ACROFAN

파이어아이 ‘Cyber Defense Live 2019’ 기자간담회

기사입력 : 2019년 04월 25일 23시 54분
ACROFAN=권용만 | yongman.kwon@acrofan.com | SNS
파이어아이(Fireeye)는 4월 25일 서울 강남구 그랜드 인터컨티넨탈 호텔에서 ‘Cyber Defense Live 2019’ 행사의 기자간담회를 열고, 최근의 보안 이슈와 트렌드 등을 소개했다. 이 자리에서 파이어아이는 2018년 한 해 전 세계의 맨디언트(Mandiant) 조사에서 얻은 통계와 인사이트를 포함하고 있는 ‘2019 맨디언트 M-트렌드 보고서(M-Trends report)’의 주요 내용을 발표했다.

이번 ‘맨디언트 M-트렌드 보고서’에 따르면, 2018년 아시아태평양 조직에서 사이버 침해가 시작될 때부터 발견될 때까지의 공격 지속 시간은 여타 지역에 비해 길고, 위협에 대해 상대적으로 느린 대응 속도를 보이고 있는 것으로 소개되었다. 또한 아시아태평양 소재 조직 중 이미 한 번 표적이 된 조직이 계속적으로 재공격받는 경우의 비중은 타 지역 대비 높은 수준이라고 밝혔다. 이에 파이어아이는, 탐지되지 못한 위협에 대한 가능성을 염두에 둔 침해평가 서비스의 활용, 침해 확인시 침해에 따른 피해와 영향 측면을 정확히 파악하고 대응에 나서야 할 것이라고 조언했다.

한편 파이어아이는 현재 한국의 보안 이슈와 트렌드 측면에서 북한이나 중국, 러시아의 공격 조직들이 한국의 기업이나 정부를 대상으로 하는 다양한 공격을 시도하고 있다는, ‘지정학적 요인’에 따른 부분을 소개했다. 대표적으로, APT37은 올해 북미 정상회담을 공격의 소재로 삼기도 했으며, APT40은 중국의 일대일로 정책을 지원하는 공격 활동을 보이기도 했다. 이와 함께, 중국과 연계된 톤토팀이 2018년 하반기 국내 에너지 기업을 대상으로 한 표적 공격을 탐지했다고 소개하며, 멀웨어 배치와 공격 명령 구조의 분석 결과, 톤토팀과 탬프틱 간의 연관성이 증명되었다고 밝혔다.

▲ 스티브 레드지안 파이어아이 아태지역 부사장 및 최고기술 책임자

▲ 파이어아이 코리아 전수홍 지사장

▲ 아태지역의 침해 시점부터 탐지까지 걸리는 시간은 글로벌 평균보다 꽤 오래 걸렸다

파이어아이 코리아 전수홍 지사장은 이 자리에서, 파이어아이는 글로벌 시큐리티 벤더로써 기술과 서비스, 인텔리전스 영역까지 다양한 서비스를 제공하고 있다고 소개했다. 또한 국내 시장에서의 ‘로컬 시큐리티 벤더’로써는, 한국 시장의 지정학적 특징, 고유한 애플리케이션과 솔루션에 대한 조율과 통합 등, 한국 시장의 실정에 맞는 환경을 제공하고자 한다고 밝혔다. 이와 함께, 국내의 보안 솔루션과도 결합해 국내 환경에 맞는 커스터마이즈를 제공하고 있으며, 국내 애플리케이션과의 호환성 등도 지속적인 상호 협력을 통해 보완, 지원하고 있다고 덧붙였다. 한편 ‘‘Cyber Defense Live’ 행사도 이제 8회를 맞았으며, ‘지속성’ 측면의 성격을 보여주고 있다고 강조했다.

스티브 레드지안(Steve Ledzian) 파이어아이 아태지역 부사장 및 최고기술 책임자는 이 자리에서, 파이어아이가 2018년 한 해 전 세계의 맨디언트(Mandiant) 조사에서 얻은 통계와 인사이트를 포함한 ‘2019 맨디언트 M-트렌드 보고서(M-Trends report)’의 주요 내용을 소개했다. 이 ‘M-트렌드 보고서’는 2010년부터 발간되어 올해로 10주년을 맞았다. 그리고 올해의 조사 결과에서는, 표적 대상 분야로는 금융, 비즈니스 및 전문 서비스가 가장 높은 비중을 차지했고, 소매 및 숙박시설, 하이테크 및 통신 등이 뒤를 이었지만, 이 외에도 다양한 산업군이 포진해, 표적 대상에 예외가 되는 산업군은 없다고 봐야 한다고 지적했다.

