[기고] 언택트 은행강도 – CCTV 무용지물 디지털 복면강도


김욱조 VM웨어 코리아 네트워킹‧보안 부문 상무

눈에 보이지 않는 무기를 든 은행 강도들이 금융업계의 골칫거리가 되고 있다. 트렌드마이크로의 조사에 따르면 2021년 상반기 은행을 노린 랜섬웨어 공격은 전년 대비 무려 13배나 증가했다. 최근에는 돈만 내면 누구나 해커가 될 수 있다는 서비스형 랜섬웨어(RaaS)까지 기승을 부리고 있다. 사이버 범죄 조직들은 다크 웹(dark web)에서 랜섬웨어 서비스를 사고팔며 막대한 이득을 취한다.

이러한 다크 웹의 성행이 최근에는 규모의 경제로까지 이어지면서 사이버 범죄 카르텔은 그 구조부터 근본적으로 변화하고 있다. 오늘날 대형 사이버 범죄 집단은 마치 다국적 기업처럼 운영하면서 전통적인 범죄 조직의 자금 탈취, 돈세탁 등을 지원하고 있다. 사이버 범죄 카르텔은 그 어느 때보다 조직적으로 움직이며, 심지어는 일부 국가로부터 국가적인 보호와 자원을 제공 받고 있기도 하다.

이러한 변화와 함께 금융 기관은 새로운 형태의 위협에 직면하고 있다. 최근 VM웨어는 130명의 전 세계 금융 보안 전문가와 정보보호최고책임자(CISO) 인터뷰를 토대로 다섯 번째 '현대의 은행 강도(Modern Bank Heists) 보고서'를 발간했다. 올해 가장 주목할 만한 것은 공격자의 행태가 '잠복(dwell)'에서 '파괴(destruction)'로 바뀌었다는 것이다.

◆사이버 공간으로 전이되고 있는 지정학적 긴장도

금융 부문을 노리는 사이버 범죄자는 증거를 인멸하기 위해 파괴적인 공격을 확대하는 경우가 많다. 이번 조사에 따르면 금융기관의 63%가 파괴적 공격의 증가를 경험했다고 답했는데, 이는 전년 대비 17% 증가한 수치다.

파괴적 공격은 파일 암호화, 데이터 삭제, 하드 드라이브 파괴, 연결 강제 종료, 악성 코드 실행 같은 행위를 의미한다. 대상 시스템을 파괴하고, 중단시키고, 저하시키기 위해 무자비한 방식을 취한다. 최근 러시아의 우크라이나 침공 이후 허메틱와이퍼(HermeticWiper)와 같은 파괴적인 멀웨어가 실행된 것이 대표적인 예다. 실제로 인터뷰에 응한 금융 부문 책임자 중 상당수가 최근 소속 기관의 가장 큰 걱정거리가 이번 러시아 사태라고 답하기도 했다.

◆ RAT의 해

최근 다시 확산되고 있는 랜섬웨어에 대해 많은 금융 기관이 면역을 가지지 못하고 있는 것으로 보인다. 금융 보안 책임자 중 74%가 2021년 한 해 동안 한 번 이상의 랜섬웨어 공격을 경험했으며, 피해를 입은 이들 중 63%가 몸값을 지불했다고 답했다. 놀라운 통계가 아닐 수 없다.

전통적인 범죄 조직이 다크 웹을 즐겨 쓰게 된 데에는 이미 키트(kit)화 된 랜섬웨어 생태계의 풍부한 자금력도 한몫하고 있는 것으로 보인다. 콘티(Conti) 랜섬웨어 집단과 같은 사이버 범죄 카르텔은 다른 조직이 금융 부문과 같은 중요 산업에 손쉽게 랜섬웨어 공격을 실행할 수 있도록 돕고 있다.

