기업들, 분명하게 보이는 위협은 막지만
최대 위협 중 몇 가지는 생각지도 못한다

[보안뉴스 오다인 기자] 최근 뉴스 헤드라인을 장식한 사이버 침해 소식이든 직접 겪게 된 사이버 공격이든, 사이버 보안 위협에는 언제나 새로운 걱정거리가 생기기 마련이다. 그렇다고 이런 모든 위협 요소들을 파악하고 대응하기란 거의 불가능에 가깝다.


그러나 사이버 범죄나 사이버 스파이에 당할 위험은 피할 수 없는 현실로 다가온다. 지금 공격자들은 멀웨어를 옮기고 크리덴셜을 훔치기 위해 스펙트럼을 가로지르는 여러 방법들을 취하고 있는 중이다. 멀버타이징(malvertising) 같은 오래된 공격 방법부터 사물인터넷(IoT)으로 연결된 기기 같은 새로운 방법들까지 다양하다.

어떤 위협이 최우선 고려 사항인지, 어떤 위협에 기업들이 충분히 주의하고 있지 않은지에 대해 보안 전문가마다 각기 다른 관점을 갖고 있다. 본 기사에서는 몇몇 보안 전문가들이 기업의 보안 탐지에 잡히지 않는 위협들에 관해 측정한 바를 소개한다.

1. 멀버타이징(Malvertising)
보안 전문업체 멀웨어바이츠(Malwarebytes)의 수석 첩보 분석가 제롬 세구라(Jerome Segura)에 따르면, 멀버타이징은 작년 즈음부터 탐지 건수가 줄어들고 있다. 위협은 여전히 남아있지만 그 공격 대상은 달라졌다.

예전에 공격자들은 유명 언론사 사이트를 멀웨어 공격 대상으로 삼았지만 이런 방식이 과도한 관심을 불러일으킨다는 점을 깨달았다고 세구라는 설명한다. 이제 공격자들은 트래픽이 많지만 잘 알려지지 않은 소규모 업체들, 예컨대 외국 웹사이트나 파일 공유 사이트 등으로 돌아서고 있는 중이다.

“유명 업체도 웹사이트 방문자에 크게 주의를 기울이지 않는데, 이건 소규모 업체들도 마찬가지입니다.” 세구라는 바로 이런 연유에서 멀버타이징이 간과되고 있다고 말한다. “(자사 웹사이트의) 광고가 깨끗하고 적절한지 얼마나 확인하고 신경 쓰나요? 거의 신경 못 쓰는 게 현실이죠.”

공격자들은 악성 광고를 통해 수익을 내는 데 우선적으로 집중하지만, 장래 봇넷에 추가할 기기로 사용하려고 멀웨어를 설치하거나 신원을 수집하기 위해서도 악성 광고를 사용한다. 그리고 웹사이트를 풀타임으로 관리하는 직원보다 계약업체들이 멀버타이징을 더 간과하는 경향이 있다.

“풀타임으로 프로젝트에 참여하지 않는 팀이 있다면, 그들은 프로젝트의 전 과정에 대해 잘 모르게 됩니다.” 웹사이트 보안업체 사이트록(SiteLock)의 워드프레스 기술협력책임자 로건 키프(Logan Kipp)의 말이다. 키프는 “악성 광고가 원래 웹사이트에 있었던 것처럼 보이기 때문에 중간에 참여하는 팀들은 그걸 간과하게 된다”며 소스 코드를 볼 줄 모른다면 의심스럽게 여기지 못할 것이라고 짚었다.

애플리케이션을 풀타임으로 관리하는 직원이라면 뭔가 잘못됐다는 걸 더 잘 알아차릴 것이다. 기업들은 시스템을 패치하거나 광고 차단기(ad blocker)를 활용해 멀버타이징 위험을 줄일 수 있다.

