시만텍이 올 한해 세간의 이목을 집중시킨 주요 보안 이슈를 선정 발표했다.

시만텍이 꼽은 2011년 주요 보안 이슈는 ▲지난해 악명을 떨친 ‘스턱스넷(Stuxnet)’과 유사한 ‘지능형 지속위협(APT, Advanced Persistent Threat)' 형태의 표적공격인 ‘듀큐(Duqu)’의 등장과 이같은 고도의 악성코드를 이용한 APT 공격의 확대 ▲모바일을 노린 악성코드의 급증에 따른 모바일 보안 위협의 현실화 ▲표적공격을 이용한 디지털 산업스파이 활동 ▲디지털 인증서 탈취나 변조를 통한 보안 공격의 증가 등이다.

◆APT 공격의 확대 = 지난해 이란의 원전시설을 불능화시켰던 ‘스턱스넷’ 사례에서 보듯이 이제 사이버 공격의 양상은 기존의 전방위적인 무작위 공격에서 특정 기업을 겨냥한 표적 공격으로 진화하고 있으며, 특히 올해 들어 APT 공격이 심각한 보안 위협으로 떠올랐다.

일반적으로 특정 기업이나 조직을 노리는 표적 공격은 ‘드라이브바이다운로드(Drive-by download)’, SQL 인젝션, 악성코드, 스파이웨어, 피싱이나 스팸 등 다양한 공격 기술을 사용한다. APT 공격도 이 같은 기술들을 사용하지만 공격 성공률을 높이고 첨단 보안 탐지 기법을 회피하기 위해 제로데이 취약점 및 루트킷 기법과 같은 고도의 공격 기술을 복합적으로 이용하기 때문에 지능적이고 위협적이며, 당한 기업들도 보안 사고가 터지기 전까지는 APT 공격에 당했다는 사실 조차 모르는 경우가 대부분이다. 공격 대상도 주로 산업용 제어관련 기업이나 항만, 공항, 발전소 등 국가 핵심시설을 노린다.

하지만 시만텍이 발표한 ‘2011 시만텍 핵심 기간산업 보호현황 보고서(2011 Symantec Critical Infrastructure Protection Survey)'에 따르면 국가 핵심 기간산업을 노리는 APT 형태의 표적공격이 늘고 있음에도 불구하고 핵심 기간산업 관련기업들의 정부 CIP 프로그램에 대한 인식 및 참여도는 지난해 56% 보다 낮은 37%에 불과한 것으로 나타났다. 최근 ‘스턱스넷’과 유사한 악성코드 ‘듀큐’의 등장을 감안하면 이 같은 결과는 매우 우려되는 수준이다.

시만텍은 사전 정보수집을 목적으로 하는 ‘듀큐’가 스턱스넷 공격과 유사한 차세대 사이버 공격을 예고하는 전조일 수 있는 만큼 각별히 주목할 필요가 있으며, 현재까지 탐지되지 않은 변종을 이용해 다른 조직에 유사한 방식의 공격을 수행하고 있을 가능성도 배제할 수 없다고 경고했다.

◆모바일 위협의 현실화 = 가트너는 올해 전세계 스마트폰 판매량이 연말까지 6억6,100만대를 초과해 PC 출하량을 넘어설 것으로 전망했다. 실제로, 스마트폰과 태블릿의 총 판매량은 2011년 말 기준으로 PC 시장보다 44% 높을 것으로 예상된다.

이러한 폭발적인 모바일 기기의 증가로 사이버 범죄자들이 투자대비수익률(ROI) 관점에서 모바일 플랫폼에 큰 관심을 갖기 시작했고 실제 프리미엄 번호 과금사기, 정보 탈취 등 모바일 악성코드가 기업 및 개인 사용자들에게 실제적인 보안 위협으로 대두된 원년이라 할 수 있다.

