파이어아이가 2017년 사이버 보안 트렌드 전망을 발표했다. 파이어아이는 2017년 사이버 보안 트렌드에 대해 아태 지역에서 사이버 공격자들의 공격이 지속적으로 증가할 것으로 예상되는 가운데 사물인터넷과 주요 인프라 및 주요 산업 제어 시스템에 대한 공격도 증가할 것이라고 전망했다.
파이어아이 조사에 따르면 올해 아태지역 SWIFT 사용 금융 기관을 노린 사이버 공격에 이어 2017년에도 아태지역 금융 시스템들이 집중적으로 사이버 공격의 타깃이 될 것이다. 여전히 구식 ATM 소프트웨어와 윈도XP를 사용하고 있는 개발도상국의 ATM들은 보안이 취약하기 때문이다.
뿐만 아니라 아태지역에서 떠오르고 있는 신흥 시장과 기업들은 쉽게 부당 이익을 취하고자 하는 사이버 공격자들에게 좋은 타깃이 될 것이다. 성숙 단계로 이동 중인 비즈니스와 기업들은 침해에 취약한 상태인 경우가 대부분이기 때문이다.
2017년에는 기업들이 오케스트레이션과 자동화에 상당한 투자를 할 것으로 보인다. 지난 몇 년간 기업들은 무수한 보안 경보 조치를 처리하기 위해 많은 인력을 투입했으며 함께 연동하기 어려운 서로 다른 보안 기술과 인프라들을 운영하기 위해 상당한 비용을 지출했다.
따라서 2017년 기업들은 통합으로 눈을 돌릴 것이다. 다양한 보안 니즈에 대한 통합적인 시각은 기업의 보안 태세를 획기적으로 향상시켜 주고 기업들이 보유한 모든 보안 제품이 진정한 가치를 발휘할 수 있도록 할 것이다. 파이어아이는 올해 초 인보타스(Invotas)를 인수하며 보안 오케스트레이션을 적극적으로 지원하고 있다.
업계에서 많은 기업들이 겪고 있는 리소스 부족을 고려하면 2017년 자동화가 주요 트렌드로 떠오를 가능성이 높다. 전문인력 부족난이 지속되면서 사이버 보안업계에는 자동화 형태로 혁신이 이뤄질 것이다. 따라서 최소한의 인력 개입으로 공격에 대응할 수 있는 보안 솔루션의 도입이 확대될 것으로 예상된다. 파이어아이는 보안 절차를 자동화하고 보안 운영 과정에서 인텔리전스를 적용함으로써 고객들이 심각한 리소스 부족 문제를 해결할 수 있도록 지원할 계획이다. 보안 오케스트레이션 역량은 기업들이 보안 경보에서 위협 차단까지 불과 수 분 이내로 가능하게 해 줄 것이다.
아태지역의 위협 활동들은 대부분 중국에서 기인하며 특히 주요 무역 파트너국, 접경국, 그리고 중국에게 정치 또는 경제적으로 위협으로 되는 국가들을 대상으로 발생한다. 2017년에도 변하지 않는 점은 중국이 핵심적인 정치적 목표를 달성하기 위해 미국을 비롯해 일본, 호주, 한국과 같은 국가들을 대상으로 사이버 작전을 지속적으로 수행할 것이라는 것이다.
한편 한국은 중국 이외에도 북한의 사이버 공격의 지속적인 표적이 되고 있다. 북한의 공격자들은 금융 사이버 범죄에 대해 더 많은 것을 학습하고 있으며 이를 핵무기 보유와 관련된 국제적인 제재 조치로 인한 경제적 손실을 보상하기 위한 이익 창출 도구로 사용할 수 있다.
러시아의 미국 민주당 해킹 사건은 2017년 아태지역에서의 정부 주도 사이버 위협 활동에 영향을 미칠 수 있다. 러시아 기반 공격 조직인 APT28과 APT29는 미국 민주당과 다른 정치 조직을 침해하여 정보를 유출했으며 이를 통해 러시아 정부는 단순히 네트워크 침해 성공을 넘어서는 성과를 달성했다.
적극적인 정보전을 통해 러시아가 미국과의 알력다툼을 동유렵 침략 혹은 시리아 전투와 같은 물리적인 대치뿐 아니라 사이버 전을 통해 지속할 것이라는 의지를 전세계에 보여주는 효과적인 방법이었다. 러시아의 성공으로 이제 또 다른 국가가 사이버 전에 뛰어들 것이며 그들의 타깃을 공격하기 위해 비슷한 전략을 사용할 것이라고 예측할 수 있다. 이는 정교한 사이버 역량을 갖춘 국가가 미국에 비교할 때 미약한 사이버 보안과 반스파이 활동 역량을 가진 신흥 경제국을 공격할 때 더욱 위력적일 것이다.
많은 종교기관들은 개인정보와 같은 중요한 데이터를 보유하고 있음에도 불구하고 견고한 사이버 보안을 갖추고 있지 않기 때문에 APT공격자들의 주요 타깃이 될 것이다. 특히 서방 국가의 종교기관들이 위험에 노출되어 있다. 이들을 노리는 정부 주도의 공격자들이 존재하는 반면 대부분의 경우 서방 국가에 있는 종교기관들을 사이버 산업 스파이 행위의 대상이 될 것이라 예상치 못하기 때문이다.