공격의 침해 시점부터 탐지까지 걸리는 ‘공격 지속 시간’ 지표는 2011년부터 2018년까지 꾸준히 단축되어, 2018년의 글로벌 평균 공격 지속 시간은 78일 정도로 집계되었다. 또한 공격에 대한 탐지 활동의 주체도 글로벌 차원에서는 2015~2016년 정도에 내부 탐지와 외부에서의 통보의 비중이 역전되어, 이제는 내부 탐지가 더 많다고 소개되었다. 하지만 아시아태평양 지역에서는 공격 지속 시간 평균이 글로벌 평균보다 크게 높은 204일로 나타났으며, 공격의 탐지 또한 60%가 외부에서 통보되고 있는 등, 글로벌 평균 대비 뒤쳐지는 모습이라고 지적했다.

이 외에도, 한 번 표적이 된 조직이 재공격당하는 사례 측면에서도, 아시아태평양 지역은 2018년 78%의 고객이 재공격 대상이 되었는데, 이는 2017년의 91%보다는 나아졌지만, 글로벌 평균인 64%에는 미치지 못한 것으로 소개되었다. 그리고 이러한 공격 트렌드에 대응하기 위한 권고사항으로는, 탐지하지 못한 침입 증거에 대한 의심과 함께 침해평가 서비스를 활용한 조기 식별과 대응, 그리고 복원 활동의 타이밍 최적화가 꼽혔다. 이 때 ‘타이밍 최적화’는 침해가 발견되었을 때 섣불리 제거와 복원에 나서기보다, 공격이 영향을 미치는 범위를 먼저 생각하고, 문제의 규모를 정확하게 파악하는 것이 성공적인 복원에 중요하다고 강조했다.

▲ 라이언 웰란 파이어아이 운영 전략 부서 총괄이사

라이언 웰란(T. Ryan Whellan) 파이어아이 운영 전략 부서 총괄이사는 이 자리에서 최근 한국과 그 주변에서의 보안 위협에 대한 트렌드를 소개했다. 가장 먼저 꼽힌 위협의 양상으로는 ‘지정학적 요인’으로, 현재 아시아태평양 지역과 한반도는 세계적으로 가장 역동적인 지정학적 요인을 가지는 지역이고, 여러 가지 상황이 진행되고 있는 만큼 사이버 첩보 등에서 취약점도 높아질 수 있다고 소개했다. 그리고 이러한 지정학적 요인은 공격자에 무기가 될 수 있으며, 북한 정권의 전략적 의도를 집행하기 위한 사이버 공격을 진행하는 것으로 알려진 APT37은 북미정상회담을 이용한 이메일 피싱 공격을 시도한 것으로 관측되었다고 밝혔다.

주로 금융범죄 관련 그룹으로 알려진 APT38의 공격 사례에서는, 표적 환경 내에서 정찰에 아주 오랜 기간을 투입하고, 스위프트(SWIFT) 시스템을 공격하는 시도가 이루어졌다고 밝혔다. 이 경우에는 스위프트 시스템을 위한 특별한 프레임워크가 발견되었는데, 위조 거래와 자금 탈취, 흔적 제거 등까지 여러 가지 툴이 하나의 스위트처럼 맞춤 개발된 형태로 포함되어 있었다고 소개되었다. 또한 북한과 연관되어 있는 것으로 알려진 이 APT37, 38은 지난 5년간 북한이 사이버 공격과 첩보활동의 역량을 높이는 데 상당한 투자를 했음을 보여주는 사례이기도 하다고 덧붙였다.

