[SecuritIST] KISA_2021 사이버 위협 전망_3. 코로나-19 사이버 공격 팬데믹
안녕하세요, 에디터 푸린입니다.
이번 아티클에서는 KISA의 2021 사이버 위협 전망 중 3번째 아이템인 <코로나-19 사이버 공격 팬데믹>에 대해서 다뤄볼 예정입니다. 2번호주(Australia) 의 AusCERT팀에서 발표한 <<고도화된 표적형 악성 이메일>에 이은 인도의 CERT-In 발표입니다.
KISA 발표 전망
1-3 코로나-19 사이버 공격 팬데믹 (인도, CERT-In)
▶ 악성 웹사이트, 악성 첨부파일을 포함한 이메일 등으로 재택근무자 공격 증가
▶ 재택근무 증가로 엔드포인트 장치에서의 기업 정보 유출 우려
▶ 취약한 VPN(가상사설망) 등 원격 네트워크 환경을 통한 기업 네트워크 침투 시도
□ 사이버 위협 전망 2020년은 코로나-19 유행으로 전 세계적으로 사이버 범죄 사례가 약 600% 증가 하였다. 비대면 환경이 필수가 되면서 새로운 업무 문화가 생겨나고 있으며 의료, 교육 등 모든 산업분야에서 디지털화를 가속화하고 있다. 이에 사이버 공격의 범위도 확대되고 있다. 특히, 취약한 재택근무환경을 악용한 공격이 증가하고 있다. 재택근무자를 대상으로 악성 첨부파일을 포함한 이메일을 발송하거나 악성 웹사이트 접속을 유도하여 악성코드에 감염시키는 공격이 나타나고 있다. 재택근무기기는 개인용 장비가 많아 비교적 공격하기 쉽고, 계정 정보는 물론 기업 기밀 정보도 저장되어 있어 해커들의 좋은 타깃이 될 수 있다. 또한, 무선 네트워크 사용 및 취약한 VPN 접속을 악용하는 등 원격접속 공격을 통해 기업 네트워크에 침투하는 시도가 늘어나고 있다. 여기에 보안운영센터(SOC)의 원격근무가 어려워 공격 탐지 및 대응이 지연되어 피해가 클 수 있다. 따라서 재택근무자의 보안 인식제고와 원격 환경에 대하여 주의를 기울려야 할 것이다.
Background
이전에 개요 파트에서 말씀드렸듯이, COVID-19라는 전세계적인 팬데믹은 여러 방면에 거쳐 사람들의 생활 양식에 많은 영향을 주었습니다. 특히나 전염성이 있다는 점에서 사람들이 필연적으로 모여 함께 시간을 보내는 회사라는 공간 및 개념이 조금 해체되는 데 큰 역할을 했죠. DT(Digital Transformation)이 가속화된 것은 물론이고, 재택근무 형식이 만연해지면서 비대면 환경을 맞이하기 위해 기업들도 여러 방면에서 업무 방식이 변경되어야 했죠.
New Norm
최근에는 위드코로나 모드가 시행되면서 상당 부분 임직원들이 다시 회사로 돌아와 업무를 하는 경우가 많아졌습니다. 다만 팬데믹 사태로 IT회사들은 재택근무에 대해 조금 반응이 유연해졌고(new-norm) 따라서 아직 재택근무제를 적용하는 곳이 존재하죠. 재택근무자들이 회사로 다시 돌아온다고 하더라도 기존에 발급되었던 VPN 계정 등이 있기 때문에 이를 파기하기 전까지는 재택+출근 근무의 Hybrid 형태가 될 것이고요. 유연해졌던 환경에 맞춰 BYOD 혹은 위에서 나온 개인 기기들이 회사 업무에 활용되었기에 이에 대한 편리함을 느꼈던 사람들이 다시 예전의 모습으로 돌아가고 싶어 하지 않는 점도 있습니다.
오히려 이제는 팬데믹 초창기와 다르게 어느정도 재택 근무 및 환경이 자리잡기도 했고 사람들이 어느정도 익숙해졌기 때문에 오히려 위드코로나라고 하더라도 다시 오피스로 돌아가고 싶어하지 않는 경우도 있습니다. 말 그대로, 새로운 근무의 형태가 나타났고 어느정도 정착이 되었다고 볼 수 있는 것이죠.
Vulnerable New Norm
그리고, 그 뜻은 팬데믹과 함께 급하게 혹은 급속도로 도입된 보안 관련 툴들이 그 상태에서 자리를 잡게 되었다는 뜻이기도 합니다. 물론 기업에서 어떠한 프로그램 등을 도입할 때는 어느 정도 고려 기간을 잡고 테스트도 해보기는 하지만 급변하는 환경이 그 기간 및 결정에 영향을 미쳤을 것이라는 점은 쉽게 예상이 가능하죠.
