CEO보다는 공급망 사칭하는 공격 늘어날 듯...랜섬웨어가 슬슬 저물어갈지도
BEC 공격, 투자 대비 효율 높고 조용해...이런 장점 선호하는 공격자들 많아져

[보안뉴스 문가용 기자] 코로나로 얼룩진 2020년, 사이버 범죄자들은 그 어느 때보다 높은 특수를 누렸다. 랜섬웨어는 가뜩이나 원격 근무와 교육 체계가 낯선 이들을 덮쳐 돈을 쪽쪽 빨아먹었고, 이메일 계정들은 그 어느 때보다 진짜 같은 ‘현실반영형’ 피싱 이메일로 가득했다. 2021년은 이런 전성기를 바탕으로 한 새로운 사이버 범죄의 전략들이 목격될 것으로 전망된다. 보안 업체 다크트레이스(Darktrace)의 이메일 보안 제품 부문 국장인 댄 페인(Dan Fein)이 이러한 전망을 보다 상세히 풀었다.


1. CEO 사칭? 이제는 공급망 사칭
페인은 “보안 전문가들이 C-레벨 임원들을 보호하는 게 중요하다”고 말하는 걸 듣는다고 한다. 하지만 페인은 그 자체가 목적이 되어서는 안 된다는 입장이다. “C-레벨은 당연히 보호해야 할 사람들입니다. 그런데 회사 네트워크 자체가 단단히 보호되어 있으면 C-레벨도 안전합니다. 반대로 C-레벨만 보호한다고 회사가 안전해지는 건 아니고요. 그러니 어떤 쪽이 더 우선시 되어야 할까요?”

하지만 많은 업체들이 C-레벨을 위주로 보안을 구성하기 때문에 BEC 공격자들 등 CEO를 사칭하는 공격 전략이 힘들어진 것 또한 사실이다. 그렇기 때문에 이제 범죄자들은 C-레벨 임원이 아니더라도 회사가 신뢰하는 사람이나 조직이면 닥치는 대로 사칭할 것으로 예상된다고 페인은 짚는다. 심지어 C-레벨이 아닌 사람을 건드리는 것이라 공격자로서는 더 안전하고 안정적이다.

정말로 이런 공급망 공격이 성행하기 시작한다면 파트너사와 고객을 많이 보유한 단체들이 집중 공략당할 것으로 예상된다. 실제 올해 이뤄진 조사를 통해 C-레벨 임원진들을 겨냥한 공격이 줄어들고 있다는 보고가 나오기도 했다.

2. MX 기록을 통한 이메일 보안 솔루션은 저문다
이메일을 위험하게 하는 건 공격자들만이 아니다. 이메일 보안 도구들 역시 위험 요소가 될 수 있다. “이메일 보안 솔루션들과 서드파티 게이트웨이들은 거의 대부분 이메일의 전송이 이뤄지는 흐름의 안에서 작동합니다. 즉 메일 교환 기록(MX 기록)에 의거하여 트래픽의 흐름을 제어한다는 겁니다. MX 기록들은 이메일 메시지를 접수할 메일 서버를 지정하는 역할을 수행합니다.”

이 방법의 단점은 “트래픽의 흐름 중간에 보안 장치가 있기 때문에 부드러운 운영에 차질을 빚을 수 있다는 것”이라고 페인은 설명한다. “보안 게이트웨이에 문제가 생겼을 때 정상적인 메일 운영 자체가 마비될 수 있다는 뜻이 되거든요. 즉 메일 시스템에 대한 마비 및 비활성화를 목적으로 한 공격에 유용하게 활용될 수 있다는 것입니다. 이메일이 안 된다는 불만이 쏟아질 것이고, 그 틈을 타 공격자들은 다른 악성 행위를 할 수 있을 겁니다. 원격 근무 체제에 있어서 생산성 저해를 가져올 수도 있고요. 이에 따라 이메일 보안 서비스들이 조금은 다른 시스템을 차용할 것으로 예상합니다.”

3. 피싱 공격의 생애주기는 갈수록 줄어든다
예전에는 공격용 인프라의 수명이 최소 수주에서 수개월이었다. 그것이 계속해서 줄어들고 있다. 다크트레이스가 조사한 바에 의하면 2018년에는 사기 이메일 발송을 위해 마련된 인프라가 평균 2.1일의 수명을 가졌다면, 2020년에는 12시간으로 줄어들었다고 한다. 즉 특정 해킹 단체나 악성 IP 주소를 차단하려는 보안 전략의 유효성 역시 크게 감소한다는 뜻이 된다.

