2016년 트렌드마이크로 보안 예측: The Fine Line

게시일: 2015-11-02 l 작성자: Trend Micro

매년 접하게 되는 사이버 보안 관련 성공 및 실패 사례들은 우리에게 중요한 교훈과 함께 미래를 예측할 수 있는 힌트를 주기도 합니다. 이를 자세히 살펴보면 앞으로 발생될 일들에 대한 선명한 그림을 완성할 수 있는 퍼즐 조각을 얻을 수 있습니다. 2015년을 마감하면서 올해 발생된 사건들을 되돌아보고 정보를 토대로 미래를 예측해보고자 합니다.

사이버범죄자들이 예상치 못한 표적들까지도 매우 창의적인 방법으로 공략하고 있다는 사실은 이미 널리 알려져 있습니다. 하지만 지난 해에는 사이버범죄자들이 매우 발전된 형태의 기술이나 정교한 방법을 사용하지 않고도 성공적인 공격이 가능하다는 것을 볼 수 있었습니다. 때때로 각 공격과 공격 대상에 대한 심리 작용을 이해하는 것만으로도 정교함이 부족한 공격을 충분히 보완할 수 있습니다. 간단히 말해 모든 것이 점점 “개인화”되고 있습니다. 지난 십여 년 동안 사이버 약탈자들은 피해자들의 두려움을 이용하여 돈을 착취해왔습니다. 랜섬웨어의 최초 사례가 오늘날과 같은 완전하게 진화하고 정교해진 형태로 발전한 것입니다. 두려움은 여전히 성공적인 약탈 공격의 수단이 될 것이며 개인 정보를 더 많이 확보할수록 피해자는 약탈자의 요구에 더 쉽게 응하게 될 것입니다.

마찬가지로 도용 정보가 핵티비스트에게 넘어가게 되면 이들은 표적의 온전성과 평판에 피해를 입히는 파괴적인 공격을 구상할 수 있습니다. 데이터 유출은 데이터를 확보하기 위한 것이지만 반드시 금전적 이익을 목적으로 이루어지는 것은 아니며 도덕성이 의심스러운 기업 관행을 폭로하거나 다른 기밀 정보를 얻기 위해 이루어질 수 있습니다.

차세대 기술들 역시 공격 가능한 표적이 될 것입니다. 상호 연결된 가정용 스마트 기기들이 지속적으로 성장하면서 사이버범죄자들은 패치되지 않은 취약점들을 이용하여 강력한 공격을 주도할 것입니다. 대규모 공격이 발생될 징후는 보이지 않지만 소비자용 스마트 기기의 취약점으로 인해 물리적 손해를 입을 수 있는 가능성이 매우 높습니다.

모바일 세상의 차세대 지불 방식은 온라인 범죄자들의 관심을 EMV 신용카드에서 모바일 지갑으로 유도할 것이며 소위 더 안전하다는 지불 플랫폼을 위협하게 될 것입니다. 그리고 부주의한 사용자 습관과 중국의 제3 앱 스토어의 출현으로 인해 모바일 멀웨어가 기하 급수적으로 성장할 것입니다.

하지만, 위협은 지속적으로 발전하고 사이버범죄자들은 새로운 전술을 도입하는 동안 우리는 사이버 위협을 억제하기 위한 과거의 노력에 대한 구체적 성과를 도출해야만 합니다. 위협에 대한 사용자의 인식과 법 집행기관 및 개인 조직과의 파트너십을 통해 위협에 대한 빠른 법안 제정, 급습, 체포 및 유죄 선고가 성공적으로 이루어질 수 있을 것입니다.

2015년의 동향, 사건 및 사례들을 통해 어떤 미래를 예측할 수 있을까요? 이러한 중요한 사안들이 미래의 위협 환경에 어떤 영향을 미치게 될까요? 아래의 단추를 클릭하고 우리가 예측하는 2016년의 동향을 살펴보십시오.

