침해사고/위협동향

2011년, 사이버공격 증가할 듯…‘스턱스넷’ 등장 큰 위협

이유지 기자
- 시만텍, 2011년 주목해야 할 보안 트렌드 발표

[디지털데일리 이유지기자] 2011년에는 새로운 모바일 플랫폼의 폭발적인 성장에 따라 사이버 범죄자들이 더 많은 공격 경로를 갖게 되고, ‘스턱스넷(Stuxnet)’의 등장으로 보안위협 환경에 새로운 변화를 맞이하게 될 것이란 전망이 나왔다.  

시만텍(www.symantec.co.kr 대표 정경원)은 25일, 2011년 주목해야 할 보안 트렌드를 선정, 발표했다.

시만텍에 따르면, 지난 10년간 사이버 공격의 목적은 단순 명성에서 부의 창출로 바뀌었다. 또 다양한 악성코드가 등장해 개인 및 신용카드 정보를 훔치거나 가짜 안티바이러스 제품을 파는데 악용돼 왔다.

악성코드는 성공적인 범죄 사업모델로 자리잡으면서 그 규모도 수십억 달러에 달하고 있다. 트로이목마나 제우스와 같은 자동 악성코드 제작 툴킷이 대표적인 예다.

지난 10월 이란 부셰르 원자력발전소를 대상으로 한 ‘스턱스넷’ 악성코드 공격은 최초로 산업자동화제어시스템을 겨냥해 제작된 악성코드로, 현실 상황에서 영화 ‘다이하드4’와 같은 사이버전이 가능할 수 있다는 실제 상황을 보여준 사례가 됐다. 향후 유사한 사이버 공격이 뒤따를 것으로 전망된다.

◆주요 인프라를 겨냥한 사이버 공격 증가=‘스턱스넷’은 의도적으로 하드웨어 시스템이 오작동을 일으키도록 설계된 가장 대표적인 컴퓨터 바이러스이다.

스턱스넷의 등장으로 주요 인프라를 겨냥한 공격이 얼마나 큰 충격과 피해를 야기할 수 있는지 깨닫게 된 사이버 테러리스트들은 2011년에 주요 인프라를 대상으로 유사한 추가공격을 감행할 것으로 전망된다. 공격의 시작은 더디겠으나, 빈도는 계속해서 증가할 것으로 보인다.

최근 시만텍이 한국을 포함한 전세계 15개국에서 핵심 기간 인프라를 공급하는 1580개 기업을 대상으로 조사한 ‘핵심 기간 인프라 보호 현황(Critical Infrastructure Protection Survey)' 보고서는 이 같은 전망을 뒷받침한다. 설문 응답자의 48%가 내년에도 사이버 공격을 받을 것으로 예상했으며, 80%는 공격 빈도가 증가할 것이라고 답했다.

주요 인프라 제공업체들은 이러한 공격 위험을 잘 인지하고 있으며, 주요 인프라 보안을 최우선 과제로 삼고 있는 것으로 나타났다. 단순히 공격에 대응하는 것만이 아니라 공격상황에서도 아무런 문제없이 시스템을 가동하기 위한 사이버 보안 대책을 마련할 것으로 예상된다. 예를 들어 백업 및 복구, 암호화, 스토리지 및 정보관리 프로젝트 등이 이에 속한다.

하지만 대다수 인프라 제공업체들은 해당 정부와의 협력을 통해 주요 인프라 보안 프로젝트를 수행하길 기대하고 있으나 정부중심의 관련 프로젝트는 그리 활발하지 않을 것으로 예상된다.

◆표적 공격과 제로데이 취약점 이용한 공격 빈도 증가=올해 초 특정 조직 또는 특정 컴퓨터 시스템을 겨냥했던, 이른바 ‘오로라(Aurora)’로 알려진 하이드락(Hydraq) 공격은 소프트웨어의 잘 알려지지 않은 제로데이 취약점을 악용한 표적 공격의 한 예이다. 그 위험 수위는 지속적으로 높아지는 상황이다.

사이버 공격자들은 수년간 다양한 보안 취약점을 악용해 왔으나 2011년에는 이러한 경향이 더욱 가속화되면서 제로데이 취약점을 악용한 표적 공격이 이전보다 훨씬 더 많이, 자주 등장할 것으로 예상된다.

