정보를 생산 및 유통하고 이를 통해 새로운 가치를 만들어내는 오늘날의 정보사회에서 정보보호의 중요성은 아무리 강조해도 지나치지 않다. 디지털 기술이 보편화되고 소셜네트워킹서비스(SNS), 스마트폰 등 새로운 정보통신 매체가 등장하면서 사람들은 과거와 달리 필요한 정보를 손쉽게 취득해 이를 활용하거나 자신의 정보를 널리 알려 이익을 얻는다.
정보사회가 고도화될수록 정보에 대한 접근이나 정보의 교환 및 활용이 더 쉬워지고 삶의 질도 개선될 수 있다. 하지만 정보가 재화로서의 가치를 갖다 보니 정보 노출이나 유출은 개인에게 회복하기 어려운 피해를 입힌다. 국가나 기업도 핵심 정보 유출로 인해 엄청난 금전적 피해를 보기도 한다.
컴퓨터와 인터넷을 통한 정보유통이 활발해지면서 사회 모든 영역에 걸쳐 디지털 정보의 수집과 이용이 보편화됨에 따라 정보의 유출·오용·남용 등의 각종 침해 사례가 지속적으로 일어나고 있다. 정보를 취득해 불법적인 이득을 취하려는 사이버 범죄자들의 공격도 갈수록 지능화, 정교화되고 있는 추세다. 이 글에서는 최근 보안 사고 유형을 분석하고 이에 대한 기업의 대응 방안을 제시하고자 한다.
최근 보안위협 트렌드
시만텍이 2010년에 발생한 주요 사이버 범죄 및 보안 위협 동향을 조사, 분석한 ‘인터넷 보안 위협 보고서(Internet Security Threat Report)’ 제16호에 따르면 △기업을 겨냥한 표적 공격이 질적, 양적으로 그 규모가 확대되고 더욱 정교해진 가운데 △SNS가 악성 코드를 퍼뜨리는 새로운 플랫폼으로 악용되고 있다. 또한 △거의 모든 웹 브라우저와 운영체계에서 구동되는 자바 스크립트의 취약점을 노린 공격이 증가하는 등 공격 전술에 변화가 감지됐으며 △사이버 범죄가 모바일 기기로 확대되고 있는 것으로 확인됐다.
1)표적 공격의 지속적인 진화
지적 재산, 콘텐츠, 아이디어 등 정보의 가치로 정의되는 정보경제(Information economy) 환경에서 사이버 범죄자들은 기업의 기밀정보를 빼돌려 금전적 이득을 얻으려고 한다. 심지어 공격자들은 표적으로 삼은 기업의 시스템에 침투하기 위해 소셜네트워킹 사이트에 널린 개인 정보와 정교한 사회공학적 기법을 이용해 특정 기업의 특정 인물을 겨냥하기도 한다. 일반적인 해킹 공격과 달리 이러한 표적 공격은 ‘불특정 다수’가 아닌 ‘특정한 목표’를 겨냥한다는 점에서 기존 해킹과 구별되며 기업 네트워크에 침투해 오랫동안 잠복하면서 기업의 기밀정보를 빼내도록 설계된다. 기관총을 쏴대는 무차별적 공격이 아니라 치밀한 사전 준비를 거친 스나이퍼형의 지능적·차별적·지속적 공격인 셈이다. “보안시스템이 잘 갖춰진 회사일수록 전화 한 통, e메일 한 통이 더 효과적인 경우가 많다.”사람의 심리를 교묘하게 이용해 목표에 다가가기 위한 접근정보를 다양한 방법으로 빼내는 이른바 ‘사회공학(Social Engineering)’ 기법의 심각성을 지적한 미국의 전설의 해커 캐빈 미트닉의 말을 되새겨볼 필요가 있다.
2)소셜 네트워킹 + 사회 공학 = 보안의 악몽
SNS가 인기를 끌면서 공격자들은 새로운 악성코드 전파 통로로 SNS를 주목하기 시작했다. 특히 예전처럼 누가 보기에도 악성 스팸메일이 뻔한 e메일 대신 지능적인 사회공학적 공격기법을 이용하기 때문에 탐지가 거의 불가능하다. SNS는 기업에는 양날의 칼이다. 기업과 정부기관은 조직 구성원의 편의를 위해 SNS를 최대한 허용하면서 동시에 이를 통한 기밀 정보의 유출 위험을 줄이는 방안을 고심하고 있다. 공격자들은 SNS에 공유된 개인 프로필 정보를 이용해 표적 공격을 감행한다. 대다수 SNS 이용자들은 프로필에 다니는 회사, 부서, 동료의 프로필 정보 등을 상세히 올려놓는다. 이러한 정보는 외부에 알려져도 무해한 것 같지만 공격자들은 이를 통해 회사의 e메일 주소(이름.성@회사이름.com)를 쉽게 유추할 수 있고 피해자 프로필에 소개된 다른 개인 정보와 함께 피해자를 속이기 위한 맞춤형 속임수를 만들어낸다. 예를 들어 A라는 기업의 시스템 관리자인 김철수씨를 노리는 해커가 있다고 하자. 이 해커는 철수씨의 개인 블로그, 트위터, 페이스북 검색을 통해 그의 생년월일, 가족 및 친구관계, 개인 및 회사 e메일 주소, 관심 분야, 진행 중인 프로젝트 등의 정보를 수집한다. 이 같은 정보를 바탕으로 그가 최근 등산 동호회 친구들과 한라산을 다녀왔다는 사실을 알게 된 해커는 친구 이름을 도용해 “한라산 등반 사진 업로드 완료^^”라는 제목의 e메일에 악성코드를 심은 한라산 사진을 첨부해 보낸다. 그가 사진을 클릭하는 순간 게임은 끝이다.