2. 사물인터넷(Internet of Things)
“사물인터넷 기기라고 인지하지 못한 사물인터넷 기기들이 있다면 이를 탐지하는 건 매우 어려울 것입니다.” 보안 전문업체 센티넬원(SentinelOne)의 보안 전략 최고 책임자 예레미야 그로스만(Jeremiah Grossman)은 말한다.

사물인터넷 기기라고 하면 많은 사람들이 스마트 액세서리나 연결된 기기들을 떠올린다. 그로스만은 “꼭 작은 기기들을 의미하지는 않는다”며 “산업 제어 시스템과 같은 큰 것일 수도 있다”고 지적한다. 그로스만은 지난 2013년 미국 대형 유통업체 타깃(Target)의 대규모 침해 사건을 예로 들며, 이 사건이 공조 시스템(HVAC: Heating, Ventilation, Air Conditioning) 침해로 시작됐다는 사실을 상기시켰다.

뿐만 아니라, 기업들은 주요 기반 시설 밖의 새 사물인터넷 기기들이 어떻게 자사를 위험하게 만들고 있는지 모른다고 사이버 보안 전문업체 옵티브(Optiv)의 CISO 전무이사 돈 마리 허친슨(Dawn-Marie Hutchinson)은 말한다.

미국인의 64%가 집에서도 일을 하는데, 만약 해킹을 당한다면 연결된 냉장고가 기업 데이터를 위험하게 만들 수도 있다. 그런데도 많은 사람이 이런 위험을 잘 인지하지 못하며, 집 네트워크를 적절하게 보호하지 않는다. 이런 문제가 회사까지 영향을 미치는 데도 말이다.

허친슨은 “집 냉장고가 해킹 가능한 기기이고 노트북 네트워크를 함께 쓰고 있다면, 무엇으로 이를 보호하나?”고 묻는다. 기업들은 주요 기반 시설을 보호하는 법은 알지만, 베이비 모니터나 도어락 같은 연결된 가전 기기들 또한 보안에 영향을 미친다는 사실은 잘 모른다.

사물인터넷 보안과 관련된 또 하나의 문제는, 제조업자들이 장기적인 지원을 제공하지 않기 때문에 기술이 노출된다는 것이다. 세구라에 따르면, 제조업자 관점에서 볼 때 출시한 지 10년이 안 된 제품의 경우 하드웨어를 바꾸는 비용이 너무 많이 들기 때문에 차라리 제품 생산을 중단하는 게 더 타당하다고 한다.

3. 잘못된 암호화 습관
기업들은 암호화를 간과하진 않지만 적절한 암호화 습관은 간과하고 있다. 대다수 기업은 데이터를 송수신 할 때 암호화하는 것에 대해선 통달했지만, 데이터가 저장 상태일 때는 충실하게 암호화하지 못함으로써 데이터 보호에 실패한다.

허친슨은 “핵심 제어나 신원 접근 관리 같이 보안 플랫폼이 있어야 할 곳에 없으면 암호화는 아무런 의미가 없다”고 말한다. 신원 전략이나 연성 데이터 관리 행위에서 마비가 오면 해당 정보들이 위험해진다.

키 관리를 엉성하게 하는 것도 사이버 범죄자들이 침입해 들어올 벽을 낮춘다. 많은 기업들이 데이터를 저장하는 곳에 암호화 키를 저장하고 다수의 직원들에게 나누어준다. 허친슨은 “모든 사람이 키에 접근할 수 있다면 그건 애초에 잠그지 않은 것과 마찬가지”라며 강조했다.

4. 메모리 내 공격(In-memory attacks)
그로스만은 매일 발생하는 인젝션의 20%에서 30%가 메모리 내 공격이라고 말한다. 공격자들은 피해자가 악성 워드나 엑셀 문서를 열게 하거나 감염된 웹페이지 상에서 브라우저를 열게 함으로써 멀웨어를 실행시킨다.