2016년 보안 예측 자세히보기




X
2016년 보안 예측
2016년에도 사이버보안은 큰 폭의 발전을 이룩하겠지만 이러한 발전과 우리가 예측하는 위협들 간의 간극은 크지 않습니다. 기존 기술의 발전(크라임웨어와 일상적인 기술 모두 포함한)은 새로운 공격 시나리오를 양산할 것입니다. 보안 업계뿐 아니라 일반 사용자들에게 향후 발생될 손해나 현금 탈취 또는 치명적 결과를 피하도록 사전 경고해야 합니다.
The Fine Line
2016년 보안 예측

최악의 날

X

침실용 탁자 위의 전화벨이 그의 잠을 깨웠다. Rick Davidson은 일어나 Quality Assurance Manager, Smart Life, Ltd라고 적힌 배지와 랩톱 옆에 놓인 스마트폰을 집어 들었다. 때는 2016년 9월 마지막 날 새벽 3시였다. 그의 사서함에는 5건의 새로운 메시지가 도착해 있었고 그 중 하나는 JohnMeetsJane.com의 COO인 Eric Nielsen이 보낸 것이었다.

이 메시지는 Hackers United라는 해커 그룹의 정보 유출 기사에 관한 것이었다. 메시지에는 THE SECRET IS OUT(기밀이 유출되었다)라는 붉은색의 굵은 글씨가 적힌 웹 사이트의 스크린샷이 첨부되어 있었고 조심스럽게 작성된 사과문에는 사이트 관리자의 송구스러운 마음이 담겨있었다. 이 업체는 지난 5개월 동안 업계 3위를 차지하던 온라인 데이트 서비스 회사였다. 이 메시지는 보안 강화와 회원들의 개인 정보 보호를 약속하고 새로운 데이터 보호 책임자를 고용하였다는 내용으로 마무리되어 있었다. 하지만 Rick에게는 이 모든 약속이 무의미했다.

메시지에서 눈을 떼기 전 잠시 그의 심장이 멈추는 듯 하였고 그의 손이 떨렸다. 그는 자신의 계정을 거의 1년 가까이 사용하지 않았지만 이는 문제가 되지 않았다. 문제는 그가 유부남이라는 것이며 이 데이트 사이트에서 그가 저질렀던 부정 행위를 포함하여 그의 신분이 이젠 해커들의 손에 넘어갔다는 것이다.

Rick은 이와 같은 정보유출 문제가 언론의 조명을 받게 될 것임을 알고 있었다. 몇 달 전, 유명한 할리우드 배우의 욕설이 녹음된 파일이 공개되어 사람들 입에 끊임없이 오르내렸기 때문이다. 이 몹쓸 오디오 파일은 클라우드 스토리지 플랫폼에서 유출되는 수백만 건의 파일 들 중 일부에 불과하였다. 몇 분 가량의 악의적 대화로 인해 이 배우는 백만 달러 규모의 계약을 포기해야 하는 손실을 입었다. 아이러니하게도 그 계약은 Rick의 회사가 출시한 신형 스마트 카 광고에 관한 건이었다.

Rick이 다른 메시지들을 확인하기도 전에 전화가 왔다. 그의 상사였으며 매우 화가나 흥분된 목소리였다. 신형 스마트 카 모델인 Zoom 2.1이 연루된 또 다른 사건이 터진 것이었다. 몇 달 전 운전자가 Zoom에 갇히는 사고가 보도된 적이 있었고 이 사건으로 인해 Rick의 팀은 심층 조사를 진행해야 했었다. 하지만 이번 문제는 과거의 그 어떤 사건들보다 훨씬 심각했다. 이 기사가 사람들의 입에 오르내리게 된다면, Rick이 생각하고 싶지도 않은 참담한 결과가 야기될 것이다.

통화를 끝내자 마자 새로운 메시지가 팝업창에 표시되었다. 넋을 잃은 채 그는 이 메시지를 클릭했다. 그러자 붉은색 배경화면이 화면을 가득 채웠고 눈에 익은 경고 메시지가 그를 얼어붙게 만들었다: “기밀이 유출되었다, 72시간 내에 돈을 지불하라."

새벽 4시가 되어가고 있다. 이보다 더한 최악의 날이 있을까?

X

2016년은 온라인 약탈의 해가 될 것이다.

X

2016년의 온라인 위협은 공격의 기술적 측면보다는 각 공격의 심리적 측면을 이용하는 방식으로 발전할 것입니다. 공격자들은 공격의 주된 요소로써 두려움을 이용할 것이며 이 방법은 이미 상당히 효과적인 것으로 입증되었습니다.