2009년 시만텍은 총 12건의 제로데이 취약점 공격을 탐지했지만 2010년에는 11월 기준으로 사이버 공격에 이미 사용되었거나 활발히 사용되고 있는 18건의 제로데이 취약점을 발견했다. 이 중 이번 달에 확인된 하이드락, Sykipot, Pirpi 등을 포함해 절반 이상은 표적 공격에 사용된 것으로 나타났고, 특히 스턱스넷은 동시에 4개의 제로데이 취약점을 이용한 것으로 확인됐다.

이처럼 특정 표적 공격시 제로데이 취약점을 악용하는 가장 큰 이유는 표적 공격용 악성코드가 소수의 공격 대상만을 노리기 때문이다. 즉, 최대한 많은 수의 컴퓨터를 감염시키는데 중점을 두는 전통적인 위협과 달리 표적 공격은 소수의 조직 또는 개인, 심지어 한곳만을 공격하여 민감하고 가치 있는 데이터를 훔치거나 표적 시스템 내 침투를 목적으로 삼는다.

표적 공격시 최대 과제는 걸리지 않고 표적 시스템에 침투하는 것이며, 표적 시스템을 사이버 공격으로 무력화하기 위해서는 하나 이상의 제로데이 취약점을 활용하는 것이 매우 효과적이다.
문제는 전통적인 보안 기술로는 이러한 유형의 공격을 탐지하기 쉽지 않다는 점이다.  일반적으로 보안업체들은 사이버 공격을 방어하기 위해 사전에 악성코드의 특수한 성질을 포착해 분석하는 시그니처 기법을 사용해 왔다. 그러나 은밀히 소수의 대상만을 노리는 표적 공격이 증가함에 따라 기존 시그니처 기반 탐지 방식으로는 이 같은 보안 위협에 대응하기가 사실상 불가능해졌다.

따라서 향후에는 보안위협의 행위(Behavior)에 기반한 탐지 기술인 시만텍의 SONAR 및 평판기반의 보안(Reputation-Based Security)과 같은 신기술로 표적 공격을 포함한 새로운 보안 위협에 적극 대응할 필요가 있다.

◆스마트 모바일 기기의 보급 확대로 새로운 IT 보안 모델 등장=모바일 기기의 활용도가 증가하면서 2011년에는 모바일 기기와 그 이용자들을 겨냥한 사이버공격이 본격화될 전망이다. 특히 오늘날의 모바일 기기는 공격의 타깃일 뿐만 아니라 악성코드의 배포 매개체로 활용될 수 있어 각별한 주의가 요구된다.

모바일 기기의 활용도가 급증함에 따라 기업들은 모바일 기기를 안전하게 사용하고, 기기에 담긴 민감한 정보를 효과적으로 보호하기 위한 새로운 보안 모델을 필요로 하고 있다. 특히 모바일 기기를 통해 점점 더 많은 개인 및 기업 업무를 수행함에 따라 IT 조직, 소비자 및 통신사업자 모두 복잡한 정보보안 및 관리과제에 직면하고 있다.

대다수 기업들은 기업 데이터를 보호하는 동시에 개인 모바일 기기를 통해 사내 애플리케이션을 안전하게 사용할 수 있도록 지원하는 다양한 모바일 보안 솔루션을 갖추고 있지 못하다.  

개인 사용자들도 모바일 기기 활용이 증가하고 있지만 모바일 기기상의 정보를 안전하게 보호하거나 분실 및 도난에 대비한 보안 조치는 미흡한 상황이다. 실제 모바일 기기의 분실 및 도난에 대비한 보안이 2011년 어려운 과제로 부각될 전망이다. 이에 따라 기기 위치추적, 잠금 및 원격 정보삭제 서비스 등의 수요가 크게 증가할 것으로 예상된다.

또 통신사의 가입자 만족도는 계속해서 하락하고 있는 가운데, 대역폭 증가, 네트워크 남용, 악성코드 급증 및 스팸 등으로 인한 통신사의 비용은 계속 증가추세에 있다. 따라서 통신사들은 고객선호도 및 음성, 이메일, SMS, MMS, 웹, IM 및 P2P 등 모든 서비스에 대한 보안을 관리할 수 있는 단일 솔루션이 필요하다.

다수의 이용자를 확보한 모바일 플랫폼이 시장을 주도하게 되면 2011년에는 특정 OS를 탑재한 모바일 기기를 겨냥한 공격이 증가할 것으로 예상된다.

