공격자들은 보안 탐지를 우회하기 위해 새로운 공격도구를 쉼 없이 만들어낸다. 포티넷 ‘2018년 3분기 글로벌 보안 위협 전망 보고서’에 따르면 이 기간 동안 멀웨어 변종은 43% 증가했고, 멀웨어 변종군은 32% 증가했다. 기업당 멀웨어 탐지 수는 62% 늘어났고 고유 익스플로잇은 10% 증가, 기업당 익스플로잇 탐지 수는 37% 증가했다.
신종 공격도구가 기하급수적으로 늘어나고 있지만, 실제로 공격에 이용되는 것은 이미 잘 알려진 취약점을 이용하거나 이전에 성공률이 높았던 도구들이다. 공격자들도 익숙하게 사용하던 공격툴을 사용하려하지, 새로운 툴을 사용하면서 실수나 실패를 경험하려 하지 않는다.
트렌드마이크로의 ‘2019 보안 예측 보고서’에서는 보안 기술로 인해 몇 몇 공격은 성공하기 어려워졌으며, 자격증명 도용, 공개된 취약점 이용, 피싱 등 성공률이 높았던 기법을 2019년에도 활용할 것이라고 예측했다. 기존 방법으로도 수익성이 계속 유지되기 때문이라고 설명했다.
쉬운 방법·저렴한 비용으로 공격 목표 이뤄
공격자들은 돈이 많이 드는 신종 공격도구를 사용하기보다는 더 쉬운 방법으로 공격을 목표를 이루고자 한다. 공격을 위한 노력을 최소화하면서 공격 효과를 높일 수 있는 좋은 수단으로 ‘취약점’이 꼽힌다. 특히 알려진 취약점을 이용한 공격은 성공률이 꽤 높은 편인데, 취약점이 공개되면 이를 악용하는 공격이 급증하게 된다.
취약점이 공개되고 패치가 발표된다 해도 기업/기관이 이를 즉시 패치하지 못한다. 해당 취약점이 있는 시스템을 확인한 후, 보안 패치가 서비스에 어떤 영향을 주는지 살펴보면서 단계적으로 패치를 적용하기 때문에 상당한 시간이 걸린다. 이 시간 동안 공격자들은 충분히 공격 목표를 달성하고 사라질 수 있다. 이스트시큐리티 보고서에서는 알려진 서버 취약점을 이용한 공격이 늘어날 것이라고 예측했으며, 랜섬웨어 공격이 많아지면 기업의 피해도 더욱 증가할 것이라고 설명했다.
오픈소스 취약점은 ‘낮게 달려 따기 쉬운 과일’에 비유될 정도로 공격에 취약한다. 대부분의 기업/기관들이 오픈소스 취약점 관리에 소홀하기 때문에 공격자들은 공개된 취약점이 있는 시스템을 찾아 쉽게 목표를 달성할 수 있다.
SK인포섹 EQST ‘2019 보안위협 전망 보고서’에서는 “사용이 증가되는 오픈소스 취약점을 지속적으로 연구해 침투하는 시도가 늘어날 것”이라고 경고하면서 “보안관리가 어려운 오픈소스에서 취약점이 지속적으로 증가하고 있지만, 공격이 발생한 후 뒤늦게 패치가 발표돼 많은 기업들이 피해를 입고 있다”고 지적했다.
정상 기능 이용하는 공격
공격자들은 보안탐지를 우회하기 위해 매크로와 같은 소프트웨어의 정상 기능을 이용하며, 인증서를 도용하고 정상 소프트웨어 업데이트 기능을 이용해 악성코드를 유포한다. NSHC에 따르면 모의해킹 소프트웨어, 공개용 코드를 이용한 공격, 스크립트 악성코드, 윈도우 OS 시스템 관리기능 등 다양한 방법으로 보안 탐지를 우회하면서 공격을 진행한다.
시만텍은 전송중인 데이터를 탈취하는 공격에 대해 경고했다. 메이지카트(Magecart)라는 공격 그룹은 표적 웹사이트에 직접 악성 스크립트를 심어두거나 사이트에서 이용하는 써드파티 공급업체를 감염시키는 방식을 통해 전자상거래 사이트에서 신용카드 번호와 기타 민감한 소비자 정보를 빼냈다. 이러한 ‘폼재킹(Formjacking)’ 공격은 수많은 글로벌 기업의 웹사이트에 피해를 입혔다.
공격자들은 단 하나의 공격 도구와 전술만으로 공격하지 않는다. 성공적인 공격을 위해 성동격서 전략을 펼치거나 동시다발적으로 공격을 진행하면서 대응을 어렵게 만든다. 맥아피는 스테가노그라피, 파일 없는 악성 코드를 결합하는 것을 예로 들었다. 이를 통해 다양한 목표를 가진 공격을 생성할 수 있으며, 기존 방어 체계를 무력화하고 공격을 식별하거나 해결하는 프로세스를 복잡하게 만든다고 설명했다.