지난 10여 년 동안, 사이버 약탈자들은 온라인 사용자들을 공격 전술에 끌어들이기 위해 랜섬웨어를 사용해왔으며 피해자의 두려움을 자극하여 강제로 대가를 치르도록 하였습니다. 컴퓨터 감염을 두려워하는 사람들을 표적으로 한 가짜 안티바이러스도 제작되었습니다. 초기의 랜섬웨어 변종들은 사용자의 화면을 잠그고 정상 상태로 되돌리려면 돈을 지불하도록 요구하였으며, Police Trojans은 범법 행위에 대한 체포 및 벌금에 대한 내용으로 사용자들을 겁주었습니다. 마지막으로 사이버범죄자들은 크립토 랜섬웨어를 이용하여 시스템에 들어있는 가장 중요한 부분인 데이터를 표적으로 하였습니다.

이러한 점을 염두에 둔 사이버 약탈자들은 피해자의 심리를 이용하여 사용자나 기업들에 대해 개인화된 공격을 시도하는 새로운 방식을 개발할 것입니다. 개인의 명예나 기업의 평판은 그 무엇보다도 중요하며 따라서 이들의 명예나 평판을 실추시킬 수 있는 위협이 매우 효과적이고 수익성도 높을 것입니다.

기업들은 새로운 소셜 엔지니어링 낚시글을 이용한 교묘한 술책에 당하게 될 것입니다. 사이버범죄자들이 관리하는 계좌로 송금하도록 직원들을 유도하는 공격 술책이 크게 증가할 것으로 보입니다. 비즈니스 활동의 흐름을 잘 아는 이들이 이러한 악의적 술책을 악용할 것이며 HawkEye, Cuckoo MinerPredator Pain 배후의 사이버 범죄자들이 사용한 전술처럼 비즈니스 제휴사간 커뮤니케이션을 가로채 이러한 공격을 시도할 것입니다.

X

한 대의 소비자용 스마트 기기의 오류가 치명적 결과를 가져올 것이다.

X

2015에는 베이비 모니터, 스마트 TV, 커넥티드 카 등을 포함하여 해킹되었거나 보안이 취약한 기기들이 연루된 사건들이 있었습니다. 물론 인터넷에 연결된 가정용품과 기기들의 보안 위험에 대한 사용자의 인식이 높아지긴 했지만 스마트화에 대한 대중들의 관심이 최고조에 달할 것입니다.

향후 5년간 스마트 커넥티드 가정용 기기들의 출고량은 연평균 67% 정도 증가할 것으로 예상되며 2019년에는 기기 출고량이 20억대에 달할 것으로 기대됩니다(이는 스마트폰이나 태블릿 기기의 성장률보다 더 빠른 추세임). 다양한 운영 체제와 스마트 기기들에 대한 낮은 규제에도 불구하고 아직까지 대규모 해킹 공격이 발생할 징후는 보이지 않습니다. 하지만 연결을 위한 기기 간 경쟁으로 인해 와이파이와 블루투스 네트워크가 혼잡해지고 취약해질 것입니다. 즉, 업무상 중요한 작업들을 수행하는데 어려움을 겪게 될 것입니다.

소비자용 스마트 기기의 오류로 인해 물리적 손실을 입게 될 가능성이 더 커졌습니다. 다양한 용도의 드론이 상공을 침해하고 의료 관리 서비스에 활용되는 기기들이 늘어나며 인터넷에 연결되어 작동되는 가정용 및 기업용 제품들이 증가함에 따라 기기 오작동, 해킹 또는 남용 등으로 인한 사건이 야기될 가능성도 높아지고 기기 생산과 사용에 대한 법안 제정을 요구하는 목소리가 높아질 것입니다.

X

2016년 말에는 중국의 모바일 멀웨어가 2천만 건으로 증가할 것이며 전 세계의 모바일 지불 방식이 공격을 받을 것이다.

X

중국 앱의 4개 중 3개가 멀웨어라는 보고가 있습니다. 반면 구글은 구글 플레이 스토어의 앱들 중 유해 가능성이 있는 앱은 1% 미만이라고 보고하였습니다. 트렌드마이크로가 수집한 자료에 의하면 중국 시장에 출시된 앱들 중 13%가 유해한 것으로 나타났고 구글 플레이에 등록된 악성 앱은 0.16% 밖에 되지 않았습니다.

