뉴스 트렌드 생활정보 International edition 매체

시스코 탈로스가 분석한 최근 보안 위협 동향은?

입력 | 2018-03-21 10:06:00


인터넷에 접속할 수 있는 기기가 많아지고, 많은 정보가 디지털화 되면서 이러한 데이터를 노리는 해커의 공격도 자연스럽게 늘어나고 있다. 과거 해커의 공격 동향은 소프트웨어의 취약점을 찾고, 이를 기반으로 시스템에 침투했지만, 최근 동향은 소프트웨어 취약점이 아닌 사용자를 목표로 공격을 시도하고 있다. PC나 스마트폰 등 웹 서핑을 하거나 이메일을 열어볼 수 있는 기기가 많아진 만큼, 웹 페이지나 이메일 첨부파일 등을 통해 공격을 시도한다.

시스코 보안 전문가 조직 탈로스의 얼 카터(Earl Carter) 연구원은 "해커는 기업의 기밀 데이터를 노리기도 하지만, 최근에는 개인의 데이터를 노리는 경우도 많아졌다. 가족 사진 등은 개인에게는 소중한 데이터로, 이를 노리는 랜섬웨어가 등장했다. 뿐만 아니라 사물인터넷 기기가 늘어나면서 기존과는 다른 방식으로도 네트워크에 침입할 수 있는 환경이 만들어졌다"고 말했다.

시스코 탈로스 얼 카터 연구원(출처=IT동아)


탈로스는 새로운 형태의 위협을 감시하고, 이러한 인텔리전스를 바탕으로 기업 소비자를 보호하는 조직이다. 시스코에 따르면 탈로스는 하루 197억 개의 보안 위협을 방어하며, 이러한 역량을 시스코 솔루션 및 서드파티 개발사의 제품에 적용해 기업 소비자가 별도의 솔루션을 추가하지 않아도 새로운 위협에 대응할 수 있게 해준다.

얼 카터 연구원은 "탈로스는 최근 동계 올림픽을 노린 멀웨어 '올림픽 디스트로이어'를 분석해 어떤 종류의 공격인지, 목적은 무엇인지 파악했다. 서버를 마비시켜 티켓 예매를 막거나 와이파이 시스템을 마비시켜 현장 소식을 인터넷을 통해 알리는 것을 막는 등 행사 진행을 막는 것이 목표라고 볼 수 있다. 새로운 형태의 공격이 등장하면 특정 국가를 배후세력으로 지목하는 경향이 있지만, 사실 멀웨어 분석만으로 특정 국가를 단정짓는 것은 어려워 졌으며, 이 때문에 탈로스는 배후세력 지목보다는 소비자를 보호하는 것에 집중하고 있다"고 말했다.

올림픽 디스트로이어(출처=IT동아)


최근에는 기존의 PC나 스마트폰뿐만 아니라 인터넷에 연결되는 사물인터넷 기기가 늘어나면서 해커의 공격 대상도 늘어나게 됐다. 이러한 기기 하나하나는 공격자가 마음만 먹는다면 손쉽게 침투할 수 있는 경로가 된다. 실제로 사물인터넷 기기를 디도스 공격에 활용하는 미라이 봇넷 등이 등장하기도 했으며, 인터넷에 연결된 도어락이나 난방장치 등을 해킹해 외부에서 조작하는 것도 가능하다.

얼 카터 연구원은 "사실 사물인터넷 기기 중 상당수가 생산단가를 낮추는데 집중하다 보니 보안과 관련한 부분을 신경쓰지 않는 경우가 발생한다. 이에 대한 중요성을 인지하고, 제품 개발 단계에서부터 보안을 신경써야 하며, 새로운 위협에 대응하는 보안 패치 등도 사용자가 적극적으로 업데이트 할 수 있도록 유도하는 프로세스가 확립돼야 한다"고 말했다.

가상화폐의 가치가 높아지면서 이에 대한 공격 사례도 눈에 띄게 늘어나고 있다. 사용자의 지갑(핫월렛)을 직접 노리거나 가상화폐 거래소를 해킹하는 등의 사례가 대표적이며, 악성코드를 사용자 PC에 심어 이를 가상화폐 채굴기로 사용하는 사례도 등장했다.

얼 카터 연구원은 "해커는 돈이 몰리는 곳을 쫓기 마련이며, 가상화폐는 돈이 된다. 최근에는 블록체인(blockchain)과 유사한 도메인(blockchein)으로 만든 피싱 사이트를 제작해 사용자 가상화폐 지갑 정보에 접근하려는 시도도 있었으며, 시스코의 분석 결과 하루 수십만 명이 잘못된 도메인으로 접속하기도 했다. 또, 최근 동향을 보면 일반 사용자 PC를 감염시켜 채굴기로 사용하는 경우도 늘고 있는데, 이러한 방식이 상대적으로 탐지가 어려우며 상대적으로 이득도 크기 때문이다"고 말했다.

피싱 사이트를 이용한 공격 시도(출처=IT동아)


이러한 보안 위협에 대응하기 위해 많은 보안 기업이 솔루션을 개발하고 있지만, 사용자의 노력도 필요하다. 사실 우리가 할 수 있는 것은 의심스러운 사이트에 접속하지 않고, 알 수 없는 파일을 실행하지 않으며, 운영체제 및 소프트웨어 업데이트를 생활화 하는 등 기본적인 대응 뿐이다. 하지만 이 것만으로도 상당히 많은 공격을 사전에 차단할 수 있다.

동아닷컴 IT전문 이상우 기자 lswoo@donga.com