지속적으로 증가하는 대표적인 IT 보안 위협의 종류
과거에는 기업의 데이터 센터 앞 단에 설치한 보안 장비를 통해 미리 설정한 보안 설정대로 공격을 차단하는 방식을 사용하였습니다. 장비 기반의 보안은 트래픽 모니터링 시 통계적으로 정상적인 네트워크의 흐름인지를 판단하면서 이상(anomaly)이 있는 패턴이 감지되면서 임계치(threshold)를 넘어가는 경우에 차단을 수행하는 방식이 일반적입니다.
그렇지만 이런 전통적인 방식은 IT 보안 위협이 점점 고도화됨에 따라 오탐의 확률이 높아지면서 위협 탐지와 동시에 분석을 진행하고, 이런 분석 결과를 단위 시간대 별로 모아 대응을 결정하는 체계가 필요하게 되었습니다. 좀 더 이 부분의 이해를 위해 최근 증가하는 대표적인 IT 보안 위협을 먼저 꼽아보았습니다.
랜섬웨어(randsomware) 공격
COVID-19 사태와 암호화폐 시장의 성장이 랜섬웨어에 날개를 달아줬을 수 있습니다. 기업과 공공 기관의 인프라들은 디지털 전환이 가속되면서 공격 가능한 대상이 다양해졌고 비트코인 등을 이용해 해커의 입장에선 이전보다 더 쉽고 안전하게 몸값을 받아낼 수 있게 되었다는 생각입니다.
랜섬웨어는 금전적인 피해를 입히는 것에 그치지 않고 사람의 목숨까지 위협하고 있다는 점이 매우 심각합니다. 독일의 한 대학병원에서는 랜섬웨어로 병원 시스템이 마비되어 긴급 이송 중이던 위급 환자가 끝내 입원하지 못한 채 목숨을 잃는 사건이 발생했습니다. IT 시스템의 의존도가 높은 산업일수록 랜섬웨어의 대상이 될 가능성이 높은 위험성을 내포하고 있습니다.
해외 뉴스 토픽으로만 들리던 랜섬웨어 공격이 국내 기업 및 정부 기관을 대상으로 여러 차례 발견되면서 많은 사회적 문제가 되고 있습니다. 국내의 마트 운영점은 랜섬웨어 공격으로 운영의 차질을 빚었고 방위산업 핵심 기관인 한국원자력연구원과 한국항공우주산업 등을 대상으로 VPN 소프트웨어의 취약점을 이용한 랜섬웨어 공격이 발견되었습니다.
디도스 공격
디도스(DDoS) 공격 패턴은 매년 거의 비슷합니다. 일반적으로 DDoS의 피해량을 측정할 때 대역폭을 측정 단위로 사용하는데, 이는 악의적인 공격자가 단위 시간당 발생하는 트래픽을 의미합니다. 통계적으로 분석을 해보면, 전 세계의 DDoS 공격은 분기 당 약 9% 정도씩 공격의 대역폭이 증가하고 있습니다.
2017년의 IoT 장비를 이용한 미라이(Mirai) 공격이나, 2018년 소프트웨어 공유 서비스를 대상으로한 멤캐시드(Memcached) 리플렉션 공격의 경우 공격 용량은 약 1.3Tbps였고 이는 미라이 공격의 거의 두배 크기였습니다. 공격자의 봇넷은 멤캐시드라는 오픈소스의 취약점을 이용하여 리플렉션 공격을 수행하며 새로운 방식의 DDoS 공격 방법을 만들면서 공격량이 급격히 늘었습니다.
애플리케이션 레벨 공격
웹이 사용하는 네트워크의 7계층인 HTTP를 대상으로 하는 공격이며 디도스와 다르게 공격을 통한 대역폭 소진보다는 많은 악성 피해를 시스템에 입히는 것이 관건인 공격입니다. 주로 웹 서버의 기술적 결함이나 허술한 관리, 리소스 관리가 허술한 취약점을 공격합니다. 예를 들면 슬로우리스 공격(Slowris Attack)의 경우, HTTP 연결 시, 요청 헤더를 종료하지 않고 계속 열어두고 연결 소켓의 수를 계속해서 증가시켜 웹 서버의 커넥션 단의 자원을 고갈시키는 방법을 사용합니다. SQL 인젝션과 XSS(Cross Site Script) 공격은 매년 꾸준히 발견되는 애플리케이션 레벨의 공격입니다.
크리덴셜 스터핑(Credential Stuffing)
크리덴셜 스터핑이란 보안적으로 취약한 구조를 가진 웹 사이트에서 공격자가 탈취한 사용자의 인증 정보와 같은 민감한 개인 정보를, 단어 뜻 그대로 타 시스템에 동일한 인증 정보(credential)을 마구 대입해보는(stuffing) 공격 기법입니다. 국내에서도 유명 은행 사이트에서 이 공격을 통해 약 5만6천건의 고객 정보가 유출된 사례가 있었습니다.
이 공격은 일반적으로 사용자들이 아이디와 비밀번호를 서비스 별로 굳이 다르게 사용하지 않는 습관에서 기인되었습니다. 즉 유출된 개인 정보를 타 시스템에 무차별 대입(Brute Force) 방식으로 로그인을 시도하고, 로그인을 성공한 계정의 경우, 해당 사이트에서 개인 정보를 다시 유출하는 방식을 사용하는데, 일반적으로 이 공격을 통해 로그인이 성공할 확률은 0.1~ 0.2% 정도로 알려져 있지만, 유출된 계정의 수가 수십 만개라면, 하나의 시스템에서 몇 백개 이상의 개인 정보가 탈취될 수 있다는 점을 시사 합니다.
