보안위협 TOP 3 : 랜섬웨어, 스피어피싱과 워터링 홀 공격, 다크웹 통한 악성코드 유포

“엄마 일 그만 두면 안돼?
꿈이 하나 있는데
학교에서 돌아오면 엄마가 미국에서 해줬던 것처럼
엄마는 쿠키를 굽고
쿠키 먹으면서 학교에서 있었던 일을 들어 줬으면 좋겠어

‘이 부탁을 못 들어주면 아이에게 결핍이 될 거 같은데
내가 나의 일 때문에 아이를 희생시켜도 되나?’ 고민했어요.

하지만 일을 하면서도 잘 키울 수 있을 거 같아
아이에게 시간을 많이 내줄 수는 없어도
아이와의 시간은 꼭 낸다고 딸과 약속했어요

워킹맘들은 아이에게 못해줬다는 죄책감이 있어요.
아이의 성장 과정일 뿐 일하는 엄마의 탓이 아닌데
열심히 살면 아이가 다 은연중에 배우기 때문에
정말 일하는 여성들한테 저는 희망을 드리고 싶어요.”


[보안뉴스 김경애 기자] L그룹 최초 여성 임원이자, 배우 윤여정 동생으로도 잘 알려진 윤여순 CEO의 말이다. 워킹맘으로 살아가기도 버거운 세상에서 보안 분야 가운데서도 악성코드 분석가로 두각을 나타내는 보안전문가가 있다. 바로 안랩의 최유림 선임연구원이다. 보안전문가로, 워킹맘으로, 당당하게 근무하며 프로페셔널한 모습을 보여주고 있는 최유림 선임연구원의 모습에서 윤여순 CEO의 말이 생각났다.

안랩의 최유림 선임연구원은 안랩 분석팀 소속으로 주로 악성코드 분석 및 대응, 악성코드 모니터링 및 분석 콘텐츠 작성 업무를 수행하고 있다. 또한, 분석팀의 포렌식 파트와 협업해 침해사고 케이스도 함께 분석하고 있다. 지금부터 최유림 선임연구원과의 인터뷰를 통해 최근 보안위협과 2023년 보안위협 전망 TOP 3에 대해 들어보자.

1. 직업군에 관한 질문 영역
악성코드 분석가가 된 계기가 궁금합니다.
대학교 컴퓨터학과 재학 시절 보안 분야는 막연하게 누군가를 지켜주고 보호해 줄 수 있는 분야라는 생각에 끌리게 되었고, 해당 분야로 직업을 삼아야 겠다는 생각으로 공부했습니다. 그러던 중 대학생을 대상으로 연수생을 모집한다는 안랩의 채용공고를 보고, 지원해 합격한 후 분석팀에 소속되었습니다. 분석팀에서 간단한 악성코드 분석을 해보고, 실제 재직자분들께서 분석 이슈에 대응하는 모습을 보고 큰 매력을 느껴 저도 분석가가 되어야겠다는 생각을 굳히게 됐죠. 특히, 제가 연수생으로 있던 2013년에 대규모 보안사고가 발생했는데요. 당시 안랩의 분석가 선배들이 불철주야 분석하고 대응하는 모습을 보고 매료된 게 결정적인 계기가 된 것 같습니다.

안랩에 입사한 이유는 무엇인가요?
보안 분야에 있어 국내 최고 기업인 안랩에 입사하고 싶다는 생각이 저한테는 너무 당연했습니다. 많은 악성코드를 접하고 분석하며, 악성코드에 의한 피해를 막기 위해 업무에 임하고 있는 지금, 원하는 회사에 입사해 일하고 있다는 것에 너무 감사하고 있습니다.

2. 보안이슈에 관한 질문 영역
최근 보안 이슈에 대해 설명해 주신다면?
과거에는 악성코드 공격자가 직접 악성코드를 제작해서 유포했던 반면, 최근에는 다크웹에서 악성코드가 판매돼 다수의 공격자가 악성코드를 제작하지 않아도 공격할 수 있게 됐습니다. 이에 따라 같은 종류의 악성코드라도 공격자가 다를 수 있어 다양한 형태와 방식으로 유포되고 있습니다. 다크웹을 통해 판매되는 악성코드가 다수의 스피어피싱 공격 등으로 이어지고 있으며, 수집된 사용자 정보가 다크웹에 올려지기도 해 추가 공격에 악용될 수 있는 등 각종 위험에 노출되어 있습니다.

최근 보안위협 트렌드에 대해 설명해 주신다면?
최근 유포되는 악성코드의 트렌드로는, 문서형 악성코드의 유포 비중이 전년도에 비해 현저히 줄어들었다는 점입니다. 그에 반해 ISO, MSI, CHM 등과 같이 이전에는 유포가 뜸했던 파일 포맷의 악성코드 유포가 증가하고 있습니다. 안랩 분석팀에서는 이러한 변화들을 ASEC 블로그 등을 통해 알리고 있고, 정확하고 신속한 진단을 통해 빠르게 변화하는 악성코드에 대응하고 있습니다.

2023년 보안이슈 TOP 3를 전망해 주신다면, 그리고 뽑은 이유는?
1. 기업 대상 랜섬웨어 공격
제가 업무를 하며 선정한 보안이슈 첫 번째는 기업을 노린 랜섬웨어입니다. 작년과 마찬가지로 기업 대상 침해 공격은 여전히 증가하고 있습니다. 정보 획득은 물론 최종적으로 랜섬웨어 감염 목적의 침해 공격이 주를 이뤘습니다. 이러한 공격은 내년에도 지속될 전망입니다.

