Offcanvas

IoT / 보안 / 자동차

2019년 주시해야 할 데이터 유출 위험 요소 13가지

2018.12.24 Michael Nadeau  |  CSO
어느 조직에서든 데이터 유출은 불가피한 사건이다. 문제는 이런 데이터 유출이 어떤 형태로 발생할 것인가이다. 공격자가 어떤 루트를 통해 액세스를 확보할 것이며, 어떤 정보를 훔치고 어떤 피해를 야기할 것인가? 공격자의 행동 동기는 무엇인가? 본지가 보안 업계의 전문가들을 만나 2019년 사이버 범죄의 ‘왜, 언제, 어떻게’에 대한 예측을 들어 보았다.
 

1. 생체 인증 방식을 대상으로 한 해킹 증가

생체 인식 기술을 이용한 신원 인증 방식이 널리 사용됨에 따라 이를 표적으로 삼는 해커들도 늘어날 전망이다. 익스페리언(Experian)의 자체 데이터 유출산업 예측(Data Breach Industry Forecast) 보고서에 따르면, 터치 ID 센서, 안면 인식 및 패스코드 등의 취약점을 노출시키는 해킹 사건이 발생할 가능성이 높다. 이 보고서는 "해커들은 생체 인증 방식을 사용하는 하드웨어 및 기기뿐 아니라 데이터 컬렉션 및 스토리지의 취약점도 공략할 것이다. 생체인증 시스템을 해킹하거나 생체 데이터를 스푸핑(spoofing)하는 식의 대규모 해킹 사건이 일어나는 것은 거의 시간 문제다. 특히 헬스케어 산업, 금융 기관 및 정부 기관이 가장 위험하다"고 전했다.
 

2. 차량 해킹에 따른 인명 피해 우려

네트워크에 연결된 차량을 해킹해 탈취하는 것이 얼마든지 가능하다는 사실은 이미 증명된 바 있다. 이를 통해 해커가 자동차 엔진을 끌 수 있을 뿐 아니라 잠김 방지 브레이크 시스템, 에어백 등 안전 장치를 해제해 버리는 것도 가능하다. 로그리듬 랩스(LogRhythm Labs)의 CISO 제임스 카더는 "무인 자동차가 상용화되고, 네트워크에 연결된 차량이 늘어나면서 이들을 노리는 해커들도 늘어날 것"이라고 예상했다.
 

3. 인터넷 전체를 대상으로 한 인질극

2019년에는 유례 없이 큰 규모의 분산 서비스 공격(디도스 공격)을 시도하는 핵티비스트 단체나 국가 집단이 생겨날 것이다. 이런 규모의 공격은 인터넷 전반에 막대한 영향을 미칠 것이다. DNS 호스팅 제공업체 딘(Dyn)을 대상으로 발생한 2016년 디도스 공격은 트위터, 레딧, 아마존 닷컴을 포함한 유명 웹사이트들을 무력화시킨 바 있다. 보안 전문가 브루스 슈나이어에 따르면, 공격자들은 잠재적 취약점을 찾아 다른 중요 인터넷 서비스들에도 기웃거리고 있다.
워치가드(WatchGuard)의 위협연구팀은 블로그 포스팅을 통해 "베리사인(Verisigh)같은 메이저 인증 기관에 대해 이 정도 규모의 디도스 공격이 발생할 경우 TLD 전체에 해당하는 웹사이트들이 먹통이 되는 일이 발생할 수도 있다. 심지어 경계 경로 프로토콜(Border Gateway Protocol, BGP)같은 외부 라우팅 프로토콜조차도 상당 부분이 자율적 시행 제도(honor system)에 기반하고 있다. 인터넷 주소의 10% 만이 루트 하이재킹에 대비한 RPKI(resource public key infrastructure) 레코드를 가지고 있다. 또한 인터넷 자율 시스템 중 0.1% 만이 루트 기원 확인(route origin validation)을 거치며, 나머지 99.9%는 루트 하이재킹에 그대로 노출되어 있는 상태다. 확실한 것은, 이런 공략 지점이나 기저의 프로토콜에 대해 디도스 공격을 시도할 정도의 리소스를 갖춘 누군가가 그것을 시행하기로 마음만 먹는다면 와르르 무너질 정도로 오늘날 인터넷이 취약한 상태라는 것이다"고 전했다.

