칼럼 | 기업이 쉽게 걸려 드는 5가지 사이버 공격유형

컨설턴트인 필자가 느끼는 가장 큰 보안 문제 가운데 하나는 다름아닌 사람들의 인식이다. 기업들이 느끼는 보안 위협과, 실제로 정말 위험한 보안 위협 사이에는 커다란 간극이 있다. 예를 들어 정말 필요한 것은 적절한 소프트웨어 패칭임에도 불구하고 공개 키 기반 구조(Public Key Infrastructure, PKI)나 기업 차원의 침입 탐지 시스템 배치 등을 맡기기 위해 필자를 고용하는 기업들이 그렇다.

그러나 현실은 대부분의 기업이 동일한 위협에 직면해 있으며, 이런 리스크들을 공략하기 위해 최선을 다 할 필요가 있다. 기업들이 가장 쉽게 걸려드는 5가지 사이버 공격 유형을 소개한다.



No. 1. 소셜 엔지니어링 악성코드
기업들이 당하는 사이버 공격들 가운데 1위는 버퍼 오버플로우도, 시스템 구성 오류나 고급 취약점 공격도 아니다. 1위는 바로 최근 들어 데이터 암호화 랜섬웨어를 타고 극성을 부리고 있는 소셜 엔지니어링 악성코드다. 최종 사용자는 자주 가는, 그래서 신뢰하는 웹사이트에 속아 트로이 목마 프로그램을 실행하게 된다. 원래는 무해한 웹사이트였겠지만 일시적으로 해킹 당해 정상적인 웹사이트 코딩 대신 악성코드를 전파하게 된 것이다.

이처럼 해킹된 웹사이트는 사용자에게 새로운 소프트웨어를 설치해야만 웹사이트에 접속할 수 있다고 하거나, 가짜 안티바이러스 소프트웨어를 실행하도록 하거나, 기타 불필요한 악성 소프트웨어를 실행하도록 만든다. 악성코드는 이 과정에서 브라우저나 운영체제가 보내는 보안 경고 사인을 무시하고, 그 외에 걸리적거리는 방어막들도 전부 해제해 둘 것을 지시한다.

악성 프로그램이 정상적인 작업을 하는 것처럼 가장하거나, 혹은 배경 속에 숨어들어 악성 행위를 몰래 수행하기도 한다. 소셜 엔지니어링 악성코드 프로그램을 통해 한 해에도 수백 만 건의 해킹이 이뤄진다. 순수한 발생 건수로만 비교해 봐도 다른 해킹 경로들은 비할 바가 못된다.

- 대응책 : 소셜 엔지니어링 악성코드(신뢰하는 웹사이트로부터 배포되는 악성 소프트웨어 등)에 대처하는 최선의 방법은 최종 사용자에게 최신 보안 위협에 대해 지속적으로 교육시키는 것이다. 회사 계정으로 웹 서핑이나 이메일 답장을 하지 못하도록 하는 것도 악성코드로부터 보호하는 방법이 될 수 있다. 악성코드 프로그램의 꾸준한 업데이트는 '필요악'이지만, 무엇보다 최종 사용자 교육을 철저하게 시키는 것이야말로 소셜 엔지니어링 악성코드에 대처하는 최상의 방법이다.

No. 2. 비밀번호 피싱 공격
1위의 뒤를 바짝 쫓는 2위는 비밀번호 피싱 공격이다. 우리가 수신하는 이메일의 약 60~70%는 스팸 메일인데, 이들 가운데 상당수가 사용자의 로그인 정보를 빼내려는 피싱 메일이다. 다행히도 안티스팸 개발업체와 서비스들이 이 분야에 대한 상당한 수준의 방어를 형성하고 있어 청정한 인박스를 유지할 수 있게 해준다. 그렇다고 해도, 필자만 해도 매일같이 수통의 스팸 메일을 받으며, 매주 최소 한두 건은 정상적인 이메일을 가장한 교묘한 피싱 이메일이다.

