엔드포인트 시장, 지난 해 약 10조 원에 달해
엔드포인트 노린 랜섬웨어, APT 공격 커질 것
머신 러닝 활용한 엔드포인트 보안 주목

[보안뉴스 오다인 기자] 지난 주 15일부터 19일까지 미국 라스베이거스에서 열린 IT 전시회 ‘인터롭(Interop) ITX’에서도 최고의 화두는 워너크라이 공격 캠페인이었다. 업계 전문가와 기업들은 이번 워너크라이 사태가 향후 다가올 랜섬웨어 공격들의 시작에 불과하다고 입을 모았다.


행사 참가업체 CCMA LLC의 IT 매니저 댄 타르노위스키(Dan Tarnowski)는 “고객들이 악성 첨부파일을 클릭하도록 유도하는 랜섬웨어가 가장 큰 걱정거리”라고 말했다. 타르노위스키는 랜섬웨어 공격에 대해 극도로 우려하고 있었지만, 이번 공격으로 자사의 피해는 아직까지 없었다고 밝혔다.

대중의 관심이 집중된 이번 워너크라이 랜섬웨어 공격은 역사상 가장 큰 규모의 사이버 공격으로, 150여 개국의 기기 수십만 대가 침해된 것으로 나타났다.

IDC의 보안 연구자 롭 웨스터벨트(Rob Westervelt)에 따르면, 랜섬웨어는 엔드포인트 시장이 지난 해 약 10조 원에 육박하는 데 주요 동력으로 작용했다. 이 시장은 엔드포인트 보안 스타트업부터 시만텍, 맥아피, 트렌드마이크로와 같은 대규모 업체까지 수백 곳을 아우른다.

웨스터벨트는 “CIO들이 ‘랜섬웨어에 당하고도 왜 탐지가 안 됐을까?’하고 묻곤 한다”고 언급하며 보안상 어려움을 지적했다. 웨스터벨트 및 다른 보안 전문가들은 랜섬웨어가 향후 지속적으로 엔드포인트 기기를 크게 위협할 것으로 예측한다. CNN 보도에 따르면, 사실 미국 연방수사국(FBI)도 랜섬웨어로 인한 피해액이 연간 1조 원에 달할 것으로 예측하고 있다.

엔드포인트를 겨냥한 APT 공격 또한 큰 위협이 될 것으로 예상된다. APT 공격에서 공격자는 침해 기기에 대한 접근권을 확보한 다음, 탐지되지 않으려고 포복한 채 오랜 시간을 숨죽여 기다리며 데이터를 빼돌린다. APT는 주로 국가적 위협 조직과 관련된 공격 수법이다.

APT는 대규모 조직을 노리는 경향이 있고, 보통 이메일을 통해 사용자가 첨부파일을 다운 받거나 링크를 클릭함으로써 접근권을 넘겨주도록 유도하는 사회 공학적 기법을 쓰는 것으로 나타난다고 카스퍼스키 랩 북미 수석 부사장 마이클 카나반(Michael Canavan)은 설명했다.

“APT 공격자들은 링크드인(LinkedIn) 연결 신청처럼 보이는 가짜 이메일을 보냅니다. 사용자는 악성 코드를 자기 시스템에 다운로드하는데, 그때 APT가 그 시스템에 침투한다는 사실조차 모릅니다.” 카나반의 지적이다.

엔드포인트에 대해 가중하는 우려는 랜섬웨어나 APT뿐만이 아니다. NSS 랩 보안시험 부회장이자 자문인 마이클 스팬바우어(Michael Spanbauer)는, 이런 공격들이 계속 반복하는 비율이나 엔드포인트를 노리는 기타 공격의 비율이 빠르게 높아지고 있다는 사실도 또 다른 걱정거리라고 지적한다.

“지난 10년 동안 속도가 엄청나게 빨라졌습니다. 이건 마치, 1924 포드 모델 T 세단을 몰다가 시속 200마일의 맥라렌(McLaren)을 운전하는 것 같습니다.” 스팬바우어는 “그나마 희소식은 혁신 및 보안 전문가들도 더 나아졌다는 점”이라고 언급했다.

