[디지털데일리 이종현기자] 급격한 디지털 전환이 이뤄지는 가운데 해킹그룹의 활동도 그 어느 때보다 활발하다. 기술을 보유한 소수가 해킹 활동을 하는 과거와 달리 최근에는 악성코드나 랜섬웨어도 서비스형(as-a-serivce)으로 전환되는 추세다. 비전문가조차도 손쉽게 해킹을 할 수 있는 상황이다.
넓어진 공격면, 고도화·다양화되는 사이버공격은 오늘날 조직 운영의 최대 난관이 됐다. 세계 각국의 데이터 및 개인정보 컴플라이언스가 지속해서 강화됨에 따라 자칫하다가는 기업의 존폐를 좌지우지할 정도의 타격을 입을 수도 있다. 많은 기업들이 보안에 공을 들이는 이유다.
28일 <디지털데일리>는 그룹IB와 함께 최신 사이버공격 동향과 이에 대응하기 위한 솔루션을 소개하는 온라인세미나(웨비나)를 진행했다. 주제는 ‘주적(主敵) 중심 위협 탐지 그리고 위협 헌팅’이다.
싱가포르에 본사를 둔 그룹IB는 사이버 위협 인텔리전스 분야서 두각을 드러내는 기업이다. 가트너, IDC, 포레스터 등 시장조사기관으로부터 업계 리더 기업 중 하나로 평가되고 있다.
서현석 그룹IB 코리아 대표는 “사이버 범죄자들의 동향을 살펴보면 눈에 띄는 변화가 확인된다. 개인 사용자를 노리던 랜섬웨어가 기업이나 금융기관, 금융회사를 노리는 것이나 랜섬웨어 개발자와 지능형지속위협(APT) 해킹그룹의 협력이 대표적인 예”라고 말했다.
그룹IB에 따르면 최근 해킹그룹은 스파이 활동 중심에서 인프라 시설을 파괴하려는 적극적인 시도로 대체됐다. 2019년 9월 인도의 핵시설, 2020년 4월 이스라엘의 급수 시스템, 2020년 7월 이란의 핵시설 등이 대표적인 예다. 일부 국가 지도자들은 다른 나라에 대한 성공적인 공격을 발표하기도 한다.
금융기관에 대한 공격도 활발히 이뤄지고 있다. 코발트, 머니 테이커, 사일런스, 라자루스 등 주요 APT 그룹은 금융기관을 대상으로 스위프트(SWIFT), ATM 스위치, 카드 프로세싱 시스템, ATM 탈취 등의 행위를 진행하고 있다. 이중 라자루스는 북한 정부의 지원을 받는 해킹그룹으로 잘 알려진 곳이다. 몇 년전 말레이시아 중앙은행을 대상으로 3억9000만달러 상당의 해킹공격을 가했다.
하지만 이들 그룹도 최근에는 랜섬웨어로 공격기법을 옮겨가고 있는 것으로 확인됐다. 제조기업이 자사 제품을 홍보하듯 랜섬웨어 개발자가 랜섬웨어 제작기를 판매·홍보하고, APT 그룹이 이를 활용해 공격을 수행하는 ‘랜섬웨어 산업화’가 이뤄지고 있다는 것이 서현석 대표의 설명이다.
서 대표는 최근 ‘랜섬웨어 제휴 프로그램’을 통해 랜섬웨어 개발자와 APT 해킹그룹의 긴밀한 협력이 이뤄지고 있다고 전했다. 기업의 네트워크에 침투하는 능력이 부족한 랜섬웨어 개발자가 APT 해킹그룹과 손잡고 범죄 활동을 하고 있다는 것이 서 대표의 설명이다.
그는 “다크웹에 공개된 포럼에서 자유롭게 협업을 논의하는 퍼블릭 방식부터 랜섬웨어 개발자와 APT 해킹그룹이 직접적으로 협의하는 프라이빗 방식 등 여러 형태의 협업이 이뤄지고 있다. 비용만 지불하면 랜섬웨어 공격을 할 수 있는 서비스형 랜섬웨어(RaaS)도 확산되고 있다”며 “피싱조차 서비스형(Phishing-as-a-Service)으로 공유되고 있다”고 밝혔다.
그룹IB는 이처럼 사이버보안 위험도가 높아진 상황에서 자사의 ‘위협 인텔리전스&애트리뷰션(Threat Intelligence&Attribution, TIA)’를 대안으로 제시했다.
솔루션 소개를 맡은 이정상 스텔스솔루션 최고기술책임자(CTO)는 “TIA는 위협 인텔리전스 데이터를 기반으로 한 글로벌 레벨의 공격자 속성을 정의하는 솔루션이다. 공격자 관리와 공격자 관점의 보호, 심층분석, 고객에 적합하고 최신 트렌드를 이해할 수 있는 상황 데이터 제공 등이 강점”이라고 소개했다.
TIA는 모바일, PC, 봇넷, C&C 포렌식, 카드정보, ISP에 설치된 네트워크 센서 등 다양한 위협 데이터 자원을 수집한다. 악성코드·휴먼 인텔리전스부터 빅데이터 기반 공격차 추적 및 분석 도구뿐만 아니라 피싱 모니터링 및 피싱 사이트 제거 기능과 같은 보안 조직을 위한 다양한 서비스를 제공한다.
이 CTO는 “공격자 관점에서 어떻게 공격을 하고 있는지를 인텔리전스화해 제공함으로써 기업의 보안 역량을 한단계 높인다”며 “보호해야 할 내 기업, 파트너 및 고객, 산업군, 기타 연관된 사이트 등을 한눈에 확인할 수 있는 대시보드로 보다 쉽고 효율적인 보안관리가 가능하다”고 말했다.
주요 해킹그룹의 정보도 제공한다. 최근 동향부터 어떤 해킹그룹인지, 어떻게 우리를 공격하고 있는지, 어떤 이름으로 불리고 있는지, 어떤 지역에서 주로 활동하는지 등에 대한 내역을 확인할 수 있다. 최근 문제시되고 있는 다크웹의 정보도 열람할 수 있다.
이 CTO는 “TIA는 보안 스택을 보다 스마트하게 구축하는 기반을 마련하는 역할을 수행한다. TIA가 제공하는 고유 데이터와 다양한 기술적 지표 등을 활용함으로써 보안팀, 보안시스템, 보안전략 등을 개선할 수 있을 것”이라고 피력했다.
한편 그룹IB는 이날 웨비나에서 TIA와 함께 ▲네트워크 트래픽을 분석·탐지하고 이를 바탕으로 숨겨진 위협을 찾아내는 ‘위협 헌팅 프레임워크(THF)’ ▲첨단 사기행위를 방지하는 ‘사기 헌팅 플랫폼(FHP)’ ▲디지털 리스크 보호 솔루션 ‘디지털 위험 관리(DRP)’ 등의 보안 프레임워크에 대해서도 소개했다.