특히 잘 만들어진(?) 피싱 이메일은 장인의 솜씨가 느껴지기까지 한다. 표면상으로 아무런 문제가 없어 보임은 물론이고, 심지어 피싱 이메일에 유의하라는 경고 문구까지 함께 써놓기도 한다. 이런 이메일이 피싱이라는 것을 알 수 있는 방법은 중요 정보를 요구하는 악성 링크가 걸려 있는 지를 살피는 것뿐이다.

- 대응책 : 비밀번호 피싱 공격에 대한 1차적인 대응책은 유출될 수 없는 로그인 정보를 사용하는 것이다. 다시 말해 이중 인증 방식이나 스마트카드, 바이오메트릭스, 전화통화, SMS 메시징 등 오프라인상의 본인이 직접 확인할 수 있는 로그인 방법을 채택해야 한다. 단순한 이름/비밀번호 조합 이상의 추가적인 장치를 마련해 두고, 그리고 이를 활용한다면 비밀번호 피싱 공격에 대해 크게 걱정할 필요가 없다.

하나 이상의 시스템에 대해 단순한 이름/비밀번호 로그온 조합만을 유지하고자 한다면, 최대한 정확한 안티 피싱 제품이나 서비스를 반드시 사용하고, 최종 사용자 교육을 통해 리스크를 줄여 나가야 한다. URL 창에 호스트의 진짜 도메인 명을 나타내주는 브라우저들도 매우 유용하다. 이런 브라우저를 사용하면 windowsupdate.microsoft.com.malware.com처럼 악성 링크 주소를 가시적으로 확인할 수 있다.

No. 3. 패치 안 된 소프트웨어
1, 2위를 바짝 추격하는 3위는 패치가 있음에도 제대로 이뤄지지 않아 취약점이 노출된 소프트웨어다. 특히 어도비 리더나, 기타 웹서핑을 편리하게 하기 위해 사용하는 브라우저 애드-인 프로그램들이 대표적이다. 이 문제는 지난 수년 동안 지속적으로 지적되어 왔음에도 불구하고 지금까지 만난 기업 가운데 그 어느 기업도 완벽하게 소프트웨어 패치를 해 둔 기업이 없었다. 완벽에 가깝게 해 둔 기업들 조차도 보지 못했다. 정말 이해할 수 없는 노릇이다.

- 대응책 : 현재 보안 대책으로 무엇을 준비하고 있던지 간에, 그것을 멈추고 패칭 상태가 완벽한지부터 확인하라. 그럴 수 없다면 최소한 가장 많이 공격의 표적이 되는 제품만이라도 패치가 제대로 되어 있는지 확인해야 한다. 패칭만 잘 해도 보안 공격의 리스크를 대폭 감소시킬 수 있다는 건 누구나 다 안다. 그러나 이를 실천에 옮기는 기관은 별로 없다. 모든 소프트웨어 프로그램을 100% 완벽하게 패치하려다 실패하는 것보다는, 공격의 대상이 될 가능성이 가장 높은 프로그램들 위주로 완벽한 패칭을 하는 것이 훨씬 낫다.

No. 4. 소셜 미디어 공격
페이스북, 트위터, 링크드인 등 몇몇 유명한 소셜 미디어들이 온라인 세계를 주도하고 있다. 소셜 미디어를 통한 공격은 주로 SNS상의 친구를 가장해, 혹은 애플리케이션 설치 요청의 형태로 이뤄진다. 이런 요청을 의심 없이 수락하게 되면 SNS 계정에 대해 원하는 것보다 훨씬 더 많은 액세스를 허락하게 될 것이다.

기업 해커들은 단순히 기업에게 망신을 주기 위해, 또는 기업 네트워크와 SNS 사이에 공유되는 비밀번호를 알아내려는 목적으로 기업 소셜 미디어 계정을 노리곤 한다. 뉴스를 장식하는 최악의 해킹 사건들 가운데 상당수가 처음에는 소셜 미디어 해킹으로 시작했다. SNS 해킹의 위험성을 과소평가 해서는 안 되는 이유다.

