Skip to content

2017년 트렌드마이크로 보안 예측 보고서


넥스트 티어(The Next Tier)

2017년의 위협 환경에 대해 예측하는 사람들은 이미 익숙한 불법의 시대가 열릴 것이라 말할 것입니다. 2016년에 대한 우리의 예측은 현실이 되었으며 노련한 공격자들이 더 광범위한 공격 기회를 모색할 수 있도록 허용하는 계기를 만들어주었습니다. 2016년에는 온라인 금품갈취 사례가 폭발적으로 증가하였고 스마트기기 오작동으로 인한 손실이 야기되었으며 데이터 보안 책임자(DPO)에 대한 필요성도 높아졌고 데이터 유출 사고가 매우 빈번하게 일어났습니다.

2017년에는 새로운 문제가 대두될 것입니다. 더 많은 변종들이 만들어지고 정교하게 계획된 표적 공격이 더 광범위하게 시도되며 위협들이 모바일이나 스마트기기와 같은 비 데스크톱 기기를 표적으로 하면서 랜섬웨어 활동 경로가 다양해질 것입니다. 간단하면서도 효과적인 BEC 공격은 사이버범죄자들이 가상 선호하는 방식이 될 것이며 미화 8100만 달러를 강탈당한 방글라데시 은행 사건과 같은 치명적인 BPC 공격도 증가할 것입니다. 그리고 더 많은 애플 및 어도비 취약점이 발견되고 악용될 것입니다. 무해한 스마트 기기들이 DDoS 공격에 악용될 수 있고 IIoT(산업용 사물 인터넷) 기기들도 위협 행위자들의 표적이 될 것입니다. 일반정보보호규정(GDPR)이 머잖아 시행됨에 따라 기업들은 이 규정에 맞게 프로세스를 신속하게 변경해야 하며 이로써 해당 프로세스에 대한 관리 비용이 급등하고 이 와중에도 기업들은 다양한 목적으로 네트워크 침투를 시도하는 전 세계 위협 행위자들에 맞서야 합니다. 이것이 바로 디지털 위협의 넥스트 티어이며 따라서 이에 맞는 수준의 솔루션이 필요합니다.

트렌드마이크로는 20년 이상 보안 사업에 전념해왔습니다. Forward-Looking Threat Research (FTR) 팀과 함께 위협 환경을 실시간 감시해온 우리는 위협 환경의 현 상황과 향방을 결정하는 다양한 동인들을 이해하고 있습니다. 2017년 이후의 상황이 궁금하다면 본 보고서를 계속 읽어보시기 바랍니다.

1
. 2017년, 랜섬웨어의 증가율은 주춤해지지만 공격 방법과 표적은 다양해질 것이다.
2017년에는 새로운 랜섬웨어 패밀리의 수가 25% 증가할 것으로 예상됩니다.

우리는 2016년이 “온라인 약탈의 해”가 될 것으로 정확하게 예측하였습니다. 랜섬웨어의 공격 방식이 다양한 전달 방식과 강력한 암호화, 두려움 조성 전술과 결합되어 손쉽게 이용할 수 있는 사이버범죄 수익원이 되었습니다. 랜섬웨어 운영자들은 그들의 인프라를 사이버범죄자들에게 임대해주는 서비스 형태의 랜섬웨어(Ransomware as a service)를 통해 기술력이 없는 사이버범죄자들도 범죄에 가담하도록 지원하고 있습니다. 2016년에는 일부 랜섬웨어 코드가 공개되어 해커들이 독자적인 공격을 제작할 수 있었습니다. 이로 인해 1월부터 9월까지 랜섬웨어 패밀리의 수가 400%나 증가하는 엄청난 결과를 낳았습니다.