2. 스피어피싱과 워터링 홀 공격
기업대상 침해사고를 포함한 공격의 Initial Access(초기 침투) 방법으로 여전히 스피어피싱과 워터링 홀 공격이 다수 사용되고 있습니다. 특히, 스피어피싱의 경우 사전에 사용자 정보를 획득한 후, 열람을 하게 할 목적으로 점점 그럴듯하게 작성되고 있습니다. 뿐만 아니라, 이메일 하이재킹을 이용해 사용자가 사전에 피싱 메일인지 인지하기가 어려워지고 있습니다. 공격자들에게는 사용자들을 속일 수 있는 좋은(?) 방법이기에 내년에도 해당 공격 기법들은 지속될 것으로 보입니다. 사용자들은 첨부파일이나 링크 실행 및 웹 사용에 있어 각별한 주의가 필요합니다.

3. 다크웹 구매를 통한 악성코드 유포
다크웹에 랜섬웨어와 인포스틸러 악성코드들이 활발히 판매되고 있어 다양한 방식으로 공격이 이루어질 수 있습니다. 구매하고 얻은 악성코드로 공격자들은 정보를 획득해 추가 공격에 사용하거나 금전적 목적을 취할 수 있습니다. 다수의 공격자는 악성코드를 쉽게 얻을 수 있어 공격 또한 다방면으로 감행될 수 있는데, 내년에도 이러한 추세가 이어질 것으로 전망됩니다.

기업의 보안강화를 위해 조언해 줄 것이 있다면 무엇인가요?
기업 등 조직의 보안담당자라면 조직 구성원에게 보안수칙 준수를 반복해서 강조하는 걸 권해드립니다. 대표적으로 침해과정 중 Initial Access(초기 침투)의 경우 스피어피싱 공격을 통해 이루어지는 경우가 많기 때문에 잘 모르는 발신인이 보낸 이메일의 첨부파일이나 링크 열람을 자제해야 합니다. 또한, 소프트웨어는 반드시 공식 경로를 이용해 다운로드 하도록 안내해야 합니다.

그리고 취약점을 통해 침해가 발생되지 않도록 위해 조직 내 PC, OS(운영체제), SW, 웹사이트 등에 대한 보안 사전점검을 주기적으로 시행할 수 있는 시스템을 갖춰야 합니다. 이중인증 또는 멀티팩터인증(MFA)를 도입해 계정 보안에도 힘써야 합니다. 계정을 노린 공격에 대비해 조직 구성원이 시스템의 패스워드를 주기적으로 변경하도록 공지하거나 강제할 수 있는 시스템을 마련해야 하며, 단순한 패스워드는 사용할 수 없도록 하는 등 기본적인 보안 수칙을 지킬 수 있는 환경이 갖춰져야 합니다.

지금 말씀드린 내용은 보안담당자라면 반복적으로 들어봤을 보안수칙입니다. 실제 발생한 침해사고를 분석해보면, 위 수칙이 지켜지지 않아 발생한 사고 케이스가 대부분입니다. 따라서 이러한 기본 수칙들을 준수해 침해가 발생되지 않도록 주의해야 합니다.

보안전문가로 일하면서 가장 기억에 남는 보안사고 및 보안이슈는 무엇인가요?
심각한 침해사고들도 많았지만 개인적으로 ‘갠드크랩(GandCrab)’ 랜섬웨어를 분석하고 대응했던 것이 기억에 남습니다. 2018년부터 2019년까지 공격자가 안랩의 대응을 지속적으로 모니터링하면서 진단 우회를 위해 버전을 업데이트해 배포하는 등 치열한 수싸움이 계속 됐기 때문인데요. 끊임없이 분석한 내용을 안랩 ASEC 블로그에 게시했고, 킬스위치를 발견해 공개했었는데요. 해당 내용이 국내외 IT 언론을 통해 몇 차례 보도되기도 했습니다.

그리고 공격자는 마치 경고하듯, 코드상에 ‘안랩’과 ‘V3 Lite’ 제품을 직접적으로 언급하며 적극적인 공격을 시도했었습니다. 매일 모니터링하면서 공격자와 마치 가까이에서 대결하듯 대응했던 기억이 납니다.

3. 분위기 전환, 지극히 개인적인 질문 영역
요즘 자주 듣는 곡은?
이소라의 ‘신청곡’이라는 노래입니다. 2019년 1월 발매된 곡으로 겨울철 잔잔하면서 따뜻함을 느끼게 해주는 노래로 발매 이후 매년 겨울마다 찾아 듣곤 합니다.

좋아하는 색깔은?
보라색입니다. 보라색을 좋아하면 사이코라는 흔한 말이 있어 대답할 때마다 망설여집니다.

내가 꼰대라고 느낄 때?
과거 업무 히스토리에 대한 설명을 하게 될 때 ‘저 때는~’이라는 단어를 사용하면 괜히 뜨끔하게 됩니다. 스스로 꼰대라고 생각하지는 않는데... 이 부분은 후배들에게 물어봐야 할 것 같습니다.

나의 좌우명은?
‘멋진 할머니가 되자.’ 안랩 입사 준비를 하면서 생각했던 좌우명인데요, 아직까지 바뀌지 않고 있습니다. 어느 자리에 있던 최선을 다해서 스스로 돌아봤을 때 ‘잘 살았다’라고 느껴질 수 있도록 살아가고 싶습니다. 안랩에 소속돼 있는 동안, 보안 분야에서 꾸준히 커리어를 쌓아 잘 분석하며 ‘잘 살아내고’ 싶습니다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>