팔로알토 네트웍스, 2016 보안 전망 발표

팔로알토 네트웍스가 2016년도 보안 전망을 발표했다.

팔로알토 네트웍스는 2016년 보안 업계에서 주목해야 할 주요 사항으로 ▲랜섬웨어의 증가 ▲위협 인텔리전스의 공유 ▲2차 타깃을 위한 공격 확산 ▲‘제로 트러스트’ 보안 모델 기반의 선제적 방어 ▲사물인터넷을 공격하는 위협 ▲사이버 범죄에 대한 법률 제정 등을 꼽았다.

팔로알토 네트웍스의 션 두카 아태지역 CSO는 “사이버 공격으로 인한 피해 규모가 증가하는 것은 물론 새로운 보안 위협의 출현 속도가 더욱 빨라지고 있고, 이에 따라 지능형 위협 방어, 즉 폭넓은 가시성과 광범위한 보안 인텔리전스를 기반으로 알려지지 않은 위협에도 효과적으로 대응할 수 있는 보안 역량을 확보해야 한다”며, “특히, 랜섬웨어와 같이 치명적인 보안 위협의 확산으로 선제 방어의 중요성이 높아지는 만큼 기업들의 보안 전략에도 많은 변화가 있을 것으로 전망된다”고 말했다.

랜섬웨어의 증가
랜섬웨어는 확산 방법 및 침입 기술 면에서 지속적으로 진화할 것이며, 통신 방식과 대상 타깃을 더욱 더 은폐시키는 방향으로 나아갈 것이다. CTA(Cyber Threat Alliance) 보고서에 따르면, 랜섬웨어는 짧은 시간 내에 막대한 금전적 이득을 취할 수 있는 공격수단으로서 수익성이 높아 사이버 범죄 조직들이 매우 선호하는 것으로 나타났다.

앞으로 더욱 다양한 유형의 랜섬웨어 공격이 등장할 것이며, 사이버 범죄 조직에서 데이터 복호화 키에 대한 금전을 요구하는 사례가 늘어날 것으로 전망된다. 또한 다양한 플랫폼, 즉 OS X 및 모바일 운영체제에 대한 랜섬웨어 공격도 늘어날 전망이다.

위협 인텔리전스의 공유
각 위협 인텔리전스를 공유하고자 하는 노력이 계속되고 있는 가운데, 2016년은 그 어느 때보다도 보안 업체 간 정보 공유가 활발해지는 한 해가 될 것으로 전망된다. 사이버 공격자들이 하나의 멀웨어로 공격 후 보안 솔루션에서 탐지하기 어렵도록 이를 미세하게 변형시켜 여러 곳에 재배포하는 사례가 늘고 있어 정보 공유의 필요성이 더욱 중요해지고 있다.

보안 업체들이 커뮤니티를 이루어 대응함으로써 하나의 공격을 실행하는데 드는 공격자들의 비용은 높아지고, 방어 비용은 낮아지기 때문이다. 이러한 프로세스를 자동화해 실시간으로 정보를 공유하는 경우 공격을 예방할 수 있어 더욱 효과가 증대된다. 공격 유형을 사전에 파악하고, 공격자가 사용하는 툴 및 전략을 예측하여 보다 효과적으로 네트워크를 보호할 수 있다.

2차 타깃을 위한 공격 확산
공격의 동기가 2차 타깃에 집중되는 사례가 늘고 있다. 2015 버라이즌 데이터 침해 보고서에 따르면, 서드 파티 웹사이트를 공격에 사용하는 사례가 증가하고 있으며, 이 경우 공격의 대상이 되는 특정 인물 혹은 기업은 실제 타깃이 아니라 보다 큰 공격의 진원지로 활용되는 것으로 조사됐다.

