가상화폐의 기반 기술 중 하나인 블록체인은 해킹이 어렵다고 알려져 있다. ‘어려운 것’이지 ‘불가능한 것’은 아니다. 시간과 비용을 많이 들이면 블록체인을 점유할 수 있으며, 데이터 탈취와 위변조가 가능하다.
크립토월 랜섬웨어 하나만으로 공격자가 벌어들인 수익은 3억2500만원 가량일 것으로 추정된다. 공격자가 비트코인으로 몸값을 받았으므로 현재 비트코인 시세를 반영한다면 엄청난 수익을 올렸다고 할 수 있다. 가상화폐 거래 참여자를 감염시키고 데이터를 조작해 큰 수익을 얻을 수 있다면, 공격자는 공격 비용을 아끼지 않을 것이다.
최원식 팔로알토네트웍스코리아 지사장은 “공격으로부터 안전한 곳은 없다. 아무리 공격하기 어려운 서비스라 해도 공격자가 수익을 얻을 수 있다면 끈질기게 공격을 시도할 것이다”라며 “집요하게 이어지는 공격으로부터 서비스를 보호하는 유일한 방법은 ‘선제방어’이다. 선제방어가 불가능하다고 전제하지 말고 공격 발생부터 차단까지의 시간을 최소화해 공격을 막아야 한다”고 말했다.
섀도우 클라우드, 공격 집중될 것
그는 “특히 클라우드 서비스와 데이터를 노리는 공격이 많이 발생할 것이다. CISO는 자사에서 사용하는 클라우드가 25개 정도인 것으로 파악하고 있지만, 실제 업무에서는 500개 이상의 클라우드가 사용된다. 관리되지 않는 클라우드에서 데이터를 탈취하는 것은 쉬운 일이다”라고 덧붙였다.
클라우드 사용 시 기업/기관이 가장 오해하기 쉬운 것은 ‘클라우드 보안은 서비스 기업이 책임진다’는 것이다. 클라우드 서비스 기업은 자사가 제공하는 서비스와 인프라의 보안을 책임지지만 고객의 데이터는 고객의 책임이다. 따라서 클라우드 서비스를 이용한다 해도 해당 서비스 내에서 운용되는 데이터를 보호하기 위한 방법은 반드시 마련해야 한다. 팔로알토네트웍스는 퍼블릭 클라우드 제공 사업자에게 보안 솔루션을 공급하는 한편 클라우드 이용 환경을 위한 통합보안 플랫폼도 제공하고 있다.
팔로알토네트웍스는 차세대 방화벽과 APT 방어 기술, 차세대 엔드포인트 보안 솔루션 ‘트랩스’를 연결해 전체 공격면을 줄이고 신변종 공격을 최소 5분 내에 시그니처로 만들어 배포해 공격이 일어나기 전에 선제방어 할 수 있도록 보장한다.
트랩스는 국내 PC 환경에 최적화해 지난해부터 공급을 시작했으며, 전 산업군 10여곳의 고객에게 판매하고 있다. 올해 공급사례는 크게 늘어날 것으로 기대하고 있다.
2017년 팔로알토코리아 영업 실적은 전년과 비슷한 수준이지만, 지난해 말부터 매출 실적이 개선되면서 올해 호조를 보이고 있다. 최 지사장은 올해 전년대비 30% 성장을 자신한다고 밝혔다.
진화하는 공격에 대한 ‘자동위협 대응’ 중요
한편 팔로알토는 18일 ‘2018 사이버 보안 전망’ 보고서를 발표하고 ▲클라우드 시스템 상의 데이터 보호 필요 ▲데이터는 새로운 산업의 원동력, 데이터 무결성 관리의 중요 ▲랜섬웨어의 열기 지속 ▲IoT 기기들의 잠재적 보안위협에 대한 보안관리 필요 ▲소프트웨어 공급망을 통한 공격의 시대 도래 ▲운영 기술(OT) 환경을 위한 자동 위협 대응 필요 ▲사이버 보안을 강화하는 머신러닝 기술의 발전 등에 주목해야 한다고 밝혔다. 자세한 내용은 다음과 같다.
◆클라우드 시스템 상의 데이터 보호: 클라우드로 전환하는 기업이 늘어나고 있지만, 클라우드 상의 책임에 대해서는 정확하게 이해하는 기업이 많지 않다. 클라우드는 책임공유 모델이 적용되기 때문에 클라우드 사용자의 관리 소홀이나 실수로 인해 발생하는 피해는 사업자가 책임지지 않는다.
