올해 초 사이버 공격자가 한 인권 단체 웹사이트에 악성코드를 설치했다. 인터넷 익스플로러의 새로운 제로데이 취약점을 이용해 방문자를 감염시키기 위한 것이었다. 놀랍게도 24시간 이내 500개 대기업과 정부 기관 사람들이 이 사이트를 방문했고 감염 위험에 노출됐다. 다름 아닌 `워터링 홀` 공격이다.
사이버 보안 위협이 전방위적인 무작위 공격에서 특정 타깃을 겨냥한 표적공격으로 옮겨진 가운데 표적 공격 수법 또한 이처럼 진화하고 있다. 공격 대상도 대기업 재벌에서 중소기업으로 다변화되고 있다.
사람의 심리를 이용한 사회공학적 기법과 웹사이트에 방문하는 행위만으로도 악성코드에 감염되는 웹 기반 공격이 대표적이다. 이 같은 공격은 탐지를 더욱 힘들게 만들고 전염성은 높아진 게 특징이다.
최근 등장한 `워터링 홀`은 표적으로 삼은 집단이 자주 방문하는 웹사이트를 감염시킨 후 잠복하면서 피해자의 컴퓨터에 멀웨어를 설치하는 방식으로 목표에 접근한다.
일반적으로 표적공격은 산업 스파이 활동을 목적으로 컴퓨터나 네트워크를 감염시켜 기밀 정보를 빼내기 위해 사용되며 빈도가 낮아 방어가 어렵다. 더구나 공격자의 웹사이트에서 자동으로 돌연변이 악성 코드를 생성해 매번 기존 유형과 조금씩 다른 형태로 공격하는 서버 측 다형성 공격기법을 이용하기 때문이다.
상대적으로 보안 위협에 취약한 중소기업을 노린 표적공격도 증가하고 있다. 시만텍에 따르면 2012년 한 해 동안 발생한 표적공격 2건 중 1건이 종업원 수 2500명 이하 기업을 겨냥했다. 종업원 수 250명 미만의 소기업을 노린 표적 공격도 전체의 31%를 차지할 만큼 급증했다.
시만텍 관계자는 “상대적으로 방어 체계가 허술한 중소기업이 대기업을 공격하기 위한 전초기지로 활용되고 있다”고 분석했다.
예컨대 공격자가 소기업에 잠입해 소기업 직원의 개인정보, 이메일 계정 등을 파악한 후 이를 통해 실제 공격 목표인 대기업을 겨냥한 정교한 이메일 공격 시스템을 개발할 수 있다. 또한 워터링 홀 등의 공격수법을 이용해 중소기업의 웹사이트를 감염시킨 후 이 사이트에서 드라이브 바이 다운로드(Drive-by download) 공격을 시도할 수도 있다.
전문가들은 이 같은 공격에 대응하기 위해선 빅데이터 분석 기반의 보안 인텔리전스 서비스가 유용하다고 조언한다. 시만텍이 운영 중인 `글로벌 인텔리전스 네트워크(Global Intelligence Network)`의 경우 약 6900만개의 공격감지 센서로 구성, 초당 수천 건의 보안 이벤트를 기록한다. 세계 157여개국에서 발생하는 보안 위협을 실시간으로 감시해 기업과 개인사용자에게 각종 보안위협 정보와 대응방법을 제시하고 있다.
보안 전문가 임명도 확대해야 한다. 하지만 현실적으로 대다수 기업이 별도 보안 전문가를 운용하거나 보안 투자를 늘리기는 쉽지 않다.
김원석기자 stone201@etnews.com