[2019 정보보안 이슈 톱 15] ⑤세대교체 중인 공격 시장
상태바
[2019 정보보안 이슈 톱 15] ⑤세대교체 중인 공격 시장
  • 김선애 기자
  • 승인 2019.01.03 15:26
  • 댓글 0
이 기사를 공유합니다

유명 공격그룹 사라지고 신진 그룹 등장…‘가성비’ 따지는 공격자 TTP

카스퍼스키랩 ‘2019년 위협 예측’ 보고서에서는 “대규모 APT는 더 이상 없을 것”이라는 파격적인 전망을 내놨다. APT 공격이 사라진다는 뜻은 아니고, 지능형 표적공격이 더 은밀하고 정교하게 진행돼 기존의 보안 탐지를 우회하게 될 것이라는 설명이다.

카스퍼스키랩은 공격자들이 언론의 주목과 탐지 가능성을 벗어나기 위해 새로운 방식의 공격을 사용할 것이며, 공격 탐지와 배후를 지목하는 것은 더욱 어려워질 것이라고 예측했다. 소니픽처스 해킹, 미국 민주당 전국위원회 해킹과 같이 공격자가 노출될 수 있는 공격은 대중의 분노를 얻게 되며 외교적 문제를 야기할 수 있다. 그래서 공격자들은 언론의 주목을 받지 않는 공격을 택해 조용히 목적을 달성할 것으로 예측된다.

또한 카스퍼스키랩은 잘 알려진 공격그룹이 아니라 새로운 공격그룹이 등장하면서 세대교체가 이뤄질 것이라는 전망도 내놓았다. 잘 알려진 공격그룹은 그들의 전략, 전술, 절차(TTP)가 공개돼 있어 공격 탐지율이 높은 편이다. 공격자들은 증거를 조작하고 위조해 추적을 피하고자 하지만, 보안 탐지 기술이 진화하면서 조작된 증거까지 찾아 공격 배후를 추적하고 있다. 이 때문에 지하시장에서는 유명세를 떨친 공격그룹이 사라지고 새로운 TTP를 택한 신진 공격그룹을 중심으로 발전하고 있다.

현재 지하세계에는 수백가지에 이르는 효과적인 공격도구가 판매되고 있으며, 쉽게 사용할 수 있는 익스플로잇을 이용해 누구나 공격이 가능하다. 이러한 공격도구를 이용한 신진 공격그룹이 등장할 것으로 보이며, 이들은 사회공학 기법을 이용해 정교하게 시스템에 침투하고 은밀하게 활동할 것이다.

‘원스톱 쇼핑’ 가능한 공격자 시장

사이버 범죄자들의 궁극적인 목적인 ‘돈’이다. 직접 돈을 훔치거나 돈이 되는 정보를 훔치거나 혹은 돈을 받고 의뢰받은 공격을 진행한다. 따라서 공격자들은 돈이 되는 공격을 위해 수단과 방법을 가리지 않을 뿐 아니라 공격에 필요한 시간과 비용을 줄이고 공격 성공률을 높여 더 많은 수익을 얻을 수 있는 효율적인 방법을 찾아낸다.

공격자들은 더 높은 수익을 창출하기 위해 지하세계에서 다양한 방식으로 공조한다. 공격도구를 개발하는 전문조직이 악성코드 서비스(MaaS) 모델을 개발해 공급하고 있으며, 이를 유통하는 조직을 통해 공격조직이 구입한다. 공격 전문성이 없어도 쉽게 공격할 수 있도록 지원하며 공격 성공률과 수익률을 보장하는 일종의 SLA 정책도 운영한다.

맥아피 ‘2019년 사이버 보안 동향 예측’ 보고서에서는 “지하세계는 원스톱 쇼핑이 가능한 환경이 준비돼 있으며, 다양한 경험과 기술을 보유한 사이버 범죄자들이 보다 성공적인 공격을 수행할 수 있게 될 것”이라고 경고했다.

