Offcanvas

랜섬웨어 / 보안 / 악성코드

기고ㅣ고급 사이버 범죄의 수익성이 높아지는 이유와 그 대응책

2021.11.05 강하라  |  CIO KR
사이버 범죄자의 목적은 일반적인 범죄자와 크게 다르지 않다. 둘 다 적은 노력으로 더 큰 수익을 얻고 법의 처벌을 빠져나가길 원한다. 범죄자들은 비용 대비 효율성을 추구하기 때문에 공격으로 인한 수익보다 소요 비용이 크다면 관심을 갖지 않는다. 도둑들이 튼튼한 울타리와 최신 경비 시스템을 갖춘 집을 쉽게 노리지 않는 것과 같다.
 
ⓒGetty Images

보안이 삼엄한 대상에 대한 공격을 준비하는 데에는 많은 시간과 수준 높은 기술, 비싼 도구가 필요할 뿐 아니라 탐지될 위험도 크다. 수익을 얻기에 적합하고 취약한 사냥감이 많다면 굳이 위험성과 수고가 큰 일을 할 필요가 있을까? 따라서 많은 사이버 범죄자들은 좀 더 쉬운 표적을 택하곤 한다.

그래서 IT 보안 사고의 대부분이 손쉽게 이행할 수 있는 공격과 관련돼 있다. 최근의 사건 대응 분석 보고서에 따르면 조사 대상 공격의 63%는 패치 관리 소홀 및 부적절한 암호 정책에서 그 원인을 찾을 수 있었다.

즉, 상당수의 회사가 여전히 기본적인 보안 관리 문제를 안고 있다는 것이다. 그러니 사이버 범죄의 수익성이 높은 것도 놀랄 일은 아니다. 딜로이트(Deloitte) 연구 결과에 따르면 사이버 범죄자들은 매월 건당 미화 34달러의 비용으로 공격을 실행하고 2만5,000 달러의 수익을 거두는 것으로 나타났다.

그렇다면 보안 수준이 높은 조직은 안전하고 범죄자들이 관심을 기울이지 않을까? 꼭 그렇지만은 않다. 가장 안전한 인프라조차도 사용자 실수 및 인프라 복잡성과 같은 위험 요인이 사이버 범죄자에게 기회로 작용할 수 있다.

최근 우려가 높아지고 있는 또 다른 추세도 있다. 고급 공격 또는 APT급 공격을 구성하고 실행하는 것이 점점 쉬워져 범죄자들의 수익성이 높아지고 있는 것이다.

APT급 공격이란 무엇인가? 
일반적인 지능형 지속 공격은 목표 대상을 까다롭게 고른다. 국가 기관이나 대기업 등 가치가 높은 대상을 목표로 한다. 공격의 목표는 가능한 한 오랫동안 탐지되지 않고 시스템에 상주해 전략적 가치가 높은 중요 정보를 획득하거나 핵심 인프라를 파괴하는 것이다.

대개 APT 공격에는 많은 리소스가 필요하므로 공격 비용이 상당히 높지만, 주로 정보 탈취에 초점을 두는 특성으로 인해 금전적인 측면에서 공격의 효과를 평가하기는 어렵다.

 
강하라 카스퍼스키 코리아 대표 ⓒ카스퍼스키  
APT급 공격은 APT 툴킷을 사용하고 막대한 피해를 남길 수 있으나 APT 공격과 완전히 같지는 않다. 먼저 APT급 공격은 MITRE ATT&CK 목록에 등록된 APT 공격자들이 실행하는 것이 아니다. 또 APT급 공격자들이 보다 현실적인 목적을 가진다는 것도 차이점이다.

APT 공격자들의 기법, 전술, 절차(TTP)가 유출되면서 사이버 범죄자들이 돈을 훔치거나 대가를 요구하는 등 상당한 수익을 빠르게 실현할 수 있게 됐다. 그래서 APT급 공격자들은 공격 대상을 까다롭게 고르지 않는다.

문제는 이들이 사용하는 고급 TTP가 탐지 및 대응이 어렵다는 점이다. 따라서 이제는 모든 조직이 위험하다. 이 공격의 대표적인 예로는 WannaCry 사례가 있다.

침입자들은 섀도우 브로커스(Shadow Brokers)가 유출한 이터널블루(EternalBlue) 익스플로잇을 사용하여 23만 대 이상의 컴퓨터 시스템을 감염시키고 약 40억 달러의 피해를 남겼다.

범죄의 커뮤니티화가 공격의 수익성에 미치는 영향
최근에는 기술적으로 조금 뒤처지는 사이버 범죄자들도 APT 도구를 손쉽게 획득하여 복잡한 공격을 수행할 수 있다. 마치 평범한 도둑이 드라마 종이의 집에 나오는 교수 캐릭터가 구상한 복잡한 계획을 손에 넣는 것과 같다.

물론 일반적인 범죄자가 이처럼 수준 높은 계획을 완벽하게 이행할 수는 없겠지만 새로운 기법 중 일부를 활용하여 범죄의 효율성을 높일 수는 있을 것이다.

사이버 범죄 세계에서 이와 같은 상황은 깃허브화(Githubification)로 인해 현실이 되었다. 이 용어는 원래 정보보안 업계에서 방어자의 학습 속도를 높이기 위해 사용하던 커뮤니티 기반의 방식을 의미했다. 정보보안 전문가들이 모여서 효율적으로 학습하고 서로의 경험과 기술을 공유한다면 보다 빠르게 기술과 지식 수준을 높일 수 있을 것으로 생각한 것이다.