Annual number of ransomware families
2017 projection
그림 1: 연간 랜섬웨어 패밀리 수, 2017년 예상치 포함

2017년에는 새로운 랜섬웨어 패밀리의 수가 25% 증가할 것으로 예상되며 이는 매월 평균 15건의 신종 패밀리가 발견되는 셈입니다. 2016년에 이미 정점을 찍고 주춤한 상태지만 이러한 정체기에는 사이버범죄가 다양해지고 더 많은 피해자와 플랫폼 그리고 대규모 표적을 공격할 수 있습니다.

이 외에도 랜섬웨어가 데이터 유출에 이용되는 사례가 크게 증가할 것으로 예상됩니다. 사이버범죄자들은 지하 시장에 판매하기 위해 기밀 데이터를 훔친 다음 랜섬웨어를 설치하여 데이터 서버를 인질로 삼고 더 많은 수익을 올릴 것입니다.

이제는 모바일 사용자가 매우 유망한 표적이기 때문에 모바일 랜섬웨어는 데스크톱 랜섬웨어와 같은 방식으로 전개될 것입니다. PoS 시스템이나 ATM과 같은 비 데스크톱 컴퓨팅 터미널들도 이러한 현금강탈 공격에 노출될 수 있습니다.

공격 시도를 위해 스마트 기기를 인질로 삼는 방법은 현재 큰 이득이 없습니다. 사용자 입장에서는 몸값을 지불하는 것보다 해킹된 스마트 기기를 교체하는 것이 더 간편하고 저렴하기 때문입니다. 고속도로를 달리고 있는 자동차의 브레이크를 제어하겠다고 위협하는 해커들이라면 큰 수익을 올릴 수 있겠지만 이러한 공격에는 엄청난 기술과 노력이 요구되기 때문에 쉽게 이용할 수 있는 방식은 못됩니다.

랜섬웨어의 공격으로 기업의 고통은 현실이 되었고 비즈니스 중단이라는 엄청난 비용 손실을 입을 수도 있습니다. 산업체를 대상으로 한 랜섬웨어와 IIoT 공격들은 더 큰 피해를 야기시킬 수 있는데 일례로 위협 행위자들은 생산 기반을 다시 온라인화시키거나 설비 온도를 안전한 범위로 되돌려놓는 대가로 엄청난 돈을 요구할 수 있습니다.

랜섬웨어 공격으로부터 잠재 피해자들을 100% 보호할 수 있는 묘책은 없지만 웹 또는 이메일 게이트웨이 솔루션을 통해 이러한 위협들을 근본적으로 차단하는 것이 가장 바람직합니다. 머신 러닝 기술은 다계층 보안을 보완해주는 강력한 기능으로 신종 랜섬웨어까지도 탐지할 수 있습니다.

2
IoT 기기들은 DDos 공격에, IIoT 시스템은 표적 공격에 악용될 것이다.
사이버범죄자들이 DDoS 공격에 Mirai와 같은 멀웨어를 사용할 것으로 예상됩니다.

보안에 대해 주의를 기울이지 않았던 수천 대의 웹캠들이 주요 웹 사이트를 황폐화시킨 Mirai DDoS 공격의 기반이 되었습니다. 슬리퍼 에이전트처럼 인터넷에 연결된 기기들은 사이버범죄자들이 공격을 개시하기 전까지는 무해한 상태입니다. 2017년에는 오픈 라우터를 이용하여 대대적인 DDoS 공격을 실행하거나 인터넷에 연결된 자동차를 이용하여 특정 대상자를 표적으로 하거나 상관 없이 많은 사이버 공격들이 IoT 및 관련 인프라를 대대적으로 악용할 것입니다.

사이버범죄자들이 DDoS 공격에 Mirai와 같은 멀웨어를 사용할 것으로 예상됩니다. 2017년부터는 금전적 목적으로, 분노의 표시로 또는 특정 요구를 관철시키기 위한 방법으로 진보적 사이트, 서비스 중심의 사이트, 뉴스, 기업 및 정치 관련 사이트들에 대한 대대적 HTTP 트래픽 공격이 이루어질 것입니다.