 
4. 데브옵스, '최후의 날'이 가까이 왔다

데브옵스 방법론을 채택하는 조직이 증가함에 따라 이런 환경에서의 보안 리스크도 증가하고 있다. 이런 리스크는 탐지하기도, 수습하기도 쉽지 않다. 원 아이덴티티(One Identity)의 제품 관리 부대표 잭슨 쇼는 "기업들은 점차 비현실적인 목표를 세우거나 직원 교육을 소홀히 하고, 툴 모니터링 및 관리를 중요시 여기지 않으며, 이로 인해 기업의 핵심 IT 시스템에 아주 손쉬운 액세스가 가능하도록 길을 터주고 있다. 이에 따라 한때는 원활하게 돌아갔던 쿠버네티스/데브옵스도 삐걱거리기 시작할 것이다. 해커들은 보안상의 이런 간극을 이용해 중요 데이터에 접근할 것이며 지금까지 본 적 없는 대규모의 데이터 유출 사건이 발생할 지도 모른다"고 말했다. 
 

5. 많은 비용 초래할 API 공격

API의 채택으로 민감 정보의 노출이 늘어날 것이다. 해커들은 API 취약점을 노려 데이터 및 개인 식별 정보(PII)를 훔칠 것이며 이로 인해 엄청난 비용과 기업 평판의 손실이 발생할 수 있다. 포럼 시스템스(Forum Systems)의 CTO 제이슨 메이시는 "레거시 IT 보안과 안전하지 못한 API 관리 프레임워크 및 툴킷에 지나치게 의존하는 기업들 때문에 대부분 고객들은 실제 공격이 발생하고 난 후에야 비로소 이러한 데이터 유출에 대해 알게 된다"고 말했다. 
 

6. 메이저 클라우드 업체를 직접적으로 겨냥한 데이터 유출 사고

아마존 웹 서비스 등 대규모 클라우드 서비스 공급업체들과 관련해 지금까지 일어난 데이터 유출 사건들은 대부분 고객 오류의 결과였다. 익스피리언 보고서는 "머지 않아 이들 클라우드 서비스 공급업체 중에 직접적으로 데이터 유출을 겪게 되는 곳이 나올 것"이라고 지적했다. 이 보고서는 "(앞서 발생한 유출 사고들은) 공급업체 측면에서의 전반적인 보안 상태에 의문을 품게 한다. 머지 않아 해커들은 중간자를 거치지 않고 곧바로 클라우드 소스를 공략할 수 있게 될 것이며 그렇게 된다면 전 세계적 규모의 클라우드 서비스 업체들과 수십억 건의 데이터에 영향을 미치게 될 것이다"라고 예측했다.
 

7. 프린터 네트워크를 표적으로 한 대규모 공격

얼마 전 어느 해커 한 명이 심심해진 나머지 5만여 대의 프린터를 해킹해 유튜브 유명인사 PewDiePie를 응원하는 글을 프린트하게 만들었던 일이 있었다. 이 에피소드는 기업 프린터 및 복사기 네트워크 해킹이 얼마나 쉽게 이루어질 수 있는가를 보여준다. 이번 해킹 사건은 비교적 장난에 가까운 일화로 끝났지만, 나쁜 마음을 먹는다면 프린터와 복사기를 해킹해 이보다 훨씬 심각한 피해도 입힐 수 있다. 이제 PoC가 생겨난 만큼, 2019년에는 누군가가 프린터 네트워크를 해킹해 더 큰 범죄를 저지르지 않으리라는 보장도 없다. 

쿼크리카(Quocrica) 이사 루엘라 페르난데스는 "네트워크에 연결된 프린터들이 갖는 IoT와 유사한 보안 취약점을 노린 공격이 더욱 증가할 것이다. 많은 기업이 오래된 프린터와 신형 프린터를 섞어 쓰거나, 여러 가지 모델, 브랜드의 제품을 함께 쓰고 있다. 이런 복잡한 환경 덕분에 프린터 네트워크 보호가 한층 더 어려운 것이 사실이지만, 그렇다고 대책이 없는 것은 아니다. 우선 프린터 보안 프로세스를 강화하는 것에서부터 시작하되, 이 부문에 대한 전반적인 관심과 인식의 증가가 필요하다. 프린터 보안의 책임은 최종 사용자인 기업에게만 있지 않다. 프린터 제조업체들, 관리 서비스 업체들, 그리고 보안 솔루션 업체들도 프린터 보안을 여느 IT 인프라 보안만큼이나 중요하게 생각하고 서비스에 반영해야 한다"라고 말했다.
 

