ISEC 2021 토크콘서트 ‘2021 최대 보안 위협 키워드 : 다크웹, 표적공격, 악성코드’
곽경주 S2W 이사, 장현국 엔사인 이사, 문종현 이스트시큐리티 이사, 양하영 안랩 팀장 참여

[보안뉴스 원병철 기자] 2021년 상반기에 발생한 사이버보안 위협 중 현업의 보안전문가들이 가장 주목하는 것은 어떤 것들이 있을까? 최근 코로나19로 인해 급격한 업무환경 및 사회환경의 변화가 불러온 비대면·온라인 활성화와 함께 빠르게 진행되는 디지털 전환 등을 노린 사이버위협은 심각한 수준이라는 것이 보안전문가들의 평가다.


이에 국내를 대표하는 보안전문가 4인이 ISEC 2021에서 모여 2021년 최대 보안 위협 키워드에 대한 논의를 진행했다. 바로 ISEC 2021 토크콘서트 ‘2021 최대 보안 위협 키워드 : 다크웹, 표적공격, 악성코드’다.

먼저 곽경주 S2W 이사는 최신 랜섬웨어 공격그룹을 분석한 내용을 공유했다. 잘 알려진 랜섬웨어 그룹들은 이미 총책 아래 각 분야별 담당자를 둔 기업 형태로 성장했으며, 중소기업 이상의 규모로 커졌다는 것이 곽경주 이사의 설명이다. 이들은 범죄 총책인 ‘Operator’를 비롯한 랜섬웨어 개발자 ‘Developer’나 대리점으로서 실제 공격을 맡은 ‘Affiliates’는 물론 마케팅(Marketing)까지 두고 있다.

랜섬웨어 공격그룹은 이렇게 세를 불려가면서 점차 불특정 다수를 노린 공격에서 대기업과 글로벌 기업을 노린 공격을 펼쳤고, 최근에는 클라우드를 노리고 있다. 이미 다크웹 등에는 이들이 공격해 빼낸 클라우드 자산(ASSET)이 퍼지고 있다는 설명이다. 실제로 대기업의 AWS 키 등이 유명 다크웹 해킹포럼에 올라온 것이 확인됐다고 곽경주 이사는 말했다. 이에 기업이나 기관의 보안담당자는 기업 내부에 식별하지 못한 수많은 공격 표면을 찾기 위해 주기적으로 진단하고, 유출된 내부 데이터는 없는지, 위협에 대한 노출은 없는지 확인해야 한다. 바로 가시성을 확보해야 한다는 설명이다.

장현국 엔사인인포시큐리티 이사는 최근 코로나19로 인해 재택근무가 늘어나면서, 이에 대한 사이버 위협정보에 대한 분석이 필요하다고 설명했다. 실제로 재택근무 환경에 근로자의 접속환경이나 기업의 운영환경 등이 변화했고, 이에 대한 탐지와 분석할 수 있는 엔진 등 솔루션이 필요하다는 것이다.

특히, 장현국 이사는 이때 필요한 것 중 하나로 CTI(Cyber Threat Intelligence), 즉 사이버 위협 인텔리전스를 꼽았다. 장현국 이사는 APAC에서 발생한 사이버 위협동향을 소개하면서 표적공격이 늘어나고 있다고 강조하고, 이때 사이버 위협 인텔리전스 시스템을 활용하면 도움을 받을 수 있다고 설명했다.

세 번째로 문종현 이스트시큐리티 이사는 우리나라를 표적으로 한 북한의 사이버 공격에 대해 설명했다. 문종현 이사는 최근 고위공직자와 대북전문가, 언론사를 노린 공격이 많이 발생했다면서, 실제로 외교분야 고위공직자를 노린 APT 공격을 소개했다. 공격자는 강연이나 원고를 요청하면서 사례비를 준다며 메일을 보냈는데, 보통 돈에 대한 이야기가 들어가면 호기심 때문에라도 악성 메일을 열어보게 된다는 것. 실제 이를 이용한 공격이 많이 성공했다는 설명이다.

뿐만 아니라, 최근 공격을 당한 국방/외교/안보 분야 주요 인사들의 사례를 살펴보면, 이들의 공격에 사용된 정보를 각 인사의 ‘아이디’로 폴더를 만들어 서버에서 관리하고 있다는 것이 확인됐다. 즉, 표적을 명확하게 하는 것은 물론 별도로 관리함으로써 집중 공격한다는 설명이다.