MaaS로 제공되는 공격도구는 모듈형으로 제공돼 공격 목표와 방법에 맞춰 선택적으로 구입할 수 있으며, 기존의 전술과 기술을 조합하고 용도를 변경하면서 사이버 보안 기술을 회피하고 있다. 더불어 사이버 범죄자들은 자금세탁, 회피 기법, 취약점 악용과 같은 서비스들과 연계시켜 사이버 범죄 시장의 호황을 누릴 것이며, 지하세계 커뮤니티에서 입증된 대로 모바일 악성코드, 봇넷, 금융 사기, 랜섬웨어, 이중인증(2FA) 우회 시도는 갈수록 증가할 것으로 보인다.

프랜차이즈 사업화하는 디도스 공격 서비스

서비스 방식의 공격 모델은 디도스 분야가 가장 앞서나가고 있다. 디도스 공격 서비스는 일찍부터 지하세계에서 활성화됐으며, 공격에 대한 지식이 전혀 없는 공격자도 저렴한 비용으로 공격할 수 있었다. 이 모델이 아예 ‘프랜차이즈 산업’으로 발전하고 있다는 전망까지 나왔다. 아버네트웍스의 ‘2019년 보안전망’ 보고서에서 “신종 공격을 손쉽게 활용하고 신속하게 재현할 수 있는 임대형 공격 툴은 이미 보편화됐다. 다양한 전 세계 고객들이 이를 사용하면서 파괴적인 멀웨어를 손에 쥔 아마추어 사이버 범죄자가 양산되고 있다”고 설명했다.

나아가 가장 높은 값을 부르는 입찰자에게 서비스를 제공하는 공격자들이 늘어날 것이며, 요금을 받고 의뢰 받은 대로 공격하거나 고객이 직접 공격을 실행할 수 있게 디도스 툴을 판매하기도 한다.

서비스형 공격 모델은 SaaS로 제공되며 50달러 이하의 가격에 월간 서브스크립션으로 판매되기도 한다. 암호화폐를 사용하여 처리할 수 있으며, 페이팔 같은 합법적인 사이트를 통해 이루어지기도 한다. 이런 식으로 수익을 취하고 향후 활동을 위한 자금을 마련한다.

금전 수익·정치 목적 공격 진화

금전적 수익을 극대화하기 위한 금융사 타깃 공격도 지속적으로 이어질 것으로 보인다. 금융보안원이 선정한 ‘2019 금융권 보안위협 7’에서는 금융소비자 뿐 아니라 금융사를 대상으로 한 공격이 지능화·조직화 될 것으로 예상했다.

공격자들은 특정 금융회사나 내부 담당자를 대상으로 한 타깃 공격에 집중할 것이며, ATM기기나 SWIFT망과 같은 금융회사와 연계된 지급결제시스템 대상 공격도 확대될 것으로 보인다. 더불어 금융권의 IT 신기술 적용 확대로 해당 취약점을 노리는 공격이 증가할 것으로 보이며, 특히 클라우드를 대상으로 한 사이버공격 가능성이 있다.

정치적 목적의 공격도 변함없이 지속될 것으로 보인다. 특정 국가·정부의 지원을 받는 공격그룹이 활동을 펼치고 있는데, 특히 우리나라를 타깃으로 전개되는 공격은 국방·외교·통일 관련 정보를 탈취하거나 여론을 혼란시키기 위한 목적으로 전개되고 있다.

암호화폐와 거래소 탈취 공격은 암호화폐 투자가 활발하게 일어나는 우리나라, 일본 등에서 집중적으로 발생하고 있다. NSHC는 이 공격을 주로 시도하는 공격 그룹 중 하나인 ‘라자루스’가 우리나라 뿐 아니라 아르헨티나 등 남미 지역의 금융권 대상 해킹을 시도하고 있다고 소개했다.

▲암호화폐 거래소 해킹 사례(자료: SK인포섹)


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.