- 대응책 : 소셜 미디어 공격에 대한 최종 사용자 교육은 선택이 아니라 필수다. 또한 기업 비밀번호를 외부 웹사이트에서 함께 사용해선 안 된다는 것도 반드시 교육시켜야 한다. 이 경우에도 역시 이중 인증 방식 등을 사용하는 것이 도움이 된다. 마지막으로, 자신 또는 타인의 소셜 미디어 계정이 해킹 당할 경우 이를 보고하는 절차, 방법에 대해 사용자를 교육시켜야 한다. 때로는 당사자보다 피해자의 지인이 피해 사실을 먼저 알아채는 경우도 있기 때문이다.

No. 5. 지능형 지속 공격(Advanced Persistent Threat, APT)
APT 지적 재산 도용으로 인해 대규모 피해를 입지 않은 기업은 필자가 아는 기업들 가운데 단 한 곳뿐이다. APT는 주로 소셜 엔지니어링 트로이 목마 프로그램이나 피싱 공격을 통해 공격 거점을 마련한다.

가장 널리 이용되는 방식은 다수의 직원 이메일로 스피어피싱이라고도 부르는 피싱 이메일을 보내는 것이다. 여기에는 트로이 목마 첨부 파일이 첨부되어 있으며, 메일을 수신한 직원들 가운데 한 명이라도 이를 실행시키면 목표는 완수된다. 최초의 프로그램 실행 후 컴퓨터를 장악하게 되면, 수 시간 이내로 기업 전체의 시스템을 해커가 장악하게 된다. 공격은 쉽고, 뒷처리는 골치 아프다.

- 대응책 : APT를 탐지, 예방하는 것은 어려운 일이다. 특히 작정하고 공격해 오는 공격자를 막아내기란 더욱 쉽지 않다. 앞서 소개한 조언들은 APT 공격에도 해당된다. 하지만 APT 공격의 경우 여기에 덧붙여 네트워크 상의 정상적 네트워크 트래픽 패턴을 알고 비정상적인 움직임이 있을 때 이를 탐지해 낼 수 있어야 한다. 공격자는 어느 컴퓨터들 간에 소통이 이뤄지는지 모르지만, 기업은 이를 알고 있다.

지금부터라도 네트워크 플로우를 추적하고 어느 트래픽이 어디에서 어디로 가는 지를 파악해 두자. APT는 서버가 일반적으로 통신하지 않던 컴퓨터와 서버 간에 전송되는 대용량 데이터를 카피하려고 시도할 것이다. 그러한 정황이 포착될 경우, APT 공격이 이뤄지고 있음을 알 수 있다.

SQL 주입이나 교차 사이트 스크립팅(XSS), 패스 더 해쉬(pass-the-hash) 공격, 그리고 패스워드 게싱(brute-force attack) 등은 앞의 5가지 공격에 비하면 그 정도가 약한 편이다. 상위 5가지 공격에 대한 대비만 제대로 해둬도 기업 환경의 리스크를 확연히 줄일 수 있다.

무엇보다도, 기업들 역시 다섯 가지 주요 위협들을 위주로 보안책을 재정비 할 것을 추천한다. 괜히 비용만 비싸고, 보여주기식 프로젝트에 투자해 봤자, 공격자들이 가장 즐겨 이용하는 루트들을 방어하지 못하면 무용지물일 뿐이다.

마지막으로, APT 형식의 공격을 전문으로 탐지하는 서비스와 제품을 활용하라. 이런 제품, 서비스들은 호스트 기반 침입 탐지 서비스처럼 기업 내 모든 컴퓨터에서 작동하거나, 혹은 이벤트 로그를 살피며 악성 공격의 흔적을 찾아낸다. 요즘은 APT 공격 탐지가 그렇게 어렵지도 않다. 수많은 개발업체가 APT 공격 탐지 기능을 갖춘 서비스를 제공하고 있다.

자사가 가장 취약한 공격이 무엇일지 생각해 보고 해당 공격에 중점적으로 대비하라. 너무나도 많은 기업이 기업 현실에 맞지 않거나, 일어날 확률이 그다지 높지도 않은 공격들에 대비하느라 자원을 낭비하고 있다. 공격자들의 위협 지능을 활용해 기업 환경의 구성과 취약점을 파악하고, 가장 집중적으로 투자해야 할 보안 분야가 어디인가를 결정해야 한다. editor@itworld.co.kr