위협 탐지의 진화
대부분의 랜섬웨어 공격은 적절한 패치, 백업, 다른 기본적인 보안 수칙을 따르면 피할 수 있다. 한편으론, 머신 러닝과 같은 엔드포인트 보안 기술들이 등장하면서 보안 팀이 각종 사건과 침해에 보다 잘, 보다 빠르게 대응할 수 있을 것이라고 보안 전문가들은 말한다.

IDC의 웨스터벨트는 “최근 머신 러닝에 대한 이야기가 많다”고 말한다. “파일들을 들여다보는 머신 러닝으로 점차 더 강력한 위협 탐지 엔진을 발전시킬 수 있다는 이야기가 돌고 있다”고 웨스터벨트는 전했다.

머신 러닝은 각 조직이 빠르게 채택하거나 혹은 실험하는 단계에 있다. 내년에는 크고 작은 기업의 절반 이상이 머신 러닝을 채택 또는 실험에 들어갈 것으로 보인다고 엔드포인트 보안 업체 사일런스(Cylance)의 CEO 스튜어트 맥클루어(Stuart McClure)는 바라봤다.

머신 러닝은 데이터 세트를 통해 학습하고 가시성(visibility)을 획득한다. 위협이 어디서부터 오는지, 어디로 움직이는지 탐지하고, 이전 공격과의 연관성을 파악하며 보안 전문가로서 취해야 할 행동을 수행하는데, 인간보다 훨씬 빠르게 수행한다.

어떤 전문가들은 머신 러닝을 인공지능(AI)의 좁은 형태로 생각하기도 한다. 인공지능은 사람이 생각하는 방식과 비슷하게, 여기저기서 수집한 정보를 바탕으로 다양한 행동을 고려하고 결정을 내릴 수 있다.

맥클루어는 전 세계적으로 맞닥뜨리는 기업의 약 80%가 엔드포인트에 인공지능을 활용하길 원한다고 말했다. 엔드포인트 기업 중 절반은 전통적인 시그니처 기반의 안티 바이러스 기술을 즉시 대체하길 원했으며, 나머지 절반은 시간을 갖고 점차 바꿔나가길 원했다고 덧붙였다.

“큰 기업들은 매우 많은 단계의 보호막에 싸여있기 때문에 인공지능을 어디에 위치시킬지 파악하는 데 많은 시간이 걸리지만, 15만 개에서 20만 개 혹은 그 이하의 노드를 가진 중소기업들은 최신 기술을 보다 빠르게 적용시킬 수 있다”고 맥클루어는 짚었다.

IDC의 웨스터벨트는, 비록 많은 엔드포인트 스타트업들이 출범과 동시에 사용자 행동에 맞춘 시그니처 프리 탐지 기술을 출시하고 있지만, 많은 기존 기업들 역시 자사 제품에 시그니처 기반 탐지 엔진을 추가하고 있는 중이라고 지적했다.

“위협의 대다수가 이미 알려진 것들인데, 샌드박스에 굳이 더 부담 줄 필요가 있을까요?” 웨스터벨트는 사용자 행동에 기초해서 혹시 모르는 악성 소프트웨어를 시험하겠다는 생각에 의구심을 가지고 있다.

전통적인 시그니처 기반 안티 바이러스 업체들은 자사 제품들에 시그니처 프리 보안 소프트웨어를 추가해오고 있다. 결과적으로, 새롭게 등장한 스타트업과 기존 보안 업체들 간 차별성은 점점 더 사라지는 중이라고 웨스터벨트는 말한다.

최근 253명의 중소기업 IT 매니저와 감독을 대상으로 한 미국 조사에 따르면, 이중 53%가 엔드포인트 보안 구매 결정에서 가격을 최우선적으로 고려한 것으로 나타났다. 또한 바이퍼(VIPRE)가 의뢰해 진행된 연구에 따르면, 엔드포인트 보안 기술을 확보하는 결정 과정에 랜섬웨어가 한 요인으로 작용했다고 답한 비율은 21%에 불과했다.

“시중에 좋은 제품이 많이 나와 있지만, 저희에게 딱 맞는 제품을 찾는 것이 제 숙제입니다.” 인터롭 ITX에 참석한 엔드유저(end-user) 플랫폼 컨설턴트 스테판 레티히(Stefan Rettig)는 말한다. “엔드유저 스페이스에서 위협을 줄이는 것이 제 최우선순위입니다.”
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>