"2017년, '해커 자경단' 움직인다"

보안이 취약한 사물인터넷(IoT) 기기가 많아지면서 해커 악당이 아니라 '해커 자경단'이 활발해질 거란 관측이 나와 주목된다. 자경단은 '먹통인터넷'을 유발할 수 있다. 러시아 백신업체 카스퍼스키랩이 지난달 공개한 2017년 위협 예측 보고서 내용의 일부다.

카스퍼스키랩 본사의 '글로벌위협정보분석팀(GReAT)'은 지난달 16일 공식사이트에 공개한 연례 위협예측 보고서를 통해 내년 이후 전개될 사이버 보안 위협 시나리오를 제시했다. 최근 '미라이(Mirai)'같은 악성코드에 감염돼 봇넷기반 분산서비스거부(DDoS) 공격에 동원되는, 보안에 취약한 IoT 기기가 문제로 떠올랐다. 이 문제 해결에 소비자나 제조사가 아닌 해커 자경단이 대처에 나선다는 게 보고서의 예측이다.

[☞관련기사: '소스' 풀린 IoT 악성코드, 디도스 연쇄 유발]

[☞참조링크: Kaspersky Security Bulletin. Predictions for 2017 - Securelist]

카스퍼스키랩 영문 보고서의 해당 부분을 한국말로 옮기면 다음과 같다.

"미라이 봇넷이 최근 보여준대로, 불필요하게 인터넷에 연결되는 기기의 취약한 보안은 악당들(miscreants)이 무책임한 폭력을 저지를 기회를 마련한다. 이는 정보보호 업계인들에게 놀랍지 않은 일이지만 그 다음 과정은 흥미로울 수 있는데, 우리는 이 문제 해결에 해커 자경단(vigilante hackers)이 나서리라 예상한다."

해커 자경단이란 어떤 사람들을 가리키는 걸까? 해커 악당과 해커 자경단의 차이는 IoT기기 공격이란 활동을 벌이는 목적이다. 악당은 자신의 이익을 위해 누군가에게 피해를 주는 행위를 서슴지 않는 사람이라면, 자경단은 자신이 옳다고 믿는 가치를 실현하기 위해 공격적인 행동도 불사하는 사람이라 볼 수 있다.

23일 이창훈 카스퍼스키랩코리아 대표는 "IoT 기기 소유자나 관리자, 또는 제조사들에게 그들이 보안에 취약한 기기를 사용하거나 생산하고 있다는 사실을 인지시키고 IoT 기기 보안 취약성 문제에 경각심을 일깨우려는 차원의 활동을 벌이는 사람을 보고서에 '해커 자경단'이라 표현한 것으로 이해할 수 있다"고 설명했다.

■"보안 약한 사물인터넷 기기, '먹통인터넷' 부른다"

즉 해커 자경단은 악의적 공격자와 마찬가지로 보안에 취약한 IoT 기기를 '공격'할 것으로 보인다. 소유자 및 관리자로부터 IoT 기기의 통제권을 빼앗거나, 경우에 따라 작동불능 상태로 만들 가능성이 있다. 이익을 추구하지 않지만 여전히 사용자의 기술 사용 환경에 강제력을 동원하려 한다는 점, 그런 공식적인 권한을 부여받은 적은 없다는 점에서 자경단이라는 표현이 적용된 것이다.

보고서는 다음과같이 묘사하고 있다.

"파악되고 알려진 보안취약점을 막는 행위는 보안연구자가 어렵게 (종종 보상없이) 해낸 일을 검증하는 모종의 신성불가침 영역이었다. IoT 기기 제조사가 계속 대규모 문제를 야기하는 보안에 취약한 기기를 찍어냄에 따라 해커 자경단이 스스로 해결에 나설 것으로 보인다. 그럼 제조사가 스스로 보안취약점을 내포한 기기를 대거 먹통으로 만들게 하는 것보다 더 나은 방식은 뭘까? 소비자와 제조사가 똑같이 억울해할 방식이지만, IoT봇넷이 계속 DDoS 및 스팸 배포 문제를 일으킴에 따라, 해당 기기를 작동불능으로 만드는 생태계의 면역 반응이 벌어질 것이다. 우리에게 '먹통인터넷'이 도래하리라(The Internet of Bricks may very well be upon us)."

쉽게 말해 해커 자경단의 활동은 보안업계에서 '화이트햇해커'라 불리는 공인된 보안연구자들의 일처럼 점잖은 방식과 거리가 멀 것이란 얘기다. 화이트햇해커는 소프트웨어나 하드웨어 제품의 취약점을 파악, 검증한 뒤 해당 제조사에게 그걸 통보해 보안 패치나 업데이트를 만들어 배포하게끔 유도할 뿐, 기술 사용자에게 직접 영향을 주진 않는다.

■카스퍼스키랩이 선별한 2017년 주요 위협 2가지

카스퍼스키랩이 보고서를 소개하며 꼽은 내년도 주요 위협 시나리오는 따로 있다. 2가지다. 하나는 지능형위협(APT) 탐지 정보였던 '침해지표식별자(IoC)'를 공유해 얻는 효과가 떨어진다는 점. 다른 하나는 메모리 상주형 악성코드를 통한 일회성 감염 위협이 나타날 거라는 점.

