인터뷰

[인터뷰] 파이어아이 “韓 44% APT 공격받아, 금융기관 주의”

최민지

[디지털데일리 최민지기자] 전세계에 확산돼 피해를 입힌 워너크라이와 같은 랜섬웨어는 불특정 다수를 향한 무차별적 공격을 퍼붓는다면, 지능형지속위협(APT) 공격은 특정 타깃을 정해놓고 잠복해 있다가 주요 기밀 및 정보 등을 빼돌리는 정교한 방식을 취한다.

이에 주요 기업 및 기관들은 이러한 위협에 주의를 요하고 있다. 특히, 한국은 상대적으로 아시아태평양지역 내에서도 가장 많은 APT 공격을 받고 있는 나라로 꼽힌다.

롭 반데 엥드 파이어아이 맨디언트 아태지역 부사장(사진)은 최근 <디지털데일리>와 만나 파이어아이 한국 고객사 44%는 지난해 APT 공격을 최소 한 번 이상 받은 경험이 있다고 밝혔다. 이는 아시아태평양지역에서도 최고 수준이다. 아태지역의 경우, 지난해 APT 공격을 한 번 이상 받은 경험이 있는 고객사는 약 24%로 조사됐다.

엥드 부사장은 “한국을 향한 대부분의 표적공격 유형은 사이버 스파이로, 이들은 보통 특정 목적을 가진 활동을 하고 있다”며 “이러한 공격자들은 한국을 포함해 전세계를 대상으로 첩보 목적을 갖고 정부기관과 대기업에 대한 스파이 활동을 진행한다”고 말했다.

이어 “파이어아이 조사 결과 한국 내 44%가 지난해 APT 공격을 경험했는데, 주로 공격받은 고객군은 이커머스”라며 “한국은 해커 입장에서 어떤 동기를 갖든 흥미로운 대상”이라고 덧붙였다.

엥드 부사장은 금융기관을 대상으로 한 APT 공격에 대해 주목했다. 금융기관 대상 공격이 점차 늘어나고 있는데, 그 기법 또한 정교해지고 고도화되고 있기 때문이다.

지능형 사이버 위협에 대한 맨디언트의 보안 컨설턴트들의 조사 내용을 기반으로 작성된 ‘2017 M-트렌드 보고서’에 따르면 지난해 다양한 종류의 악성코드를 이용한 ATM 공격 및 ATM 네트워크에 대한 공격이 눈에 띄게 늘었다.

엥드 부사장은 “지난해 조사결과, 금융산업 공격건수는 다른 산업 대비 높았으며 아태지역에서 훨씬 두드러졌다”며 “공격 받은 전체 대상 중 금융서비스는 19%를 차지했는데, 전년도에는 9%에 불과했다. 아태지역의 경우 31%에 달했다”고 강조했다.

공격그룹들은 금융기관 대상으로 침해된 시스템에 대해 커스텀 백도어를 사용하기 시작했고, 명령제어(CnC) 인프라의 회복력을 더욱 강화했다. 탐지는 물론 조사, 대응 및 해결도 어렵게 만들고 있다.

엥드 부사장은 “금융범죄단체는 과거와 다른 방식으로 지능화됐고, 네트워크에 침투해 조직에 손상을 입히는데 이전과 비교했을 때 기술과 능력, 사용하는 툴이 점점 정교화됐다”며 “금융범죄단체들이 사용하는 툴과 스킬은 국가 수준의 역량을 보이고 있는데, APT 공격 후 자취과 공격도구를 은닉하고 증거를 파괴해 추적하기 어렵게 한다”고 설명했다.

탐지, 조사 및 복구가 더 어려워진 공격은 미션을 완수하기 위해 환경에 계속 남아있을 가능성이 더 높다. 더 막대한 양의 금융 정보가 탈취되고 있다는 것을 뜻한다.

전세계적으로 확대되는 뱅킹 네트워크 사기 사건은 은행에게 1억달러 이상의 손실을 입히는 등 아시아 지역 은행의 위험성을 잘 보여준다. 이 은행들은 거래, 내부 뱅킹 문서 및 모바일 뱅킹 앱 등의 주요 시스템을 보호하는 데 있어 강력한 보안 조치를 갖추고 있지 못할 가능성이 있다. 특정 국가 기반의 공격그룹들은 해당 나라 내 기업의 이익을 돕기 위해 범죄를 저지르는 경우도 있다.

상황은 이러하지만 아태지역은 금융산업 공격에 잘 대처하지 못하고 있다. 다른 지역과 비교했을 때 보안 성숙도가 떨어진다는 평가다.

엥드 부사장은 “아태지역 내 많은 국가가 기초적인 보안 수준을 보이고 있으며, 미국과 캐나다·서유럽이 보안 수준이 높은 편”이라며 “아태지역음 금융산업 공격에 잘 대처하지 못하고 있다”고 평가했다.

보안기술에만 투자하는 한국에 대해서도 우려감을 나타냈다. 솔루션만 도입하는 데 그치지 말고 탐지와 대응에 대한 역량을 갖춰야 한다는 것이다. 어떤 보안제품을 적용해도 보안 위협은 계속되기 때문이다.

지난해 공격 트렌드 중 하나는 공격자가 피해자에게 직접 전화를 걸어 피싱 문서의 매크로 기능을 켜도록 시키거나, 기업 이메일의 보안 기능을 우회하기 위해 개인 이메일 주소를 알아내는 것이었다. 아무리 높은 수준의 보안 솔루션을 적용했다 해도, 공격자들은 이를 피할 수 있는 방법을 찾기 위해 직접 대화를 하는 방법까지 동원해 권한을 확대하고 지속성을 유지하고 있다.

엥드 부사장은 “한국은 관찰했을 때 흥미로운 사실 중 하나는 보안 기술에 많이 투자한다는 것인데, 이는 긍정적 현상이지만 문제는 기술 종속성이 높아질 수 있다는 점”이라며 “솔루션에만 의존하는 것은 충분치 않은데, 침해는 여전히 발생하기 때문에 기술 그 이상이 필요하다”고 제언했다.

다행인 점은, 피해 기업들이 침해 사실을 발견하는 데까지 소요되는 시간이 감소하고 있다는 것이다. 피해사실이 발견되기 전까지 공격자들이 피해자의 네트워크에 머문 시간은 2015년에는 평균 146일이었는데, 지난해 평균 99일로 줄었다. 처음 조사를 시작했던 2012년에는 평균 416일이나 걸렸다.

엥드 부사장은 “전체 공격 시도 중 조직 내부에서 탐지하는 비율은 전년도 47%에서 지난해 53%로 소폭 성장했다”고 “아직 만족할 만한 수준은 아니지만 개선의 여지가 있다”고 말했다.

또 “정보 유출 전 내부에서 침해사실을 탐지하는 능력이 중요하다”며 “기업 내 대응팀 역량을 강화하고 네트워크 내 탐지 수준을 높여야 한다”고 말을 보탰다.

아울러, 엥드 부사장은 “대다수 기업에서는 문제가 무엇인지 알 수 없는 위협에 대응해야 하기 때문에 인텔리전스에 중심을 둔 보안을 채택해야 한다”며 “단순히 모르는 위협을 예방하는 것이 아니라 전체적 큰 그림을 볼 수 있기 때문에 인텔리전스를 많이 확보할수록 대응 수준이 높아지고 방대한 위협 정보를 활용해 적절히 대처할 수 있게 된다”고 조언했다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널