실제로 AWS를 사용하는 미국의 한 정부기관은 수개월에 걸쳐 1억8000만 명에 달하는 미국 유권자들에 대한 민감한 파일, 암호, 집주소, 고객 데이터베이스 및 정보가 노출되는 사고가 발생하기도 했다.
클라우드 데이터를 보호하기 위해서는 클라우드 접근 권한을 제한해야 하며, 클라우드로 오가는 트래픽의 앇어코드 위협을 분석해야 한다. 위협 인텔리전스를 통해 동종업계에서 발생하는 위협을 파악하고 대응해야 하며, 사고 시 로그관리를 통해 침해 분석과 재발방지를 위한 대책 마련을 해야 한다.
클라우드 서비스 내에서 발생하는 해킹 등 위협을 막기 위해 클라우드 방화벽과 같은 보안 솔루션을 사용해 내외부 공격에 대비해야 한다.
◆새로운 산업 원동력 ‘데이터, 무결성 관리 중요: 데이터는 4차산업혁명 시대의 유전으로 떠오르고 있으며, 데이터 유실과 도난으로 인한 피해는 눈덩이처럼 커진다. 데이터 무결성이 침해당하는 경우 금융시장에 치명타를 입힐 수 있다. 매출 실적을 조작해 기업의 주가를 부풀리는 것이 가능해지고, 스마트 시티를 추진하는 공공 기관의 경우 교통 신호등에서 상수도에 이르는 IoT 시스템의 데이터가 변조될 경우 심각한 지장이 초래될 수 있다.
데이터 무결성을 확보하기 위해서는 보유 데이터가 어떤 것이고 그 수집 및 생성 방법은 무엇이며, 해당 데이터 중 가장 민감한 부분은 어디에 있는지 파악해야 한다. 또한 다중 인증(MFA) 기법을 이용하여 사용자명이나 암호가 보안 기능을 제공하지 못하게 될 경우 추가적인 보안 계층을 제공할 수 있도록 해야 한다. 이와 함께 암호화를 통해 민감 데이터를 보호해야 하며, 암호화의 효과는 어떤 키 관리 전략을 채택하는지에 따라 달라진다.
◆랜섬웨어의 열기 지속: 지난해 성공적인 수익 창출의 경험을 확보한 랜섬웨어 공격자들은 2018년 더욱 정교해진 기법과 증가된 규모로 지속적인 피해를 발생시킬 것으로 전망된다. 높은 수익률의 비즈니스 모델로 진화한 랜섬웨어 공격은 제한적인 기술만으로도 실행이 가능하며 서비스로서의 랜섬웨어가 등장하며 공격이 더욱 쉬워졌기 때문이다.
또한 2018년에는 금전적인 이득보다 정치적인 이슈를 목적으로 둔 랜섬웨어가 더 많아질 것으로 전망된다. 2017년에도 이미 중동 지역에서 발생한 랜섬웨어 ‘란란(RanRan)’은 금전을 요구하는 대신 웹사이트를 만들어 정치인들에게 메시지를 보내도록 요구한 바 있다.
레거시 보안 솔루션들은 랜섬웨어에 더욱 더 취약해 질 수 밖에 없는 상황에서 가장 효과적인 대책은 사전 대응(Prevention) 정책을 기반으로 한 엔드포인트와 방화벽이 자동으로 통신하여 공격이 발생하는 위치에 관계 없이 위협 인텔리전스를 실시간으로 공유할 수 있는 플랫폼을 확보하는 것이다.
◆IoT 잠재적 보안위협 보안관리 필요: 사물인터넷(IoT) 기술이 일상 생활에 미치는 긍정적인 영향이 증가하고 있지만, 편리함의 이면에 보안 위협 또한 높아지고 있으며, 특히 퍼스널 디바이스를 통해 공격자가 기업망을 넘나드는 일도 가능해지고 있다.
퍼스널 디바이스가 회사의 자산이 아니더라도, CISO들은 기업 보안 전략 내에 이러한 기기들의 관리 방안을 포함시켜야 할 것이다. 더불어 애플리케이션 세팅 및 기기 보안 설정 등에 대한 정기적인 임직원 교육을 실시해야 한다.
