인프라 겨냥한 사이버 및 표적 공격 증가, 사이버 전쟁 징후 포착 전망
지난 10년간 사이버 공격의 목적은 단순 명성에서 부의 창출로 바뀌었으며, 다양한 악성코드가 등장하여 개인 및 신용카드 정보를 훔치거나 가짜 안티바이러스 제품을 파는데 악용되어 왔다. 악성코드가 성공적인 범죄 사업모델로 자리잡으면서 그 규모도 수십억 달러에 달하고 있다. 트로이목마나 제우스와 같은 자동 악성코드 제작 툴킷이 대표적인 예다.
더구나 지난 10월 이란 부세르 원자력발전소에 대한 스턱스넷 바이러스 공격은 최초로 산업자동화제어시스템을 겨냥해 제작된 악성코드이자 현실 상황에서 영화 다이하드 4와 같은 사이버전이 가능할 수 있다는 실제적인 상황을 보여준 사례로, 향후 유사한 사이버 공격이 뒤따를 것으로 전망된다.
2011년 주목해야 할 보안 트렌드
주요 인프라 겨냥한 사이버 공격 증가= 스턱스넷은 의도적으로 하드웨어 시스템이 오작동을 일으키도록 설계된 가장 대표적인 컴퓨터 바이러스다. 스턱스넷의 등장으로 주요 인프라를 겨냥한 공격이 얼마나 큰 충격과 피해를 야기할 수 있는지 깨닫게 된 사이버 테러리스트들은 2011년에 주요 인프라를 대상으로 유사한 추가공격을 감행할 것으로 전망된다. 공격의 시작은 더디겠으나, 빈도는 계속해서 증가할 것으로 보인다.
최근 시만텍이 한국을 포함한 전세계 15개국에서 핵심 기간 인프라를 공급하는 1,580개 기업을 대상으로 조사한 '핵심 기간 인프라 보호 현황(Critical Infrastructure Protection Survey)' 보고서도 이 같은 전망을 뒷받침한다. 설문 응답자의 48%가 내년에도 사이버 공격을 받을 것으로 예상했으며, 80%는 공격 빈도가 증가할 것이라고 답했다. 주요 인프라 제공업체들은 이러한 공격 위험을 잘 인지하고 있으며, 주요 인프라 보안을 최우선 과제로 삼고 있는 것으로 나타났다.
표적 공격과 제로데이 취약점 이용 공격 증가= 올해 초 특정 조직 또는 특정 컴퓨터 시스템을 겨냥했던, 이른바 오로라(Aurora)로 알려진 하이드락(Hydraq) 공격은 소프트웨어의 잘 알려지지 않은 제로데이 취약점을 악용한 표적 공격의 한 예로, 그 위험 수위가 지속적으로 높아지는 상황이다. 사이버 공격자들은 수년간 다양한 보안 취약점을 악용해 왔으나 2011년에는 이러한 경향이 더욱 가속화되면서 제로데이 취약점을 악용한 표적 공격이 이전보다 훨씬 더 많이, 자주 등장할 것으로 예상된다.
2009년 시만텍은 총 12건의 제로데이 취약점 공격을 탐지했지만 2010년에는 11월 기준으로 사이버 공격에 이미 사용되었거나 활발히 사용되고 있는 18건의 제로데이 취약점을 발견했다. 이 중 이번 달에 확인된 하이드락, Sykipot, Pirpi 등을 포함해 절반 이상은 표적 공격에 사용된 것으로 나타났고, 특히 스턱스넷은 동시에 4개의 제로데이 취약점을 이용한 것으로 확인됐다. 이처럼 특정 표적 공격시 제로데이 취약점을 악용하는 가장 큰 이유는 표적 공격용 악성코드가 소수의 공격 대상만을 노리기 때문이다.
은밀히 소수의 대상만을 노리는 표적 공격이 증가함에 따라 기존 시그니처 기반의 탐지 방식으로는 이 같은 보안 위협에 대응하기가 사실상 불가능해졌다. 따라서 향후에는 보안위협의 행위(Behavior)에 기반한 탐지 기술인 시만텍의 SONAR 및 평판기반의 보안(Reputation-Based Security)과 같은 신기술을 통해 표적 공격을 포함한 새로운 보안 위협에 적극 대응할 필요가 있다.
