공격 흔적 감추려는 시도, 20%도 되지 않아
공격자가 수준 높아 성공하는 게 아니라 방어자 수준 낮아 성공

[보안뉴스 문가용 기자] 앞으로 보안 사고 발생시 “고차원적인 공격이 감행되었기 때문에 막을 수 없었다”고 발표를 한다면, 일단 의심하고 보자. 이번에 새롭게 발표된 보고서에 의하면 대부분의 사이버 공격은 전혀 고차원적이지 않기 때문이다. 심지어 자신의 자취를 감추려는 노력조차 없을 정도로 단순하고 맹목적인 것이 대부분 공격들의 실제 모습이라고 한다.


위 보고서는 보안 업체 임퍼바(Imperva)가 발표한 것으로, 지난 9개월 동안 대량의 허니팟을 운영하며 분석한 결과라고 한다. “대부분의 사이버 공격자들은 아주 간단하고 기초적인 피싱 기법으로 공격을 시작합니다. 그런데 그 태도가 대단히 느슨합니다. 공격의 흔적도 감추려고 하지 않을 정도죠. 통계에 따라 조금씩 다르긴 하지만 사이버 공격의 첫 시작은 대부분 90~91%라고 합니다. 이는 즉 사실 사이버 공격 대부분이 알아채기 쉽다는 건데요, 그럼에도 우리는 수많은 피해들을 입고 있죠.”

임퍼바는 이번 실험을 위해 대량의 허니팟 계정들을 심어놓음으로서 덫을 팠다고 한다. 그 계정들을 통해 공격자가 훔친 비밀번호나 계정을 익스플로잇 하는 데에 얼마나 시간이 걸리는지, 수집한 데이터를 공격자가 언제, 얼마나 오랫동안 조사하는지, 또 언제 그러한 조사가 집중적으로 일어나는지, 사용자에 의해 탐지되었을 때 어떤 조치를 취하는지 등을 분석했다.

“이번 연구를 진행한 이유는, 공격자들이 최근 어떤 식으로 자신들의 흔적을 감추는지, 증거는 어떤 식으로 파괴하는지, 탐지 및 분석 기술을 어떻게 우회하는지 보고자 함이었습니다.” 임퍼바의 보안 전문가인 루다 라자르(Luda Lazar)의 설명이다. “그런데 오히려 정체를 감추려는 노력을 모두가 하고 있지 않다는 걸 발견했습니다. 겨우 17%만이 그런 시도를 하고 있더군요.”

이메일 인박스에서 수상한 로그인 행위 관련 내용 이메일을 지워내는 공격자는 15%에 불과했다. 보낸 메일함의 이메일이나 전송 실패 메시지를 삭제하는 공격자는 13%였고, 휴지통으로 들어가 수상한 로그인 관련 통보 메일을 영구적으로 삭제하는 꼼꼼함을 보인 경우는 2%에 불과했다.

그에 반해 훔쳐낸 로그인 정보를 ‘누리는’ 해커들은 굉장히 많았다. 크리덴셜 정보를 손에 넣은 해커들은 그 정보를 허니팟 계정들에 대입해가며 24시간 혹은 그 이상 실험하기도 했는데, 이런 열심을 보인 해커가 절반 이상이었다고 한다. 또 3/4 이상의 공격자들이 계정 실험을 ‘수동으로’ 진행하기도 했다. 자동화 툴 사용자 수는 얼마 되지 않았다.

이번 실험으로 밝혀낸 바 임퍼바는 “공격자들은 정말 많은 증거를 흘리고 다니며, 이를 간파하면 공격자들이 시스템이나 계정에 머무르는 시간(dwell time)을 크게 줄일 수 있을 것”이라고 정리한다. “또한 크리덴셜 입수 시간과 실제 공격 성공 시간 사이에 갭이 존재하니, 이를 활용해 방어 조치를 취할 수 있을 것으로 보이기도 합니다.”

그러나 피싱 공격이 전 세계적으로 극성을 부리고 있다는 사실 자체는 이번 연구로서도 확실해졌다고 라자르는 지적한다. “아주 기본적인 단계에서 공격을 허용하고 있는 게 현실입니다. 너무 해커들이 뛰어나 막을 수 없었고, 기술력 차이로 인한 불가항력적 사태였다고 변명하는 건 거짓말이며, 자기기만일 뿐입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>