존 클레이(Jon Clay) 트렌드마이크로 글로벌 위협 커뮤니케이션 디렉터

▲ 존 클레이 트렌드마이크로 글로벌 위협 커뮤니케이션 디렉터

[컴퓨터월드] 트렌드마이크로(대표 에바 첸)는 최근 올 상반기 글로벌 사이버 위협 동향을 조사한 ‘트렌드마이크로 2018 중간 위협 보고서’를 발표했다. 존 클레이(Jon Clay) 트렌드마이크로 글로벌 위협 커뮤니케이션 디렉터는 ‘클라우드섹(CloudSEC)코리아 2018’ 컨퍼런스에서 이 보고서의 내용을 소개했다.

그는 올 상반기 주목할만 한 이슈로 ▲암호화폐 채굴 악성코드의 급증 ▲GDPR 시행에 따른 정보유출사고 신고건수 증가 ▲비즈니스 이메일 침해 누적 손실액 폭증 등을 꼽았다. 존 클레이 디렉터를 만나 글로벌 위협 동향에 대해 들어봤다.


‘트렌드마이크로 2018 중간 위협 보고서’ 발표

트렌드마이크로는 세계 클라우드 보안 컨퍼런스 ‘클라우드섹’을 최근 한국에서 개최했다. ‘클라우드섹코리아’는 2011년 처음 시작돼 올해 8회차를 맞이했다. 이번 컨퍼런스에서는 전세계 클라우드 보안 전문가들이 참여해 글로벌 사이버 위협 환경 동향을 발표하고, 빠르게 변하는 초연결 사회에 대응하기 위한 정보 보안 및 위협 관리의 기술적 노하우를 공유했다.

특히 존 클레이 트렌드마이크로 글로벌 위협 커뮤니케이션 디렉터는 트렌드마이크로가 사이버 위협 동향에 대해 조사한 ‘트렌드마이크로 2018 중간 위협 보고서’를 소개해 많은 관심을 끌었다. ‘트렌드마이크로 2018 중간 위협 보고서’는 트렌드마이크로가 올해 상반기 발견한 약 200억 개의 사이버 위협을 분석한 결과를 중심으로 구성됐다. 이 보고서에 따르면, 올 상반기 차단된 위협 수는 지난해 하반기보다 근소하게 적은 것으로 나타났다. 다만 이메일이나 URL을 통한 위협은 소폭 증가한 것으로 밝혀졌다.

존 클레이 디렉터는 올 상반기 동향에 대해 “특히 암호화폐 채굴 악성코드가 급증했다는 것이 특징”이라고 설명했다. 지난해까지 악성코드 중 가장 높은 비중을 차지한 것은 랜섬웨어였으나, 올 상반기는 암호화폐 채굴 악성코드로 바뀌었다는 것이다.

존 클레이 디렉터는 올 상반기 위협은 하드웨어 취약점에서 시작됐다고 설명했다. 그는 “지난 1월 구글이 마이크로프로세서 취약점을 발견했다고 발표하면서 큰 이슈가 됐다”며, “‘멜트다운’과 ‘스펙터’가 악용하는 취약점은 특정 마이크로프로세서의 CPU 명령어 사용과 관련된 결함으로 나타났다”고 말했다. 멜트다운은 1995년 이후 출시된 인텔 프로세서를 사용하는 데스크톱 및 노트북을 비롯한 컴퓨팅 장치에 영향을 미치는 것으로 나타났으며, 스펙터는 x86 및 ARM 기반 프로세서를 실행하는 장치가 영향을 받는 것으로 조사됐다.

존 클레이 디렉터는 “올 상반기 이슈가 된 하드웨어 취약점은 특정 운영체제나 특정 소프트웨어 버전에 한정되고 하나의 공급업체에서 해결할 수 있는 일반적인 소프트웨어 취약점과 달리 대규모의 기업 네트워크에 새로운 보안 과제를 제시했다”고 지적했다. 이어 “하드웨어 취약점이 발표되면서 유사한 유형의 취약점이 존재할 가능성이 높아졌다. 한 예로 ‘스펙터’가 발표되고 5개월 후 유사한 취약점인 ‘Speculative Store Bypass’가 공개된 바 있다”며, “향후 컴퓨터 산업은 이런 결함 발견을 지속적으로 겪게 될 것으로 전망된다”고 덧붙였다.


