[김수연기자] 적을 알고 대항할 때와 모르고 대항할 때, 그리고 아군의 약점을 알고 나설 때와 그렇지 못할 때, 싸움의 결과는 확연히 달라진다.
악성코드와의 대결도 마찬가지다. 악성코드를 무기로 보안 시스템을 공격하는 해커의 기본적인 특성과 내부 시스템의 취약점을 파악하고 있을 때와 그렇지 못했을 때, 승률은 달라질 수밖에 없다.
악성코드와의 대결에서 패하지 않으려면 지피지기(知彼知己)의 지혜가 필요한 셈이다.
전문가들은 해커들이 목표 대상에 대한 면밀한 모니터링을 수행한 상태에서 표적 공격을 실행하는 만큼 공격자와 방어자 간 정보의 비대칭 정도가 심화되지 않도록 하는 게 무엇보다 중요하다고 조언한다.
◆ 알아야 할 해커의 특성 1. 문서 파일 이용한 APT 공격 감행
보안업체들은 최근 주목해야 할 해커의 특성으로 문서 파일의 취약점을 이용한다는 점을 들고 있다.
공격자들은 대상 조직이 관심을 가질만한 정보를 담은 정상 문서 파일에 악성코드를 심어 이를 이메일에 첨부하는 방식으로 내부 시스템 침투를 위한 첫 관문을 쉽게 통과하고 있다.
안랩(대표 김홍선) 이호웅 시큐리티대응센터장은 "과거와 달리 문서 파일의 취약점을 이용한 악성코드가 종종 발견되고 있다"며 "알지 못하는 사람으로부터 받은 메일의 첨부 파일을 클릭하는 등 자칫 조심하지 못한 사이에 피해를 입게 된다"고 지적했다.
윈스테크넷(대표 김대연) 손동식 침해사고대응센터장은 "A사의 경우 최근 내부 직원이 외부로부터 수신한 메일에 첨부된 '개인정보보호법개요.pdf'라는 파일을 클릭하는 순간 악성코드에 감염됐다"며 "요즘 해커들은 어도비 pdf파일(.pdf), 한글파일(.hwp), MS 워드파일(.doc) 등 지극히 정상적인 문서 파일 형태로 악성코드를 유포하고 감염된 PC를 장기적으로 모니터링한 후 내부 시스템 정보와 중요 자원을 수집한다"고 설명했다.
보안업체들은 이에따라 기업에서 많이 사용되는 오피스 문서 파일에서 발견되는 악성코드들을 별도로 분석해 주는 시스템을 개발해 제품에 적용하고 있다.
◆ 알아야 할 해커의 특성 2. 조직의 보안 취약점 찾아 공격
이 때문에 공격자보다 먼저 내부 취약점을 파악하고 피해를 최소화할 수 있도록 보안 시스템을 구축해 놓아야 한다는 게 보안 전문가들의 견해다.
윈스테크넷 손동식 침해사고대응센터장은 "해커가 가장 좋아하는 취약점의 조합은 방화벽이나 IPS, 백신 등 보안 시스템을 제대로 갖추고 있지 않은 조직에서 보안 패치가 아직 배포되지 않은 운영체제나 프로그램을 쓰고 있는 경우"라고 강조했다.
기업들은 소잃고 외양간 고치게 되는 사태를 맞기 전에 알려지지 않은 악성코드에도 대비할 수 있도록 보안 시스템을 구축해야 한다는 것이다.
잉카인터넷(대표 주영흠) 시큐리티대응센터(ISARC) 대응팀 문종현 팀장은 "조직 구성원들은 취약점에 대한 패치를 항상 업데이트 상태로 유지하는 등 컴퓨터에 보안 취약점이 존재하지 않도록 해야 한다"며 "자신을 통해 기업의 중요한 정보가 외부로 유출될 수 있다는 점을 직원 모두가 자각해야 한다"고 설명했다.
◆ 알아야 할 해커의 특성 3. 장기전의 고수
해커는 치밀한 준비를 거쳐 장기간 공격을 실행하는 장기전의 고수다.
이글루시큐리티(대표 이득춘) 전략기획본부 김동우 수석부장은 "해커가 공격을 위한 사전 준비를 하는 단계에서 실질적인 공격에 들어가기까지의 기간과 공격을 실행하는 기간이 길어지고 있다"고 전했다.
특히 공격 대상의 업무 형태와 시간을 파악해 이에 맞는 단계적 공격을 실행하는 등 요즘 해커들은 주도면밀한 모습을 보이고 있다.
김동우 수석부장은 "해커들은 1차로 침투 대상 시스템과 연결된 시스템의 기본 정보만을 수집한 후 공격 대상자의 퇴근 시간을 이용해 수집된 정보를 외부로 전송하고 이후 2차적으로 해당 시스템에 최적화된 악성코드를 다운로드한다"고 설명했다. 1차 공격에서 2차 공격까지 걸리는 시간은 보통 수개월에서 길게는 1년이 소요된다.