IoC는 악성코드 감염특성을 파악한 정보를 공유해 기업이 감염여부를 인지는 수단이었다. 그런데 올해 카스퍼스키랩이 발견한 '프로젝트 사우론(ProjectSauron) APT' 사례는 피해자마다 공격 도구를 새롭게 생성하는 방식을 썼다. 모든 기능을 공격대상에 맞춰 조정, 변경하는 맞춤형 악성코드 플랫폼에선 IoC 특성 공유만으로 피해를 예방할 수 없는 걸로 나타났다.

이에 카스퍼스키랩 측은 다른 보호조치가 동반돼야 한다고 지적했다. '야라(Yara)'같은 악성코드 식별도구에 강력한 분류 규칙을 도입해야 한다고 강조했다. 분석가들이 야라 규칙을 활용해 악성코드 샘플을 찾아 분류하거나 상호 연관성을 분석해 탐지되지 않고 진행중인 공격을 발견할 수 있다는 설명이다. 야라는 악성코드의 파일, 프로세스에 포함된 문자열이나 패턴(시그니처)를 이용해 악성코드를 식별, 분류할 수 있는 툴이다.

이창훈 대표는 "야라 규칙에 힘입어 침해대응인력이 기업 환경 전체를 면밀히 검사할 수 있고, 알려진 공격 일부를 찾아낼 수 있다"며 "일회성 감염(악성코드)의 등장으로 인해 첨단 안티 맬웨어 솔루션에 사전 예방과 정교한 휴리스틱(탐지방법)이 필요하다는 점이 크게 부각되고 있다"고 주장했다.

일회성 감염 악성코드는 메모리 상주형 악성코드를 가리킨다. 메모리 상주형 악성코드 출현도 카스퍼스키랩이 내놓은 2017년 전망에 포함돼 있다. 그 특징은 컴퓨터 메모리에서 감염 흔적을 지운다는 점이다. 재부팅 이후까지 남아 있으려 하지 않고, 일반적인 정찰 및 자격증명 정보를 수집하는 용도로 쓰인다. 공격자가 탐지되지 않도록 주의를 기울여야 하는 민감한 환경에서 이를 배포하는 것으로 파악됐다.

■"공격출처 위장, 정보조작, 모바일 스파이범죄, 서비스형 금융공격 …"

카스퍼스키랩 보고서에 담긴 나머지 위협 예측 가운데 주요 사항 8가지를 정리했다. 공격출처 위장전술이 보편화한다. 정보조작이 확산된다. 앞서 언급했듯이 자경단 해커가 등장한다. 중요 기간시설이 '사이버 사보타주'에 노출된다. 모바일을 겨냥한 스파이웨어가 많아진다. 금융공격이 상품화한다. 결제시스템 보안이 위협받는다. 랜섬웨어 해커를 믿고 복구 대가를 지불하는 일이 줄어든다. 디지털광고도구가 범죄에 동원된다. 다음은 각 사항을 설명한 것이다.

첫째, 공격출처 위장전술이 공격자 특성 식별 효과를 떨어뜨린다. 국제 관계에서 사이버공격에 정치적 대응을 결정시, 공격의 출처 파악에는 특성 식별이 중요한 역할을 한다. 이에 의존하면 공격 진원을 틀린 쪽으로 유도하는 위장전술 사례가 보편화하고, 범죄자가 오픈소스나 상용 악성코드를 선택할 가능성이 많아진다.

둘째, 해킹한 정보를 악용하는 행태가 내년 증가할 전망이다. 공격자가 정보를 조작하거나 선별적으로 폭로해, 대중이 편향 및 왜곡된 정보를 받아들이도록 조작하는 데 활용할 위험이 있다.

셋째, 중요도가 높은 인프라 및 제조 설비가 보안에 취약한 상태로 인터넷에 연결돼 해커의 공격 대상이 된다. 첨단기술 보유환경, 지역간 갈등과 정치적 긴장감이 고조되는 시기에 이런 경향이 두드러진다.

넷째, 모바일 운영체제(OS)를 노린 스파이웨어가 증가한다. 모바일OS에 접근권한을 확보하기 어렵다는 점이 모바일 스파이 범죄에 유리하게 작용한다.

다섯째, 올해 스위프트(SWIFT) 은행 범죄와 유사한 공격이 상품화된다. 지하경제 또는 서비스형(as a service) 체계로 온라인금융범죄에 특화된 상품이 판매된다.

여섯째, 결제시스템 보급 확산에 따라 범죄자들의 관심이 이쪽에 집중된다.

관련기사

일곱째, 저수준 해커가 랜섬웨어 세계에 대거 유입돼, 피해자가 대가를 지불해도 온전한 정보를 복구하기 힘들 전망이다. 피해자가 해커의 협박을 무조건 믿지 않게 된다. 랜섬웨어는 꾸준히 증가세를 보일 전망이지만, 대가를 지불하고 정보를 복구하려는 피해자들에게 인식 전환 계기가 된다.

여덟째, 디지털광고용 추적도구가 내년엔 사회운동가, 반체제인사 감시에 활용된다. 사이버스파이가 최신 공격툴을 보호하면서 표적을 정확하게 공략하기 위해 이를 이용한다. IP주소와 검색 및 로그인 방법 선호도를 결합 분석해주는 광고네트워크가 그 수단이 된다.