두 개의 보고서가 나왔는데, 사이버 공격자들이 우리의 방어 체계에 점점 익숙해지고 있다는 걸 지적하고 있다. 강력해지지 못한 지점들을 간파하고 집요하게 파고드는 데에 능숙해지고 있다는 것인데, 2022년에도 이 점이 계속 증명될 전망이다.

[보안뉴스 문가용 기자] 사이버 범죄자들과 국가 지원 해커들이 점점 더 방어 전략에 적응해가고 있고, 그래서 공격의 효율성이 높아지고 있다는 연구 결과가 두 개 발표됐다. 하나는 보안 업체 크라우드스트라이크(CrowdStrike)의 ‘글로벌 위협 보고서(Global Threat Report)’이고, 다른 하나는 보안 업체 크롤(Kroll)의 ‘2021년 4사분기 위협 지형도(Q4 2021 Threat Landscape)’다.


크라우드스트라이크에 의하면 가장 눈에 띄는 변화는 랜섬웨어와 관련된 데이터 유출 사고가 2021년 한 해 동안 84% 늘어났다는 것이라고 한다. 크라우드스크라이크의 부회장 아담 메이어스(Adam Meyers)는 “공격자들이 노리는 게 시스템이 아니라 데이터라는 걸 이해해야 한다”고 강조한다. “정말 소중한 게 뭔지를 알아챈 것이죠. 그걸 가지고 암호화 하기도 하고 공개한다고 협박하기도 하면서 협상에서 ‘슈퍼 갑’이 되어가고 있는 게 지금의 공격자들입니다.”

데이터를 가지고 협박하는 방법을 공격자들이 익혔다는 건, 공격자들이 방어자들의 의표를 찌르고 들어갔다는 걸 뜻한다고 크라우드스트라이크는 짚는다. 공격자들이 방어자의 전략에 익숙해져가고 있다고도 볼 수 있다는 것.

“데이터 유출과 엮여 있는 랜섬웨어 공격에 엔지니어링과 공업 분야가 가장 많이 당했습니다. 2020년 230건이던 것이 2021년에는 400건을 훌쩍 뛰어넘었을 정도입니다. 그 다음은 제조업인데, 총 300건에 가까운 랜섬웨어형 데이터 유출 사고가 발생했습니다. 테크 분야에서는 200건 조금 넘는 사건이 있었고요.”

표적 공격도 꽤나 의미 있게 늘어났다. 크라우드스트라이크가 조사한 사건의 18%가 표적 공격이었다고 하는데, 2020년에는 이 숫자가 13%였다. 핵티비스트들의 공격은 2020년이나 2021년이나 1% 정도로 유지되고 있었고, 해킹 공격의 대부분을 차지하는 ‘사이버 범죄’의 경우 아주 조금 줄어들었다고 한다.

2021년을 크라우드스트라이크는 “새로운 전략과 멀웨어가 대담하게 등장한 때”라고 결론을 내린다. “2021년 동안 공격자들은 새로운 걸 시도하는 데에 거리낌이 없었습니다. 돈만 주면 흔히 구매할 수 있는 공격 도구 대신 자신들의 도구를 직접 만드는 경우도 많아졌고, 랜섬웨어를 데이터 유출 및 협박이라는 전략과 병합한다는 신박한 전략은 이미 대세가 됐고요. 이 때문에 탈취 데이터 판매와 거래 시장이 더 활성화 되기도 했습니다.”

데이터의 무기화
랜섬웨어에 걸린다고 해서 피해자들이 다 돈을 내는 건 아니다. 오히려 거절하는 곳이 더 많은 것으로 알려져 있다. 그게 가능했던 건 랜섬웨어에 대한 방어의 수준이 지난 몇 년 동안 꽤나 올라갔기 때문이다. 피싱에 좀 덜 걸리고, 백업도 미리미리 잘 하고, 랜섬웨어 솔루션을 설치하는 등의 노력을 통해서 말이다. 그래서 공격자들은 협상 테이블에서 주도권을 쥐기가 힘들었다.

그래서 등장한 게 랜섬웨어와 데이터 유출의 혼합 공격 전략이라고 아담 메이어스는 말한다. “랜섬웨어에 대한 방벽이 점점 탄탄해지고 있다는 걸 안 공격자들이 거기에 적응하고 성과를 거둔 것이 2021년입니다. 그러면서 디도스 공격을 추가한다는 등의 응용 전략도 출현했고요. 이러다 보니 기존 랜섬웨어 방어 전략이 아무런 효력을 발휘하지 못하게 됐습니다. 이젠 우리가 이런 공격 수법에 익숙해지고, 대응책을 마련해야 할 때입니다.” 메이어스의 설명이다.

“데이터를 쥐는 자가 협상에서 우위를 점한다는 사실이, 2020년까지 사이버 공격자들의 아쉬운 부분을 시원하게 해결하는 기폭제 역할을 했습니다. 엄청난 영감을 공격자들에게 주었고, 그래서 지금도 사이버 공격자들이 데이터를 쥐고 무기화 하는 방법을 연구 중에 있습니다. 데이터를 쥐고 있어야 상황에 대한 통제가 마음대로 된다는 걸 알았으니, 올해도 그런 맥락에서의 시도가 계속해서 이어질 것으로 예상됩니다.”

취약점, 취약점, 취약점
한편 크롤의 보고서에 따르면 공격자들이 최초 침투에 두 번째로 많이 사용한 기법은 취약점 익스플로잇이었다고 한다. 2020년만 하더라도 5번째를 차지했던 공격 기법이었다. 심지어 지난 4사분기에 발생한 공격 중 27%는 취약점 익스플로잇으로서 시작됐다고 한다. 1위는 변함없이 피싱 공격을 통한 크리덴셜 탈취였다.

“취약점 패치 전략을 보다 능동적으로 도입해야 합니다. 랜섬웨어 공격자들이나 정보 탈취를 목적으로 한 공격자들 전부 취약점 익스플로잇에 능숙해지고 있고, 즐겨 활용하고 있기 때문입니다.” 크롤의 총괄 책임인 케이스 워지시에젝(Keith Wojcieszek)의 설명이다. 현대 조직들이 유지하고 있는 애플리케이션 관리 및 보호 방법들에 구멍이 많다는 걸 공격자들이 알고, 그걸 공략하는 데에 많은 투자를 하고 있다는 것으로 우리의 방어 체계에 공격자들이 익숙해지고 있다는 크라우드스트라이크의 보고서 내용과 일치된다.

“작년에는 사법 기관들도 공격자들을 체포하고 공격 인프라를 거둬내는 데에 큰 성과를 거두기도 했습니다. 하지만 그런 성과를 상회하는 공격자들의 활동들이 있기도 했습니다. 랜섬웨어의 전략이 변했고, 정보 공개를 무기삼아 피해 규모를 키웠으며, 새로운 멀웨어들과 익스플로잇 기법들이 대거 등장했죠. 소프트웨어 취약점들이 다량으로 나오지만 대응이 느리다는 걸 악용하는 움직임이 거세진다는 것 역시 공격자들이 간파하고 있고요.”

3줄 요약
1. 공격자들, 현대의 사이버 방어 체계에 익숙해졌음.
2. 데이터를 쥐고 협상에서 유리한 고지를 선점하고, 소프트웨어 취약점을 집중해서 노림.
3. 이제는 방어자들이 공격자들의 수법에 익숙해져야 할 때.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>