안타깝게도 업체들은 이러한 공격이 발생되지 못하도록 적시에 대처하지 못할 것으로 예상됩니다. Mirai 공격의 경우 업체가 웹캠 리콜을 실시하였지만 이들은 감염되지 않고 제어가 가능한 연결된 기기들에 대해 유사 코드 검토를 즉각적으로 하지 못했습니다. 따라서 위협 행위자들이 악용할 수 있는 치명적인 공격 표면이 늘 존재하게 될 것입니다.


그림2: Mirai 봇넷은 DNS 서버 없이도 표적을 오프라인 상태로 만들 수 있었으며
사용자들이 사이트에서 빠져나가지 못하도록 폐쇄하였습니다.
이론적으로, IoT 봇넷은 DDoS 공격을 증폭시키고 더 심각한 피해를 양산시킬 수 있습니다.

IoT가 제조업이나 에너지 생산과 같은 산업 환경에 효율성을 가져다 주듯이 위협 행위자들도 BlackEnergy 공격의 효과성을 기반으로 자신의 목적을 달성할 수 있습니다. SCADA 시스템의 취약점 수가 크게 증가하고(2016년 티핑포인트가 탐지한 총 취약점의 30%) 점차 IIoT로 이전하게 되면서 2017년에는 기업들과 감염된 소비자들에게 상당히 치명적인 위험이 초래될 것입니다.

이러한 위험들은 스마트 기기나 장비를 판매하는 업체들이 보안을 염두에 두고 제품을 개발한다면 사전에 대응할 수 있습니다. 그렇지 않을 경우 IoT와 IIoT 사용자들이 직접 이러한 공격 시나리오를 시뮬레이션하여 취약한 부분을 찾아내어 보호해야 합니다. 예를 들어 산업 공정의 네트워크 방어 기술은 네트워크 침입 방지 시스템을 통해 악성 네트워크 패킷을 탐지하고 차단할 수 있어야 합니다.

3
BEC 공격의 간편성으로 인해 2017년에는 표적 사기 행위가 증가할 것이다.
이러한 간단한 특성 때문에 BEC, 특히 CEO 사기는 사이버범죄자들이 더욱 선호하는 유형의 공격이 될 것으로 예상됩니다.

전 세계의 금융 부서를 표적으로 하는 BEC는 이메일 계정을 해킹하거나 직원을 속여 범죄자의 계좌로 자금을 송금하도록 유도하는 공격입니다. 이 공격은 직원을 속일 수 있는 교묘한 이메일을 작성하기 위한 자료를 얻기 위해 정찰이 필요하다는 것을 제외하고는 그다지 특별하지 않으며 이러한 자료는 검색 엔진 쿼리만 잘 해도 얻을 수 있습니다.

이러한 간단한 특성 때문에 BEC, 특히 CEO 사기는 사이버범죄자들이 더욱 선호하는 유형의 공격이 될 것으로 예상됩니다. 신용 사기는 쉽고 비용 효율적이며 인프라 측면에서 리소스가 많이 요구되지도 않습니다. 하지만 성공적인 BEC 공격의 평균 지불액은 미화 14만 달러로 예상되며 이는 작은 집 한 채의 값입니다. 2년간 BEC로 인한 총 지불액은 대략 미화 30억 달러였습니다. 이에 비해 랜섬웨어 공격의 평균 수익은 미화 722달러(현재 1비트코인)지만 기업 네트워크가 공격을 받을 경우엔 미화 2만 달러에 달할 수도 있습니다.