또 다른 지정학적 요인으로는 ‘중국’이 꼽혔다. 중국의 후원을 받는 것으로 알려진 공격 집단 APT40은 방위와 해운조선 산업 관련에 집중해오던 모습에서, 중국의 일대일로 정책을 지원하는 것이 새로운 작전 임무로 부여된 모습이 관측되고 있다. 특히 2018년 캄보디아의 선거 등 지역 내 여러 활동들을 표적으로 삼아 공격하는 모습 등, 중국의 전략적 국익 보호를 위해 공격 집단이 그 대상을 변경하는 모습을 볼 수 있었다고 소개했다. 이에 한국의 정부나 기업 등의 조직도, 이러한 공격자들이 활동하는 지역의 지정학적 요인을 정확히 분석하고 위협 수준을 파악할 필요가 있다고 지적했다.

▲ 국내에서도 핵심 기반 시설의 산업 제어망을 노리는 공격 사례가 포착되었다

개인정보를 노리는 유형의 공격 또한 지난 몇 년간 지속적으로 늘어나고 있는 것으로 소개되었다. 이 중 APT39의 경우는 정권이나 정권에 일하는 개인을 위해, 이에 반하는 사람이나 집단의 동향을 구체적으로 수집하는 모습이 포착되었는데, 공격 대상에는 여행 기록이나 항공 예약 확인 등을 위한 항공사, 개인 신분증 혹은 관련 문서를 표적으로 한 통신사 등이 있었고, 통신사의 경우에는 SMS 뿐 아니라 코어 네트워크까지 공격 대상으로 삼은 것으로 알려졌다. 그리고 코어 네트워크의 장악시 조작된 SMS를 보냄으로써 공격 벡터를 확대할 수 있다고도 덧붙였다.

한편 한국에서는 APT37이 지정학적 요인을 활용한 미끼 문서를 활용한 공격 침투로, 탈북민들의 재정착을 돕는 기관들에 침투해 탈북자 관련 정보를 탈취한 사례가 있다고 소개했다. 그리고 이러한 개인정보를 노리는 유형의 공격이 늘어남에 따라 기업이나 기관들은 내부의 데이터 뿐 아니라 고객이나 협력사 데이터 등까지 보호해야 해, 리스크가 더 높아지게 된다고 지적했다. 또한 신기술이 끊임없이 발전하면서, AI나 자동화 등을 통해 공격자들이 개인식별정보를 손쉽게 무기화하고, 정교한 표적공격까지 가능하게 되는 만큼, 더욱 주의할 필요가 있다고 당부했다.

전력망이나 교통관제 시스템, 발전소 등 핵심 기반 시스템 인프라 제어에 사용되는 산업 제어망에 대한 공격 증가도 중요한 움직임으로 꼽혔다. 2017년 12월 발견된 트리톤(TRITON) 프레임워크는 표적 시설의 안전 계층까지 깊게 들어갈 수 있게 하는 24개 이상의 공격 툴을 포함하고 있었다. 또한 특정 산업제어기기를 대상으로 하는 툴셋 등에서, 상당한 리소스가 필요했을 것으로 예상되었으며, 러시아 연방의 후원이 의심된다고 소개했다. 그리고 이 사례는 공격자들이 운영기술 레이어까지 침투한 최초 사례로 보이며, 시설에 물리적 타격도 가능할 정도였다고 덧붙였다.

한국에서도 국내 에너지 기업을 목표로 하는 중국 기반의 공격 집단 톤토팀(Tonto Team)의 표적 공격이 탐지된 바 있다. 이 사례에서는 캄손(CALMTHORN)과 고스트(GH0ST) 멀웨어 페이로드가 이용되었으며, 멀웨어 배치와 공격 명령 구조의 분석 결과 톤토팀(Tonto Team)과 탬프틱(TEMP.Tick)의 연관성이 발견되었다고 밝혔다. 그리고 중국이 후원하는 두 번째 공격집단의 부상이나 에너지 분야라는 기간 인프라를 표적으로 하는 점 등에서, 중국 내에서 이러한 공격에 대한 관심이 높아지고 있는 것으로 보이며, 이들 공격 그룹이 리소스 공유 등을 시작한다면 침투에 투입될 수 있는 리소스는 상당한 규모가 될 것이라고 예상했다.

Copyright ⓒ Acrofan All Right Reserved



[명칭] 아크로팬   [제호] 아크로팬(ACROFAN)    [발행인] 유재용    [편집인] 유재용    [청소년보호책임자] 권용만
Copyright © ACROFAN All Right Reserved