코로나19를 거치며 하이브리드 업무가 확산됨에 따라 PC, 프린터 등 엔드포인트(endpoint) 기기를 노린 사이버 범죄가 증가세다. 약 4분의 3에 달하는 멀웨어(malware) 툴 가격이 10달러 이하 정도로 낮아 진것 또한 공격을 증가시킨 원인.
이처럼 사이버 위협이 더 빠르게 확산되고 있지만, 보안에 대한 기업과 개인의 인식 온도에는 큰 차이를 보였다. 시장 조사 기관 카날리스(Canalys)에 따르면 2023년 글로벌 사이버 보안 지출액이 전년 대비 13.2% 증가할 것으로 예상된다.
하지만, HP 울프 시큐리티(HP Wolf Security)의 조사에 따르면 전 세계 직장인 응답자의 34%가 사이버 보안을 업무에 있어 방해 요소라 답했고, 18~24세 응답자 중 48%가 보안 요소가 업무 생산성을 저하한다고 밝혔다.
이에 대해 HP는 보안에 대한 개인의 인식 부족과 무관심은 기업을 위협에 빠뜨릴 수 있기에, 사이버 범죄로부터 조직의 데이터와 시스템을 보호하기 위해선 운영체제(OS) 단에서부터 강력한 보안 기능을 탑재한 엔드포인트 기기 도입이 필요하다고 지적했다. 여기에는 PC, 프린터 등에 대한 보안 솔루션도 포함됐다.
◆ 빠른 단발성 수익을 노린 이메일 피싱 확대
범죄 도구를 거래하는 플랫폼의 확산으로 일반인도 값싼 비용으로 쉽게 해킹 도구를 구할 수 있게 되어 위협은 더욱 증가했다. 경기 침체로 단발성 수익을 노린 이메일, 문자메시지 등을 악용한 사이버 범죄도 무분별하게 퍼져나가고 있다. 실제 침입자가 개인 계정을 통해 회사 기기 및 정보 탈취 권한을 획득하고 이를 조직화된 랜섬웨어 집단에게 넘기는 문제가 보고됐다.
과학기술정보통신부가 발표한 2022년 사이버 보안 위협 분석에 따르면, 작년 한 해동안 한국인터넷진흥원에 접수된 침해 사고가 전년대비 1.6배 증가했으며, 전체 신고의 약 29%가 금품 요구 악성 프로그램 사고인 것으로 분석됐다.
또한, HP 울프 시큐리티의 조사에 따르면 보안 담당자의 약 84%는 보안 위협을 가장 많이 받고 사업에 큰 피해를 주는 사이버 범죄는 엔드포인트 기기에서 이뤄졌다. 따라서 사전에 위험성이 높은 활동을 감지해 사용자가 악성 링크나 첨부 파일을 열 때 멀웨어 감염을 막을 수 있는 대책 마련이 시급하다.
◆ 운영체제를 노린 펌웨어 공격 고도화
사이버 범죄가 고도화되는 가운데, 펌웨어 보안은 간과하는 경우가 많다. 기존 펌웨어 공격은 해커 집단들이 국가를 상대로만 공격했으나, 지난 1년 동안 BIOS 암호 해킹부터 기기 펌웨어를 노리는 루트킷(rootkit) 및 트로이 목마(trojan)까지 운영체제 단계의 사이버 공격도 시작됐다. 사이버 범죄 시장에서 펌웨어 루트킷은 몇 천 달러면 구매할 수 있다.
공격자가 펌웨어에 접근할 경우 지속적인 제어가 가능하며, 운영체제에 숨어들 경우에는 제거 및 복구는 물론 탐지도 쉽지 않다. 이를 방지하기 위해서는 하드웨어 및 펌웨어 보안에 대한 시스템을 구축하고 표준을 숙지해, 펌웨어 공격을 예방 및 탐지하고 공격을 받더라도 복구할 수 있는 보안 기술 확보가 시급하다.
운영체제를 대상으로 한 공격은 바이러스 탐지 프로그램 실행 전 단계에서 행해지는 경우가 많다. 이에 대한 방안에는 BIOS 단에서 시스템을 자동으로 치유 및 보호하는 정책이다. 예를 들면 HP 슈어 스타트(HP Sure Start), 멀웨어가 주요 프로그램을 중단하는 것을 방지하는 HP 슈어 런(HP Sure Run) 등의 보안 솔루션도 효과적인 대응책이다.
◆ 세션 하이재킹으로 시스템 권한 획득
원격 제어 세션을 통해 주요 데이터와 시스템에 접근하는 세션 하이재킹(session hijacking)도 문제로 지적됐다. 세션 하이재킹은 데이터 및 시스템에 대한 권한을 가진 도메인, IT, 클라우드 및 시스템 관리자를 대상으로 문제를 야기하고 탐지 및 복구 또한 어렵게 만든다.
심지어 주요 시퀀스를 작동시키고 영구 제어를 위한 백도어를 생성하는 공격 명령을 실행하는 데 몇 밀리초 밖에 걸리지 않아, 뒤늦게 문제를 인지하는 경우도 있다. 이러한 방법으로 침투한 공격자는 특권 액세스 관리(Privileged Access Management, PAM) 시스템이 멀티 팩터 인증(Multi Factor Authentication, MFA)을 실행하는 방식으로 주요 데이터에 접근할 수 있다.
세션 하이재킹 공격이 공장 및 산업 시설에 사용되는 운영 기술(OT) 또는 산업 제어 시스템(ICS)을 노릴 경우, 시설의 전원과 수도까지 통제할 수 있어 운영 가용성 및 안전성 측면에서 큰 물리적 피해를 끼칠 수 있다.
이를 방지하기 위해선 PAW(Privileged Access Workstation)와 같이 물리적으로 독립된 시스템을 사용하거나 하이퍼바이저(hypervisor) 방식의 가상 분리가 필요하다. 멀웨어가 심어진 링크 및 메일 클릭 시 격리된 가상공간에서 열리게 하는 엔드포인트 보안 기기가 효과적이다.
◆ 보안이 취약한 인쇄 장치 대상 위험성 증가
인쇄 장치의 경우 PC에 비해 보안에 대한 인식 수준은 비교적 낮지만 하이브리드 업무로 기업 네트워크에 연결된 프린터가 증가함에 따라 이를 통한 사이버 공격의 위험성이 높아지고 있다. 이를 예방하기 위해 인쇄 장치를 모니터링하고 사이버 공격으로부터 보호하기 위한 보안 정책 도입이 권고됐다.
By 김신강 에디터 Shinkang.kim@weeklypost.kr
〈저작권자ⓒ 위클리포스트, 무단전재 및 재배포 금지〉