그림3: 랜섬웨어와 BEC 공격을 받은 기업들이 지불한 평균 금액 비교

BEC 예상 지불액이 증가한 것은 수익을 올리는 기간이 상대적으로 짧기 때문이기도 합니다. Predator Pain 사례를 이용한 BEC 조사 자료에 의하면 공격자들은 단 6개월 만에 7,500만 달러의 순 이익을 낼 수 있었습니다. 국경을 초월한 범죄일 경우 사법권의 행사가 지연될 수 있기 때문에 이 공격의 인기가 높아질 것입니다. 일례로, 2014년부터 여러 차례 기업을 상대로 사기 행위를 한 나이지리아 인을 체포하기까지 2년 이상이 걸렸습니다.

BEC는 이메일 내에 악성 페이로드나 바이너리가 포함되어 있지 않기 때문에 탐지하기가 매우 어렵고 따라서 기업들은 웹 및 이메일 게이트웨이 솔루션을 이용하여 조기에 이러한 위협들을 차단할 수 있어야 합니다. 이러한 보안 기술들은 비정상적인 트래픽과 악성 파일 활동 및 구성 요소들을 찾아낼 수 있지만 BEC 사기의 경우 피해자가 사이버범죄자들에게 속아 자금을 계속 송금하게 된다면 이를 차단하기가 매우 어려울 수 있습니다. 기업들은 정상 및 비정상 거래에 대해 엄격한 정책을 실시해야 하며 거액 송금의 경우 송금 전에 승인을 거치도록 확인하는 절차와 한도액을 설정하는 과정이 포함되어야 합니다.

4
BPC(Business Process Compromise)는 금융 부서를 표적으로 하는 사이버범죄자들의 관심 대상이 될 것이다.
BPC의 최종 목표는 자금 이체를 유도하는 것이지만 이들의 공격은 금융 부서에만 한정되지 않을 것입니다.

방글라데시 은행 강탈 사건으로 미화 8100만 달러의 손실이 발생했습니다. 사람의 실수에 의존하는 BEC와는 달리 이번 사건은 조직의 금융 거래 방식을 훨씬 정확하게 파악한 후에 이루어졌으며 이러한 유형의 공격을 “BPC”라고 부릅니다.

BPC의 최종 목표는 자금 이체를 유도하는 것이지만 이들의 공격은 금융 부서에만 한정되지 않을 것입니다. 구매주문 시스템을 해킹하여 업체가 받아야 할 지불금을 사이버범죄자들이 가로채는 경우도 발생될 수 있습니다. 결제 배송시스템을 해킹할 경우에도 무단 자금 이체가 가능합니다. 사이버범죄자들은 물류 센터를 해킹하여 상품들이 다른 배송지로 배달될 수 있도록 할 수 있습니다. 이미 2013년에 마약 밀수를 위해 Antwerp Seaport 선적 컨테이너 시스템을 해킹한 사건이 발생된 바 있습니다.

BPC 공격을 이용하는 사이버범죄자들은 정치적 목적이나 지적 자산 수집보다는 주로 돈을 목적으로 하지만 이들의 공격과 표적 공격에 사용되는 방법과 전략은 유사할 것입니다. 기업 네트워크에 대한 랜섬웨어 공격 및 BEC 공격으로 인해 얻을 수 있는 평균 수익과 BPC 공격을 통한 예상 수익을 비교해보면(미화 2만 달러, 미화 14만 달러, 미화 8100만 달러) 어째서 사이버범죄자들 또는 자금이 절실한 테러지원국과 같은 위협 행위자들이 이러한 공격 방식을 선호하는지 쉽게 이해할 수 있을 것입니다.


그림4: BEC 공격과 BPC 공격 비교

기업들은 비즈니스 프로세스가 공격을 받았을 때 야기되는 위험에 대해 제한적으로만 파악할 수 있습니다. 일반적인 보안 목적은 기기들이 해킹되지 않도록 하는 것입니다. 사이버범죄자들은 기업들이 현실을 빠르게 인식하지 못한다는 점을 십분 활용할 것입니다. 어플리케이션 제어와 같은 보안 기술로도 조직의 주요 터미널에 대한 접근을 차단할 수 있지만 엔드포인트 보호 기능을 통해 악의적인 측면 이동(lateral movement)까지 탐지할 수 있어야 합니다. 그리고 기업 문화에 소셜 엔지니어링에 대한 강력한 정책과 관례가 반드시 포함되어야 합니다.