SNS상에서 복잡한 웹 주소를 짧게 만들어 효율적으로 공유하기 위한 단축 URL을 악용해 사용자들을 피싱 및 악성코드 사이트로 유도하는 공격도 증가하는 추세다. 시만텍 조사 결과 2010년 뉴스피드에 포함된 악성 링크의 65%가 단축 URL을 사용한 것으로 나타났다. 그중 11번 이상 클릭된 단축URL은 73%에 이르렀고 11∼50번 클릭한 경우도 33%로 조사됐다. 한번도 클릭하지 않은 경우는 단 12%에 불과했다.
3)모바일 보안 위협의 대두
2010년 모바일 기기 운영체제와 관련해 163개의 취약점이 발견됐는데 이는 2009년의 115개보다 42% 늘어난 수치다. 이 중에는 애플 iOS 운영체제에서 ‘탈옥(jailbreak·제작사가 의도적으로 차단한 기능을 풀어 사용하는 행위)’이 가능하게 하는 취약점 2개도 포함돼 있다. 현재 모바일 기기를 겨냥한 악성코드의 상당수는 합법적인 앱으로 가장한 트로이목마가 대부분이며 다운로드 및 설치를 유도하기 위해 앱마켓에 업로드돼 있다. 공격자들은 널리 알려진 합법적 앱에 안드로이드 기기를 겨냥한 Pjapps 트로이목마와 같은 악성코드를 심는 공격기법을 사용하고 있다. 최근까지 모바일 기기를 겨냥한 트로이목마의 대부분은 높은 요금을 과금하는 서비스로 전화 발신이나 문자메시지를 발송하는 형태였다. Pjapps는 이러한 기능 외에도 감염된 안드로이드 폰에서 ‘봇 네트워크[bot network· 악성코드 봇(bot)에 감염된 컴퓨터 네트워크]’ 생성을 시도하는 것으로 알려졌다. 향후 PC에서처럼 모바일기기의 정보를 빼내는 피싱 공격이나 트로이목마를 통해 금전적 이득을 취하려는 모바일 보안 위협이 더욱 증가할 것으로 예상된다.
4)공격용 툴킷의 확산
공격용 툴킷은 구하기 쉽고 사용법이 간편할 뿐 아니라 수익성도 높기 때문에 다양한 사이버 범죄에 악용되고 있다. 현재 거래되는 대다수 공격용 툴킷은 웹브라우저와 브라우저 플러그인 어플리케이션의 취약점뿐 아니라 제로데이 취약점을 이용한다. 2010년 웹 기반 공격에 가장 많이 사용된 피닉스(Phoenix) 툴킷의 경우 자바(Java)의 취약점을 이용하는 악성 코드까지 포함하고 있었다. 자바 스크립트는 브라우저 및 플랫폼의 종류와 특성에 관계없이 거의 모든 웹 브라우저와 운영체제에서 구동되기 때문에 향후 공격자들에게 더욱 매력적인 표적이 될 것으로 전망된다. 사이버 범죄자들이 쉽게 이용할 수 있는 공격용 툴킷이 확산됨에 따라 시만텍은 2010년 2억8600만 개 이상의 신규 악성 코드 변종을 탐지했다. 또한 2010년 일일 웹 기반 공격 횟수는 2009년 대비 93%나 증가했으며 전체 웹 기반 위협 활동의 3분의2가 공격용 툴킷과 직접적인 관련이 있는 것으로 나타났다.
5)제로데이 (zero-day) 취약점 및 루트킷(rootkits)
공격자들은 공격 성공률을 높이기 위해 제로데이 취약점을 악용하고 있으며 조직 내부로 침투한 후 탐지에 걸리지 않기 위해 숨바꼭질하듯 루트킷 기법을 이용한다. 제로데이 취약점이란 프로그램의 문제가 알려지고 난 후 보안패치가 나올 때까지의 시간차를 이용해서 공격하는 것으로, 보안 패치가 나오기 전까지는 시스템이 각종 보안 위협에 무방비로 노출되기 때문에 특히 위험하다. 루트킷 기법은 컴퓨터 운영체제가 구동되기 전에 윈도 컴퓨터의 마스터 부트 레코드(MBR)를 변경해 컴퓨터에 대한 통제권을 획득하는 기법이다. 보안소프트웨어를 통한 탐지가 어렵다. 현재까지 알려진 최악의 표적 공격이자 ‘사이버 미사일’로 불리는 스턱스넷(Stuxnet)의 경우 4개의 제로데이 취약점과 루트킷 기법 등을 종합적으로 이용한 것으로 밝혀졌다. 이처럼 최근 제로데이 취약점 및 루트킷 기법을 통해 조직 내부로 침투해 활동 거점을 마련한 후 기밀정보를 수집해 지속적으로 빼돌리는 ‘지능적 지속위협(APT, Advanced Persistent Threat)’ 형태의 은밀한 표적 공격이 새로운 보안 위협으로 대두되고 있다.