2017년에는 발전소 등의 핵심 인프라와 가전제품 등의 소비자 기기에 포함된 사이버 물리시스템을 겨냥하는 국가 주도 공격이 더 늘어날 것으로 예상된다. 정부 기능을 마비시키고 공포를 조장하며 물리적인 시스템을 인질로 잡아 이를 정치적 협상 카드로 이용하는 것이다.
이 같은 공격 수단으로서 랜섬웨어와 ‘서비스로서의 소프트웨어(SaaS)’ 프랜차이즈 비즈니스 모델의 조합은 수익성이 높은 옵션이 될 것이다. 이는 또한 선비용을 감소시키고 많은 비용이 드는 인프라 설치를 피할 수 있어 범죄자들의 진입 장벽을 낮춰줄 것이다.
한편 사물인터넷의 증가로 인해 제대로 모니터링 또는 보안이 되지 않는 많은 기기가 등장했으며 이들은 사이버 공격 쉽게 악용될 수 있다. 이러한 사물인터넷 장치들에 대한 악용사례는 분산형 서비스 거부(DDoS) 공격 감행, 홉지점 명령 및 제어로의 사용, 네트워크 인증정보 탈취 또는 원격 엑세스 트로이 목마(RAT) 악성코드 배포 등으로 다양하다.
파이어아이의 최근 보고서에 따르면 2017년에도 사이버 공격자들은 지속적으로 이러한 핵심 시스템들에 타깃할 것이라고 전망했다. 대부분의 국가들은 정부의 기반 서비스, 공공 에너지 및 상업 시스템 등을 산업제어시스템(Industrial Control Systems, ICS)에 상당 부분 의존한다. 그러나 이러한 시스템들은 제대로 보호되고 있지 않거나 보안 패치가 되지 않은 경우가 대부분이다.
실제로 파이어아이 조사에 따르면 30% 이상의 식별된 ICS 취약점에 대한 보안 패치가 존재하지 않았다. 특히 자원과 산업 분야에 크게 의존하는 국가들은 특히 추가적인 위험이 존재한다. ICS는 해당 분야의 운영에 핵심적인 역할을 수행하고 있기 때문이다. 2015년 말 우크라이나의 발전소에서 발생한 사이버 공격은 ICS 공격으로 어떠한 피해가 발생할 수 있는지를 보여주는 일례일 뿐이다.
랜섬웨어는 상대적으로 비용이 적게 들고 수익성이 높아 지속적으로 공격에 이용되고 있다. 2017년에도 랜섬웨어 공격은 지속될 것으로 예상되지만 사법 당국이 랜섬웨어 인프라를 폐쇄하고 범죄자들을 추적하면서 일부 공격 조직들은 타격을 입었다. 또 기업들이 점점 랜섬웨어의 위협에 대해 인지하기 시작하면서 이를 대비하기 위해 데이터를 백업을 하고 보안 테스트를 시행하고 있다. 그러나 아직까지 랜섬웨어 피해 사례는 계속해서 늘어나고 있으며 실제로 올해 하반기 록키(Locky)와 다른 랜섬웨어에 감염됐지만 백업을 통해 복구를 한 기업들도 많이 존재한다.
2017년에도 사이버 범죄자들은 스크립 기반의 악성코드을 계속해서 악용할 것으로 예상된다. 스크립 기반의 악성코드는 대개 보안 벤더들이 탐지하기가 쉽지 않다. 또 이 위협은 이메일 공격과 측면 이동에 있어 점점 더 보편화돼 가고 있다. 매크로 기반의 악성코드는 특히 탐지를 회피하는 수단으로, 보안팀이 예상치 못한 포맷으로 계속해서 전환할 것이다.
2016년 말 마이크로소프트의 퍼블리셔 문서(PUB)가 악성 매크로를 전송하는데 사용되고 있음이 발견됐다. 마이크로소프트의 파워포인트로 생성된 PPTM 파일 등 아직은 광범위하게 악용되고 있지 않은 다른 포맷들은 위협 행위자들의 다음 표적이 될 수 있다. 공격자들은 계속해서 악성코드를 보다 은밀하고 효과적으로 만들어 나갈 것으로 예상된다.
에릭 호(Eric Hoh) 파이어아이 APJ 총괄 사장은 “기업들은 특수부대와 경비원의 싸움으로 비유될 정도로 비대칭적인 전력으로 사이버 공격에 대응하고 있다. 따라서 공격이 발생할 지 여부보다는 언제 공격이 발생할 것인지에 대한 대비를 하고 사고 대응 및 억제를 위한 보안 태세를 갖춰야 한다”며 “보안 태세를 갖추는 한가지 방법은 전형적인 침입 시나리오들을 시뮬레이션하는 사고 대응 훈련을 통해 임원, 법률 담당자 및 기타 직원을 포함한 모든 임직원들이 사고 대응 절차와 개념에 익숙해질 수 있도록 하는 것이다”고 말했다.
