상단여백
HOME 오피니언 테크니컬 리포트 포토
해킹, 개인정보탈취, 갈수록 지능화되는 사이버공격…대책은 없는가 ②
[source=pixabay]

지난 글에 이어 이번 글에서는 2019년과 그 이후 기업, 정부 및 개인에 영향을 미치게 될 주요 사이버보안 동향과 활동을 알아본다.

◆갈수록 증가하는 5G 구축 및 도입으로 인해 공격 영역이 확장될 것
2018년 다수의 5G 네트워크 인프라 구축이 시작됐으며, 2019년은 5G가 가속화되는 한 해가 될 것이다. 5G 네트워크와 5G 폰 및 기타 다른 기기가 광범위하게 활용되기까지 시간이 걸리겠지만 빠르게 성장할 것이다. 

일례로, IDG는 2019년을 5G 측면에서 ‘중대한 해’가 될 것이라고 말했으며, 5G 및 5G와 관련된 네트워크 인프라 시장은 2018년 약 5억2,800만 달러에서 2022년 260억 달러로 증가해 연평균 118%의 성장률을 기록할 것으로 전망했다.

5G에 대한 관심의 초점이 상당부분은 스마트폰에 집중되어 있지만 2019년 5G를 지원하는 휴대폰의 수는 제한적일 가능성이 있다. 5G 모바일 네트워크가 확산되어감에 따라, 일부 통신사업자들은 고정형 5G 모바일 핫스팟과 5G 지원 가정용 라우터를 제공할 것이다. 

5G 네트워크의 최대 데이터 전송속도가 10Gbps(4G의 경우 1Gbps)인 것을 고려하면 5G로의 전환은 새로운 운영 모델, 새로운 아키텍처, 그 결과 새로운 취약점의 발생을 촉진하는 역할을 할 것이다.

시간이 지날수록 와이파이(Wi-Fi) 라우터를 경유하기보다 5G 네트워크에 직접 연결되는 5G IoT 기기가 더욱 늘어날 것이다. 이러한 추세로 인해 5G IoT 기기들은 직접적인 공격에 더욱 취약하게 될 것이다. 가정 사용자의 경우 모든 IoT 기기가 중앙 라우터를 우회하기 때문에 모든 기기를 모니터링하는 것이 더욱 어려워질 것이다. 

더욱 광범위하게 봤을 때 대량의 데이터를 클라우드 기반 스토리지로 쉽게 백업 또는 전송할 수 있는 능력은 공격자에게 새로운 공격 타깃을 풍부하게 제공할 것이다.

◆IoT 기반 이벤트가 대규모 DDoS 공격을 넘어 새로운 공격 형태로 진화할 것
최근 몇 년 간 대규모 봇넷 기반의 분산서비스거부(DDoS) 공격은 수만대의 감염된 IoT 기기를 이용해 공격 대상의 웹사이트를 마비시킬 정도의 트래픽을 전송했다. 

이런 공격은 최근에는 언론의 많은 관심을 받지 못하고 있지만 지속적으로 일어나고 있고 앞으로도 계속 위협이 될 것으로 예상된다. 

[source=symantec blog]

이와 동시에 보안이 허술한 IoT 기기들이 다른 유해한 목적으로 사용될 것으로 예상된다. 가장 문제가 되는 것 중의 하나는 디지털 세상과 실제 세상을 연결하는 IoT 기기를 겨냥한 공격이 될 것이다. 

이러한 IoT 사물에는 자동차와 같이 동력으로 움직이는 것이 있는 반면, 중요한 시스템을 제어하는 것도 있다. 배전망과 통신망처럼 주요 기반 시설을 제어하는 IoT 기기에 대한 공격이 날로 증가할 것으로 예상된다. 

또한 가정용 IoT 기기가 더욱 보편화되면서 미래에는 이러한 기기를 무기화하는 공격 시도가 있을 수 있다. 이를 테면, 혹독한 겨울에 한 나라가 적국에 있는 가정용 온도조절기들을 정지시키는 일이 일어날 수 있는 것이다.

◆공격자들이 전송 중인 데이터(data in transit)를 더 많이 캡처할 것
가정용 와이파이 라우터와 기타 보안이 허술한 소비자 IoT 기기를 새로운 방식으로 악용하는 공격이 나타날 가능성이 있다. 암호화폐 채굴을 위해 많은 IoT 기기를 모아 대규모 크립토재킹 공격을 하는 사례가 이미 등장하고 있다.

2019년과 그 이후 가정용 라우터와 기타 IoT 허브를 통과하는 일부 데이터를 탈취하기 위해 이러한 기기에 접근하려는 시도가 증가할 것으로 예상된다. 예를 들어 이러한 라우터에 삽입된 악성코드는 은행 계정 정보(credentials)를 훔치고, 신용카드 번호를 캡처하거나, 기밀정보를 유출하기 위해 악의적인 가짜 웹페이지를 표시할 수 있다. 

이러한 민감한 데이터는 오늘날 움직이지 않고 저장된 상태일 때 더욱 안전하게 보호되는 경향이 있다. 예를 들어 전자상거래 판매자들은 신용카드 CVV 번호를 저장하지 않기 때문에 공격자들이 전자상거래 데이터베이스에서 신용카드 정보를 탈취하는 것이 더욱 어렵다. 

따라서 소비자의 전송 중인 데이터를 탈취하기 위한 공격 기법이 계속 진화할 것이라는 것은 의심할 여지가 없다.

