보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
2019년 보안 위협 전망 및 대응방안
2019.01.02
13,093
1. 개요
2018년 올 한 해에도 수많은 보안 위협이 발견되었다. CPU 취약점인 멜트다운(Meltdown)과 스펙터(Spectre), 가상화폐 거래소인 ‘코인레일’과 ‘빗썸’ 해킹 사고, 채굴 악성코드 크립토재킹(Cryptojacking) 급증, 그리고 멤캐시드(Memcached) 서버를 이용한 DRDoS 공격까지 금전적 이득과 정치적 이슈를 목적으로 사이버 공격이 점점 지능화 및 고도화 되고 있다.
따라서 이번 호에서는 이글루시큐리티에서 선정한 2019년 보안 위협과 보안 기술 방법론 중 주요 보안 위협 및 대응 기술에 대해서 정리해보고자 한다.
2. 2019년 보안 위협 전망
1) 스마트시티 구축 보안 위협
스마트시티는 2017년 3월 스마트도시법이 개정되면서 기존의 유비쿼터스 도시(u-시티)를 대체하는 단어로 통용되고 있으며, 디지털 기기, 정보통신기술 등을 활용한 다양한 콘텐츠와 함께 유무선 네트워크, 사물인터넷(IoT) 기술, 5세대 이동통신(5G), 블록체인 등의 기술들이 접목하여 각종 도시문제를 해결하고 삶의 질을 개선할 수 있는 도시를 의미한다.
스마트시티를 구성하는 요소로는 크게 인프라, 데이터, 서비스 3가지 분류로 구분되며 세부적으로 7계층으로 구성되어 있다.
구 분 |
주 요 내 용 | |
인프라 |
도시 인프라 |
∙ 스마트시티는 기본적으로 소프트웨어적이지만 도시하드웨어 발전이 필요 |
ICT 인프라 |
∙ 유/무선 통신인프라의 도시 전체 연결 | |
공간정보 인프라 |
∙ 현실공간과 사이버공간 융합을 위해 공간정보의 핵심 플랫폼 등장 ∙ 공간정보 이용자가 사람에서 사물로 변화 ∙ 지도정보, 3D 지도 GPS 등 위치측정 인프라, 인공위성 | |
데이터 |
IoT |
∙ 도시 내 각종 인프라와 사물을 센서기반으로 네트워크에 연결 |
데이터 공유 |
∙ 좁은 의미에서 스마트시티 플랫폼 ∙ 데이터의 자유로운 공유 및 활용 지원 ∙ 도시 내 스마트시티 리더들의 주도적 역할 필요 | |
서비스 |
알고리즘 & 서비스 |
∙ 실제 활용 가능한 품질 및 신뢰도의 지능서비스 개발 계층 ∙ 데이터의 처리 분석 등 활용능력 중요 |
도시 혁신 |
∙ 도시문제 해결을 위한 아이디어 및 서비스가 가능한 환경 조성 |
[표 1] 스마트시티 구성요소 (출처 : 융합연구정책센터, 스마트시티의 개념과 정책동향)
스마트시티 구성요소에서 보여지듯이 통신인프라를 통해 도시 전체를 연결하고 스마트 디바이스와 같은 사물인터넷(IoT) 기기를 활용하여 유∙무선 데이터 공유가 이루어진다. 만약 데이터 공유 과정과 사물인터넷 기기에 보안 사고가 발생한다면 스마트시티의 체계가 크게 흔들리게 된다.
최근 보안 위협 사례들을 통해서 보안사고가 스마트시티에 미치는 영향을 알 수가 있다
대표적으로 2016년 네트워크 환경에 노출되어 있는 수 십만대에 사물인터넷 기기들의 정보를 수집하고 봇넷(botnet)에 감염시킨 뒤 트래픽을 대량으로 발생시켜 서비스 거부 공격(DDoS)이 발생한 사례가 존재한다. 해당 사이버 공격으로 DNS(Domain Name Service)와 웹 서버, 데이터 서버가 마비되어 기업들과 민간 사용자들이 서비스 장애가 발생하였다.
[그림 1] IoT 루프 봇넷 감염 분포(출처:360 Netlab Blog)
또한 외부에서 원격으로 연결할 수 있는 CCTV 기기와 마이크 장치를 해킹한 뒤 불법 촬영하여 유포시키기는 등의 개인정보가 노출되는 사건과 아파트에서 현관문을 열거나 외부 방문객과 통화하는 목적으로 사용하는 월패드(Wallpad)를 해킹하여 직접 조작하지 않고도 원격으로 제어가 가능했던 사례도 있다.
