시스코 코리아는 자사가 세계에서 가장 앞선 보안 인텔리전스 조직이라고 자부하는 '탈로스(Talos)' 소개 미디어 브리핑 세션을 얼 카터(Earl Carter) 방한에 맞춰 자사 사옥에서 개최했다.

얼 카터(Earl Carter)는 시스코 탈로스 보안 인텔리전스 및 리서치 그룹 글로벌 보안 위협 분석 총괄이사로, 보안 취약점을 발견하고 해결하는 전문가다. 약 20년 전, 텍사스 샌안토니오 미 공군 정보전센터에서 네트워크 보안을 담당했으며, 이후 시스코 장비의 새로운 보안 취약점에 대한 전문성을 키워왔다. 현재는 시스코 탈로스 아웃리치(Talos-Outreach) 팀 소속이다.

네트워크 공격은 소프트웨어 취약점 통한 공격이 그간 주류였다. 그러다 취약점을 찾는 게 갈수록 어려워짐에 따라 공격자들은 네트워크 사용자를 공격대상으로 설정하는 추세다. 또 사물인터넷 폭증하면서, 공격자들이 새로운 방식으로 네트워크 침입하는 상황도 일반화되었다.

공격자들이 새롭게 타겟으로 삼은 게 바로 데이터다. 컴퓨터, 노트북 등에 들은 데이터는 개인에겐 소중한 것이고, 이는 기업에게도 마찬가지다. 그래서 랜섬웨어 같은 공격들이 데이터를 타겟으로 삼아 진화 중이다.

이러한 위협에 대응하는 탈로스는 보안조직으로, 위협을 발견하고 고객을 보호하는 게 본업이다. 현재 230명 이상의 보안전문가들이 새로운 위협을 조사하고 감지하고 있다. 매일 6천억 개의 이메일을 보고 있으면서, 웹도 같이 보는 중이다. 방대한 정보들을 보면서 공격에 대해 포괄적인 역량을 확보하고 있다. 이렇게 수집한 데이터를 통해서, 위협 인텔리전스 파악해 시스코 제품 개발에 접목 중이다. 고객 보호 지향 차원에서 매일 막는 공격 규모는 197억 개를 넘어서고 있다. 이는 전세계 인구 1인당 3건의 위협을 막는 규모다.

탈로스는 새로운 위협을 파악하고, 시스코 보안 솔루션에 인텔리전스 정보를 갖추도록 하고 있다. 고객 입장에서는 자체적으로 대처할 필요 없이, 보안 솔루션이 해결해주게 되는 형태로 편의가 제공된다.

최근의 새로운 위협으로는 '올림픽 디스트로이어'가 있었다. 이는 누군가 올림픽 이벤트를 기회로 공격을 도모한 경우였다. 시스코는 데이터 소스들을 통해 멀웨어 조사를 바로 시작해 빠른 시간 내에 멀웨어 정체를 파악했다.

파악 후에는 바로 분해작업에 들어가서, 이번 공격에 쓰인 멀웨어가 자가전파 기능을 가졌음을 밝혀냈다. 이는 하나의 시스템이 감염되면, 자동으로 주변으로 전파되는 형식을 보유하고 있었다. 공격이 진화한다고 볼 수 있는 측면으로, 자체적으로 숨겨진 요소들이 있음에도 이를 이용하지 않고 일반 사용자들의 기본기능만 타고 증식하는 형태를 보였다는 점이다.

이번 공격같은 경우에는 사용자 자격정보를 수집하는데 뛰어난 기술을 가지고 있었다. 시스템을 감염시키면, 사용자 정보를 다 가져갔는데, 특히 웹 브라우저 내장 패스워드 정보를 집중적으로 가져갔다. 메모리 내 유저내용, 토큰 등을 집중적으로 가져가는 경우도 있었으며, 시스템 감염으로 얻은 자격정보를 계속 확대시키는 경향과 다른 시스템으로 계속 전염이 이뤄졌다.

여러 보안사고와 관련해 특정국가를 지목하려는 경우들이 있다. 일부 보안그룹에서는 러시아, 북한, 중국 등을 논하고 있다. 그런데, 멀웨어 트레킹을 보는 건 기술적으로 굉장히 어려움이 많다. 공격자가 의도적으로 국가 특징들 섞어서 공격하기 때문이다. 때문에 어디서 발생하는지 보는 거 보다는, 사용자 보호에 중점 두는 중이다.

IoT, 사물인터넷은 새로운 공격배포지로 대두되는 형편이다. 너무나 많은 기기들이 인터넷에 연결되고 있어, 이제는 축구공과 농구공에도 연결이 다 되는 형국이다. 사물인터넷은 디바이스 하나하나가 공격대상이 된다. 다양한 루트로 공격을 전개하는 '미라이 봇넷'이 대표적인 사례다.

사물인터넷은 보안이 어렵다. 이는 저비용 대량생산 목적으로 만들어지는 탓이 크다. 보안산업 전체가 중요성을 널리 알려서 사물인터넷 기기 개발에 보안을 신경쓰도록 개발자들에게 집중적으로 알릴 필요가 항상 있다. 사물인터넷 보안 업데이트와 관련해 소비자들에게 소프트웨어 업데이트를 반드시 하도록 하는 체계도 필요하다.

마지막으로 암호화폐가 공격 대상으로 두각을 나타내고 있다. 공격자들은 돈이 몰리는데를 쫓아가는데, 요즘은 암호화폐 지갑에 돈 많다는 거 잘알고 있다. 공격사례를 보면, 블록체인 검색하면 관련되어 보이는 도메인들이 많이 보이는데, 도메인을 획득하고 사이트를 갖추고 광고 등 적극적인 알리기에 나서서 사용자들이 검색을 하면 제일 위에 뜨게 만들어 놓는다. 이는 효과적인 방법론으로, 잘못된 도메인에 많이들 들어오는 걸 악용해 개인재산을 탈취하고 있다.

시스코에서는 가짜 도메인을 설정하는 이메일 한 가지를 추적해 봤다. 도메인 IP들이 어디에 연계되어 있는 지 파악해 보니, 공격들이 우크라이나에서 일어나고 우크라이나인들을 공격하는 것으로 파악되었다. 피해금액을 추정해보니, 3년 동안 공격이 이뤄지는 동안에 5000만 달러 정도 피해 난 것으로 예상되었다. 이처럼, 공격자들은 반드시 돈을 따라가고 있으며, 채굴 트렌드에 따라 암호화폐 채굴 프로그램을 몰래 심는 경우도 한창 유행인 것으로 분석되었다.

<저작권자(c) 아크로팬(www.acrofan.com). 무단전재-재배포금지>