사이버 범죄자들의 방어 장치 회피 능력이 향상되는 중이다. 이들은 자동화 기술을 덜 쓰면서도 공격의 속도를 높이고 있는데, 이는 해킹 범죄 산업의 분업화의 결과로 보인다. 또한 표적 공격을 하는 데 있어 멀웨어와 같은 ‘도구’에 대한 의존도 역시 낮추고 있어 탐지 역시 까다로워지고 있다.

[보안뉴스 문가용 기자] 공격자들의 해킹 실력이 나날이 발전하고 있다. 보안 업체 크라우드스트라이크(CrowdStrike)가 조사한 바에 의하면 기술적 향상 덕분에 횡적인 움직임도 빨라졌고 표적 공격의 비율도 높아졌다고 한다. 지난 1년 동안 표적 공격의 비율은 18%로, 전년도 14%에 비해 적잖이 상승했음을 알 수 있다.


크라우드스트라이크가 조사한 바에 의하면 공격자들은 ‘수동적인 기법’을 점점 더 많이 활용하는 중이라고 한다. 1년 동안 거의 50%나 이러한 유형의 공격이 증가했다고 한다. 그렇기 때문에 멀웨어에 대한 의존도는 낮아졌다. 크라우드스트라이크가 조사한 사이버 보안 사고의 71% 정도는 멀웨어가 하나도 연루되지 않았었다고 한다.

(‘수동적인 기법’의 공격이란 공격 대상에게 개인적으로 접근하여 신뢰를 얻어낸다거나, 피해자의 로그인 크리덴셜을 훔쳐 활용한다거나, 피해자 시스템에 설치된 정상적인 서비스 및 도구들을 악용해 공격을 실시하는 등의 악성 행위를 의미한다. 자동화 기술을 사용해 대량으로 피싱 메일을 뿌리고, 일괄적인 협박 편지나 멀웨어를 살포하는 것과 다르다.)

사이버 공격자들이 가장 활발히 공격하는 건 기술 분야였다. 모든 공격의 약 20%가 테크놀로지 관련 기업들에 집중되어 있었던 것이다. 그 다음은 통신사로, 전체 공격의 10%가 이 산업에서 발생했다. 그 뒤를 8%를 기록한 제조업이 뒤따랐다. 43%는 사이버 범죄 행위, 나머지는 사이버전 행위 및 핵티비즘 관련 행위로 분류되기도 했다.

크라우드스트라이크의 부회장 파람 싱(Param Singh)은 “사이버 범죄 시장에 새로운 흐름이 감지되고 있다”고 설명한다. “사이버 범죄 산업에 참여하려는 사람들이 유례가 없는 속도로 증가하고 있습니다. 거기에 더해 국가의 지원을 받는 해킹 단체들의 표적 공격도 꾸준히 증가하는 추세입니다. 지정학적인 갈등이 깊어짐에 따라 나타나는 현상으로 해석됩니다.”

수동적인 공격 기법을 사용하는 자들이 늘어나고 있다는 건 그만큼 도난당한 크리덴셜이 범죄자들 사이에 많이 유통되고 있으며, 정상적인 유틸리티를 악용하는 리빙오프더랜드(Living-off-the-Land) 전략의 인기가 높아지고 있다는 뜻이 된다.

하지만 최초 침투에서부터 횡적 움직임을 성공시키는 데에까지 걸리는 시간이 줄어들었다는 건 수동적인 공격 기법의 증가로 설명하기 힘든 현상이다. “오히려 자동화 공격 도구를 적극 활용할 때 횡적 움직임이 쉬워지죠. 수동 공격이 많아지고 있는데 횡적 움직임이 빨라졌다는 건 이해하기 힘든 현상입니다. 이건 무엇을 뜻하는 걸까요?”

싱은 “최근 다크웹에 최초 침투만을 전문적으로 하는 브로커들이 늘어나고 있다”는 점을 상기시킨다. “이들을 액세스 브로커(access broker)라고 부르는데요, 피해자 네트워크나 장비로 들어가는 문만 열어놓고 열쇠를 랜섬웨어 운영자 등 다른 부류의 해커들에게 파는 자들입니다. 사이버 범죄 시장 입문자들에게는 진입 장벽을 크게 낮춰주는 서비스죠. 또한 최초 침투 방법에 대한 연구 시간을 줄여주면서 횡적 움직임에 좀 더 집중할 수도 있게 해 주죠.”

크라우드스트라이크는 표적 공격이 늘어난 이유로 러시아-우크라이나 전쟁을 꼽는다. 하지만 표적 공격을 가장 많이 하는 건 중국의 해커라고 한다. “러시아나 중국이나 타국 정부 기관이나 기업들을 대상으로 표적 공격을 상당히 많이 저질러온 국가입니다. 우열을 가리기 힘들 정도지만 굳이 따지자면 중국의 공격이 좀 더 빈번합니다.”

탐지는 됐으나 배후를 알 수 없는 공격 역시 꽤나 높은 상황이다. 크라우드스트라이크의 보고서에 의하면 지난 1년 동안 발견된 ‘배후를 특정할 수 없는 공격’은 전체의 38%였다. 전년도 조사에서는 39%로 대동소이했다. “사이버 공격자의 실력을 엿볼 수 있게 해 주는 지표 중 하나가 ‘흔적 지우기’입니다. 실력이 좋은 해커들일수록 결정적인 증거가 보안 분석가의 손에 들어가지 않도록 하는 데 능숙합니다. 심지어 다른 공격자로 의심케 하는 장치를 심는 경우도 있죠.”

이러한 공격자들의 움직임에 맞추기 위해서 방어자들은 어떻게 해야 할까? 자동 탐지 기술과 인간 기반 위협 탐지 서비스를 모두 활용해야 한다고 크라우드스트라이크는 강조한다. “수동적인 공격 기법의 장점은 자동화 도구보다 탐지에 덜 걸린다는 것과, 피해자에게 밀접하게 접근할 수 있다는 것입니다. 자동 탐지 도구들로는 이런 은밀한 움직임을 다 걸러낼 수 없습니다. 그러니 자동화 솔루션에 더해 인간의 분석력과 탐지력도 키워야 합니다.”

싱은 “해킹 공격과 방어가 속도전이라면 이미 해커들이 훨씬 앞서 있는 상태”라고 말한다. “그렇기에 자동화 솔루션도 반드시 필요합니다. 게다가 아직 수많은 아마추어 해커들이 활동하고 있다는 것도 기억해야 합니다. 다만 그런 자동화 기술을 피하기 위해 손을 직접 움직여 한땀 한땀 정성스레 해킹하는 자들도 있다는 걸 기억할 필요가 있습니다.”

3줄 요약
1. 침투까지만 대행해 주는 해커들 때문에 사이버 범죄자 되기 쉬워짐.
2. APT 공격 단체들 중 수동적인 기법으로 표적 공격하는 자들의 비율이 높아짐.
3. 방어에는 기술력과 인력 모두 필요함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>