“알려지긴 했지만, 대부분 내부자들에게만 알려져 있습니다.” 그로스만은 무파일 공격이 안티 바이러스가 작동하지 않는 주요 원인이라고 지적한다. 안티 바이러스 시스템은 이진수를 서명으로 사용해 작동하는데, 만약 메모리 내에 이진수가 없으면 서명도 없다는 것이다.

“무파일 공격은 디스크에 흔적이 남지 않기 때문에 훨씬 더 잡아내기 어렵습니다.” 멀웨어바이츠의 세구라는 말한다. 메모리 내 공격은 그 운송이 극도로 은밀하게 이뤄지기 때문에 발각될 가능성이 매우 낮다는 점에서 흥미롭다. 기기가 재부팅되고 나면, 공격도 사라진다.

“이건 대부분의 소비자나 기업에 대해서도 좋은 공격 방법이지만, 특정한 대상을 목표로 기기에 최소한의 흔적만 남기길 원할 때 특히 더 좋은 방법입니다.” 세구라는 덧붙였다.

그로스만은 기업들이 필요치 않은 매크로를 모든 엔드포인트와 컴퓨터 상에서 비활성화 함으로써 메모리 내 공격을 예방할 수 있다고 말한다. 그는 또한 대부분의 매크로가 사실 필요치 않다고도 짚었다.

5. 오픈소스 애플리케이션 개발 위젯
버그 탐지 및 사냥 전문업체 블루벡터(BluVector)의 CEO 크리스 러브조이(Kris Lovejoy)는 “수년 전 애플리케이션을 만들 때, 생각해본 적 있다”고 말한다. 이제 애플리케이션을 만드는 사람들은 보안 전문성이 거의 없는 제3의 대행업자들이며, 그들은 과거에 사용된 체크포인트나 시험을 건너뛰고 있다.

개발자들은 안전하지 않은 개발 환경에서 악성일지 모르는 툴로 애플리케이션을 만들며 시험한다. 공격자들은 생산 중인 애플리케이션도 공격할 수 있으며, 심지어 중요치 않은 애플리케이션들도 더 민감한 정보로 향하는 입구가 될 수 있다.

“사람들은 공격자가 설계한 기술을 사용하고 있습니다.” 크리스는 “소프트웨어 컴포넌트를 구매하고 통합하는 방식이 근본적으로 변화하고 있다”고 설명했다.

오늘날 개발자들은 프레임워크와 위젯을 가지고 애플리케이션을 만든다. 이들은 오픈소스 툴을 선호하며, 이중 수많은 컴포넌트가 공격자들이 설계한 것이다. 공격자들 다수는 백도어를 설치해 직원 정보를 빼내려고 한다.

개발자가 반드시 보안 훈련을 거칠 필요는 없지만, 보안 팀과 협력해 개발자가 올바르게 작업하고 있는지를 확인하는 건 필요하다. 러브조이는 개발자가 매번 의식할 필요 없이 올바른 결정을 내리는 데 자동화가 도움이 된다고도 언급했다.

6. “사악한 가정부” 공격(Evil maid attacks)
점점 더 많은 사람들이 암호화되지 않은 회사 기기를 집이나 카페, 호텔, 공항 등 인터넷으로 연결된 다른 장소에 가져가 작업함으로써 공격 위험을 높이고 있다. 그로스만은 어떤 장소에 노트북을 방치해두는 것의 위험을 지적하는데, 어떤 누군가가 노트북에 접근할지 모르기 때문이다.

그로스만은 “누군가 당신 컴퓨터에 물리적으로 접근할 수 있을 때, 컴퓨터 하드드라이브 전체가 암호화돼있지 않은 이상 충분히 해킹할 수 있다”고 말한다. 예컨대 “사악한 가정부” 공격은 방치된 기기를 대상으로 정보를 훔치거나 멀웨어를 설치한다. 이런 공격은 눈치 채기 어려운데, 그 기기 자체가 물리적으로 도난당한 게 아니기 때문이다.

