공격자들, 이미 내재되어 있는 부분들 적극 노려...프로세스부터 심리까지
믿을 만한 것들인지 아닌지 확인하는 습관이 필요...망분리도 위협 가능해

[보안뉴스 문가용 기자] 지난 한 주 동안 해외 보안 업계에서는 어떤 일들이 있었을까? 2월 둘째 주 동안 일어났던 사건들의 본질을 꿰뚫는 전문가와 종사자들의 말을 간략하게 모아 정리했다.


사이버 공격자들의 무기
“사이버 공격자들이 인간의 본능적 공포심을 자극하는 걸 공격 도구로 활용하는 건 흔히 있는 일이죠.”
-IBM의 엑스포스 팀-

“ICS 관리자나 소유자들은 그 무엇보다 프로세스들에 대한 가시성을 확보해야 합니다. 에칸스도 그렇고, 메가코텍스도 그렇고, 프로세스를 중단시킴으로써 협박을 가하려는 공격이 유행하고 있기 때문이죠.”
-드라고스의 보안 전문가인 조 슬로윅(Joe Slowik)-

사이버 공격자들은 이미 우리가 가지고 있는 것들을 무기로 활용하는 것에 능통해지고 있다. 새로운 것을 억지로 쑤셔 넣는 것을 넘어서, 미리부터 내재되어 있는 것을 활용하는 것에 더 집중하고 있는 것이다. 특히 랜섬웨어 공격이 최근 몇 년 동안 공격자들을 풍요롭게 만들면서, ‘협박’이 주요한 공격 방식이 되고 있다. 우리 안에 있는 공포심을 자극시키면 돈이 된다는 걸 깨달은 것이다. 그러면서 랜섬웨어를 쑤셔 넣어 협박하던 자들이, 이젠 우리에게 있는 프로세스를 중단시키면서 협박하는 방식을 채용하고 있다.

사이버 범죄자들의 자기계발
“다크웹의 대회에 참가해 더 높은 상금을 얻을 수 있다면, 보안 기술을 갖춘 인재들이 더 다크웹으로 쏠리게 될 수도 있습니다.”
-보안 업체 디지털 셰도우즈(Digital Shadows)-

“리디렉터를 활용하는 범죄자들이 늘어난다는 건, 사이버 범죄자들이 현대 보안 시스템을 앞서가기 위해 끊임없이 연구한다는 걸 보여줍니다.”
-보안 업체 노비포(KnowBe4)의 데이터 보안 전문가인 로저 그라임즈(Roger Grimes)-

다크웹에서도 해킹 대회가 열리고 있고, 심지어 규모가 갈수록 커져가고 있다. 선배 범죄자들이 후배 양성 및 인재 확보 차원에서 이런 대회를 지원하고 있고, 그러면서 슬슬 정식 해킹 대회를 위협할지도 모른다는 전망이 나오기 시작했다. 나라 경제가 좋지 않은 지역의 보안 전문가들에게는 심한 유혹이 될 수도 있다. 그래서 그런지 계속해서 새로운 방법들을 공격에 활용하는 공격자들의 모습도 끊임이 없다.

방어자들의 가치관
“제로 트러스트가 예방적 보안의 중추와 같습니다. 예방이 최우선의 가치관이라면, 제로 트러스트가 도입되어야 합니다. 그래야 ‘괜찮을 거야’, ‘별일 있겠어’라는 생각이 뿌리를 내리지 않습니다.”
-베니 차르니(Benny Czarny), OPSWAT-

“CISSP을 취득한다면 같은 C레벨 임직원들 중에서 더 전문적으로 보이고, 동료와 부하직원들에게 더 큰 신뢰를 줄 수 있을 거 같았습니다. 권위적인 거 다들 싫어하잖아요? 자격증 하나 있으면, 보다 덜 권위적으로 보이는 것도 사실입니다.”
-패스솔루션즈(PathSolutions)의 CTO인 팀 티투스(Tim Titus)-

“데이터 유출 사고의 피해는 수년 동안 이어지고, 또 다른 사건을 계속해서 낳는다는 것이 다시 한 번 입증되었습니다.”
-베이드 시큐어의 에드 해들리(Ed Hadley)-

“취약점을 발견만 잘 하지, 그 후에는 아무도 신경을 쓰지 않습니다. 그러니 취약점 익스플로잇을 통해 침투와 해킹 공격이 발생하고 있어도 모르는 조직이 태반입니다.”
-레코디드 퓨처의 세일즈 엔지니어인 캐슬린 쿠크즈마(Kathleen Kuczma)-

공격자들이 계속해서 자기 발전을 꾀할 때, 보안 역시 가만히 있으면 안 된다. 기존에 믿던 것들, 믿어도 되던 것들까지도 항상 확인하는 체제를 이뤄가자는 제로 트러스트가 그래서 자꾸만 강조되고 있다. 특별히 이번 주에는 공부하지 않으면 ‘꼰대’가 된다며 뒤늦게 CISSP 공부를 했던 한 CTO의 이야기도 소개가 된 바 있다. 그러나 우리가 가장 먼저 버려야 할 건, 발견만 잘 하고 수습에는 약한 모습이 아닐까 한다. 피해가 얼마나 크고 장기적인지만 강조하는 것에서 탈피해야 할 것이다.

확인, 또 확인
“선전 호크에서 만든 앱을 설치해 사용하고 있었다면 지우시는 것이 최고의 방법입니다.”
-보안 업체 VPN프로(VPNPro)의 보안 연구원인 얀 영렌(Jan Youngren)-

“현존하는 자율주행 시스템들이 가지고 있는 객체 인식 방법에 근본적인 문제가 있고, 반드시 보완해야 한다는 건 분명합니다. 특히 진짜와 가짜 객체를 구분하는 부분에서 보강이 있어야 할 것입니다.”
-벤구리온대학의 벤 나시(Ben Nassi)-

“큐버네티스는 보안과 안전만을 위해 만들어진 게 아닙니다. 즉 성능과 속도도 중요한 요소라는 겁니다. 실제로 큐버네티스의 가동 원리 안에는 성능과 속도 때문에 보안과 ‘트레이드 오프’하는 부분이 여럿 존재합니다.”
-NCC 그룹(NCC Group)의 기술 부문 국장인 마크 매닝(Mark Manning)-

“레이어 2가 진짜 우리가 생각하는 것만큼 안전한 것인지 확인을 해봐야 합니다. 망분리 역시 마찬가지입니다.”
-아미스의 부회장인 벤 세리(Ben Seri)-

사람들에게서 각광을 받는다는 건, 대부분 ‘기능성’에 초점을 맞추고 있다. 함정이다. 중국이 요즘 경제나 기술적인 면에서 잘 나간다고 하더라도, 중국에서 만든 앱은 한 번쯤 의심해보는 게 타당하다. 자율 주행 시스템도, 드론 몇 가지로 농락이 가능하고, 컨테이너와 함께 떠오르는 큐버네티스 역시 보안 보다는 기능성을 위주로 한 기능이다. 심지어 망분리조차 공략 방법들이 나오고 있는 추세다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>