602건 취약점 권고 발행…23건은 정식패치나 대응책 없어

존 클레이 디렉터는 올 상반기 ZDI(Zero Day Initiative)에 기여하는 3천 명 이상의 연구원들이 602건의 취약점 권고를 발행했다고 설명했다. 이는 지난해 하반기 578건에서 소폭 증가한 수치로, 특히 “이중 23건은 SW공급업체의 조정일정이 초과해 정식패치나 대응책 없이 발행됐다”고 덧붙였다.

보고서에 따르면, 취약점 권고를 가장 많이 받은 업체는 SCADA HMI(Human-Machine Interface) SW 공급업체인 어드밴텍(Advantech)였다. 가정 및 사무실 SW공급업체의 경우 가장 많은 권고를 받은 업체는 어도비(Adobe)였으며, 어도비 제품 중 ‘어도비 아크로뱃 프로(Adobe Acrobat Pro) DC’가 이미지컨버전 프로세스용으로 가장 많은 수의 권고를 받았다. 마이크로소프트의 경우 발견된 취약점 중 1/3이 인터넷 익스플로러 및 에지 브라우저와 관련 있었고, 나머지는 ‘윈도우’ 취약점인 것으로 조사됐다.

▲ 올 상반기 발견된 취약점 수에 대한 공급업체(non-SCADA) 별 비교

존 클레이 디렉터는 “SCADA 취약점에도 주목해 봐야한다. 올 상반기 연구원들에 의해 발견된 SCADA 취약점 수는 지난해 하반기 발견한 155건에 비해 30% 이상 많은 202건으로 조사됐다”며, “다행히 공급업체의 조정기간이 초과된 취약점 권고 수는 감소했고, 공급업체가 패치 등을 통해 취약점 문제를 완화하고 있는 것으로 나타났다”고 말했다.

그는 이어 “이번에 발견된 SCADA 취약점 중 65%가 웹기반 HMI 소프트웨어 ‘어드밴텍 웹액세스(WebAccess)’에서 발견됐다”며, “SCADA HMI는 중요한 인프라를 관리하고 서로 다른 제어시스템의 상태를 감시하는 주요 디지털 허브로, 특정 운영에 대한 진단 데이터를 수집할 수 있어 공격자의 타깃이 될 수 있다”고 강조했다.

그는 또 “네트워크 및 정보시스템 보안에 대한 새로운 지침(NIS Directive)에 따라 유럽지역 중요 인프라 IT 관리자에게 SCADA 보안 취약점 해결을 더욱 중요해질 것”이라며, “해당 지침은 사고 대응 팀과 협력 그룹을 설립하고 보안 문화를 정착시켜 꾸준한 운영을 보장하도록 요구하고 있으며, 이를 어길시 유럽 일반개인정보보호규정(GDPR)과 같은 벌금이 부과될 수 있다”고 지적했다.


암호화폐 채굴 악성코드 급증

존 클레이 디렉터는 올 상반기 사이버 위협 동향의 최고 이슈로 암호화폐 채굴 악성코드의 급증을 꼽았다. 지난 2년간 악성코드 중 랜섬웨어의 비중이 가장 높게 조사됐으나, 올해 상반기 암호화폐 채굴 악성코드가 랜섬웨어를 제치고 1위를 차지했다는 것이다. 존 클레이 디렉터의 설명에 따르면, 암호화폐 채굴 악성코드는 2017년 상반기 75,000건에서 하반기에는 약 326,000건으로 증가했고, 올 상반기에는 2배 이상 증가한 약 787,000건으로 집계됐다.

▲ 암호화폐 채굴 악성코드 탐지수 비교

존 클레이 디렉터는 “이런 현상이 사이버 범죄영역에서 나타나는 것은 놀랍지 않다. 사이버 범죄자들은 일반 사용자의 컴퓨터를 통해 채굴활동을 할 수 있다는 것을 알아차렸다”며, “어떤 경우에는 합법적인 채굴 도구가 남용되기도 하지만 무단으로 채굴기가 설치된 경우 원치 않는 소프트웨어로 간주하고 탐지했다. 트렌드마이크로는 연구를 위해 이런 종류의 SW를 암호화폐 채굴 탐지로 분류했다”고 설명했다.

이어 “암호화폐 채굴은 랜섬웨어와 매우 다른 경향을 보이는데, 즉시 감염사실을 알 수 있는 랜섬웨어와 달리 암호화폐 채굴은 긴 시간동안 PC에 잠복해 리소스를 탈취하면서 은밀하게 활용된다”며, “시스템에 침입하는 과정은 비슷하지만 PC에 영향을 미치는 방법은 다르기 때문에, 기존과 달리 리소스를 체크하는 등 시스템 보안 방법을 강구해야 한다”고 강조했다.