◆소프트웨어 공급망을 통한 공격의 시대 도래: 최근 2년간 신뢰도 있는 소프트웨어 및 업데이트를 제공하는 소프트웨어 공급 망을 통해 사이버 공격을 입는 사례들이 발생했다. 엑스코드코스트(XcodeGhost), 키레인저(KeRanger), 낫페트야(NotPetya) 등이 이러한 경우인데, 이러한 공격은 피싱 및 취약점을 사용하여 타깃을 직접 공격하는 대신 소프트웨어 개발자들을 공격함으로써, 다른 네트워크에 접근할 수 있도록 사용자들이 개발자들에게 허용한 ‘신뢰도’를 이용했다. 2018년에는 이러한 공격이 빈도수와 심각도 측면에서 더욱 기승을 부릴 것으로 전망된다.
소프트웨어 공급망을 통한 공격은 공격의 라이프사이클에 대한 모든 지점의 가시성을 확보하고, 일반적인 형태에서 벗어난 행위를 탐지하고 차단할 수 있는 네트워크를 구축해야 하는 필요성을 시사한다. 새로운 공격의 시대에 대비하기 위해서는 신뢰하는 소프트웨어가 자동 업데이트를 통해 갑자기 멀웨어로 변하는 것을 방지할 수 있는 기술과 프로세스를 확보해야 할 것이다.
◆운영 기술 환경을 위한 자동 위협 대응 필요: 자동 위협 대응(ATR) 기술에 대한 수요가 높아지고 있다. 최근의 악성 행위들은 행동 분석 및 인공 지능 등의 새로운 기술을 견제하기 위해 사전에 정의된 액션을 취하고 있다. ATR은 위협을 탐지하는 프로세스를 자동화하고, 폐쇄형의 방어 프로세스 또한 자동화하기 위해 마련된 기술로, 시큐옵스(SecOps)의 부담을 덜고 대응 시간을 단축시킬 수 있다는 장점이 있다. 지능형 공격의 빈도와 규모가 계속해서 진화하고 있는 만큼 행동 분석과 지능형 보안 위협 분석 환경 기반의 ATR 기술을 확보해야 하는 상황이다.
특히 2018년은 OT 영역에서의 ATR 도입 효과가 가시화 되는 한 해가 될 것이다. 주요 인프라와 제조 환경의 ICS 보안에 대한 대규모 구축이 시작될 것으로 전망되기 때문이다. 실제로 관련 분야의 주요 기업들이 PoC를 마치고 세분화 작업에 들어섰으며, OT 환경의 보안을 강화하기 위해 행동 분석, 변칙 탐지 기술들이 추가되고 있다.
이러한 솔루션에는 SIEM을 보충하기 위한 전용 센서 및 모듈들이 포함된다. 초기에는 독립적인 개별 탐지 툴로 구축된 이러한 ICS 네트워크 모니터링 솔루션은 점차 차세대 방화벽과 같은 장비에 통합되어 위협에 효과적으로 대응할 수 있도록 구성될 것이다.
◆사이버 보안을 강화하는 머신러닝 기술의 발전: 과거에는 많은 기업들이 엔드포인트와 네트워크, 혹은 클라우드 상에서 각각의 시그니처 기반 보안 제품을 사용하여 사이버 공격에 대응해왔으나, 사이버 공격자들이 멀웨어 생성을 자동화 시킴으로써 시그니처 기반 멀웨어 탐지 기능이 무력화 되고 있는 추세이다.
머신러닝 기술이 사이버 보안의 획기적인 묘책이라고 단정할 수는 없으나 사이버 공격에 대한 방어의 접근법에 미치는 영향은 계속해서 높아지고 있다. 팔로알토 네트웍스 또한 지능형 엔드포인트 보안 제품인 트랩스와 네트워크 보안을 위한 행동 분석 솔루션 라이트사이버등이 머신러닝을 통해 사용자와 디바이스 행동을 예측하고 공격의 징조를 시사하는 변칙 행위들을 탐지하고 있다.
2018년에는 사이버 보안 전략에 머신러닝 기술을 포함시키는 CISO들이 더욱 늘어날 것으로 전망된다. 실제로 방대한 규모의 데이터가 생성되는 헬스케어 분야의 경우 이미 지능형 멀웨어 탐지를 위해 머신 러닝을 활용하고 있는 사례가 늘어나고 있으며, 머신 러닝을 위한 애플리케이션은 계속해서 증가할 것으로 전망된다.
