에 통합하는 방식으로 IT 보안과 함께 IoT, OT 보안을 통합적으로 다룰 필요가 있다”라고 강조했다.


9. 크립토재킹(Cryptojacking)

크립토재킹과 관련해 좋은 소식이 있다. 2020년에는 크립토마이닝 공격이 감소할 것으로 예상된다. 카스퍼스키의 2019년 IT 보안 경제 보고서에 따르면, 크립토마이닝 공격은 대기업과 SMB 모두 자주 빈번히 발생한 공격은 아니었지만, 대기업에 큰 금전적 피해를 줬다. 구체적으로 평균 피해액이 162만 달러에 달했다.

- 2020년 전망: 크립토마이닝 보안 사고는 암호화폐 가치에 대응해 증가, 또는 감소한다. 그러나 크립토재킹 공격이 쉬워지고 있기 때문에 2020년에도 이런 위협이 계속 존재할 전망이다. 갈로프는 “2019년에 마이닝(채굴) 활동이 꾸준히 감소했다. 그리고 2020년에도 이 추세가 바뀌지 않을 것이다. 바뀔 이유가 없기 때문이다. 이 위협에 맞서 싸웠던 암호화폐의 영향 등에 힘입어 크립토마이닝 수익이 감소했다”라고 설명했다.

- 2020년을 위한 조언: 크립토마이닝 위협을 탐지할 수 있는 보안 솔루션을 활용하고, 크립토재킹 공격을 증가시킬 암호화폐의 가치 상승 여부를 계속 주시한다. editor@itworld.co.kr 


X