포티넷코리아(www.fortinet.com/kr)는 본사의 포티가드랩(FortiGuard Labs)이 조사한 ‘2018 보안 위협 전망’ 보고서를 발표했다.

‘2018 보안 위협 전망’은 사이버 범죄자들이 머지않아 이용할 것으로 예측되는 방법과 전략, 그리고 전세계 디지털 경제에 미칠 수 있는 사이버 공격의 잠재적 영향력에 대해 자세히 설명하고 있다.

이 보고서에 따르면 랜섬웨어에 AI 및 자동화기술을 더한 사이버공격이 2018년에는 더욱 가속화될 것으로 전망됐다.

◆자가 학습 특성 ‘Hivenets 및 Swarmbot’ 부상 = ‘Hivenets’은 취약한 시스템을 보다 효과적으로 공격하기 위해 자가 학습(Self-learning) 기술을 활용한다. 이들은 서로 정보 교환이 가능하며, 공유된 지역 정보를 기반으로 공격을 실행한다는 특징이 있다. 또 좀비(zombies)들은 더욱 스마트해져서 봇넷 허더(botnet herder)의 지시 없이도 명령을 수행하게 될 것이다.

Hivenets은 집단(swarms, 스웜)으로서 기하급수적으로 증가할 수 있으며, 동시에 다수를 공격하고 완화 및 대응을 현저히 약화시킨다. 공격자들은 엄청난 규모와 속도로 다른 공격 벡터들을 파악하기 위해 ‘손상된 장치들의 집단(스웜, swarms)’, 또는 swarmbots을 사용할 것이다. 워낙 빠른 속도로 인해 공격 방어에 필수적인 예측 가능성(predictability) 조차 제거될 수 있다.

포티가드랩은 2017년 1분기에 29억 개의 봇넷 통신 시도를 파악했으며, Hivenets과 swarmbots이 초래할 수 있는 심각성에 대해 이미 지적한 바 있다.

◆랜섬웨어 커머셜 서비스 비즈니스 규모 거대화 = 2017년 랜섬웨어의 위협 규모가 전년대비 35배 증가했다. 그러나 향후 이 위협 규모는 더욱 커질 전망된다.

매출 증대를 노린 랜섬웨어의 다음 목표는 클라우드 서비스 제공업체 및 기타 상업 서비스가 될 것이다. 클라우드 제공업체가 개발한 복잡한 하이퍼커넥티드(hyperconnected) 네트워크는 수백 개의 기업, 정부 기관, 핵심 인프라, 의료 기관 등에 단일 장애점(SPOF: Single Point Of Failure)을 생성한다.

사이버 범죄자들은 AI 기술을 다중-벡터 공격 방법에 적용해 클라우드 환경의 취약점을 검색, 탐지, 악용할 것이다. 공격자들은 범죄 조직에 거대한 비용을 지불하고 잠재적으로 수백, 수천 개의 기업 및 수백만 명의 고객에 대한 서비스를 중단시킬 수 있다.

2018년 이후, 자동화된 취약성 탐지 및 복잡한 데이터 분석을 기반으로 기계(machines)에 의해 생성되는 멀웨어가 등장할 것이다.

다형성(Polymorphic) 멀웨어는 새로운 것은 아니다. 그러나 이 멀웨어는 AI를 활용해 기계의 ‘루틴’을 따라 탐지 회피가 가능한 정교한 새 코드를 생성한다는 점에서 새로운 양상이라고 할 수 있다.

이미 존재하는 툴이 진화되면서 공격자들은 각각의 고유한 약점에 따라 가장 악용하기 좋은 방법을 개발해 낼 것이다. 멀웨어는 보안을 피하기 위해 학습 모델을 활용할 수 있으며, 하루에 100만 개 이상의 바이러스 변종을 만들어낼 수 있다. 그러나 지금까지는 알고리즘을 기반으로 한 것이 전부였고, 아웃풋에 대한 정교함이나 제어 능력은 거의 없었다.

포티가드랩은 2017년 1분기에 6,200만 개의 멀웨어를 탐지했다. 또 수백만 건의 멀웨어 탐지 결과 중에서 2,534개의 멀웨어군에서 파생된 16,582개의 변종을 확인했다. 멀웨어의 자동화가 확산됨에 따라 2018년는 이러한 위협 상황이 더욱 악화될 것으로 전망된다.

◆위협의 최전방에 놓인 중요 인프라 = 최근에는 공격자들의 전략적, 경제적 위협으로 인해 중요 인프라 공급업체가 가장 큰 우려의 대상이 되고 있다.

대부분의 중요 인프라 및 운영 기술 네트워크는 태생적으로 에어 갭(air-gaps) 보호 및 격리 운영되도록 설계되어 오히려 더 취약할 수 있다. 중요 네트워크에 대한 공격은 매우 치명적인 결과로 이어질 수 있기 때문에 지능적인 보안이 필요하다.

중요 인프라 공급업체들은 범죄, 테러 조직에 대항해 기술적 우위를 확보하기 위해 노력하고 있다. 공격자의 대담한 전략과 운영 및 정보 기술의 결합으로 인해 2018년 이후에는 중요 인프라에 대한 보안이 더욱 중요한 보안 과제로 부상하게 될 것이다.

사이버 범죄 세계가 진화하면서 다크 웹(Dark Web)도 발전하고 있다. CaaS(crime-as-a-service, 서비스로서의 범죄) 조직은 새로운 자동화 기술을 통해 다크 웹에서 새로운 서비스를 제공하게 될 것이다.

기계학습을 활용하는 지능적인 서비스들이 이미 다크웹 마켓플레이스에서 제공되고 있다. 예를 들어, 마켓플레이스에서 FUD(Fully Undetectable, 완전 탐지 불가능)로 알려진 서비스가 이미 제공되고 있다. 이 서비스는 범죄 개발자들이 유료 분석 서비스를 기반으로 공격 코드와 멀웨어를 업로드할 수 있도록 지원한다.

공격자들은 적극적으로 기계 학습을 통해 실험실에서 무엇이 어떻게 감지되고 있는지를 파악해 즉시 코드를 수정함으로써 사이버범죄와 침투 툴을 감지할 수 없도록 만든다.

그러나 기계 학습이 적용된 샌드박스 툴을 사용하면 이전에는 감지할 수 없었던 위협을 신속하게 식별하고 동적인 보호를 제공할 수 있다.

<박시현 기자> pcsw@bikorea.net