"한국, 사이버 공격 타깃, 전세계 평균의 2배, 미국의 3배 높다"

“한국의 지능형 사이버 공격 노출률은 전세계 평균의 2배에 달하고 미국 평균의 3배에 육박한 것으로 조사되면서 보안 시스템의 변화와 구축이 필요하다”

그레디 서머스(Grady Summers) 파이어아이 CTO는 4월14일 미디어 라운드테이블에서 국내 기관을 타깃으로 한 사이버 공격 현황 및 랜섬웨어 공격 트렌드에 대해서 소개하고, 이에 대응하기 위한 보안 전략을 제시했다.

파이어아이는 큰 기업의 정보보안 침해를 중심으로 매년 트렌드 리포트를 발표하고 있다. 업계별로 분석한 결과 5년전에는 항공우주와 방위산업 등이 25%를 차지했었으나 현재는 하이테크, 바이오 등으로 고르게 분포되면서 많은 기업들이 타겟 되고 있다고 발표했다.

또 이메일을 통해 수신자가 해당 메일을 클릭했을 때 악성코드가 심어지게 되는 ‘스피어피싱’ 관련 300건의 사례를 보면 주말보다 주중에 더 자주 보내지는 것으로 분석됐다.

그레디 서머스 파이어아이 CTO는 “스피어피싱은 인간 공격자가 있다는 것을 뜻한다”며 “이메일은 한주를 시작하는 바쁜 월요일보다 조금 더 한가한 수요일에 많이 보내지는 편이다”고 설명했다.

◇ 한국 공격 목적, “중국은 기술 확보, 북한은 사이버 공격”

파이어아이의 조사에 따르면 2015년 하반기 동안 국내 기관 중 38%가 지능형 사이버 공격의 타깃이 됐으며, 이 수치는 전세계 평균의 2배에 달하고 미국 평균의 3배에 육박한다. 한국이 피해률이 높은 이유는 초고속 인터넷 인프라가 잘 구축돼 있고 상대적으로 보안 시스템이 취약하기 때문이다.

그레디 CTO는 “한국을 공격하고 있는 그룹은 13개의 APT 그룹으로 이들은 하이테크, 우주항공, 은행 업계 등 지적재산 가치가 높은 산업을 타깃으로 하고 있다”며 “몇 년 전 많은 APT 그룹들은 중국의 군대와 정부로부터 후원 받는 그룹이었고 발각되는 것을 두려워하지 않았으나 최근에는 점점 숨어서 공격하고 로그를 제거하는 등 발각되지 않으려고 노력하고 있다”며 특징을 설명했다.

이 외에도 파이어아이는 APT로 분류되지 않은 20개의 다른 그룹과 연관된 악성코드를 탐지했다고 밝혔다. 사이버 공격에 표적이 된 국내 산업은 국내 경제에 핵심적인 역할을 하는 산업들로 정부기관, 첨단 기술 산업, 통신업, 조선업, 건설 및 엔지니어링 산업, 항공우주산업 및 방위산업 등이다.

그레디 CTO는 “중국 기반 지능형 위협 조직들은 사이버 공격을 통해 한국의 발전된 기술을 확보해 중국의 첨단 기술 산업과 통신업 등 자국의 핵심 산업에 공급하려고 시도하고 있다”며 “예전에는 윈도우 PC 공격이 많았는데 이제는 네트워크 장비 대상으로 고도의 기술이 필요로 하는 공격들로 이뤄져 있으며 특히 한국은 조선업계가 가장 타겟팅 되고 있다”고 조언했다.

또 남북한 긴장 상황은 한국의 높은 사이버 공격률에 일조한다. 파이어아이는 남북한 긴장 상황에서 북한 기반 지능형 위협 조직은 비즈니스 방해형 공격을 통해 한국 대상 사이버 공격을 감행한 것으로 추측한다. 북한 정부는 방해형 혹은 파괴형 사이버 공격과 같은 형태의 사이버 정보전을 군사 전략의 핵심 요소로 여기고 있는 것으로 짐작할 수 있다.