그러나 사이버 범죄자들 또한 깃허브화 방식을 도입하여 자신들의 기술을 결합하면서 누구나 고급 기술을 사용하는 것이 가능해졌다. 이 방식은 기존의 도구와 기법을 재사용할 수 있으므로 시간과 비용 측면에서 효율적이다.

이제는 사이버 범죄자들이 엔드포인트 보안 솔루션에 의해 자동 탐지될지도 모를 도구를 새로 만드는 대신, 탐지되지 않고 공격을 수행하는 방법을 습득할 수 있게 된 것이다. 이러한 현상은 특히 공격자 코드가 시스템 프로세스 메모리에 위치하는 경우 파일리스(fileless) 공격 또는 악성 코드 없는 공격과 관련이 있다.

최근 사건 대응 분석 보고서 결과에 따르면 2020년도 전체 사건 사례의 약 절반 정도에서 기존 OS 도구(예: Living Off the Land Binaries 또는 LOLBins), 깃허브에서 잘 알려진 공격 도구(예: Mimikatz, AdFind 및 Masscan) 및 특수 제작된 상용 도구(Cobalt Strike)가 사용됐으며 그 비중은 전년 대비 13% 높았다. 대개 인간이 개입하여 조종하고 큰 피해를 남기는 심각성이 높은 사고에서 LOLBins가 특히 많이 사용된다. 

LOLBins는 기업의 인프라에 침투하고자 하는 악성 코드에 완벽한 위장을 제공하며 인공지능(AI)으로 탐지할 수 없다. AI는 유사성을 찾기 때문에 범죄자들은 항상 새롭고 고유한 것들을 만들어낸다.

AI 기반 기술은 매우 유용하고 IT 보안 비용을 절감하는 데 도움이 되며 오탐지 활동을 가려내는 데 우수하다. 하지만 복잡하고 수준이 높은 악성 활동은 자동화된 솔루션으로 찾아내기 어렵다. 사람이 직접 조종하는 악성 활동은 사람이 직접 탐지해야 한다. 

기업이 이러한 유형의 공격에 대응하는 방법
이처럼 증가하는 새로운 공격 유형으로부터 기업을 보호하고 사이버 범죄의 피해를 줄이기 위해 어떤 조치를 취할 수 있을까? 무엇보다 기본적인 사이버 보안이 실현돼야 한다. 가장 높은 수준의 공격도 때로는 사소한 취약점을 통해서 시작되기 때문이다.

• 기업의 직원들이 정보보안 정책을 분명하게 숙지하고 보안 침해가 가져오는 위험에 대해서 알 수 있도록 교육한다. 보안 인식 교육을 형식적으로만 실시하는 것이 아니라 정기적으로 이해하기 쉽게 실시해야 한다. 이는 피싱 이메일 및 취약한 암호가 초래할 수 있는 피해를 줄이는 데 중요한 수단이다.

• 대부분의 경우 공격자들은 패치가 적용되지 않은 오래된 취약점을 통해 인프라로 침투한다. 그래서 지속적인 패치 관리, 소프트웨어 업체로부터 취약점에 대한 세부 정보 정기 업데이트, 네트워크 스캔 및 패치 설치 업데이트가 모든 종류의 기업과 조직에 필요하다. 

IT 보안 준비도를 개선하기 위한 다음 단계는 적절한 탐지 및 대응 조치를 갖추는 것이다.

• 다양한 기법과 기술을 함께 사용해 위협을 탐지해야 한다. 복잡한 공격도 사실은 단순한 단계와 기법이 조합된 것이다. (자세한 내용은 2020년 4분기 관리형 탐지 및 대응 분석 보고서의 사이버 공격 전술, 기법 및 절차 섹션에서 확인할 수 있다.)

그 중 특정 기법을 하나만 탐지해도 전체 공격이 드러날 수 있다. 다양한 탐지 기술을 사용하면 여러 가지 범죄 기법을 찾아낼 수 있고 보안 기술을 다양하게 갖추고 있으면 탐지율을 높일 수 있다. 마지막으로 엔드포인트 보안 플랫폼 및 네트워크 침입 탐지 시스템을 사용해야 한다.

• 보안 운영 센터(SOC) 팀은 소속된 업계 및 조직과 관련있는 기술과 도구를 갖춰야 한다. 예를 들어 레드 팀(red teaming) 연습을 통해 CLR을 사용하는 새로운 회피 기술과 같이 최신 공격 전술을 도입하여 실제와 유사한 공격 상황을 시뮬레이션하고 기업의 현재 운영 보안 상황을 명확히 제시해야 한다.  

관리형 탐지 및 대응 서비스는 정보 보안 수준에 관계없이 모든 기업에게 비용 측면에서 효율적인 솔루션이다. 사이버 보안 성숙도가 비교적 낮은 기업의 경우, 자동 위협 탐지는 물론 파일리스(fileless) 공격 탐지에 필수적인 수동 탐지 기능까지 제공하는 이 서비스가 SOC를 대신할 수 있다. 보안 수준이 높은 기업도 추가적인 스캔 및 사건에 대한 전문가 평가를 제공하는 MDR을 유용하게 쓸 수 있다.

* 저자 강하라는 카스퍼스키 코리아 대표다. ciokr@idg.co.kr
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.