The Next Generation of Cyber-Threats
By Ken Pappas TechNewsWorld 12/09/08

온라인 사기꾼들이 점점 교활해지고 있고, 두드러진 경제 슬럼프들은 비즈니스에 타격이 되는 위협들을 더욱 가혹하게 만들 수 있다. 사기꾼들은 어떠한 전략들을 사용할 것인가? Top Layer의 켄 파파스는 작아졌지만 여전히 위험한 봇넷(Botnet), 교활한 social engineering 트릭, SQL 인젝션의 꾸준한 성장을 내다보고 있다.

매년마다, 해커들은 재정적 이득을 위해 사용자를 속이고 네트워크를 공격하기 위해 기술과 social engineering을 결합하는 새로운 아이디어 또는 과거 아이디어의 변종들을 발견해낸다. 2000년대 중반에 스팸, 목표 공격 그리고 더 이상의 것들을 사용한 봇넷 공격의 급증을 보았다면, 2007년과 2008년에는 해커들이 수백만 사용자를 목표로 social networking site들을 점차 공략함으로써, SQL injection 공격과 다른 웹사이트 exploit들이 증가되는 것을 봐왔다.

2009년에 임박한 위협들은 무엇일까? 몇가지 요인들 –심각한 경기침체, 사이버범죄를 범할 수 있는 용이해진 방법들, social networking online의 꾸준한 성장들을 포함—은 또 다시 위협들의 비할 데 없는 해를 만들어낼 것이다. 해커들은 이 취약점들의 범위를 결정하기 위해 인간 행동 --이메일, 웹 그리고 기타 인기있는 social media들에 대한 반응—을 계속 연구할 것이다.

봇넷은 철수한 게 아니라 변하고 있다
지난 몇 년간, 봇넷 —사이버범죄를 위해 개인 컴퓨터의 시스템들을 네트워크로 묶어서 통제— 은 대기업과 언론 매체의 네트워크 대역폭을 폭주시키는 DDoS 공격을 위해 조종되어 보안 헤드라인을 점령했었다. “Storm” “Kraken”과 같은 이름의 수천개의 좀비컴퓨터들로 구성된 대형 봇넷은 재정 이득을 위해 포츈 500대 기업들을 공격하는데 사용되었다. 그러나, 2008년 하반기에는 많은 연구자들이 아마도 대형 봇넷들을 잠입시키고, 관련 서버 호스트들을 식별하고 폐쇄되도록 하는데 집중함으로써, 이 대형 봇넷들의 규모와 활동들이 축소되는 것을 보았다.

불행하게도, 이 거대 봇넷의 침묵이 봇넷이 사라짐을 뜻하지는 않는다. 내년에는, 특정 용도(예; 컴퓨터에서 이메일 주소 탈취)를 위해 사용되는 스텔스 모드로 레이다 아래에서 활동하는 소형의, 그러나 더욱 겨냥된 기세를 향해 진화를 계속할 것이다. 아마도 이 중 가장 위험한 발전은 대규모 동유럽 사이버범죄업계에서 바이러스를 퍼뜨리고 다른 악의적 활동을 수행하는데 사용할 수 있다는 보증서까지 갖추어 SaaS로 지금 일반 대중들에게 엔터프라이즈급 봇넷이 판매되고 있다는 것이다.

Site Exploit의 발생: SQL Injection attack 그리고 Clickjacking
봇넷의 은밀성이 증가하는 것과 더불어, 지난 몇 해 동안 해커들이 웹사이트 소프트웨어가 의도하지 않게 악성 명령어를 실행시키도록 함으로써 SQL injection 공격이 발생하였다. 단순히 웹페이지가 SQL 인젝션 공격을 당하게 함으로써, 희생자의 컴퓨터는 와해되어 봇넷 군대로 활용될 수 있다. 더 이상 사용자는 이메일의 악성 링크를 클릭하도록 속을 필요가 없다- 사용자들의 컴퓨터가 침해를 당한 신뢰된 웹사이트를 방문함으로써 감염될 수 있다.

봇넷의 성장을 지원하는 역할뿐만 아니라, SQL injection 공격은 종종 희생자의 컴퓨터상의 재정 정보를 착취하는데 사용될 수 있다. 설상가상으로, 이런 능력을 가지고 2008년에 나타난 또다른 web site exploit은 clickjacking인데, 사용자들이 악성 링크를 클릭하도록 browser exploit을 장악하여 심지어 해커들이 데스크탑을 완전히 통제하도록 만든다. 이 웹사이트 위협들의 발생은 2009년에도 꾸준히 지속될 것이고, 단순히 최신 안티바이러스를 설치하는 것이 컴퓨터와 회사의 네트워크를 보호하는데 충분하지 않다는 것을 더욱 명백하게 해줄 것이다.

Social media는 협력은 가져왔으나 노출을 증대
새로운 웹사이트 위협들의 문제를 증대시키는 것은 소비자들 간에 그리고 기업 전반에 온라인 social networking의 꾸준한 확산이다. Social media의 이득은 정착되어 왔다; 그러나, 통제의 부족과 폭넓은 사용자층은 MySpace 메시지의 악의적인 비디오 또는 Facebook의 사악한 링크를 클릭하든지, 웹사이트 exploit의 훨씬 많은 기회들을 오픈하도록 만들었다. 내년에는 해커들이 SQL 인젝션 공격과 clickjacking을 social media 영역으로 통합하는 새로운 방법을 발견하는 것을 계속 보게될 것이다.

