침해사고/위협동향

내년에 등장할 보안 위협은? 피해자별 맞춤형 공격 도구 생성

최민지

[디지털데일리 최민지기자] 카스퍼스키랩(www.kaspersky.co.kr)은 글로벌 위협 정보 분석팀이 내년 위협 예측을 발표했다고 17일 밝혔다.

이 발표에 따르면 감염여부 탐지를 위해 사용했던 침해 지표 식별자(IoC) 방식이 쇠퇴할 전망이다. 올해 카스퍼키랩에서 새롭게 발견한 지능형지속위협(APT)가 피해자별로 새로운 공격 도구를 생성할 수 있는 것으로 나타났기 때문이다.

맞춤형으로 제작된 악성 코드 플랫폼에서는 모든 기능이 각 피해자에 맞춰 조정 및 변경된다. 이에 강력한 보호 조치를 동반하지 않으면, IoC를 통해 특성을 공유하는 것만으로 피해를 예방할 수 없다.

또한, 내년에는 메모리 상주형 악성 코드가 나타날 것으로 보인다. 이러한 악성 코드는 컴퓨터 메모리에서 감염 흔적을 지워 재부팅 이후까지 남아 있는 데에 목적을 두지 않고, 일반적인 정찰과 자격 증명의 수집 용도로 활용된다. 따라서 의심을 사거나 탐지되는 것을 극도로 기피하는 공격자들이 굉장히 민감한 환경에서 이러한 악성 코드를 주로 배포한다.

이와 함께 국제 관계에서 사이버 공격의 비중이 커지면서 보복 등의 정치적 대응을 결정할 때 그 공격의 특성 식별은 중요한 역할을 할 것으로 예상된다. 그러나 지나치게 특성에만 의존하다 보면 공격 출처를 잘못된 방향으로 유도하는 ‘위장 전술’이 보편화되는 것은 물론이고 범죄자가 오픈소스나 상용 악성코드를 선택하는 경우가 늘어날 위험이 있다. 카스퍼스키랩은 자경단 해커가 등장할 것으로 보고 있다. 이들은 대의를 위해 데이터를 해킹한다고 주장한다.

모바일 운영체제를 노리는 스파이웨어도 증가할 전망이다. 보안 업체들이 분석을 위해 모바일 운영체제에 대한 완벽한 접근 권한을 확보하는 것이 쉽지 않다는 점이 모바일 스파이 범죄에 있어 장점으로 작용한다. 또, 금융공격이 상품화되고 온라인 금융범죄에 특화된 리소스가 판매될 것으로 보인다. 결제시스템도 범죄자들의 주요 관심 대상이다.

랜섬웨어는 꾸준한 증가세를 나타낼 것이다. 그러나 낮은 수준의 해커가 점점 더 많이 유입되는 현 상황을 고려하면 대가를 지불해도 온전한 상태의 정보를 복구하기 힘들 수 있다. 이에 피해자가 무조건적으로 해커의 협박을 믿는 일은 줄어들고, 이는 무작정 대가를 지불하고 정보를 복구하려는 피해자들에게 인식 전환을 가져오는 계기가 될 수 있다.

사물인터넷(IoT) 장치 제조업체가 안전하지 않은 기기를 끊임없이 공급해 여러 문제를 발생시키고 있는 현 상황에서 해커 자경단이 보복 조치로 해킹을 시도, 대량으로 IoT 장치를 감염시킬 위험도 존재한다.

이창훈 카스퍼스키랩코리아 지사장은 “악성 코드의 진화는 그야말로 폭발적이지만, 이를 방어하는 쪽도 만만치는 않을 것”이라며 “믿을 수 있는 야라(YARA) 규칙을 보다 추가적으로 널리 도입해야 하는 때”라고 말했다.

한편, 야라는 시스템이나 네트워크에서 의심스러운 활동 패턴 또는 악성 파일을 탐지해 공유하는 도구다. 문자열 분석에 바탕을 둔 야라 규칙을 활용해 분석가들이 악성 코드 샘플을 찾아내고 분류할 수 있을 뿐 아니라 악성코드 간 연관성 분석을 통해 악성코드 분류 체계를 마련해 탐지되지 않고 진행 중인 공격을 발견할 수 있다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널