무료 앱 다운로드를 제공하는 제3 플랫폼과 채널들로 인해 중국의 모바일 멀웨어는 앞으로도 계속 사용자들을 감염시킬 것입니다. 구글 플레이도 중국에서 사용되고는 있지만 8억의 중국 모바일 사용자들 중 2천1백 명의 사용자만 이용하고 있습니다. 이러한 사용자 추세로 볼 때 모바일 멀웨어의 기하급수적 증가는 멈추지 않을 것이며 2016년 말에는 2천만 건에 달할 것으로 예상됩니다.

하지만 사용자들이 주로 공식 앱 스토어에서 앱을 다운받은 다른 국가들은 해당되지 않을 것입니다. 아직까지는 도입속도가 느리긴 하지만 차세대 모바일 지불 시스템의 도입으로 인해 위협 행위자들은 EMV 신용카드, 비접촉 RFID 신용카드와 같은 새로운 지불 기술과 Apple Pay나 Google Wallet과 같은 모바일 지갑의 정보 도용에도 관심을 가지게 될 것입니다. 2016년에는 이러한 지불 시스템에 대한 강화된 보안 역시 온라인 범죄자들의 공격 대상이 될 것입니다..

X

핵티비스트들이 표적의 조직적 붕괴를 위해 데이터 유출을 시도할 것입니다.

X

2016년에는 핵티비스트들이 표적의 온전성을 손상시킬 수 있는 데이터를 확보하여 “파괴적” 공격을 주도하게 될 것으로 예상됩니다. 사이버범죄자들은 Sony, Ashley MadisonHacking Team과 같은 유명한 표적들을 대상으로 한 데이터 유출 공격이 어떤 영향을 미치는 지 보게 될 것입니다.

과거, 핵티비스트의 공격 각본은 주로 표적을 방해하기 위한 웹 변조DDoS 공격과 같은 기본 전술들도 이루어져 있었습니다. 하지만 최근에는 도덕성이 의심스러운 기업 관행, 기밀 메시지 및 의심스러운 거래와 같은 고발성 정보를 공개하는 공동의 목적을 위한 정보 유출 사례가 성공을 거두면서 사이버범죄자들도 이러한 데이터 유출 방법을 도입할 것입니다.

위협 행위자들은 훔친 데이터를 공개적으로 업로드하여 공격에 대한 조사와 견제 활동을 방해할 것입니다. 그리고 과거의 워터링 홀 공격과 마찬가지로 표적의 웹 사이트를 악용하고 소비자로부터 외면당하도록 하는 이차 감염 문제가 발생할 것이며 분실된 데이터는 다른 공격의 기반으로 사용 될 것입니다.

X

Data Protection Officers의 필요성에도 불구하고, 이를 도입하는 조직은 전체의 50%도 되지 않을 것이다.

X

기업들은 결국 조직 내외부 데이터의 무결성을 보장하는 업무를 담당하는 책임자에 대한 필요성을 인식하게 될 것입니다. 회사의 규모, 예산 및 기타 요인에 따라 회사가 별도의 Data Protection Officer(데이터 보호 책임자)와 Chief Risk Officer(최고 위험관리 책임자)를 배치하거나 Chief Information Security Officer(최고 정보보안 책임자)가 이러한 업무를 모두 담당하고 있건 상관 없이 이들의 책임은 동일할 것입니다.

EU Data Protection 지침에 의한 규제는 데이터 보호에 대해 매우 높은 기준을 적용할 것이며 기업 데이터가 저장되는 국가들에서 규칙과 규제를 준수하고 데이터 무결성을 보장하는데 있어서 DPO/CISO의 역할이 필수적이 될 것입니다. DPO와 CISO는 데이터 보호 및 데이터 보안 규정에 관한 전문가여야 하며 이러한 보안을 효과적으로 구현하는 방법을 잘 알고 있어야 합니다.

하지만 모든 기업들이 이를 도입하지는 않을 것입니다. 설문조사에 의하면 응답자의 22,8%가 법에 대해 아는 것이 없다고 답했고 50%는 새로운 규정과 관련된 정책들을 검토할 계획이 없다고 답했습니다.

데이터 보호에 대한 인식은 사이버 공격에 대한 기업의 마음가짐과 전략을 전환시키기 위한 출발점이 될 것입니다. 그리고 기업들은 “사냥감”이 아닌 “사냥꾼”이 될 것이며 침입을 더 신속하게 탐지하기 위해 맞춤 방어 기능을 갖춘 위협 인텔리전스와 차세대 보안 솔루션을 도입하기 시작할 것입니다.