가상화폐(Cryptocurrencies) 시장
2021년과 2022년의 IT 보안 시장을 이야기할 때 빠질 수 없는 부분이 블록체인과 가상화폐 분야입니다. 가상화폐가 IT산업군에서 차지하는 중요성이 점차 증가함에 따라, 공격자의 관심 또한 이 분야로 이동하기 시작하였습니다. 대표적으로 발견된 공격 방식은 가상화폐 서비스를 운영하는 회사에 대한 직접적인 공격 보다는 크립토재킹(cryptojacking)과 같이 특정 웹사이트를 공격해 가상화폐 채굴 프로그램 코드를 몰래 심어 놓거나, 광고물로 위장한 배너 등을 보안상 안전하지 않은 HTTP 통신상에서 접속한 사용자에게 클릭하게 함으로써, 이들의 PC를 사용자도 모르게 가상화폐 채굴에 사용하는 방식 입니다. 혹은 많은 기업들이 사용하는 클라우드 인스턴스의 리소스를 몰래 사용하는 경우도 많이 발견되었습다.
최근 웹 보안 시장에서 주목해야 할 공격의 형태는?
단순한 웹 서버로의 공격뿐만 아니라 DNS 공격, API 트래픽에 특화된 공격, 봇(bot)을 사용한 콘텐츠의 무단 수집, DDoS에 이르기까지 다양한 공격이 존재하며 때로는 여러 형태의 공격이 혼합되어 있습니다.
IT 시장에서는 데이터의 공공재 역할론이 강조되고 있고, 실제로 국내에서는 이미 데이터 3법과 마이 데이터를 통해 많은 곳에서 개인의 데이터를 상위 비즈니스로 활용하는 서비스가 이미 시작되어 생활에 편리함도 제공하지만 그만큼 많은 영역에서 시스템의 취약성이 노출될 수 있기 때문에 보안 위협의 형태는 지속적으로 다양해지고 있습니다.
기업은 이런 IT 보안 공격을 어떻게 대비해야 하나?
단순하게 단일 보안 솔루션만 사용하는 것이 아닌 공격의 패턴과 방어의 엔드 포인트 형태에 알맞은 보안 프레임워크를 고민해야 합니다, 즉 보안의 엔드 포인트가 DNS, 웹 서버, API 서버, 브라우저가 실행하는 스크립트인지에 따라 다른 솔루션을 따로 혹은 같이 적용하여 사용하는 방안입니다.
보안 솔루션 및 기술과 함께 활용하면 더욱 좋은 프로세스는?
보안을 위한 소프트웨어 및 하드웨어적인 부분뿐만 아니라 보안 전문가가 지속적으로 보안 컨설팅을 수행하고 보안 설정을 기업의 사례에 알맞게 튜닝을 진행하며 24시간 모니터링하는 보안 관제를 같이 운영하여 더욱 좋은 시너지를 확보할 수 있습니다.
IT 보안은 담당자가 따로 없다?
IT 보안은 보안 담당자뿐만 아니라 모든 직원의 보안 의식 고취가 필요합니다. 보안을 위한 기술뿐만 아니라 프로세스, 사람이 모두 기술과 어우러지는 행동 규칙에 평소 훈련이 되어있어야 합니다.
최근 기업을 대상으로 한 보안 사례들의 가장 큰 특징은 공격 수법이 더욱 교묘해지고 공격 회수도 지속적으로 증가한다는 점입니다. 예를 들어 전통적인 랜섬웨어 공격과 다르게 최근의 랜섬웨어는 한국어로 감염 사실을 알리고 데이터를 미리 탈취하고 외부 공개를 협박하는 방식을 사용했습니다. 가상 머신을 사용해 랜섬웨어를 실행하는 것 또한 공격 기법이 다양해졌다는 것을 시사합니다.
COVID19 상황이 장기화되면서 각종 공격에 COVID19 관련 키워드로 사람들의 이목을 집중시키는 것 또한 최근 특징 중의 하나입니다. 가트너(Gartner)를 인용하자면 “네트워킹 및 네트워크 보안 패턴이 변화하면서 향후 10년간 경쟁 구도가 변할 것이며 기업이 복잡성을 줄이고 IT 직원이 네트워크 및 네트워크 보안 운영의 일상적인 측면을 제거할 수 있는 중요한 기회가 창출될 것”으로 보입니다. 이런 측면에서 네트워크와 네트워크 보안을 하나의 컨버전스로 구현하는 부분도 고려가 필요합니다.
창과 방패의 싸움, IT 보안
모순(矛盾)은 무엇이든 뚫을 수 있다는 창과 무엇이든 막을 수 있다는 방패를 의미하는 앞뒤가 맞지 않다는 뜻입니다. 이 말은 IT 보안에서도 적용됩니다. 모든 공격을 예상하고 100% 미리 방어할 수 없기 때문입니다. 무엇보다 최근의 사례에서 얻은 경험을 바탕으로 선진적인 방어 사례의 도입과 실제 서비스에 지속적으로 유입되고 있는 공격의 형태와 이에 노출되고 있는 시스템의 취약점을 미리 파악하고 예방하는 것이 최선이 될 것입니다.