기업 측면에서 볼 때 2018년에 전송 중인 데이터가 유출되는 수많은 사례가 있었다. 메이지카트(Magecart)라는 공격 그룹은 표적 웹사이트에 직접 악성 스크립트를 심어두거나 사이트에서 이용하는 써드파티 공급업체를 감염시키는 방식을 통해 전자상거래 사이트에서 신용카드 번호와 기타 민감한 소비자 정보를 빼냈다. 

이러한 ‘폼재킹(formjacking)’ 공격은 최근 수많은 글로벌 기업의 웹사이트에 피해를 입혔다. 기업의 전송 중인 데이터를 겨냥한 또 다른 공격의 경우 VPN필터(VPNFilter) 악성코드가 다수의 라우터와 NAS 장치를 감염시켜 계정 정보 탈취, 네트워크 트래픽 변경, 데이터 암호 해독, 표적 조직 내 다른 악의적인 활동을 위한 진입점 제공 등의 활동을 했다.

네트워크 기반의 기업 공격은 표적 기업의 운영 현황 및 인프라에 대한 가시성을 제공하기 때문에 2019년 사이버 공격자들은 계속해서 네트워크 기반으로 기업을 공격하는 활동에 집중할 것으로 예상된다. 

[source=symantec blog]

◆공급망 익스플로잇 공격이 빈도·영향력 면에서 증가할 것 
소프트웨어 공급망을 악용하는 공격의 빈도와 영향력이 증가할 것이다. 공격자들이 일상적인 배포 위치에서 합법적인 소프트웨어 패키지에 악성코드를 이식하는 등 소프트웨어 공급망을 겨냥한 공격이 갈수록 흔해지고 있다. 

이러한 공격은 소프트웨어 벤더나 써드파티 공급업체의 제조 단계에서 발생할 수 있다. 전형적인 공격 시나리오로는 공격자가 목표로 삼은 표적에 빠르고 은밀하게 배포하기 위해 합법적인 소프트웨어 업데이트를 악성코드가 있는 버전으로 바꿔치기하는 것이 있다. 소프트웨어 업데이트를 받은 사용자는 누구나 컴퓨터가 자동으로 감염되고 공격자가 감염 환경에 침입할 수 있는 발판을 마련해준다.

이러한 유형의 공격은 점점 늘어나고 정교해지고 있다. 미래에는 하드웨어 공급망을 감염시키려는 시도도 있을 것으로 전망된다. 

예를 들어 공격자는 칩을 감염시키거나 변경할 수 있고, 또는 UEFI/BIOS와 같은 구성요소가 수백만 대의 컴퓨터에 장착되기 전 UEFI/BIOS의 펌웨어에 소스 코드를 추가할 수 있다. 이러한 종류의 위협은 제거하기 매우 힘들고 감염 컴퓨터를 재부팅하거나 하드 디스크를 다시 포맷한 후에도 여전히 남아있을 수 있다. 공격자들은 목표로 삼는 조직의 소프트웨어 공급망에 침투하기 위해 새롭고 정교한 기회를 지속적으로 찾을 것으로 예측된다.

◆증가하는 보안 및 개인정보 보호 우려로 인해 법률 및 규제 활동이 증가할 것
유럽연합(EU)이 2018년에 일반개인정보보호법(GDPR)을 시행함에 따라 역외 국가에서 다양한 보안 및 개인정보 보호 정책이 시행될 것으로 보인다. 캐나다는 이미 GDPR과 유사한 법을 시행했고 브라질은 2020년 시행 예정인 GDPR과 유사한 새로운 개인정보 보호 법안을 최근 통과시켰다. 

호주와 싱가포르는 GDPR에서 영향을 받아 72시간 침해 통보제를 제정했고, 인도는 GDPR에서 영감을 받은 법을 고려하고 있다. 이밖에 전세계적으로 많은 국가가 GDPR 적정성을 갖고 있거나 적정성 평가를 논의하고 있다. 

미국은 GDPR 시행 직후 캘리포니아 주에서 미국 역사상 가장 엄격한 수준으로 평가되는 개인정보 보호법을 통과시켰다. 따라서 2019년 전세계적으로 GDPR이 가져올 영향이 더욱 분명하게 나타날 것으로 전망되고 있다.

미국연방의회는 이미 보안과 개인정보 보호 영역을 더욱 깊이 살펴보고 있다. 이러한 법은 더욱 탄력을 받아 내년에 구체화될 가능성이 있다. 이에 따라 미국은 2020년 대선 운동이 진행될 시기에 선거 시스템 보안에 대한 관심이 지속적으로 증가할 것이다. 

보안과 개인정보 보호 요구를 해결하기 위한 법률 및 규제 활동이 증가할 것은 거의 확실하지만 일부 요구조건은 도움이 되기보다는 역효과를 가져올 가능성이 있다. 예를 들어 지나치게 광범위한 규정은 보안 기업이 공격을 식별하고 대응하기 위해 심지어 일반 정보조차도 공유하지 못하도록 막을 수 있다. 보안과 개인정보 보호 규정이 허술하게 수립된다면 다른 취약점을 해결한다 해도 새로운 취약점을 만들어 낼 수 있다.

 

글 : 휴 톰슨(Hugh Thompson) / 수석 부사장겸 최고기술책임자(CTO) / 시만텍
     스티브 트릴링(Steve Trilling) / 리서치 담당 수석 부사장 / 시만텍

 

최태우 기자  taewoo@itbiznews.com

<저작권자 © IT비즈뉴스-아이티비즈뉴스, 무단 전재 및 재배포 금지>

최태우 기자의 다른기사 보기
icon인기기사
여백
여백
여백
Back to Top