모바일 사용자가 급증함에 따라 기업의 정보보호책임자(CISO)들은 외부에서의 보안 위협뿐만 아니라 내부 임직원들에 의한 보안 문제도 큰 고민거리다. 개인용 모바일 기기, 특히 태블릿이 주요 우려사항으로 부각되고 있는데, 이는 직원들이 기업 인프라에서 테블릿을 사용하고 있지만 이에 대한 보안과 관리능력, 예를 들어 임직원들이 테블릿을 통해 액세스할 수 있는 정보를 보호할 수 있는 능력이 태블릿 사용 증가율에 미치지 못하고 있기 때문이다.

일례로 기업들은 태블릿이 기업 문화에 가져다 주는 직원 생산성 향상 등을 체험하고 있지만 한편으로 내부 태블릿 사용자가 IT부서의 레이더망을 피해 민감한 데이터를 외부로 전송하거나 기밀 등급이 매우 높은 지적자산을 빼돌리는 등의 문제로 이어질 수 있어 각별한 주의와 관리가 요구된다.

◆표적공격을 이용한 디지털 스파이활동 = 이와 함께 표적 공격의 위협에 대한 무관심과 이에 대한 대응방안이 미흡한 중소기업들이 주요 공격 대상으로 떠오르면서 올해는 표적공격이 성행한 한 해였다.

실제 시만텍이 조사한 ‘2011 중소기업 보안 위협 인식조사(2011 SMB Threat Awareness Poll)’ 결과에 따르면 중소기업들은 사이버 보안 위협의 심각성은 잘 인지하고 있는 반면 스스로를 사이버 범죄의 표적이 아니라고 여기기 때문에 정보 보호를 위한 보안 조치에는 소홀한 것으로 나타났다. 시만텍은 2010년 이후 표적공격의 40%는 중소기업을 겨냥하고 있고, 대기업을 겨냥한 표적공격은 28%에 불과했다는 점을 들어 중소기업들이 표적공격의 위험을 매우 과소평가하고 있다고 지적했다.

표적공격 횟수의 증가는 일정 부분 기업들이 경쟁사의 핵심 정보를 얻기 위한 디지털 스파이활동을 통해 경쟁력을 높이려는 의도에 기인한다. 최근 시만텍이 탐지한 ‘니트로(Nitro)’ 공격의 경우 화학 및 방산업체, 첨단 소재의 연구개발 및 제조와 관련된 민간 기업을 주요 공격 대상으로 삼았다.

현재까지 니트로 공격은 화학업계의 총 29개 기업들을 공격한 것으로 확인되었으며, 특히 방산업체를 포함한 다양한 분야의 19개 기업들 역시 공격을 받은 것으로 보인다. 이들 48개 기업들 외에 다른 기업들도 ‘니트로’ 공격에 당했을 가능성이 높다.

◆디지털 인증서 악용사례 급증 = SSL(Secure Socket Layer) 인증서 해킹과 이를 악용하는 악성코드 위협도 증가했다. 모바일 기기 사용자 인증과 기업 내 클라우드 서비스의 확산은 기업 보안의 잠재적인 취약성을 더욱 악화시켰으며, 안전하고 신뢰할 수 있는 온라인 거래에 대한 고객들의 요구를 반영해 SSL기반의 인증 솔루션이 인기를 얻기 시작했다. 하지만 이러한 현상은 너무 많은 기업들이 충분한 보안 대책 없이 SSL 인증서를 발급하는 것은 아닌 지에 대한 논란을 유발시켰다.

결국 디지노타(DigiNotar)와 코모도(Comodo) 등 SSL 관련 침해사고에 대한 대중적 관심과 분노가 높아짐에 따라 SSL 인증기관과 웹사이트 소유자들은 비즈니스와 고객들을 보호하기 위해 사회 공학, 악성코드 및 악성광고(Malvertising) 등에 대해 보다 엄격한 보안 조치를 취하기 시작했다.

시만텍코리아의 윤광택 이사는 “올해의 주요 사이버 보안 이슈들은 내년에도 기업 및 개인 사용자들이 극복해야 할 주요 보안과제로 대두되겠지만 철저한 분석하고 대비한다면 그 피해를 최소화할 수 있을 것”이라며, “은밀하게 숨어서 활동하는 지능적 공격이 더욱 기승을 부리고 있는 만큼 기업 및 개인 사용자들이 철저히 보안 의식을 제고해야 한다”고 당부했다.