양하영 안랩 팀장은 최근 국내 사용자를 노린 공격이 기업 사용자를 구분하는 것은 물론 공격에 사용하는 문서파일도 바꿔가며 지능적으로 움직인다고 설명했다. 양하영 팀장은 최근 랜섬웨어 공격그룹들이 더 많은 확산과 피해를 위해 기업 사용자를 확인하기 시작했다면서, 악성파일에 감염될 경우 바로 암호화하는 것이 아니라 원래 모의침투 훈련을 위해 만들어진 코발트 스트라이크를 이용해 피해자가 기업 사용자인지를 먼저 확인한다는 것. 이는 지난해 12월 국내 유통기업을 노린 클롭 랜섬웨어나 올해 1월 블루크랩 랜섬웨어에서부터 이러한 방법을 사용하고 있다.

공격에 사용하는 매개체인 문서파일도 그동안 많이 사용했던 한글에서 최근에는 워드나 PDF를 사용하고 있으며, 주로 해당 프로그램의 취약점을 이용하던 것과 달리 이제는 정상 파일 사용자들도 공격받을 수 있는 VBS나 자바 등 내부 OLE 개체 삽입을 통한 공격을 펼친다고 설명했다.

보안위협 최소화하기 위해 보안담당자가 가장 신경써야 할 것은?
개별 발표가 끝나고 이어진 토크콘서트는 <보안뉴스>의 권 준 편집국장이 사회를 맡았다. 권 준 국장은 “2021년 주목해야할 주요 보안이슈를 주제로 잡았다”면서, “최근 기업을 노린 공격에 성공한 이들이 관련 자료를 다크웹을 통해 공개하는 등 사이버 범죄 자료가 많은데, 기업의 보안담당자는 어떻게 대응해야 할까?”라며 곽경주 S2W 이사에게 질문을 던졌다.

곽경주 이사는 “보안담당자가 다크웹을 자세하게 파악하기는 어렵다”면서, “하지만 다크웹이 무엇이고 어떻게 사용하는지, 유명한 포럼은 어떤 게 있고 어떻게 활동하는지 등은 파악해야 한다”고 설명했다.

실제 사이버위협 인텔리전스에 대한 사례가 있었는지 묻자 장현국 엔사인인포시큐리티 이사는 “엔사인이 사이버 위협 인텔리전스 서비스를 제공하기 때문에 의뢰를 하는 기업들이 많은 편”이라며, “보안위협을 식별하고 문제가 커지기 전에 막았던 경험이 많다”고 설명했다.

이어 권 준 국장이 “최근 러시아와 중국, 북한 등 국가지원을 받는 해킹조직에 대한 이슈는 많은데, 이에 대한 인식은 적은 것 같다”고 문종현 이사에게 묻자, “북한의 공격이라고 판별된 공격을 분석해보면, 초반에 탐지하기 어려울 정도로 정교한 공격이 많아 사전에 대응하기 쉽지 않다”고 답했다.

이어 문종현 이사는 “최근 누리호 등 항공우주기술이나 원자력기술 등 세계에서도 특화된 우리나라 기술을 노린 사이버 공격이 꾸준하게 발생하고 있다”면서, “공격 탐지를 위한 솔루션과 시스템이 있어야 하는 것은 분명하지만, 보안담당자가 외부 공격에 대한 관심을 갖고 있어야 식별이 가능하다”고 강조했다.

이어 양하영 팀장은 “최근 랜섬웨어 그룹들이 사용하는 공격방법 중 특이한 것이 있었는데, 바로 도플페이머가 엑셀문서를 이용한 것이었다”면서, “엑셀을 열었을 때 바로 실행되는 것이 아니라 인스톨러를 이용해 파일을 설치하는 것이었는데, 파일을 실행하면 바로 설치돼 사용자가 알기 어려운 공격이었다”고 설명했다. 다만 엑셀 실행화면에서 파일을 인스톨하는 내용이 보이기 때문에 자세하게 살펴보면 공격 가능성을 의심해볼 수 있다고 덧붙였다.

마지막으로 기업의 보안위협을 최소화하기 위해 보안담당자가 가장 신경써야할 것에 대한 질문에 곽경주 이사는 “보안담당자가 솔루션 기업에게 침해지표를 받았을 때 그걸 이해할 수 있어야 한다”고 답했고, 장현국 이사는 “가시성 확보가 중요하다. 우리가 뭘 갖고 있고 어떤 정책을 펴고 있는지 정확히 알아야 한다”고 설명했다. 또한, 문종현 이사는 “외부활동을 하다보면 개인 메일이나 SNS 등을 사용하는 경우가 많은데, 가급적이면 개인 메일을 업무에 쓰지 않는 것이 좋다”고 조언했고, 양하영 팀장은 “취약점을 노린 공격이 많은데, 아직도 최신 패치나 업데이트를 하지 않는 기업들이 많다”고 지적했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>