5
어도비와 애플에서 발견되는 취약점의 수가 마이크로소프트를 능가할 것이다.
사이버범죄자들이 마이크로소프트 제품에서 어도비와 애플 제품으로 관심을 돌리게 되면서 이들 제품에서 발견되는 소프트웨어 결함이 크게 증가할 것으로 예상됩니다.

2016년에는 처음으로 어도비의 취약점 수가 마이크로소프트를 능가하였습니다. 티핑포인트와 트렌드마이크로는 어도비 제품에서 135건의 취약점을, 마이크로소프트 제품에서는 79건의 취약점을 발견하였습니다. 2015년 제로데이 이니셔티브(ZDI) 프로그램을 통해 발견된 애플 OS X의 취약점 수는 25건이었는데 2016년에는 50건으로 급증하면서 취약점 측면에서 최악의 해가 되었습니다.

사이버범죄자들이 마이크로소프트 제품에서 어도비와 애플 제품으로 관심을 돌리게 되면서 이들 제품에서 발견되는 소프트웨어 결함이 크게 증가할 것으로 예상됩니다. 최근 마이크로소프트의 PC 설치 기반이 줄어들고 있다는 사실 외에도 스마트폰과 전문가 수준의 태블릿을 사용하는 사용자들이 증가함에 따라 업체들이 보안 대책을 세우고 보안을 개선하고 있어서 공격자들은 운영체제에서 새로운 취약점을 찾아내기가 더 어려워질 것입니다.


그림5: 제로데이 이니셔티브(ZDI)가 발견한 마이크로소프트, 어도비 및 애플 취약점

발견된 어도비 취약점들은 익스플로잇 개발에 악용되어 익스플로잇 킷에 지속적으로 포함될 것입니다. 익스플로잇 킷은 앞으로도 위협 환경 속에서 활개를 칠 것이며 사이버범죄자들은 랜섬웨어 전파 외에도 익스플로잇을 적극 활용할 것입니다. 앵글러 익스플로잇 킷(Angler Exploit Kit) 제작자가 체포된 이후 익스플로잇 사용이 다소 줄어들었지만 블랙홀(BlackHole)이나 뉴클리어(Nuclear)와 같은 다른 익스플로잇 킷들이 뒤를 이어서 활동할 것입니다.

Mac을 구입하는 사용자들이 늘면서 애플 소프트웨어의 남용 가능성이 높아질 것입니다. 미국 Mac 판매의 증가로 애플의 시장 점유율도 전해에 비해 큰 폭으로 오르고 있습니다. 마이크로소프트의 보안 강화 외에도 애플의 높아진 시장 점유율은 사이버범죄자들의 관심을 비 마이크로소프트 제품으로 돌리는 데 큰 역할을 할 것입니다. 그리고 애플이 더 이상 iPhone® 4S를 지원하지 않기 때문에 지원되는 버전이 패치하는 결함에 대한 익스플로잇을 이용하여 지원이 중단된 버전에서 더 이상 패치되지 않고 있는 이러한 결함을 찾아낼 것입니다.

취약점 방어는 패치되지 않은 취약점과 제로데이 취약점을 사전에 확실하게 차단할 수 있는 유일한 방법입니다. 지원되지 않는, 구형 또는 고아(orphaned) 소프트웨어를 사용하는 많은 기업들은 여전히 익스플로잇에 노출되어 있으며 애플이나 어도비와 같이 널리 사용되는 소프트웨어들에 대한 취약점 방어 기능의 중요성이 커지고 있습니다. 애플 및 어도비 제품 사용자들은 취약점을 악용하는 멀웨어로부터 엔드포인트와 모바일 기기들을 보호해야 합니다.

