기업의 반경쟁적 행위로 인한 해킹 및 사이버 공격

고객과 상담을 계속하는 동안, 대기업들은 조직의 비즈니스 연속성에 심각하게 영향을 주는 표적 공격과 해킹 두 개를 가장 큰 보안 과제로 꼽았습니다.

 

사이버 공격자가 회사에 침투할 방법은 많이 있지만, 그 기술 수준이 높지는 않습니다. 대신, 표적 소셜 엔지니어링 (즉, 스피어피싱)이나 패치는 되었지만 배포가 안된 알려진 취약점을 사용한 기술을 통해 기업의 평판과 수익에 영향을 주고, 데이터 유출을 야기할 수 있습니다.

 

반면, 제로데이 (zero day) 공격의 경우처럼 수준 높은 정교함을 활용하기도 합니다. 이것들 중 최고는 스턱스넷 (Stuxnet)으로 이 악성코드는 이란에서 핵 개발 프로그램을 방해하기 위해 만들어졌습니다. 이 기록적인 공격은 4개의 제로데이 취약점을 성공적으로 이용한 것으로 언론은 정부가 후원한 공격이라고 보도했습니다.

 

대기업이 표적이 되는 이유는 여러 가지가 있습니다. 은행 계좌에는 개인이나 소기업보다 자산이 더 많고, 돈을 벌 수 있는 데이터가 많이 있습니다. 기업을 표적으로 하는 공격은 경쟁의 방식으로 이용되기도 합니다. 많은 경우, 데이터 수집 (즉, 흥미로운 정보나 지적 재산권 획득)과 연관이 있습니다. 이런 공격은 흔히 협박을 수반합니다. 예를 들어, 고객 데이터베이스를 훔친 후 사이버 범죄자들은 기업에 묻습니다. "어떻게 하시겠습니까?" 

 

사이버 공격을 현금화하는 다양한 방법

기업은 이런 형태의 공격으로 그들이 피해를 입었다는 사실을 인정하기 어려워하는 경향을 보입니다. 그래서, 기업들은 그런 공격 형태로 피해를 잘 입지 않을 거라는 잘못된 인상을 주게 됩니다. 최근 몇 년간 흔히 일어난 표적 공격의 전형적인 예로 DDoS (D Dos as a Service, 서비스 거부) 공격이 있습니다. 디도스 공격은 회사가 경쟁 회사의 웹사이트를 공격하도록 후원해서 그들의 사업을 방해하고 고객이 떨어져 나가 후원하는 회사로 발길을 돌리도록 하는데 효과가 있습니다. 이것은 범죄 전술이고, 공격자들은 가장 높은 이익을 얻기 위해 어떤 사업 영역을 표적으로 해야 하는지 잘 알고 있습니다.

 

물론 또 다른 접근 코스도 있습니다. 랜섬웨어 공격의 단골 표적이 되는 영국 국민의료 서비스(British National Health Service)를 예로 들어 보겠습니다. 의료서비스가 디지털화하면서 의료 데이터가 악의적인 이유로 암호화되어 의료 개입과 수술 중단으로 이어질 수 있는 사태가 발생했습니다. 그런 조건에서 표적이 된 곳은 "납치된" 환자 데이터에 대한 몸값을 지불할 수밖에 없을 것입니다.

 

슬로바키아와 같은 유럽의 작은 나라에서도 공격은 회계와 재무 부서에 집중됩니다. 명문화된 스피어피싱 기술은 회사 간부의 이름으로 이메일이나 SMS로 해당 부서 직원이 가짜 회사로 결제를 하도록 유도했습니다. 합법적 회사에서 "조작된" 돈은 가짜 회사의 계좌로 이체됩니다.

 

낡은 수법에 대한 혁신적인 접근

전 세계 많은 지방의 전력선을 잠깐만 살펴 보면 불법으로 연결하는 것이 얼마나 쉬운 지 알 수 있습니다. 최근 사이버 공격자는 인기가 높고 확실한 이와 비슷한 형태의 불법 가상화폐 채굴에 집중하고 있습니다.

 

복잡한 예로, 스탯카운터 (StatCounter)를 감염시키기 위한 표적 공격이 있습니다. 스탯카운터는 구글 애널리틱스와 매우 유사한 서비스로 웹사이트에 합법적인 스크립트를 설치해 방문자에 대한 데이터를 수집합니다. 사이버 공격자는 스탯카운터에 침입해 서비스를 이용하는 모든 웹사이트에 JavaScript 코드를 삽입해 성공적으로 최종 사용자에게 접근할 수 있게 되었습니다.