◆ 알아야 할 해커의 특성 4. 인간 심리 이용한 사회공학적기법으로 접근
해커들은 불특정 다수를 겨냥한 대량 공격보다 특정 목표를 겨냥한 표적 공격으로 공격 효율성을 높이고 있다.
시만텍코리아(대표 정경원) 윤광택 보안담당 이사는 "해커들이 소셜네트워크서비스 등을 통해 표적에 대한 충분한 정보를 수집한 후 공격에 이를 활용하고 있다"며 "표적으로 삼은 기업의 IT 담당자가 이직을 고려하고 있다는 정보를 트위터나 페이스북을 통해 파악하고 사회공학적기법을 접목해 헤드헌터가 보낸 것처럼 위장한 악성 메일을 보내는 식의 공격이 가능한 상황"이라고 말했다.
실제 기업 인사담당자에게 채용과 관련된 정보를 담은 것처럼 꾸민 악성 메일을 보내 악성코드에 감염시킨 사례가 발견된 바 있다.해커들은 뚫기 어려운 보안 시스템이나 보안 기술을 우회하기 위해 취약한 인간 심리를 이용하고 있다는 설명이다.
◆ 알아야 할 해커의 특성 5. 돈 되는 것을 노리는 도둑들
해커들은 대부분 금전적 이득으로 연결되는 정보를 탈취하기 위해 공격을 감행한다.
한국인터넷진흥원(원장 이기주)에 따르면 지난 9월 한달간 국내에서 백신업체를 통해 접수된 악성코드 피해신고 가운데 게임 계정을 탈취하는 '온라인게임핵'에 의한 것이 22.2%에 달했다.
암시장에서 게임 계정이 고가에 거래되고 있는 만큼, 고수익을 노리는 해커들이 계속해서 게임 계정 탈취를 위한 악성코드를 제작, 유포하고 있다는 것이 보안 전문가들의 설명이다.
또한 해커들을 PC에 저장되는 개인정보, 인증서를 탈취하거나 메일 계정을 해킹해 제2의 범죄에 사용하는 방법으로 금전적인 이득을 취하고 있다.
윈스테크넷 손동식 침해사고대응센터장은 "과거와 달리 돈이 되지 않는 정보는 잘 노리지 않는다는 게 요즘 해커들의 특징"이라며 "최근에는 사용자 PC에 상주하면서 일정기간 간격으로 사용자의 계정정보나 인증서 정보 등을 공격자 PC로 전송하는 유형의 악성코드가 발견되기도 했다"고 설명했다.
◆ "악성코드 대비 위해 이것만은 꼭 점검해야"
악성코드에 대비하려면 해커의 특성 뿐 아니라 조직 내부 보안 상태와 정보자산 보유 현황을 정확히 파악하고 있어야 한다.
내부 보안 취약점을 해커보다 먼저 찾아내기 위한 노력도 필요하다. 내부 취약점에 대한 점검을 수시로 진행하고 이에 대한 대처 방안을 마련해 해커의 공격을 사전에 차단해야 한다는 것이다.
또한 현재 기업 핵심 시스템에 접근 가능한 이들이 누구인지 정확히 알고 있어야 한다.
시만텍코리아 윤광택 보안담당 이사는 "누가 내부 민감 정보에 접근하는지 파악이 돼야하고 관리가 가능해야 한다"며 "보통 기업 핵심 시스템에 접근할 수 있는 이들은 임직원, 파트너, 고객 등 세 그룹으로 나뉘는데 이들에 대한 철저한 신원 인증이 필요하다"고 강조했다.
시만텍이 발표한 '2012년 상반기 전세계 표적공격 동향 분석'에 따르면 소기업을 겨냥한 표적공격이 2011년 18%에서 2012년 상반기 36%이상으로 급증했다. 이에 대해 시만텍은 해커들이 소기업을 대기업 표적공격을 위한 전초기지로 삼고 있다고 풀이했다.
대기업과 협력관계에 있는 소기업의 경우, 대기업 정보에 접근이 가능하지만, 사이버 공격 감시를 전담할 IT인력이 부재해 보안 수준이 낮다는 점에서 해커의 표적이 되고 있다는 설명이다.
이와 함께 보안 전문가들은 현재 사용중인 보안 솔루션은 무엇이고 어떻게 관리되고 있는지 정확히 파악하고 있어야 하며, 이에 대한 정보를 상시적으로 업데이트해야 한다고 당부했다.
안랩 이호웅 시큐리티대응센터장은 "보안은 솔루션, 시스템 구축에서 끝나지 않고 지속적인 모니터링과 관리가 필요한 영역"이라며 "업데이트되지 않은 백신은 백신이 아니듯, 관리하지 않는 보안 솔루션은 보안 솔루션이 아니다"라고 지적했다.
이밖에 악성코드가 조직 내부로 유입될 수 있는 경로를 얼마나 파악하고 있는지, 사고 발생시 적용할 대응 매뉴얼은 있는지, 대응 매뉴얼은 실천이 가능한 것인지 미리 살펴봄으로써 해커의 공격에 대한 방어율을 높여나가는 지혜가 필요하다는 게 전문가들의 공통된 목소리다.
김수연기자 newsyouth@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기