6
사이버 선전이 일반화될 것이다.
인터넷의 확산으로 선거 관계자들은 무료 도구인 인터넷을 이용하여 여론 몰이를 할 수 기회를 얻게 되었습니다.

2016년에는 세계 인구의 절반(46.1%)에 가까운 사람들이 스마트폰, 기존의 컴퓨팅 기기 또는 인터넷 키오스크를 통해 인터넷에 접속하고 있습니다. 즉 많은 사람들이 출처나 신뢰도를 개의치 않고 빠르고 쉽게 정보에 액세스하고 있습니다.

인터넷의 확산으로 선거 관계자들은 무료 도구인 인터넷을 이용하여 여론 몰이를 할 수 기회를 얻게 되었습니다. 여러 국가들의 최근 선거 결과를 보면 소셜 미디어와 다양한 온라인 정보가 정치적 의사 결정에 상당히 큰 영향을 주었습니다. 일례로 최근에 있었던 미국 대통령 선거 때에도 캠페인 기간 동안 소셜 봇이 대거 활용되었습니다. 이번 선거에서는 정치적 선전을 위해 WikiLeaks와 같은 플랫폼이 사용되기도 하였는데 선거 일주일을 앞두고 매우 자극적인 정보를 쏟아내었습니다.

사이버범죄자들의 지하 경제를 지속적으로 감시해온 우리는 선거 관련 허위 기사를 이용하여 수익을 올렸다고 자랑하는 아마추어 해커들을 확인하였습니다. 그들은 대선 후보자들의 명예를 더럽히는 허위 기사로 트래픽을 유도하여 매달 미화 20달러 가량의 수익을 올릴 수 있었다고 말합니다. 이 외에도 돈을 받고 페이스북이나 링크드인과 같은 소셜 미디어 사이트에 선거 홍보 자료를 게시하는 사이버 전담 팀들도 있습니다. 이들은 플랫폼의 전자 컨텐츠 필터링 기능을 이용하여 자신의 컨텐츠에 대한 가시성을 높이고 있습니다.

정보의 정확성에 대한 검열 부족과 반대 성향의 사람들을 동요시키거나 자신의 신념을 지지하기 위한 열성 지지자들로 인해 이러한 가짜 컨텐츠가 성행하게 되었습니다. 이로 인해 일반 인터넷 사용자들은 실제 사실과 가짜 정보를 구별하기가 매우 어려워졌습니다.

페이스북과 구글이 가짜 기사를 게시한 사이트에 광고를 올리지 않기로 하였고 트위터는 음소거 기능을 확대하여 사용자들이 모욕적인 공격이나 대화를 차단할 수 있도록 했지만 이러한 노력의 직접적인 영향력은 아직 확인되지 않았습니다.

브렉시트라고 알려진 영국의 유럽 연합 탈퇴와 같은 움직임과 다가오는 프랑스와 독일의 대선도 전자 매체를 이용하여 만들어지거나 공유되는 정보의 영향을 크게 받을 것입니다.

이러한 정보를 전략적으로 이용하여 여론을 살필 수 있는 후보자는 원하는 결과를 얻을 수 있게 될 것입니다. 2017년에는 소셜 미디어가 더 많이 사용되고 남용되며 오용될 것이며 PawnStorm과 같이 정치적 목적을 가진 표적 공격 캠페인도 자주 보게 될 것입니다.

7
GDPR 구현 및 규정 준수로 인해 조직의 관리비용이 상승할 것이다.
GDPR로 인해 해당 기업들은 정책 및 비즈니스 프로세스를 개선해야 하고 이로 인해 관리비용이 크게 상승하게 될 것입니다.

데이터 개인정보 보호에 대한 EU 회원국 국민들의 강도 높은 요구에 따라 EU가 제정한 GDPR(일반정보보호규정)은 EU 회원국뿐 아니라 EU 국민의 개인 데이터를 수집, 처리 및 저장하는 전 세계 모든 기관에 적용될 것입니다. 2018년부터 이 규정이 시행되면 이를 준수하지 않는 기업의 경우 총 수익의 4%를 벌금으로 납부해야 할 것입니다.

