Home > 전체기사
2019년, 멀웨어 없는 공격이 멀웨어 사용하는 공격보다 많았다
  |  입력 : 2020-03-05 14:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
멀웨어 없이 정상 크리덴셜과 프로세스 악용하는 공격이 늘어나고 있어
현대 대부분의 보안 시스템은 멀웨어를 기반으로 해...멀웨어 없는 공격 대비책 세워야


[보안뉴스 문가용 기자] 작년에 발생한 사이버 공격들 사이의 주요 키워드는 ‘레트로’였다고 보안 업체 크라우드스트라이크(CrowdStrike)가 발표했다. 예전 해커들 사이에서 유행했던 공격 기법이 멀웨어를 사용한 공격보다 많았기 때문이라고 한다.

[이미지 = iclickart


경험이 풍부한 사이버 범죄자들과 국가의 지원을 받는 해커들은 날로 발전하는 보안 도구들의 감시망을 피해기 위해 여러 가지 기법을 개발해왔다. 최근에는 여러 경로로 획득한 크리덴셜을 사용해 정상 사용자인 것처럼 로그인 하거나, 정상적인 도구를 자신들의 목적에 맞게 악용하는 방법이 인기가 높았다.

그래서 그런지 크라우드스트라이크에 따르면 작년 한 해 동안에는 멀웨어를 사용하지 않는 공격이 사용하는 공격보다 많이 일어났다고 한다. “멀웨어가 없는 공격이 전체의 51%, 멀웨어를 사용한 공격이 전체의 49%로, 멀웨어 없는 사이버 공격이 멀웨어 있는 사이버 공격을 앞지른 건 처음 있는 일입니다. 2018년과 2017년에는 멀웨어를 기반으로 한 공격이 60% 정도를 차지했었습니다.” 크라우드 스트라이크가 보고서를 통해 발표한 내용이다.

멀웨어가 없는 공격이란, 말 그대로 악성 파일이나 파일의 일부를 컴퓨터 디스크에 장착시키지 않고 피해자의 시스템이나 네트워크에 침투하는 공격을 말한다. 훔친 크리덴셜이나 정상적인 도구를 악용하는 방법이 대표적이다. 그러나 이것 외에도 메모리에서 직접 명령을 실행하는 ‘파일레스’ 공격 기법도 존재한다. 이는 대단히 탐지가 어려운 공격이다.

그런데 왜 이것을 크라우드스트라이크는 ‘레트로’라고 하는 걸까? 멀웨어를 사용하지 않는 공격 기법이 대부분 예전 해킹과 마찬가지로 ‘공격자가 직접 키보드를 두들기는’ 과정을 필요로 하기 때문이다. “고급 공격에 속하는데, 아이러니하게도 그 배후의 매커니즘에는 고급 자동화 기술이 아니라 인간이 있습니다. 직접 현장에서 공격을 실시간으로 실시하는 누군가가 키보드를 치고 있는 거죠.”

문제는 현존하는 대부분의 방어 시스템이 ‘멀웨어’를 탐지하는 데에 초점을 맞추고 있다는 것이다. 크라우드스트라이크는 보고서를 통해 “멀웨어가 없는 공격이 많아지면 많아질수록 보안 도구들은 힘을 잃게 될 것”이라고 염려스러운 마음을 표현했다. CTO인 마이클 센토나스(Michael Sentonas)는 “보안 도구를 회피하는 게 공격자들의 가장 큰 목표 중 하나라는 걸 생각하면, 이는 자연스러운 변화”라고 말한다.

“심지어 차세대 백신이라고 하는 방어 도구들까지도 넘보고 있는 게 지금 공격자들의 상황입니다. 그런 맥락에서 지금 멀웨어 없는 사이버 공격이 펼쳐지고 있다고 이해하면 됩니다. 만약 멀웨어 없는 공격이 전체 사이버 공격의 60% 이상을 차지하게 된다면, 지금의 방어 체계로서는 큰 문제를 맞이할 수밖에 없습니다.”

그 말 그대로 대부분의 조직들이 일반 정상 사용자와, 사용자인 척 하는 공격자를 제대로 구분할 수 있는 기술력이나 체제를 갖추지 못하고 있다. 왜냐하면 “대부분 그저 비밀번호를 입력하는 것만으로 인증 과정을 통과할 수 있게 되어 있기 때문”이다.

또 다른 보안 업체 라피드7(Rapid7)의 경우도 “멀웨어를 활용한 공격이 크게 줄어들고 있다”고 발표했다. 연구 책임자인 토드 비어즐리(Tod Beardsley)는 “과거에 발생한 여러 침해 사건을 통해 입수한 크리덴셜을 공격에 활용하는 사례가 급격히 늘어나고 있다”며 “방어가 굉장히 까다로운 공격”이라고 설명했다. “이건 자동화 방어 시스템으로 뚝딱 막을 수 있는 성격의 공격이 아닙니다.”

비어즐리는 “이런 공격을 막으려면 보안이라는 방어 ‘문화’ 속에 모든 구성원을 포함시키는 전략을 구사해야 한다”고 강조한다. “IT 보안 팀과 사용자 사이의 신뢰를 구축해야 합니다. 또한 서로에 대해 잘 알고 있어야 하죠. 물론 직업적으로 말이죠. 그래서 ‘수상한 행동’이 무엇인지 빠르게 느낄 수 있도록 해야 하고, 이걸 처음 느낀 사람이 빠르게 보안 팀으로 알릴 수 있도록 해야 합니다.”

정상 프로세스들 역시 어느 시간이나 장소, 컨텍스트에서 운영되는지도 파악했다가 비정상적인 상황이 발생하면 사태를 얼른 파악하는 노력이 필요하다. “우리 회사에서 용인해준 앱이라고 해서 무턱대고 사용하면 안 됩니다. 이 도구를 사용하는 게 나만이 아닐 수 있다는 걸 반드시 인지해야 합니다.” 비어즐리의 설명이다.

3줄 요약
1. 작년 한 해 동안 멀웨어를 사용하지 않은 공격이 더 많았음.
2. 이는 멀웨어를 기반으로 한 현대 방어 체제에 큰 위험이 될 수 있는 요소.
3. 평소의 정상적인 상황에 대해 모든 구성원이 파악하고 있어야 조직적 방어가 가능.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)