VM웨어 위협분석팀이 발행한 최신 위협 보고서의 분석에 따르면, 랜섬웨어 확산과 함께 원격 액세스 도구(RAT)를 사용해 시스템을 제어하고자 하는 공격자가 늘고 있다. 공격자는 랜섬웨어와 RAT의 연결고리를 활용해 대상 환경 내에 머물면서 이를 미러링한 스테이징 서버(staging server)를 구축하고, 이 스테이징 서버를 추가 시스템 공격에 사용할 수 있다. 이 권한을 얻게 된 공격자는 피해 기관의 데이터를 갈취(이중 및 삼중 갈취 포함)하거나 크립토재킹 공격을 사용해 클라우드 서비스에서 리소스를 훔치는 방식으로 수익을 창출하는 것이 일반적이다.

◆금융 시장 조작

오늘날의 사이버 범죄 카르텔은 금융기관의 가장 중요한 자산이 비공개된 시장 전략 정보라는 사실을 깨달은 것으로 보인다. 인터뷰에 응한 3명 중 2명은 시장 전략을 노리는 공격을 경험했다고 답했으며, 4명 중 1명은 이러한 사이버 공격의 주요 타깃이 시장 전략 데이터였다고 답했다.

그렇다면 이 사이버 범죄 카르텔이 가장 원하는 것은 무엇일까? 과거 은행 강도에 불과했던 사이버 범죄자들은 이제 공개 즉시 기업 주가에 영향을 미칠 수 있는 기업 정보나 전략을 목표로 삼는 경제 스파이로 진화하고 있다. 이러한 정보는 부당한 내부자 거래를 디지털화하고 시장을 선점하는 데 사용된다. 또 보고서에 따르면 크로노스(Chronos) 공격의 44%가 기업의 시장 지위(market position)를 노린 것으로 나타났다. 크로노스 공격에는 일반적으로 타임 스탬프 조작이 포함되므로, 금융 시장에서 시간 설정이 얼마나 중요한 역할을 하는지를 정확하게 이해한 설계로 보인다.

◆최고의 공격은 수비

보안은 어느새 금융 부문 책임자의 최우선 과제가 되어가고 있다. 이번 조사에 따르면 대다수의 금융기관이 올해 보안 부문 예산을 20~30% 늘릴 계획이며, 투자 우선순위에 있어서는 '확장된 탐지‧대응(eXtended Detection and Response, XDR)'을 최우선으로 여기고 있다.

강력한 방어가 최고의 공격임을 모르는 보안 책임자는 아무도 없을 것이다. 이상 행동을 감지할 수 있는 가장 좋은 방법은 공격자가 조직 시스템에 숨어들어서 잠복을 지속하는 상황에 대비해 보안팀이 매주 최신 위협 제거(threat hunting)를 수행하는 것이다. 이번 조사에 따르면 현재 금융기관의 51%만 매주 위협 제거를 수행하고 있다. 위협 제거 프로그램은 사이버 범죄자를 찾아내는 것 외에도 위협 인텔리전스 강화로 이어지는 등 다양한 이점을 제공하므로, 이 수치가 매년 증가해야 바람직할 것이다.

금융기관에서 위협 인텔리전트의 역할은 내부 동-서(East-West) 트래픽의 일부 샘플만을 확보한 뒤에 공격 행위가 없었다는 사실을 확인하는 것에 그쳐서는 안 된다. 강도가 납치범으로, 잠입 행위가 파괴 행위로 진화하고 있는 오늘날의 사이버 공격 행태에 대응하기 위해서는 횡적으로 움직이는 모든 패킷, 프로세스 하나하나를 클라우드에 빌트인 된 위협 인텔리전스가 맥락적으로 파악해 선제적으로 방어하는 것이 중요하다.

오늘날 진화하는 위협 환경에서 사이버 보안은 기업의 브랜드 가치 보호에 있어 필수 요소가 됐다. 금융 기관이 사용자로부터 안전에 대한 신뢰와 확신을 얻기 위해서는 날로 현대화되는 사이버 위협을 효과적으로 방지, 완화, 대응할 수 있는 방안을 적극적으로 갖춰야 할 것이다.

/ 김욱조 VM웨어 코리아 네트워킹‧보안 부문 상무

김욱조 VM웨어 코리아 네트워킹‧보안 부문 상무 [사진=VM웨어]








포토뉴스