그레디 CTO는 “APT 그룹들은 특정업계를 노릴 때 지역적 언어 특성을 가지고 있다. 예로 미국을 타겟으로 할 떄는 영어에, 한국은 한국어에 전문성을 지니고 있어 완벽한 피싱 이메일을 구현할 수 있다”고 설명했다.

◇ 전세계 램섬웨어, 급격한 증가 ‘심각’

보안 업계에서 가장 큰 이슈는 랜섬웨어 활동이 다양한 악성코드를 이용해 전세계 기관들에게 영향을 미치고 있으며 기업 보다는 개인 대상의 공격으로 분류된다.

지하경제에서 랜섬웨어는 상품화 단계에 있으며, 모든 공격자들이 이용할 수 있는 다양한 종류로 제공되고 있다. 랜섬웨어는 종종 제휴모델을 통해서 공급되는데, 제휴모델을 통해서 공격자는 저렴한 가격 혹은 심지어 무료로 개발자로부터 랜섬웨어 페이로드를 공급받을 수 있다.

이 같은 제휴모델은 ‘서비스형 랜섬웨어(RaaS: ransomware as a service)’라고도 불린다. 제휴모델을 통해 공급된 페이로드는 개발자로 하여금 공격자가 피해자로부터 받는 몸값(ransom)에서 얻는 수익의 일부를 취할 수 있도록 설계됐다. 이러한 제휴모델은 낮은 진입장벽으로 인해 랜섬웨어가 빠르게 유포될 수 있도록 지원하고 있다.

그레디 CTO는 “랜섬웨어는 피해자가 어떤 대응을 할 수 있건, 어떤 산업이 공격에 영향을 받건, 개인 혹은 사업이 공격에 영향 받건 등과 상관 없이 무차별적으로 유포 대상을 감염시킨다”며 “랜섬웨어 공격은 주로 윈도우 운영체제를 이용하는 기기를 대상으로 하고 있으며, 안드로이드 기기 역시 주요 타깃이다”고 말했다.

랜섬웨어 공격의 최신 트렌드는 공격자가 네트워크에 몰래 잠입해 권한을 확보하고, 핵심 시스템을 판별하고, 백업 데이터를 삭제하고, 관리자 계정을 이용해 액티브 디렉토리(Active Directory) 환경을 접근한 뒤 랜섬웨어를 네트워크에 유포하는 패턴이다. 이러한 방법은 전체 네트워크를 파괴하지 않았던 기존의 무차별적 랜섬웨어 공격과 상반된다.

◇ 한국, 보안 시스템 변화 필요하다

그레디 서머스 파이어아이 CTO는 “많은 한국 기관들이 국가의 지원을 받는 APT조직의 표적이 되고 있지만, 한국의 조직들은 아직까지 사이버 보안에 있어 방어에만 치중하는 전략을 취하고 있다. 더이상 방어만으로 조직화된 사이버 군대의 공격에 대응하는 것은 불가능하다는 것을 깨달아야 할 때”라며 “지능화되는 사이버 공격에 효과적으로 대응하기 위해서는 공격 전, 공격 당시, 그리고 공격 후 모든 단계에서 조직을 보호할 수 있는 보안 전략이 필요한 시점”이라고 전했다.

이와 관련해 그레디 CTO는 기업이 엄수해야 할 몇 가지 사항을 제시했다. 첫째, 이중인증 제도가 필요하다. 그러나 아직도 많은 기업들은 이메일이나 BPA의 단일 인증을 사용하고 있다. 둘째, 적합한 정보를 취합하고 데이트를 관리하는 가시성 확보가 중요하다.

셋째, 관리자 계정을 더 잘 관리하고 특별 권한을 줘서 사고를 예방해야 한다. 기존에는 일례의 사례가 있어야 조사 가능했는데 지금은 행위로 조사하기 때문에 더 효과적을 탐지해 낼 수 있다. 넷째, 침해평가를 받아보도록 권장한다. 가장 중요한 것은 내가 지금 침해 당하고 있는 지 인지하는 것이라고 강조해 말했다.