[그림 2] IP CCTV 해킹(출처 : 보안뉴스)
이 외에도 스마트 단말기 간 데이터 공유 과정에서 집 비밀번호를 가로채거나 전송되는 데이터를 변조하여 잘못된 정보를 전송하는 중간자 공격(man in the middle attack)과 같은 많은 보안 위협이 사이버 공격에 노출되어 있다.
기존의 도시의 문제점을 해결하고 삶의 질을 개선하기 위한 스마트시티의 구성요소들이 보안 위협에 노출됨에 따라 스마트시티에 거주하는 시민들의 안전이 위험에 노출될 것이며 지금까지 발생한 보안 사고보다 더 큰 사회적 혼란이 야기될 것이다.
2) 공급망 공격(Supply Chain Attack)
공급망 공격(Supply Chain Attack)은 공격자가 기업이나 사용자 PC로 직접 침투하여 공격하는 행위보다 정상 소프트웨어를 배포하거나 업데이트 명령을 실행하는 서버에 침투하여 정상파일에 악성코드를 삽입하거나 탈취한 인증서를 위∙변조하는 등의 공격 행위를 진행하는 것을 말한다. 공격자는 과거부터 현재까지 스파이 행위와 도감청 활동에 있어서 도급업체, 시스템 및 기업과 공급자들을 겨냥해 진행되었다.
사이버 공격을 행하는 공격자는 공격 대상을 기업에 속해있는 사용자가 아닌 기업에 납품하거나 서비스를 제공하는 공급 업체들을 공격하는 이유가 무엇일까?
[그림 3] Supply Chain Attack (출처 : NORTON ROSE FULERIGHT)
공격자는 공격 대상을 특정 사용자보다 소프트웨어 배포파일을 공급하는 업체의 서버를 노리는 이유는 사전에 탐지하기 어렵고 피해 범위가 광범위하여 사이버 공격 성공 확률이 높일 수 있고, 사용자는 이미 공급자를 신뢰받은 대상으로 인정하기 때문에 의심 없이 전달받게 된다.
[그림 4] Supply Chain Attack 공격 예시
기업 입장에서는 내부 보안을 더 중요하게 생각하게 되지만 공급 업체나 타 협력 업체들이 보안을 신경쓰지 않는다면 아무리 기업 내부의 보안을 강화해봤자 외부에서 침투할 수 있는 취약한 홀이 발생하게 된다. 그렇기 때문에 사이버 공격자들은 보안이 강화된 기업을 직접적으로 공격하기보다 기업에 납품하는 업체나 제품을 대상으로 공격을 진행하게 된다.
규모가 있는 기업뿐만 아니라 공급업체들이 편의성을 위해 보안 문제를 안일하게 생각한다면 사이버 공격자들은 2019년에도 공급망의 취약한 부분을 노리는 공격을 지속적으로 발생시킬 것이며, 과거 발생한 보안 사고가 또다시 반복될 것으로 예상된다.
3) 진화하는 악성코드, 학습하는 공격자
방어자들은 보안 장비와 안티 바이러스 프로그램을 이용하여 사이버 공격을 효율적으로 방어하기 위해 악성코드가 행하는 행위들을 분석하고 시그니쳐 기반과 행위 기반의 탐지 패턴을 개발하여 탐지 및 차단하고 있다. 또한 새로운 유형의 악성코드들이 지속적으로 발견되고 있는 상황에서 방어자들은 AI(Artificial Intelligence) 알고리즘을 도입하여 과거에 발견된 악성코드 공격 특징들을 데이터화하여 자동화된 방법으로 방어하고 있다.
이러한 방어자들의 노력과 AI 알고리즘의 도입으로 사이버 공격 효과를 낮추고 있지만 공격자들도 이에 대응하기 위한 여러 가지 방법을 고려하고 있다. 과거 악성코드를 제작하는 공격자들은 보안 장비나 안티 바이러스 프로그램의 탐지 패턴를 우회하기 위하여 수동적으로 확인하고 변경해 왔지만 최근 공격자들도 기존의 방어 기법을 우회하기 위해 AI 알고리즘을 활용하여 스스로 학습하는 방식인 ‘적응형 학습(Adaptive Learning)’을 토대로 새로운 유형의 공격 방식을 시도하고 있다.