한편, 기업들은 클라우드 내 보안과 같은 새로운 모델을 도입해 다수의 플랫폼과 기기에서도 끊김없이 작동하는 적절한 솔루션이 필요하게 될 전망이며, IT 매니저들은 더욱 정교한 인터넷 보안 정책을 도입하라는 비즈니스 요구에 직면하게 될 것으로 예측된다.

◆컴플라이언스 준수를 위한 암호화 기술 도입 증가 예상=기업의 모바일 기기 사용 급증으로 인해 기기를 안전하게 사용하고, 기기에 저장된 데이터의 안전한 사용과 보안을 위해 기업들은 다양한 데이터 보호 및 프라이버시 법규를 준수해야 한다.

실제 기업이 준수해야 하는 규제가 다양해지면서 기업은 많은 압력을 받고 있다. 지난해 미국은 정보보호를 위한 의료법인 ‘HITECH(개인의료정보보호 관련 법안)’을 제정하였고, 몇몇 주에서도 정보보호를 위한 법률을 제정했다. 또한 전 세계적으로 PCI DSS(지불카드산업 데이터보안 표준)가 2.0 버전으로 업데이트됐다.

많은 법적 규제에도 불구하고 대다수 조직들은 노트북 분실은 보고하면서도 중요한 데이터가 들어있는 모바일 기기 분실은 공개하지 않는 경우가 많다. 2011년에는 이러한 이슈에 대해 조치가 취해질 것으로 예상되며, 이에 따라 기업들은 모바일 기기를 중심으로 암호화 기술 도입을 크게 늘릴 것으로 보인다.

포네몬이 발표한 ‘2010년 연례보고서: 미국 기업의 암호화 도입 트렌드’에 따르면 규제 준수를 위한 기업들의 암호화 기술 도입이 처음으로 데이터 침해 완화 기술 도입을 넘어섰다. 2011년 기업들은 암호화 기술을 통해 데이터 보호를 위한 더욱 선제적인 조치를 취할 것으로 예상되며, 이를 통해 컴플라이언스 요건을 충족하고, 데이터 유실에 따른 브랜드 피해를 최소화할 것이다.  

◆정치적 의도를 지닌 새로운 보안 위협의 대두=시만텍의 ‘핵심 기간 인프라 보호 현황' 보고서에 따르면 조사대상 기업의 절반 이상이 자신들이 경험한 사이버 공격에 특정 정치적 의도가 있었다고 답했다.

과거 이러한 정치적 의도를 지닌 공격은 대부분 사이버 스파이 활동이나 웹 서비스 대상의 서비스거부 공격이 주를 이뤘다.

일례로 최근 베트남 공산당을 비판하는 블로그와 포럼에 분산서비스거부(DDoS) 공격이 발생하기도 했다. 그러나 이제 스턱스넷으로 인해 판도라의 상자가 열리면서 악성코드가 무기화됨에 따라 사이버 공격은 단순 스파이게임이나 교란 성격을 넘어 실제적인 물리적 타격을 입히는 공격으로 발전할 전망이다.

스턱스넷은 매우 복잡한 위협으로 산업제어시스템을 재프로그램하는 것이 목적이다. 즉, 발전소, 정유사 및 가스 파이프라인 등 기간산업을 관리하는 프로그램을 표적으로 삼는다. 스턱스넷의 궁극적 목표는 특정 산업제어시스템으로 관리되는 시설을 조작함으로써 실제적인 물리적 타격을 입히는 것으로 판단된다.

아직까지 스턱스넷의 실제 표적은 알려지지 않았으나 정황상 충분한 자금을 받은 그룹 또는 국가가 정치적인 의도로 악성코드를 생성해 이란, 이란 내 특정 조직이나 시설을 공격한 것으로 생각된다. 시만텍은 스턱스넷이 사이버 전쟁을 촉발하기 위한 그간의 여러 시도 중 단지 처음으로 포착된 징후이며, 2011년에는 사이버 전쟁을 염두에 둔 더 많은 징후가 포착될 것으로 전망하고 있다.

시만텍코리아의 정경원 사장은 “2011년에는 사이버 보안 환경에 큰 변화가 있을 것으로 예상됨에 따라 시만텍은 새로운 보안 기술을 통해 전세계 수 십억 컴퓨터 사용자를 위협으로부터 보호하기 위해 노력하고 있다”며, “사이버 범죄와의 전쟁은 앞으로도 계속되겠지만 글로벌 기업들이 최전선에서 이에 대비하고 있는 만큼 전망이 어둡지만은 않다”고 강조했다.

<이유지 기자>yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널