그는 또 “암호화폐가 이슈가 되면서 단순한 암호화폐 채굴을 넘어 거래소를 해킹하는 사례도 있었다”며, “해커들은 지난 1월 거래소를 해킹해 약 5억 달러의 암호화폐를 탈취한 적이 있고, 인도의 경우에도 지난 4월 약 330만 달러의 비트코인이 해킹으로 유출되는 사고가 있었다. 이런 경향은 암호화폐 가치가 하락하고 있음에도 지속되고 있다”고 덧붙였다.

존 클레이 디렉터는 “네트워크에 존재하는 무단 암호화폐 채굴기는 사용자의 디바이스뿐 아니라 기업 네트워크 보안에도 위협적”이라며, “채굴은 컴퓨터의 리소스를 탈취하는 것이기 때문에 하드웨어 고장을 야기할 수 있고, 하드웨어 수명감소와 에너지 소비 증가로도 이어진다. 기업은 이에 대응할 방안을 마련해야 한다”고 말했다.


꾸준히 진화하는 랜섬웨어

올 상반기 랜섬웨어 탐지 건수는 지난해 하반기 369,000여건에 비해 3% 증가한 380,000여건으로 집계됐다. 성장세가 현저히 둔화된 것이다. 랜섬웨어가 이슈가 되면서 일반 사용자들이 백업 등 대응 방법을 마련하면서 랜섬웨어 유포가 줄어든 것이다. 하지만 특정 타깃을 노린 랜섬웨어는 여전히 기승을 부리고 있다.

존 클레이 디렉터는 “사이버 범죄자들은 올 상반기에 갠드크랩(GandCrab), 블랙하트(BlackHeart), 사이낵(SynAck) 등 다양한 랜섬웨어 패밀리를 출현시켰고, 랜섬웨어 유지와 배포에 대한 접근방식도 발전하고 있다”며, “사이낵은 도플갱잉(Doppelgänging) 프로세스를 처음 사용함으로써 탐지와 분석을 어렵게 했으며, 블랙루비(Black Ruby)의 경우 랜섬웨어 기능뿐 아니라 모네로(Monero) 암호화폐 채굴기도 설치하는 것으로 나타났다”고 설명했다.

▲ 랜섬웨어 탐지 수 비교

이어 “또 다른 동향은 이전 랜섬웨어는 그물을 펼치듯이 무차별 배포 후 피해자에게 대가를 요구했다면, 최근 랜섬웨어는 타깃을 골라 까다롭게 공격하는 방식으로 변하고 있다”며, “사용자 시스템보다는 비즈니스 크리티컬 시스템을 노림으로써 몸값을 지불할 가능성을 높이고 있는 것으로 풀이된다”고 언급했다.

또 그는 “랜섬웨어는 다양한 진입점과 기술을 사용하므로 모든 경우의 수를 따졌을 때 하나의 보안 솔루션으로는 탐지와 차단을 기대할 수 없다”며, “기업은 보안에 대한 다계층적인 접근방식뿐만 아니라 적절한 기술을 적시에 사용하기 위해 다양한 위협 방어기술을 지능적으로 혼합한 보안 솔루션을 사용해야 한다”고 강조했다.


GDPR 시행에도 정보유출사고 증가

2016년 유럽연합에서 제정된 개인정보보호규정(GDPR: General Data Protection Regulation)이 지난 5월부터 본격적으로 시행됐다. GDPR의 시행과 함께 기업들이 정보보안에 관심을 기울이면서 정보유출 보고 건수가 줄어들 것으로 예상됐지만 현실은 그렇지 않았다.

존 클레이 디렉터는 “미국 정부기관 및 언론 매체의 정보유출을 감시하는 프라이버시라이츠클리어링하우스(Privacy Rights Clearinghouse)에 따르면 올 상반기에 보고된 정보 유출 건수는 259건에 달하며, 이는 작년 하반기 224건에 비해 늘어난 수치”라며, “트렌드마이크로가 분석한 결과 올 상반기 100만 건 이상의 데이터가 유출된 사례는 15건으로 지난해 하반기 9건에 비해 6건이나 늘어났다. 건수로는 많아 보이지 않지만 최소 600만 건의 데이터가 노출된 것을 감안하면 무시할 수 없는 수치”라고 지적했다.

