사이버 공격에 선제적인 대응하려면 사이버 공격자처럼 생각해야
국가 차원의 공격 수법 치밀하게 연구하면 기업 대상 공격 막을 수 있어

[보안뉴스 오다인 기자] 범죄자를 잡으려면 범죄자처럼 생각해야 한다는 말이 있다. 사이버 범죄도 마찬가지다. 사이버 공격자가 앞으로 어떤 방법을 사용할 것인지 예측하려면 사이버 공격자처럼 생각해야 한다. 이를 바탕으로 효과적인 대책을 선제적으로 마련해둘 수 있다.

이와 유사한 맥락에서 보안 연구자는 국가 차원의 공격을 보고 기업에 대한 공격을 예측할 수 있다. 공격 수법은 명확한 낙수효과를 보인다. 국가 차원의 공격에 처음 사용된 수법이 곧 이어 기업에 대한 공격에 나타난다.

최근 보안에 나타난 중요한 전개 중 하나는 정치적인 목적의 정교한 공격이 많아지고 있다는 사실이다. 대표적인 사례가 2016년 미국 대선 당시 힐러리 클린턴 후보의 캠페인을 이끌었던 존 포데스타(John Podesta)를 겨냥한 공격이다. 이 공격의 목표는 포데스타 한 사람이었지만 그 과정에서 광범위한 피해자를 양산했다. 피해자는 개별 입법자부터 싱크탱크 스태프, 비정부기구(NGO) 스태프를 아우른다. 이런 공격은 영리하게 공격자의 신원을 숨기면서 일반적인 내용 검열 장치를 우회하는 기술을 사용한다.

랜섬웨어 공격이 급증하고 있다는 것도 주목해야 한다. 공격 대상이 입법자든, 의료기관이든, 교통기관이든, 소규모 사업체든 말이다. 대부분의 랜섬웨어 공격은 돈을 뜯어내려는 목적을 갖고 있지만 최근에는 비금전적인 대가를 요구하는 공격도 나타나고 있다. 공격자는 정부기관을 협박해 특정한 정치적 성명을 발표하라고 요구하기도 한다.

앞서 언급한 공격들은 점점 더 정교해지고 있다는 공통점이 있다. 예를 들어, 포데스타 사건에서 공격자들은 ‘비밀번호’나 ‘계정’ 같은 특정한 단어들을 키릴 문자(러시아어 등에서 사용하는 알파벳) 몇 개와 섞는 영리한 수법을 썼다. 이렇게 하면 사람이 볼 때는 별반 차이를 느끼지 못하지만 키워드 기반 필터는 무력화된다.

대선 이후 싱크탱크와 NGO는 일반적인 백신 툴로는 잡아낼 수 없는 멀웨어 파일을 받아 사이버 공격에 당했다. 이 멀웨어 파일은 암호화된 압축 파일 안에 숨겨져 있었다. 일반적인 메일 필터 기술로는 암호화된 파일 내용을 해독키 없이 검열할 수 없다.

보안 툴을 우회하려고 진보된 기술을 사용하는 사례는 최근 아주 흔하게 나타난다. 흥미로우면서도 걱정되는 사실은 이것이 단지 국가적 차원의 공격에서만 사용되는 기술이 아니라는 점이다. 국가적 차원의 공격에서 최초로 사용되는 건 맞지만 낙수효과가 뚜렷하게 나타나고 있다. 국가적 차원의 공격에서 처음 사용된 수법은 몇 주 뒤에 기업을 겨냥한 공격에서 모습을 나타낸다.

어떤 의미에서 이런 트렌드는 사람들이 통찰을 얻어가는 흐름과 맞물리기도 한다. 우주 계획을 위해 개발된 기술들이 상업적인 제품들에 흘러드는 것처럼 말이다. 바로 이런 사실 때문에 민간 기업들은 자사가 진보된 공격에 취약한지 아닌지 빠르게 판단해야만 한다.