공격자의 관점에서 볼 때 이러한 방식은 공격의 신뢰도가 확보되는 것은 물론 다른 기업의 리소스를 활용할 수 있다는 장점이 있다. 아태지역에서 가장 흔히 발견되는 유형은 ‘워터링 홀(Watering hole)’ 공격으로, 특정 기업의 웹사이트를 감염시켜 이 사이트를 방문하는 사용자들까지 모두 감염시키는 방식이다. 국내에서도 최근 종교단체 웹사이트를 명령제어(C&C) 서버로 이용하는 한편 홈페이지를 방문한 신도들이 경유지를 거쳐 악성코드를 배포하도록 한 정황이 드러나고 있어 2016년에는 이와 유사한 방식의 2차 피해자를 발생시키는 사이버 공격이 늘어날 것으로 전망된다.

‘제로 트러스트’ 보안 모델 기반의 선제적 방어
최근 몇 년간 사이버 공격의 양상이 대단히 과격해지는 한편 성공 확률도 높아지고 있는 추세이다. 공격을 실행하고 완수하는데 드는 비용이 더욱 낮아지고, 방법 또한 간편해지고 있는 가운데 온라인 시스템에 대한 디지털 신뢰가 무너지고 있는 것이다. 이렇게 무너진 신뢰도는 전통적인 레거시 보안 아키텍처에도 적용된다. 기업 네트워크 망 내부에 존재하는 오래된 데이터에 의존한 추측성 대응은 적절한 가시성, 제어, 보호 등을 보장하지 않기 때문이다.

앞으로는 기존에 시도했던 주변 중심의 보안(perimeter-centric security) 전략을 비롯하여 레거시 디바이스 및 오래된 기술을 개선하기 위해, ‘제로-트러스트(Zero Trust)’와 같은 새로운 보안 모델을 도입하는 기업이 늘어날 전망이다.

제로 트러스트 모델은 고유의 보안 정책을 통해 위치에 관계 없이 모든 사용자와 디바이스, 트래픽 간 통신 등을 보호하는 방식의 ‘신뢰하되 확인하는(trust but verify)’ 접근법과는 상이하다. 외부의 네트워크 침입 시도 자체를 최소화하여 사이버 범죄가 발생하기 전에 이를 차단시키고자 하는 선제적 방어 접근법으로서, 2016년에는 이러한 제로 트러스트 모델에 대한 관심이 더욱 높아질 것으로 전망된다.

사물인터넷을 공격하는 위협
가전 제품에서부터 홈 시큐리티 등 인터넷 연결을 지원하는 커넥티드 디바이스가 늘어나고 있다. 가트너는 인터넷에 연결된 기기가 향후 매일 550만개씩 생겨나는 속도로 증가하며2015년 65억 개에서 2020년 210억 개까지 늘어날 것으로 전망하고 있다. 이러한 추세에 따라 커넥티드 디바이스를 노리는 사이버 범죄 또한 급증할 것으로 전망된다. 2015년 8월 미국에서 열린 해킹 컨퍼런스 블랙햇(Blackhat)에서는 차량을 대상으로 하는 공격을 비롯해 표적을 변경하는 스마트 소총에 대한 사례도 소개된 바와 같이, 향후 더욱 다양한 종류의 공격 및 이를 위한 PoC(개념검증) 사례가 등장할 전망이다.

사이버 범죄에 대한 법률 제정
아태지역은 그 동안 사이버 범죄에 대한 법률이 관대하게 적용되어 온 경향이 있다. 전세계적으로 보안 기업들은 물론 소비자들을 위한 법률이 강화되고 있는 가운데, 특히 미국의 경우 미국 기업을 타깃으로 하는 하이 프로파일 공격으로 보고된 숫자가 압도적으로 높은 상황이다.

이에 따라 미국에서는 ‘사이버보안 정보 공유 법(Cybersecurity Information Sharing Act)’을 통해 기업들이 정부와 협업해 해커의 공격에 대응하도록 하는 법률을 시행하고 있다. 유럽에서도 이와 비슷하게 ‘주요 정보 기반 시설 보호(CIIP)’ 협력을 통해 사이버 보안에 관련된 14개의 법을 시행함으로써, EU 차원에서 각국의 ICT 인프라를 보호하기 위한 대비책 및 회복 역량을 확보하는 등 보안 수준을 강화하고 있다. ciokr@idg.co.kr