트렌드마이크로가 기업보안 새 빈틈으로 컨테이너 컴포넌트와 라이브러리를 지목했다. 사이버침해를 당한 구성요소가 기업 IT인프라에 활용되면서 공격 위협에 노출될 수 있는 범위가 확대된다는 설명이다.
트렌드마이크로는 20일 공개한 '2020 보안 예측 보고서'를 통해 이같은 관측을 제시했다. 보고서는 클라우드와 데브옵스 활용 기업의 민첩성이 향상되고 있지만 동시에 더 큰 위협에 노출될 것이라고 전망했다.
보고서는 서드파티 업체를 통한 클라우드 공격이 발생하면 기존 보안 방식으로 대응이 어려울 것이라고 지적했다. 많은 기업과 생산 체계가 클라우드 환경으로 옮아가며 서드파티 서비스 제공업체가 관여하는 범위도 확대되지만, 이들의 인프라 보호 경험 부족으로 위험이 발생할 것이라고 지적했다. 공격자들이 이를 파고들어 서비스 제공업체 대상으로 클라우드 서비스 중단을 위한 봇넷 디도스 공격을 할 수 있다.
보고서는 공격자들이 역직렬화(deserialization) 버그, 크로스 사이트 스크립팅(xss), SQL인젝션 등 코드 주입 공격을 통해 클라우드에 저장된 기업 데이터를 탈취하거나 파괴할 것이라 예상했다. 이를 위해 클라우드 업체를 직접 대상으로 하거나 서드파티 라이브러리를 통해 공격을 수행할 것이라고 봤다.
보고서는 또 데브옵스 프로세스를 도입한 기업이 서드파티 소스코드를 사용하는 사례가 증가하면서 내년 이후 관련된 비즈니스 위험이 증가할 것이라고 내다봤다. 침해된 컨테이너 컴포넌트와 라이브러리가 기업이 활용하고 있는 서버리스 및 마이크로서비스 아키텍처에 배포되면 엔터프라이즈 공격 지점이 더욱 확대된다고 지적했다.
트렌드마이크로의 장성민 침해대응센터 소장은 이날 보고서 내용을 소개하며 "지난해 CVE 번호를 부여받은 도커 컨테이너 취약점이 발견된지 꽤 오래 지났는데 기업 보안 환경에서 전혀 주목받지 않다가, 기업에 퍼블릭 클라우드와 데브옵스가 확산되면서 문제가 불거지기 시작했다"면서 "개발자는 도커 허브에 등재된 컨테이너 이미지를 활용해 빠른 출시를 추구하지만, 자체 취약점이 있거나 악성코드 내재 위험이 있는 이미지 비중이 작지 않은데 이를 점검할 수단이 마땅치 않다는 문제가 있다"고 경고했다.
트렌드마이크로는 더불어 공격자가 기업의 서버리스 애플리케이션을 위협하는 시나리오에서 오래된 라이브러리, 설정 오류, 알려지거나 알려지지 않은 취약점이 진입 지점이 될 것이라고 강조했다. 공격자가 이를 통해 민감 정보를 수집하고 기업 네트워크에 침입할 수 있다고 덧붙였다. 따라서 기존 보안 관행을 계속 유지하는 것으로 보안 환경을 유지하기가 어려울 것이라는 진단이다.
트렌드마이크로는 대응 방안으로 기존 방어 기술을 우회하는 공격을 예측하는 행위기반 위협탐지솔루션이 필요하다고 강조했다. 기존 방어 기술을 우회하는 공격에는 윈도매니지먼트인스트루먼트(WMI), 파워셸 등 일반적으로 사용되는 툴이 동원되며 위협요소가 파일이 아닌 레지스트리에 심어져 시스템 메모리에 숨어든다. 이를 탐지하려면 행위 탐지, 샌드박싱, 트래픽모니터링 솔루션을 고려해야 한다.
트렌드마이크로는 보안 검증 표준인 ‘마이터 어택 프레임워크’(MITRE ATT&CK Framework)의 역할이 커질 것으로 전망했다. 마이터 어택 프레임워크는 알려진 위협에 대한 대응 방안과 기술을 분류해 보안 수준 측정과 대응 방안을 제시한다.
트렌드마이크로는 또 매니지드서비스사업자(MSP)가 여러 기업을 위협할 수단으로써 표적이 되고, 기업네트워크 침투 경로로 원격근로자가 사용하는 보안이 취약한 무선랜이나 커넥티드 홈 디바이스 취약점도 이용될 수 있다고 설명했다.
관련기사
- "작년 한국서 익스플로잇킷 공격 1만4천건 발견…세계 4위"2019.11.20
- 트렌드마이크로, 김진광 한국 지사장 선임2019.11.20
- "내년 5G 관련 인프라 및 IoT 보안 촉각"2019.11.20
- 악성코드 제공 '스캔포유' 설립자 14년형 선고2019.11.20
이같은 내년 위협 전망에 따라 트렌드마이크로는 클라우드 및 MSP업체 실사 개선, 서드파티 기술의 취약성과 위험 평가 정례화, 서드파티 컴포넌트 취약점 및 맬웨어 스캔, 설정 오류 위험을 낮추는 클라우드 보안 형상 관리 툴 사용 검토, 재택 및 원격근로자 보안 정책 재검토를 기업들에게 권고했다.
김진광 트렌드마이크로 한국지사장은 "다가올 한 해부터 새로운 10년을 맞이함에 따라, 다양한 산업과 규모의 기업들은 디지털 혁신과 성장을 추진하기 위해 필요한 서드파티 소프트웨어, 오픈 소스 및 새로운 업무 관행에 점점 더 의존할 것"이라며 "2020년에는 IT 보안 리더들이 클라우드 계층에서 홈 네트워크에 이르기까지 사이버 위험과 보호 전략을 재평가해야 할 것"이라고 말했다.