GDPR로 인해 해당 기업들은 정책 및 비즈니스 프로세스를 개선해야 하고 이로 인해 관리비용이 크게 상승하게 될 것입니다. GDPR은 다음과 같은 개선을 요구합니다:

  • DPO는 의무 사항이다. 우리는 2016년 말까지 전체의 절반 이하의 기업들이 DPO를 고용할 것으로 예측하였습니다. 이 예측은 맞아떨어지고 있으며 기업의 지출 항목에 고위급 직원의 고용, 교육 및 유지라는 새로운 항목이 추가될 것입니다.
  • 사용자들에게 새롭게 바뀐 사용자 권리를 공지해야 하고 기업들은 사용자들이 이러한 권리를 행사할 수 있도록 해야 한다. EU 국민은 자신의 개인 정보의 주인이며 따라서 기업이 수집한 데이터는 기업 소유가 아니라 빌려준 데이터라는 달라진 패러다임이 데이터 관련 모든 워크플로에 영향을 미칠 것입니다.
  • 서비스 이용에 필요한 최소한의 데이터만을 수집해야 한다. 기업들은 데이터 수집 방식을 규정에 맞게 개정해야 합니다.

기업들은 규정을 준수하고 EU 데이터를 다른 데이터와 구분하기 위해 데이터 프로세싱을 철저하게 검토해야 할 것입니다. EU 데이터를 위한 새로운 데이터 저장 시스템을 구축해야 하는 다국적 기업들에게는 더욱 어려운 사안이 될 것입니다. 이들은 클라우드 저장소 파트너들의 데이터 보호 규정도 검토해봐야 할 것입니다. 기업들은 GDPR 규정 준수를 위해 직원 교육을 포함한 포괄적인 데이터 보안 솔루션에 투자해야 합니다.

8
위협 행위자들은 회피 방지 표적 공격 방식을 도입할 것이다.
이러한 학습 곡선을 감안해볼 때 근래에 개발되는 최첨단 보안 기술을 회피하기 위한 방법이 대거 사용될 것으로 예측됩니다.

거의 10여 년 간 표적 공격 캠페인은 계속 발생되고 있습니다. 위협 행위자들은 훨씬 더 노련해졌지만 네트워크 인프라는 여전히 비슷한 수준에 머무르고 있습니다. 여러 국가의 다양한 조직들을 표적으로 도구, 전술, 프로시저(TTP)를 조정할 수 있는 공격자들의 능력과 움직임을 관찰해본 결과 미래의 표적 공격에는 예측하기 힘든 새로운 기법이 사용될 것으로 예상됩니다.

이러한 학습 곡선을 감안해볼 때 근래에 개발되는 최첨단 보안 기술을 회피하기 위한 방법이 대거 사용될 것으로 예측됩니다. 일례로 위협 행위자들은 일반적으로 바이너리를 사용하다가 문서로 이동했고 지금은 스크립트와 배치 파일을 사용하고 있습니다. 이들은 샌드박스를 세심하게 탐지하여 네트워크가 알 수 없는 파일들을 샌드박스 리소스로 내보내는지 확인할 것이며 샌드박스를 표적으로 하거나 손상시킬 수도 있을 것입니다. 이 외에도 가상 머신 탈출 기능이 익스플로잇 체인의 가장 중요한 구성 요소가 될 것입니다. VM 탈 버그는 샌드박스 회피 외에도 클라우드에서의 다양한 공격에 적용될 것입니다.