▲ 미국에서 보고된 정보유출사고 수 비교

트렌드마이크로에 따르면, 정보유출의 42%는 의도하지 않은 공개를 통해 발생한 것으로 보이며, 41%는 해킹에 의한 것으로 나타났다. 존 클레이 디렉터는 이에 대해 “해커로 인해 유출된 것보다 기업의 실수로 더 많은 정보가 노출된 것으로 조사됐다. 이는 기업이 정보 유출의 위험성을 알고 있더라도 여전히 포괄적인 방식을 고수하고, 적절한 정보보호 매커니즘을 시행하지 못하고 있기 때문”이라고 언급했다.

이번 보고서에 따르면, 대규모 정보 유출은 상당부분 클라우드와 관련 있는 것으로 나타났다. 한 마케팅 기업의 경우 약 3억 4천만 건의 정보가 담긴 2TB 데이터베이스가 한 보안담당자의 잘못으로 외부 접근이 가능한 서버에 노출된 사례도 있었다. 이와 비슷한 사고가 지난 몇 년간 지속적으로 발생하고 있음에도 불구하고 많은 기업들은 아직도 고객 데이터 보관 방법과 장소에 대해 확실한 대책을 수립하지 않고 있다.

존 클레이 디렉터는 “GDPR이 시행되면서 기업의 침해사례가 공개될 수밖에 없다”며, “기업들이 공개적으로 정보 유출 등 침해사고를 발표하는 경우가 늘어나고 있고, 유럽뿐 아니라 다른 국가들도 GDPR 수준에 맞춘 개인정보보호법이나 정책 도입을 추진하고 있어 소비자의 개인정보보호가 강화되는 추세”라고 설명했다.

이어 “정보유출에 대한 글로벌 연구에 따르면, 대형 정보 유출 사고로 이한 손실 비용은 약 4천만 달러에서 3억 5천만 달러이다. 기업은 타격을 입은 비즈니스와 잃어버린 고객, 떨어진 평판, 문제 해결을 위한 리소스 비용 등 정보유출이 초래할 수 있는 위험을 계속해서 감수해야 한다”며, “기업들은 GDPR을 고려해 개인정보 보호에 대한 보안을 강화해야하며, 단순한 규정 준수를 넘어 다계층 보안 기술을 구현하고 보안사고 발생시 포괄적으로 데이터를 보호하기 위한 전략을 수립해야 한다”고 강조했다.


비즈니스 이메일 침해 손실액 125억 달러 기록

올 상반기 기업들은 비즈니스 이메일 침해(BEC: Business Email Compromise)로 인해 문제를 겪고 있는 것으로 나타났다. 특히 사회공학적 기법은 BEC에서 주로 사용되는 전형적인 수법이다. 존 클레이 디렉터는 “2013년 10월부터 BEC를 모니터링한 FBI에 따르면 최근 BEC 및 이메일 계정 사기(EAC) 사고에서 발생한 총 손실액이 125억 달러로 집계됐다. 이는 트렌드마이크로가 예상한 손실액 90억 달러보다 39% 높은 것으로, 경고에도 불구하고 정상적인 이메일과 사기 이메일을 분별하는 능력이 약화되고 있는 것으로 보인다”고 지적했다.

이어 “올 상반기동안 트렌드마이크로에 의해 탐지된 BEC 시도는 6,878건으로 지난해 하반기 6,533건보다 늘어난 것을 확인할 수 있었다”며, “기업은 이런 위협에 대응하기 위해 더 나은 이메일 보안 전략을 모색해야 하며, 이 과정에서 이메일 평판 기술과 이메일 작성방식을 분석하는 머신러닝 등이 도움이 될 수 있다”고 말했다.


“지속적인 혁신 통해 미래 위협에도 대응할 것”

마지막으로 존 클레이 디렉터에게 트렌드마이크로의 향후 전략을 물었다. 그는 “트렌드마이크로의 전략은 과거와 유사하다. 지속적인 혁신을 통해 오늘과 미래의 위협을 탐지할 수 있는 새로운 보안 방식을 만드는 것”이라며, “최근에는 AI와 머신러닝 등 주요 기술로 악성코드를 탐지하고, 새로운 위협에 대응하고 있으며, 향후 기술력이 부족해지는 시점이 온다면 다른 신기술을 도입함으로써 혁신을 지속할 것”이라고 강조했다.

이어 “이번 ‘클라우드섹코리아 2018’ 행사 주제와 같이 트렌드마이크로는 사용자의 자유로운 연결을 위해 지속적으로 혁신해 나갈 것이다. 트렌드마이크로는 보안 솔루션을 제공함으로써 사용자가 걱정 없이 연결의 자유를 느낄 수 있도록 지원할 것”이라고 덧붙였다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지