 

문제는 방문자가 감염된 스크립트를 포함하고 있는 손상된 웹사이트로 이동한 후 기기를 이용해 비밀리에 비트코인을 채굴하기 시작했을 때 밝혀졌습니다. 2단계에서 공격자는 감염된 기기가 가상화폐 거래소에 접근하려고 할 때 직접 비트코인을 훔치기 시작했습니다. 스탯카운터는 2백만 개가 넘는 웹사이트를 찾을 수 있습니다.

 

이런 공격은 적법하게 서비스를 이용하는 회사의 장치를 감염시켜 채굴 서비스로 이용합니다. 컴퓨터뿐만 아니라 모바일, 특히 서버에 영향을 줄 수 있습니다. 공격을 받은 후에 크립토마이닝으로 장치는 성능이 떨어지고 회사는 전기세 폭탄을 맞게 됩니다. 더군다나 악의적 크립토마이닝 코드는 다른 종류의 악성 스크립트를 네트워크에 뿌릴 수 있다는 사실을 잊어서는 안됩니다.

 

사막에서 바늘을 찾는 조사

대기업이 이런 공격에 피해를 입었다면 무슨 일이 일어났는지 어떤 영향을 받았는 지 복잡한 조사를 할 필요가 있습니다. 연구에 따르면 기업이 감염 사실을 알아내는 데 150~200일이 소요된다고 합니다. 회사는 감염된 방법과 악성코드 출처에 대한 추가적인 조사를 하는 데는 훨씬 더 오래 걸릴 수도 있습니다.

 

이런 심각한 위협을 맞닥뜨린 대기업은 ESET Dynamics Threat Defense와 같은 네트워크 보안 솔루션을 활용해 이전에는 볼 수 없었던 새로운 위협을 탐지하고 ESET Endpoint Security가 수집한 네트워크의 모든 데이터를 모니터링하는 EEI (ESET Enterprise Inpector)와 같은 EDR 도구를 활용해 폭넓고 장기적인 분석을 수행해야 합니다. EEI는 포렌식 분석을 위한 도구로 영향을 받은 회사에 매커니즘이 들어온 방법과 감염이 시작된 시점에 대한 정보를 제공합니다.

 

관리자는 ESET Enterprise Inspector를 통해 회사 네트워크에서 의심스러운 코드가 들어온 방법을 정확히 결정할 수 있습니다.

 

네트워크 보안을 조사하는 포렌식 도구에 대한 수요 증가

ESET은 네트워크의 이상을 탐지할 수 있는 보안 제품에 대한 수요가 크다고 판단하고 있습니다. 이것은 네트워크상에서 응용 프로그램의 동작에 이상이 있을 때만으로 한정되지 않습니다. 네트워크에서 사람이 활동하는 행위도 영향을 받습니다. 이후 조치를 취하기 위해 정보를 평가하는 것은 보안 전문가의 몫입니다. 정교함과 상관없이 성공적인 공격은 일반적으로 잘 구상된 것입니다. "우선, 네트워크에 나타난 작은 힌트나 계기를 볼지도 모르겠습니다. 그건 오랫동안 유휴 상태일 수도 있구요. 하지만 내부 시계는 제어 서버와 통신해도 괜찮다고 안내할 것입니다."라고 ESET의 최고 제품 매니저 Michal Jankech는 설명합니다. "이것이 사내 감염 원인이 무엇인지 알아내는 것이 너무 힘든 이유 중 하나"라고 말했습니다.

 

현재, 전문적인 EDR 소프트웨어 덕분에 기업은 네트워크에 나타난 알려지지 않은 실행 파일이 회사와 비즈니스 관계가 없는 나라의 서버와 통신하고 있는 것을 알 수 있게 되었습니다. 이런 이상한 행위를 평가하고 필터링하는 것은 굉장히 어렵지만 중요한 일입니다. 모니터링하지 않고 둔다면, 회사가 위험해 질 수도 있을 겁니다.

 

"오늘날, 모든 고객은 네트워크에 대해 더 나은 통찰력을 요구합니다. 어떤 예방책도 100% 안전하지 않다는 가정하에 일하고 주의를 기울일 만한 것이 무엇인지 알고 싶어 합니다." 라고 Jankech는 덧붙였습니다. ESET Enterprise Inspector는 기업 보호팩인 ESET Targeted Attack Protection의 일부로 표적 공격과 계속되는 위협에서 조직을 보호하기 위해 설계되었습니다. 단일 콘솔에서 관리하는 이 팩은 기업의 네트워크를 효과적으로 보호하는 데 필요한 포괄적인 통찰을 제공할 것입니다.

 

▶ 대기업을 위한 네트워크 보안 해결책은 여기를 참조해주세요.