악성코드는 적응형 학습 시스템으로 보안 장비의 탐지 패턴에 걸리게 되면 스스로 패턴에 걸리지 않도록 다른 공격 방법을 찾아내고 사용하는 등 마치 사람과 같이 생각하고 행동하여 지금보다 진화된 새로운 유형의 악성코드들이 발견될 것이다. 이렇듯 AI 알고리즘을 사용하여 방어하는 방어자와 적응형 학습을 기반으로 둔 공격자와의 싸움은 다가오는 2019년에도 이어질 것으로 예측된다.
3. 2019년 보안 위협 대응방안
앞서 설명한 보안 위협에 대해서 살펴보았듯이 공격자들에 의한 사이버 공격은 더욱 지능화되고 고도화될 것이며, 대규모 보안 사고가 발생하지 않도록 효과적인 방법으로 대응해야 할 것이다.
그 대응방안 중에는 보안 위협으로부터 기업의 소중한 정보자산 및 인프라를 보호하기 위해 보안 관제센터(SOC, Security Operation Center)의 역할이 더욱 부각될 것이다. 지금까지의 보안관제센터 운영방식은 사람(People)과 프로세스(Process), 기술(Technology) 3요소를 바탕으로 외부에서 발생하는 사이버 공격에 대하여 보안 장비에 탐지되는 로그와 이벤트를 사람이 24시간 실시간 대응 방식으로 운영해왔다.
[그림 5] 보안관제센터 3요소(출처 : GBM, 이글루시큐리티 보안분석팀 재구성)
하지만 최근에는 모니터링 대상의 증가와 고도화 된 다양한 방식의 사이버 공격 증가로 보안 장비에서 탐지되는 이벤트 수 증가로 이어져 보안관제요원이 수동으로 이벤트 처리하는 시간이 더욱 증가하게 되었다.
이와 같이 변화하는 보안 환경에서 보안 위협을 보다 빠르게 탐지하고 대응하기 위해서는 수동적이고 여러 단계로 나뉘어진 프로세스를 종합하여 표준화해 체계적으로 관리하고 자동화하는 ‘보안 오케스트레이션과 자동화(Security Orchestration and Automation, SOA)’가 효과적인 대안으로 떠오르고 있다.
보안관제 업무에 보안 오케스트레이션과 자동화 방식을 적용하기 위한 가장 중요한 요소로 플레이북을 들 수 있다. 플레이북은 사이버 공격 사건이 발생했을 때를 가정하고 행동 수칙이나 수행 처리 프로세스와 같은 지침을 사전에 정리한 대응 가이드를 의미한다. 과거에 발생한 경험이 있는 유형의 공격이나 유사한 형태의 공격이 발생할 시 인공지능(AI) 알고리즘에서는 플레이북으로 정리한 대응 가이드에 따르게 대응하게 될 것이다. 또한 수동적으로 진행한 프로세스를 자동화함에 따라 분석과 대응시간을 줄이는 등 효율적으로 대처하게 된다.
고도화된 사이버 공격은 보안관제센터 요소인 사람과 기술, 프로세스에 보안 오케스트레이션과 자동화 방식을 도입하여 그 동안 사람이 단순 반복적으로 처리하던 프로세스를 자동화하여 보다 신속한 대응이 가능할 것으로 보인다.
4. 참고자료
[1] 해커와 악성코드, 그들은 '왜·어떻게' 공격하는가 http://www.ciokorea.com/news/37852
[2] AI와 클라우드, 보안에 어떻게 접목되고 있나 https://www.boannews.com/media/view.asp?idx=72999
[3] 스마트시티와 보안·안전산업의 미래를 보다 https://www.boannews.com/media/view.asp?idx=67401
[4] Six degrees of separation: cyber risk across global supply chains http://www.nortonrosefulbright.com/knowledge/publications/155738/six-degrees-of-separation-cyber-risk-across-global-supply-chains
[5] 가명정보로 AI,빅데이터 ‘혈’ 뚫을까http://www.asiae.co.kr/news/view.htm?idxno=2018120310532022150
[6] 한국인터넷진흥원, 개인정보보호 GDPR 안내 https://www.kisa.or.kr/business/gdpr/gdpr_tab1.jsp