8. 무선 통신업체에 대한 공격과 아이폰 및 안드로이드 기기 위험

주요 무선 통신업체들에 대한 공격은 수백만 명의 고객 정보를 노출시킬 것이며 미국 전역의 무선 통신을 마비시킬 위험도 있다고 익스피리언 보고서는 지적했다. 핵심 인프라스트럭처에 대한 공격과 마찬가지로, 무선 네트워크에 대한 공격 역시 국가 전체를 마비시킬 수 있다. 이 보고서는 "인정할 건 인정하자. 때로는 그저 대규모의 혼란을 초래하는 것이 목표인 해커들도 있다. 그리고 무선 네트워크에 대한 공격은 핵심 인프라에 대한 공격과 마찬가지로 국가 단위의 혼란과 피해를 초래할 수 있다. 이런 공격은 전국적으로 통신 서비스를 중단시킬 뿐 아니라 비즈니스 운영을 방해하고 응급 서비스 제공을 어렵게 만들 것이다"라고 전했다.
 

9. 기존 크라임웨어를 사용한 테러리스트 집단의 사이버 공격

대부분 사이버 범죄자는 해킹에 사용할 도구를 크라임웨어 판매자들로부터 얻는다. 2019년에는 해커들보다 훨씬 위험하고 파괴적인 목표를 추구하는 테러리스트들도 이런 크라임웨어를 구매하고 사용하게 될 것이다. 사이랜스(Cylance)의 최고 보안 및 신뢰 책임자 말콤 하킨스는 "랜섬웨어를 사용해 시스템에 침투하는 대신 새로운 툴을 사용해 표적에 해를 가하려 할 것이다. 사실상 하드웨어 교체를 할 수 밖에 없도록 만드는 데이터 무결성에 대한 공격이나 최근 베네수엘라에서 있었던 드론 공격처럼 테크놀로지를 활용한 물리적 공격 등 사이버 공격의 면적이 넓어지고 있다"고 말했다. 

워치가드(Watchguard)는 국가 기관들 역시 파이어 세일(fire sale) 공격을 시도할 것이라고 예상했다. 파이어 세일은 영화 <다이 하드> 시리즈에서 가져 온 개념으로 도시 또는 국가의 교통 시스템, 금융 및 통신망, 그리고 가스, 수도, 전기 체계를 차례로 공략하는 체계적인 사이버 공격 방식을 말한다. 영화 속 테러리스트들은 이런 공격이 초래한 두려움과 혼란을 틈타 엄청난 돈을 갈취하는 데 성공한다. 워치가드는 블로그 포스트를 통해 "현대 사이버 보안 사고 사례들을 보면 국가 단체나 테러리스트 집단들에게 이런 일을 벌일 만 한 충분한 역량이 있음을 알 수 있다. 어쩌면 2019년이 이런 대규모 공격이 발생하는 첫 해가 될 지도 모른다"고 전했다. 
 

10. 금융업체를 직접 표적으로 한, 스키밍 악성코드 공격 

현재는 불법 신용카드 스키밍(skimming) 장치를 사용해 카드 정보와 비밀번호를 훔쳐가는 방식이 가장 많이 사용되지만, 미래에는 은행 네트워크를 직접 공략해 더 큰 돈을 노리는 범죄자들이 늘어날 전망이다. 컴퓨터 시스템에 악성코드를 로딩해 개별 ATM을 공격하는 절차를 우회하는 것이다. 메가카트(Megacart)가 뉴에그(Newegg), 티켓마스터(Ticketmaster)와 같은 웹사이트에서 했던 것처럼 말이다. 이런 식의 스키밍 악성코드를 사용하면 눈에 띄지 않고 기업 인프라스트럭처에 자연스레 녹아들 수 있다. 익스피리언 보고서는 "이를 통해 해커들은 기업이 알아채지 못하는 사이 엄청난 피해를 입힐 수 있다. 악성코드를 사용해 개개인의 금융 정보, 개인 정보를 빼내는 수법은 아직까지는 초기 단계에 있으며 사이버 범죄자들조차도 이런 류의 공격이 갖는 효과와 파급력에 이제 막 눈을 뜨고 있다. 때문에 현재는 이런 식의 공격을 시도하는 범죄자들이 적지만, 향후 악성코드 기반 스키밍 공격은 더욱 발전, 증가할 것이다"고 설명했다.