스마트 기기의 증가로 새로운 IT 보안 모델 등장= 모바일 기기의 활용도가 증가하면서 2011년에는 모바일 기기와 그 이용자들을 겨냥한 사이버 공격이 본격화 될 전망이다. 특히 오늘날의 모바일 기기는 공격의 타깃일 뿐만 아니라 악성 코드의 배포 매개체로 활용될 수 있어 각별한 주의가 요구된다.
모바일 기기의 활용도가 급증함에 따라 기업들은 모바일 기기를 안전하게 사용하고, 기기에 담긴 민감한 정보를 효과적으로 보호하기 위한 새로운 보안 모델을 필요로 하고 있다. 특히 모바일 기기를 통해 점점 더 많은 개인 및 기업 업무를 수행함에 따라 IT 조직, 소비자 및 통신사업자 모두 복잡한 정보 보안 및 관리과제에 직면하고 있다.
다수의 이용자를 확보한 모바일 플랫폼이 시장을 주도하게 되면 2011년에는 특정 OS를 탑재한 모바일 기기를 겨냥한 공격이 증가할 것으로 예상된다. 시만텍을 비롯한 보안 솔루션 업계는 이미 모바일 보안 위협의 증가세를 인지하고 있으며, 모바일 분야 전문업체인 '모카나(Mocana)'의 설문조사 결과 응답기업의 65%가 모바일 기기를 겨냥한 보안 공격이 IT 담당자의 지속적인 관심을 끌 것으로 내다봤다.
컴플라이언스 준수 위한 암호화 기술 도입 증가= 기업의 모바일 기기 사용 급증으로 인해 기기를 안전하게 사용하고, 기기에 저장된 데이터의 안전한 사용과 보안을 위해 기업들은 다양한 데이터 보호 및 프라이버시 법규를 준수해야 한다.
실제 기업이 준수해야 하는 규제가 다양해지면서 기업은 많은 압력을 받고 있다. 지난해 미국은 정보보호를 위한 의료법 'HITECH(개인의료정보보호 관련 법안)'를 제정하였고, 몇몇 주에서도 정보보호를 위한 법률을 제정했다. 또한 전 세계적으로 PCI DSS(지불카드용 데이터 보안 표준)가 2.0 버전으로 업데이트되었다.
많은 법적 규제에도 불구하고 대다수 조직들은 노트북 분실은 보고하면서도 중요한 데이터가 들어 있는 모바일 기기 분실은 공개하지 않는 경우가 많다. 2011년에는 이러한 이슈에 대해 조치가 취해질 것으로 예상되며, 이에 따라 기업들은 모바일 기기를 중심으로 암호화 기술 도입을 크게 늘릴 것으로 보인다. 2011년 기업들은 암호화 기술을 통해 데이터 보호를 위한 더욱 선제적인 조치를 취할 것으로 예상되며, 이를 통해 컴플라이언스 요건을 충족하고, 데이터 유실에 따른 브랜드 피해를 최소화할 것이다.
정치적 의도를 지닌 새로운 보안 위협의 대두= 시만텍의 '핵심 기간 인프라 보호 현황' 보고서에 따르면 조사대상 기업의 절반 이상이 자신들이 경험한 사이버 공격에 특정 정치적 의도가 있었다고 답했다. 과거 이러한 정치적 의도를 지닌 공격은 대부분 사이버 스파이 활동이나 웹 서비스 대상의 서비스 거부 공격이 주를 이뤘다.
그러나 이제 사이버 공격은 단순 스파이 게임이나 교란 성격을 넘어 실제적인 물리적 타격을 입히는 공격으로 발전할 전망이다. 특정 산업제어시스템으로 관리되는 시설을 조작함으로써 실제적인 물리적 타격을 입히는 스턱스넷이 대표적인 예다. 스턱스넷은 매우 복잡한 위협으로 산업제어시스템을 재프로그램하는 것이 목적이다. 즉, 발전소, 정유사 및 가스 파이프라인 등 기간산업을 관리하는 프로그램을 표적으로 삼는다.
아직까지 스턱스넷의 실제 표적은 알려지지 않았으나, 정황상 충분한 자금을 받은 그룹 또는 국가가 정치적인 의도로 악성 코드를 생성하여 이란 또는 이란 내 특정 조직이나 시설을 공격한 것으로 추정된다. 시만텍은 스턱스넷이 사이버 전쟁을 촉발하기 위한 그간의 여러 시도 중 단지 처음으로 포착된 징후이며, 2011년에는 사이버 전쟁을 염두에 둔 더 많은 징후가 포착될 것으로 전망하고 있다.
김정은 기자
jekim92@itdaily.kr