Escalator로서의 경제
2009년 사이버 위협의 심각한 촉진제는 세계 대부분이 부딪치고 있는 심각한 경기침체가 될 것이다. 은행, 금융기관 및 다른 기업들이 주춤거리면서, 해커들은 소비자들이 금융정보를 제공하도록 하거나 또는 필수적인 금융정보를 제공하도록 요구하는 링크를 클릭하도록 혼동시키는 social engineering을 사용할 방안을 꾸밀 것이다. 예를 들어, 금융기관의 합병을 주장 또는 금융정보의 확인을 요구하는 이메일 피싱이 계속 나타날 것이다.

경제로 가속된 사이버범죄의 공헌은 IT인력의 실업을 증대시킬 것인데, 이들은 동유럽 사이버범죄 조직에 가담하고, 이윤을 발견할 수 있는 매체들만을 통해 기술을 사용함으로써 “dark side”로 변할 지도 모른다. 기업들이 2009년에는 위의 이유들로 비용삭감을 위해 전력을 다할 것인 반면, 이미 어려운 경제시기에 놓여있을 때 회사를 완전히 불구로 만들 수 있는 데이터 손실을 보호하기 위하여 소모되는 IT보안에서의 실질적인 비용증가는 정당한 명분이 설 것이다.

할 수 있는 건 무엇인가?
2009년의 예상되는 위협들이 냉혹한 그림을 칠한다고 할지라도, 회사들이 안전한 상태를 유지하는 것이 희망이 없는 것은 아니다. 무엇보다도 먼저, 보안 리서치 기업들이 이 위협들과의 싸움에 심혈을 기울이는 노력들을 완벽히 이용하여, 기업들은 가능한 자주 그리고 빨리 업데이트로 시스템들을 패치하는 공동의 노력을 기울여야 한다. 많은 보안 소프트웨어 및 장비 제공업자들은 지금 고객들에게 자동으로 패치 업데이트 또는 보호 팩들을 제공할 능력을 가지고 있다.

Microsoft 패치가 화요일 발표된 것뿐만 아니라, Microsoft Active Protections Program(MAPP)를 시작했는데, 이는 주요 보안 벤더들의 취약성 정보를 Microsoft의 월간 보안 업데이트 릴리즈보다 앞서 제공하여 고객들이 새로운 위협들을 예상할 수 있고 보다 시기적절한 보호를 제공할 수 있도록 하였다. 보안 솔루션 제공업체들과 협력하는 기업은 이 업데이트들을-- 양질의 벤더는 정기적으로 이런 자동 업데이트들을 제공할 수 있을 것이다-- 가능한 빨리 적소에 배치할 수 있도록 하는 것이 중요하다. 정기적인 기업 전반의 패치 뿐만 아니라, 핵심 안티바이러스와 브라우저 업데이트를 위해 개별 컴퓨터들을 업데이트하도록 사용자들을 꾸준히 교육하는 것이 중요하다.

내년에는 네트워크로의 다양한 취약성들의 증가가 나타날 것이고, 그러나 동시에 최상의 방어를 제공하도록 통합될 수 있는 상호보완하는 다양한 기술들이 있을 것이다. 가능한 최고의 네트워크 방어는 silver bullet(특효약)을 통한 단일 기술 솔루션이 아니라, 오히려 IPS, 방화벽, 네트워크 접근 제어(NAC), 이벤트 상관분석, 보안 정보 및 이벤트 관리(SIEM) 등을 통한 기술 생태계를 생성하는 보편적인 보안 접근법(pervasive security approach)이다.

작년에 금융기관을 넘어 Hannaford Supermarket, 다수의 병원들, 심지어 대통령 선거 캠페인까지 폭넓게 미친, 기업 자산의 노출을 낳은, 네트워크 데이터 유출의 전례없는 증가를 보았다. 차세대 IPS는 3가지 주요 위협 카테고리들- 악성 컨텐츠, DDoS 공격, 바람직하지 못한 접근-에 계층적 보호를 제공함으로써, 네트워크 유출들의 탐지와 방어에 필수적인 투자로 입증되었다. 이 방어는 심각도를 이해하기 위해 특정 유출과 관련된 거래정보를 둘러싼 context(정황)를 제공할 수 있는 SIEM과 같은 다른 보안기술과의 밀접한 통합을 통해 훨씬 더 증대될 수 있다. 2009년의 예산은 타이트할 수 있지만, 기업들은 네트워크 보안 투자의 가치를 확대시키기 위해 이와 같은 관련 기술들을 더 훌륭히 연관 지을 수 있다. 2009년에 또 다시 위협들이 진화할지라도, 기업의 최고 방어책은 보편적인(pervasive) 보안 생태계를 만들어내기 위해 보안 기술들간의 통합을 추진함으로써, 그것들과 협력하여 보안 인프라를 발전시키는 일이 될 것이다.