출장도 보안 위험을 높일지 모른다고 그로스만은 설명한다. 경영자들은 자주 컨퍼런스 홀이나 호텔 비즈니스 센터에서 컴퓨터를 열고 자신의 이메일 계정에 로그인한다. “침해 기기를 통해 누군가 당신이 입력하는 모든 것을 감시할 수 있습니다.” 그로스만은 강조한다.

7. 데이터 동원(Mobilization of data)
점점 더 많은 사람들이 모바일 기기로 회사 일을 처리하고 있지만, 기업들은 개인 모바일 기기에 저장된 데이터를 보호하기 위해 제대로 된 절차를 밟고 있지 않다. 데이터 동원이 커지면서 위협도 커지고 있다.

허친슨은 “우리는 노트북이 통행권이 된 시대에 진입하고 있다”고 말한다. “사람들은 스마트폰, 태블릿 등으로 일하면서 수많은 데이터에 접근하는데, 그런 기기들이 데이터를 저장하는 방식은 노트북과는 또 다릅니다.”

사용자가 개인 클라우드 계정이 아닌 올바른 장소에 데이터를 저장하도록 돕는 많은 구성 관리가 있다고 허친슨은 말을 이었다.

기업 데이터만 위험에 놓인 건 아니다. 많은 엔드유저 역시 사회적 정보를 다루는 데 두 번씩 생각하지 않는다. 사람들은 공짜 물건이나 할인권을 위해 데이터를 입력하고, “어떤 나라에 살고 싶습니까?”와 같은 유치한 질문에 답하기도 하는데 그렇게 함으로써 자신의 이메일 주소나 사용자명, 페이스북 정보를 갖다 바친다. 이 모든 데이터는 데이터 침해를 위해 공공연히 이용 가능한 정보가 되는 것이다.

8. 교육 받지 못한 직원들
옵티브의 허친슨은 “프라이버시와 데이터 보안에 대한 이해가 근본적으로 부족하다는 점”이 기업 내에서 뿐만 아니라 사회 전체적으로 간과되는 위협이라고 지적한다.

보안은 흔히 기술적인 문제로 생각돼, 기업 내 모든 구성원의 문제라고 생각되지 않는다. 학생들은 어릴 때부터 기술에 둘러싸인 채 크지만, 기술 인력의 일원이 될 때까지 사이버 보안과 관련한 실천을 전혀 접하지 못한다.

허친슨은 “우리는 경영학 석사 학생들을 사이버 보안에 대한 이해 없이도 졸업시키고, 나중에 이사회가 사이버 보안을 이해하지 못할 때 놀란 척 연기한다”고 지적한다. 결과적으로 모든 사람이 보안에 관해 CISO에 의존하는데, CISO는 모든 침해를 혼자 막아낼 수 없다.

“일찍부터 보안이나 프라이버시 훈련을 더 많이 시행해야 하는 이유 중 하나는, 데이터가 얼마나 구석구석에 있는지 사람들이 이해하도록 돕고, 만약 데이터를 보호하지 않을 경우 개인의 삶에 어떤 영향이 있을 수 있는지 이해하도록 돕는 것”이라고 러브조이는 설명했다.

조직 내 모든 사람에게 훈련의 범위를 확장하는 것도 중요하다. 해커들은 민감한 정보에 접근할 수 있지만 경영진에 비해 취약한 보안 습관을 가진 낮은 직책의 직원들을 겨냥한다. 경영진은 위험들을 더 잘 인식하고 있기 때문에 상대적으로 더 견고한 보안 습관을 갖고 있다.

“낮은 직책의 직원들에게 책임을 물을 사람은 아무도 없어요.” 허친슨은 말한다. “하지만 모든 기업은 기술 기업이고, 우리가 하는 모든 일은 온라인을 통합니다.” 그만큼 기업 내 모든 사람이 한 마음으로 보안 습관을 지켜야 한다는 뜻이다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>