파지티브 테크놀로지(Positive Technologies)의 사이버 보안 리질리언스 책임자 레이-앤 갤러웨이는 특히 중간 규모 은행들이 해커들이 가장 선호하는 표적이 될 것이라고 전망했다. 이들 은행은 막대한 현금을 보유하고 있으면서도 보안에 많은 투자를 하지 않기 때문이다. 아니면 공격 체인 상의 링크로써 소규모 은행들을 노릴 가능성도 있다. 예를 들어 소규모 은행 직원의 컴퓨터에서 보다 큰 은행으로 피싱 이메일을 보내는 식이다. 갤러웨이는 "이들은 은행 인프라스트럭처에 침투하기 위해 피싱을 사용할 것이다. 여기에 사용된 툴이나 악성코드 등도 더욱 정교해 질 것이다. 해커들이 다크 웹에서 거래되는 제로데이 취약점 공격 툴에 막대한 돈을 투자하고 있기 때문이다"고 말했다. 
 

11. 게이머인 척 하는 해커들의 온라인 게임 시스템 공격

한편, 온라인 게이밍 커뮤니티도 새롭게 떠오르는 해킹 표적 가운데 하나라고 익스피리언 보고서는 지적했다. 사이버 범죄자들이 게이머인 척 하며 컴퓨터에 액세스해 플레이어들의 개인 데이터를 훔쳐가는 것이다. 이 보고서는 "게이밍 커뮤니티에서는 개인 식별 정보나 신용카드 정보 외에도 가치 있는 데이터들이 아주 많다. 게임 상에서 사용되는 토큰, 무기 등 각종 아이템들은 커뮤니티 내에서 상당한 현금을 받고 거래된다. 비밀번호 하나만 알아내면(게다가 대부분 게이머들은 패스워드를 대충 설정하는 경향이 있다) 해커가 다른 플레이어의 아바타와 신원을 훔쳐 상당한 돈을 버는 것이 가능하다"고 전했다.
 

12. 서드파티 업체에 대한 공격이 핵심 인프라스트럭처 기업의 보안에 영향 미칠 것

상호 연결된 오늘날의 비즈니스 환경에서, 기업의 보안 수준은 결국 파트너 네트워크와 공급망의 가장 취약한 부분이 어느 정도인가에 따라 결정된다. 해커들도 이런 사실을 알고 있기에 네트워크의 취약한 부분을 노려 더 보상이 큰 기업에 액세스하고자 한다. 비트사이트(BitSight) 부대표 제이크 올콧은 벤더 또는 공급망 파트너에 대한 공격이 핵심 인프라스트럭처 기업의 서비스 딜리버리를 지연시키거나 아예 중단시킬 수도 있다고 예측했다. "심지어 국방 계약 도급업체조차도 국가 안보와 관련한 중요 정보를 대상으로 한 데이터 유출 사건을 경험하게 될 것이다. 이에 국방부는 추가적인 보안 통제를 요구하고, 도급업체들에 대한 요건도 강화하게 될 것이다."

13. 국가 기관의 사이버 공격 툴 활용, 한층 더 정교한 공격 시도하는 사이버 범죄자들

오늘날 가장 성공적인 사이버 범죄자들은 대부분 정부 관계자나 정부 지원 해커들의 '제자들'이다. 이들의 기술은 물론이고 이들이 사용하던 툴조차 사이버 범죄자들에게 전수됐기 때문이다. 또한 정부 기관들이 수집해 둔 제로데이 취약점들 중 유출된 것을 이용하는 데에도 무척 능한데, 2019년에는 이것이 문제가 되어 터질 수도 있다.
컴볼트(Commvault)의 솔루션 수석 책임자 나이젤 토저는 "갈수록 교묘해지는 이런 공격은 전례 없이 새로운 취약점들을 공략함으로써 사고가 터지기 전까지는 패치조차 불가능하다는 특징이 있다. 이는 클라우드 공급업체들에게 상당한 난제를 선사할 것이다. 아직까지 이런 취약점을 성공적으로 공략한 사례는 없었지만, 국가 기관들 간에 벌어지고 있는 사이버 '냉전'을 볼 때 이런 사건이 머지 않아 발생하리라는 것을 짐작할 수 있다"고 는 말했다. editor@itworld.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.