X

광고 차단 기능으로 인해 광고 비즈니스 모델이 개편되고 악성 광고가 사라질 것이다.

X

원치 않는 광고에 대한 온라인 사용자들의 혐오감과 악성 광고 공격의 증가로 인해 기기업체들이 자사 제품 및 서비스에 광고 차단 옵션을 탑재하고 있습니다.

올 상반기에는 익스플로잇 킷이 어떻게 악성 광고 기법에 활용되고 있는 지를 확인하였습니다. 2015년 9월, 3,000곳의 유명한 일본 사이트들이 대규모 악성 광고 캠페인에 감염되어 대략 50만 명의 사용자들에게 피해를 준 일이 있었습니다. 2015년 2월, 트렌드마이크로는 Adobe Flash에서 악성광고 공격에 사용된 제로데이 익스플로잇을 발견하기도 하였습니다.

이는 광고를 차단하고자 하는 소비자들의 인식이 높아졌다는 것을 보여줍니다. 이제 사용자들은 원치 않는 광고들이 단순히 성가신 것으로만 간주하는 것이 아니라 위험한 것으로 인식하고 있습니다. 실제로, PageFair와 Adobe 2015 광고 차단 보고서에서는 점차 많은 소비자들이 광고를 차단하고 있으며 2015년에는 전세계적으로 광고 차단 소프트웨어 이용률이 41%나 증가하였습니다.

미국에서도 광고차단 소프트웨어 이용률이 48%까지 증가하였고 2분기에는 월간 사용자 수가 4천5백만 명으로 늘어났습니다. 따라서 광고 비즈니스 모델의 기반이 흔들리게 되었고 정상적인 광고업체들은 온라인 광고를 위한 새로운 방법을 모색해야 할 것입니다. 사이버범죄자들 역시 피해자들에게 접근하여 악성 광고를 효과적으로 전파하기 위한 새로운 방법을 모색할 것입니다.

X

사이버 범죄 관련 법안 제정은 전 세계적인 추세로 확대될 것이다.

X

향후 12개월 동안 사이버범죄와의 전쟁 결과로써 좀 더 구체적인 변화가 나타날 것입니다. 정의의 사자는 더 많은 성공 지표를 보게 될 것이며 더 빠르게 법안을 제정하고 성공적으로 급습하여 더 많은 사이버범죄자들을 체포하여 유죄 선고를 내리게 될 것입니다.

정부와 기관들은 사이버 범법 행위에 대해 더 적극적으로 대처할 것입니다. 2015년 9월에는 CITADEL 멀웨어 배후의 러시아인, 공격 대상이었던 지불 처리 업체의 유죄를 주장한 또 다른 러시아 사이버범죄자 등과 같은 여러 범죄자들이 계속 체포되어 유죄 선고를 받았습니다. 올해엔 지하 포럼을 비호하던 익명성을 없애면서 사법기관은 해킹 포럼인 다코드(Darkode)를 폐쇄할 수 있었습니다.

4월, SIMDA 봇넷을 근절시킨 트렌드마이크로, INTERPOL, Cyber Defense Institute 및 여러 보안 업체들의 공조 노력에서 볼 수 있듯이 앞으로는 조직 간 협력과 파트너십이 활발히 이루어질 것입니다. 최근에는 FBI와 보안 전문가들이 협력하여 온라인 자격 증명을 훔치는 DRIDEX 봇넷에 이용된 여러 서버들을 폐쇄하였습니다. 이 외에도 최근 수사를 위해 데이터 공유에 동의한 미국이나 유럽과 같은 주요 국가가 선봉이 되어 국가간 공조가 강화될 것입니다.

여러 해 동안 인터넷에 대한 규정은 매우 느슨했었습니다. 2016년에는 정부 및 규제 기관의 자세가 크게 달라질 것이며 인터넷 및 사용자를 보호하는데 있어서 적극적인 역할을 수행할 것입니다. 사이버범죄 법이 현재 논의되고 있으며 시대에 맞지 않는 사이버 보안 기준은 변경토록 하여 보안에 대한 자세가 한층 강화될 것입니다.

X