필요성을 깨닫는 것과 이를 깨닫고 실행에 옮기는 것에는 시간 갭(gap)이 있기 마련입니다. 방어를 하는 쪽은 고려해야 할 사항이 많기 때문에 공격자에 비해 더 조심스럽고 더 취약하며 원하는 목표를 이루기 위해는 더 시간이 걸리는 것이죠. 이미 보안에 취약한 부분이 있다면, 또는 새로운 보안 솔루션을 도입을 하더라도 이것이 환경과 적응되기 까지는 취약한 환경의 New Norm입니다.
그래서?
가장 중요한 것은 환경을 분리하는 것이라고 볼 수 있습니다. VDI 같은 형식으로 별도의 환경 및 데스크탑을 세팅해서 일을 하는 것은 그나마 낫지만, VPN을 설치해 활용하는 정도라면 조금 더 위험 수준이 높을 수 있습니다. 특히나 이 과정에서 개인 PC가 활용되는 경우 VPN이 설치되지만 PC 환경 등이 모두 기업의 보안 요건에 따라 제어되지 않을 수 있기에 취약점은 고스란히 안고 있기 때문이죠. 개인 메일과 회사 메일이 모두 접속 가능한 경우, 개인 메일로 오는 스팸메일로 인해 PC가 감염된다면? 감염된 PC에서 파일을 다루고 이것이 회사 메일을 통해 다른 누군가에게 전달된다면 이것 역시 심각한 문제가 될 수 있죠. 그래서 BYOD일 경우 회사에서 허용되지 않은 프로그램 이외의 프로그램 등을 까는 것을 금지하는 것입니다. 다만 모든 회사의 보안 수준이 다 동일할 수 없고 일부 회사는 보안제재가 그렇게 강하지 않아 프로그램 설치 등에 크게 제약을 두지 않을 수 있습니다.
결국 중요한 것은 개인의 자제심입니다. 회사에서는 갖은 방법을 통해 취약점 혹은 위협을 줄이고자 하지만 결국 사용자가 제대로 그러한 제재에 수긍하고 규율을 따를 때 진정한 효과가 나타나기 때문입니다. 회사 컴퓨터에 프로그램 설치 제한이 없는데, 개인의 욕구를 위해 불법 영화 다운로드 및 토렌트를 사용한다면? 그리고 하필 그 파일 혹은 토렌트가 랜섬웨어에 감염이 되어있었다면? 그래서 개인이 갖고 있던 업무자료 등이 모두 암호화가 된다면?
또 다른 예시로는 오픈소스 툴을 사용하고자 해서 해당 프로그램을 업무용 PC에 다운받았는데 알고보니 스파이웨어(spyware: 사용자의 동의 없이 설치되어 컴퓨터의 정보를 수집하고 전송하는 악성 소프트웨어)가 내장되었던 프로그램이었고 그 업무용 PC에서 회사 기밀 자산을 다루고 있었다면?
기술이 발전하는 만큼 점점 더 공격 방식도 교묘하고 치밀해지기 마련입니다. 가짜 홈페이지가 있는 것처럼 가짜 프로그램 혹은 다른 악성 소프트웨어가 내장된 프로그램이 있을 수도 있고, 일반적인 사용자가 이를 구별하기란 쉽지 않습니다. 백신 소프트웨어는 결국 기존에 존재하던 바이러스의 패턴을 정리하여 반응(react)하는 것이기 때문에 새로운 타입에 대해 선제적 대응(proactive) 하는 것이 쉽지 않습니다. 그래서 중요한게 항상 조심하고 또 조심하는, 사용자 측에서의 선제적으로 조심성을 키우는 것입니다.
위드코로나로 최근 확진자 수가 최고기록을 갱신하고 있네요. 위드코로나에 따라 위에 말씀드렸지만 점점 예전처럼 회사에 출근하는 모습이 많이 보이기 시작했죠. New Norm이라고 언급했지만, 사무실에 복귀하실 때 새로 생긴 보안 프로그램으로 인해 조금 더 강화된 보안으로 불편함을 호소하시는 분도 분명히 있을 것입니다. 하지만 이것에 대해 급변한 환경에 적응하고자, 그리고 좀 더 여러분이 보호된 환경에서 일할 수 있게, 그리고 회사의 자산과 여러분이 업무 및 성과를 보호하기 위한 보안팀이 노력해준 결과라고 생각하시는 건 어떠실까요? "안전함"에는 제약이 따를 수 있습니다. 하지만 궁극적인 목표는 외부 위협으로부터 내부의 사람이나 자산을 보호하기 위함이니까요.
이상, 에디터 푸린이었습니다!
대표이미지 출처: Photo by Edwin Hooper on Unsplash