공격자들의 기술 향상으로 인해 IT나 보안 관리자들에 대한 요구 사항이 대폭 늘어날 것입니다. 이들은 전체 네트워크와 데이터 워크플로를 철저하게 파악하고 완벽하게 제어할 수 있는 보안 기술을 모색해야 하며 침해 지표(IoC)뿐 아니라 공격 지표도 조기에 발견해야 합니다.

이러한 공격에 맞서 싸우려면 표적 공격을 감시하고 대처하며 사전 대응책을 마련하면서 축적한 폭넓은 경험을 바탕으로 개발된 범 세대적 기술이 절대적으로 필요합니다.






공격에 정면 대응하려면 어떻게 해야 하는가?

머신 러닝은 비록 최신 보안 기술은 아니지만 알려졌거나 알려지지 않은 랜섬웨어 위협과 익스플로잇 킷 공격에 대응하는데 없어선 안 될 중요한 요소로 인식되고 있습니다. 트렌드마이크로는 10여 년 전부터 머신 러닝을 사용해왔으며 이를 통해 안티스팸 엔진, 악의적 소셜 미디어 탐지 기술 및 기타 보안 도구들을 개선해 왔습니다. 우리는 오탐지율을 줄이기 위해 센서스 검사와 화이트리스팅과 같은 기능을 이용하는 계층식 시스템에 하이파이 머신 러닝을 배포하고 있습니다. 이 모델은 네트워크 트래픽이 들어오면 기기가 파일 실행 전 및 실행 중에도 악성 파일인지 여부를 신속하고 정확하게 결정할 수 있도록 합니다.

기업들은 2017년에 위협 행위자들이 도입할 회피 방지 기법에 대응할 수 있는 검증된 솔루션을 갖추고 있어야 합니다. 이를 위해선 상호 연계된 위협 방어를 구축하기 위해 네트워크 전반에서 사용되는 다음과 같은 다양한 보안 기술을 결합해야 합니다.

  • 지능형 안티 멀웨어(블랙리스팅보다 우수)
  • 웹 및 메시징 게이트웨이에 배포되는 안티스팸 및 안티 피싱
  • 웹 평판
  • 데이터 유출 탐지 시스템
  • 어플리케이션 제어(화이트리스팅)
  • 컨텐츠 필터링
  • 취약점 방어
  • 모바일 앱 평판
  • 호스트 및 네트워크 기반 침입 방지
  • 호스트 기반 방화벽 보호

IoT는 위험과 편의성을 모두 포함하고 있습니다. 스마트 기기 사용자들은 다른 스마트 기기가 자신의 라우터를 통해 인터넷에 액세스하기 전에 라우터를 보호하는 방법을 알아야 합니다. 그리고 새로운 스마트 기기를 구입할 때에도 보안을 염두에 두어야 합니다. 인증 방식을 제공하는지 혹은 암호 변경이 가능한지? 업데이트가 가능한지? 네트워크 커뮤니케이션을 암호화할 수 있는지? 오픈 포트를 가지고 있는지? 업체가 펌웨어 업데이트를 제공하는지?

EU 국민의 데이터를 수집하는 기업들은 GDPR를 준수하기 위해 DPO를 고용하고 주요 프로세스들을 변경할 때 발생되는 엄청난 관리 비용을 예상해야 합니다. 기업의 데이터 보호 전략을 철저히 검토해야 감사에 통과할 수 있을 것입니다.

이를 위해선 엔드포인트 보안, 범 세대적 보안 방식과 어플리케이션 제어, 익스플로잇 방지 및 행동 분석, 하이파이 머신 러닝과 같은 발전된 보호 기능을 이용하여 알려진 위협 및 알려지지 않은 위협들을 차단하는 검증된 위협 탐지 기술이 결합되어야 합니다.

소셜 엔지니어링 공격 및 BEC와 같은 최신 위협들에 대한 직원 교육을 통해 향후 기업의 방어력을 강화하는데 필요한 보안 문화를 조성할 수 있을 것입니다.

보고서 다운로드
보고서 다운로드

Connect with KR on