“새 이메일 도메인 비용이 대단히 저렴해지고 있지요. 투자를 최소화 하려는 사이버 공격자들에게조차 그리 부담되지 않아요. 그러니까 자주자주 공격의 출처를 바꿔서 방어를 어렵게 만드는 겁니다. 특히 평판 조회를 기반으로 하는 보안 장치들이 빠르게 수명을 다해가고 있습니다. 앞으로도 이 흐름은 계속 이어질 전망입니다.”

4. 공격은 좀 더 표적화 될 것
위 3번과 이어져 공격 ‘캠페인’이라는 개념도 점점 희미해져 갈 것이라고 페인은 예측하고 있다. “캠페인은 장기적으로 이어지는 공격이지요. 하지만 인프라를 새롭게 만드는 게 갈수록 쉬워지고 있어 이메일을 노리는 공격자들은 한 번에 치고 빠지는 전략을 더 선호하게 될 것입니다. 계속해서 새로운 희생자들을 발굴할 수 있기 때문에 공격자들 입장에서는 투자 가치가 높지요.”

게다가 작년과 올 한 해 랜섬웨어 공격자들이 ‘표적 공격의 효과’가 높을 수 있다는 것을 확실하게 증명하다시피 했다. “또한 인터넷에 정보가 넘쳐납니다. 소셜미디어도 많아지고 있고, 사람들은 이 소셜미디어에서 자신들에 관한 정보를 상세하게 남겨요. 그러니 표적 공격이 쉬워질 수밖에 없습니다. 이제는 피싱 메일의 무작위 살포가 아니라 표적형 살포 공격이 가능하게 될 겁니다.”

5. 랜섬웨어에 대한 선호도, 조금씩 떨어질 것
코로나로 인해 재택 근무자가 늘어났다는 건, 사람들의 근무 체제가 점점 탈중앙화 될 것이라는 뜻이다. 그렇기 때문에 랜섬웨어의 효과라는 것도 점점 줄어들 수밖에 없다고 페인은 전망한다. “데이터와 권한이 분산화 되니 랜섬웨어로 받는 충격과 피해가 치명적으로 작용하지 않을 것입니다. 돈을 벌려는 목적을 가진 범죄자들이라면 이런 랜섬웨어에서 점점 손을 떼게 될 것이고, 다른 방법을 찾아나설 것으로 보입니다. 예를 들어 인보이스와 영수증을 조작하는 공격이라면 개개인을 조용하게 속여 수사 기관의 이목을 끌지 않고도 조용히 수익을 올릴 수 있을 것입니다.”

이런 맥락에서 ‘기업 이메일 침해 공격(BEC 공격)’이 계속해서 정교해지고 증가할 것이라는 예측도 가능하다. 실제 랜섬웨어나 각종 멀웨어 공격보다 BEC 공격의 피해가 가장 크다는 통계가 있기도 하다. “랜섬웨어는 지금 악명이 높은 만큼 매체와 수사 기관의 집중도가 높습니다. 사이버 공격자들 중에는 이러한 관심을 기피하는 사람들도 많습니다.”

사이버 범죄자들은 현대 이메일 보안 도구들의 작동 원리들을 너무나 잘 이해하고 있다. 그렇기 때문에 기존의 이메일 도구들로는 안정적인 방어를 할 수 없다는 게 페인의 설명이다. “실제로 현대 사이버 공격의 대부분은 이메일로부터 시작하죠. 왜 그런 걸까요? 이메일 보안에 생각보다 사람들이 신경을 쓰지 않기 때문입니다. 공격자들만 이메일에 관심이 많아요. 앞으로 일반 조직들은 이메일의 안전에 대해 더 많은 관심을 가져야 할 것입니다.”

3줄 요약
1. 2021년, 이메일 함 노리는 공격이 더 거세질 것으로 예상됨.
2. 재택 근무자 늘어나 랜섬웨어 지기 시작하고 BEC류의 공격 늘어날 것.
3. 공격 인프라 저렴해져서 공격자들은 장기 캠페인보다 단기 ‘치고 빠지기’ 전략 선호할 것.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>