지금 당장 적극적인 조치를 취하라
보안 커뮤니티는 낙수효과가 나타날 것이라고 예상하고 탐지 및 보호 조치를 재빠르게 내놓아야 한다. 예컨대, 난독화(obfuscation) 공격은 이상한 문자 배열 조합을 자동적으로 포착해주는 기술을 통해 탐지할 수 있다. 암호화된 압축 파일은 쉽게 탐지할 수 있지만 중요하고 정당한 목적에서 사용하는 경우가 있기 때문에 전부 차단할 수는 없다. 한 가지 가능한 해결책이 있다. 암호화된 압축 파일이 메일함에 들어오면 신뢰하는 실행파일로 ‘싸는(wrap)’ 것이다. 파일을 싸는 것의 목적은 PIN 번호 또는 비밀번호를 요구해서 해당 파일을 해독하고, 실시간으로 보안을 점검하기 위함이다. 해당 파일이 안전하다고 판단되면, 사용자는 평문 파일에 접근할 수 있다.

사용자 관점에서 볼 때 달라진 건 아무것도 없다. 암호화된 파일을 스캔하기 때문에 시간이 조금 더 걸릴지는 모르지만 매우 미미한 수준일 것이다. 파일을 싼 다음 접근하는 방법은 암호화된 PDF 파일 등 다른 파일 유형에도 모두 적용될 수 있다. 이 접근법을 사용하면 공격자가 쥐고 있던 시간적인 우위를 되찾아올 수 있다. 소프트웨어 업체에 별도로 요구하지 않고 평문 데이터를 그때마다 즉시 스캔할 수 있으므로 엔드유저를 더 효과적으로 보호할 수 있다.

이보다 더 큰 장점도 있다. 이 접근법은 발송자 정보도 포함시킬 수 있다는 거다. 악성 파일이 신뢰하는 관계자로부터 보내졌나? 만약 그렇다면, 신뢰하는 관계자가 공격에 당했다는 뜻이고 발견한 자는 이 사람에게 해당 사실을 알려야 할 것이다. 맥락적인 정보를 더 많이 사용할수록 우리는 스스로를 더 잘 방어할 수 있다. 이런 맥락은 공격 초기 단계에서 더 잘 발견된다. 그러므로 국가적 차원의 공격을 연구하고 거기에 배움을 얻지 않는 것은 공격자들을 간접적으로 도와주는 셈이다.

온라인 범죄가 작년에 매우 정교해졌고, 기업을 무작위로 공격하는 사기 트렌드도 밝혀진 상황이지만 많은 것들이 과거에 머무르고 있다. 예를 들어 이메일은 여전히 공격 매개 1순위이며, 신원을 속이는 것도 아직 대다수 공격의 핵심적인 부분이다. 피싱, 기업 이메일 공격(BEC), 랜섬웨어를 보라. 권위자, 유명 브랜드, 신뢰하는 관계자 등의 신원을 도용하지 않는가. 공격자는 계속해서 새로운 아이디어를 실험하는 중이지만 한 가지 사실은 분명해 보인다. 방어자가 이기는 공식에는 얽히지 않으려고 한다는 거다.

나아가 보안 커뮤니티는 국가적 공격의 본질과 전략을 면밀하게 살펴보고 최대한 신속하게 해결책을 도출해야만 한다. 동일한 기술이 기업체를 공격하는 데 사용될 것이기 때문이다. 또한, 새롭게 발견됐거나 공개된 모든 취약점이 국가적 차원에서든 기업을 겨냥한 것에서든 향후 공격에 사용될 것이라고 예측해야만 한다.

마지막으로 사회의 역할도 있다. 사회는 사이버 위협이 현존하는 보안 기술뿐만 아니라 새롭게 발견된 공격 기회에 대응해서 지속적으로 진화하고 있다는 사실을 깨달아야 한다. 예전 기술로는 이런 위협들을 해결하기 어렵다. 만약 아직까지 보안 문제에 대한 답이 스팸 필터라고 생각한다면 크게 오해한 것이다.

글 : 마커스 제이콥슨(Markus Jakobsson)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>