사이버공격 '은신의 달인'화, 평균 206일 동안 탐지 못해

평균 잠복기간 206일
발견 뒤엔 이미 늦어
탐지 보단 원천 봉쇄하는 차단형 보안 중요

[아시아경제 이민우 기자] 랜섬웨어를 포함한 사이버공격의 평균 잠복기간이 206일이라는 조사 결과가 나왔다. 탐지가 어려운 만큼 원천적인 차단이 중요하다는 지적이다.

25일 한승수 체크포인트 보안컨설턴트(부장)은 서울 서초구 엘타워에서 열린 시큐리티 월드(Security World) 2016에서 랜섬웨어의 최신 동향에 대해 설명했다.

랜섬웨어는 이용자의 PC나 모바일에 저장된 데이터를 암호화한 뒤 암호화 해제의 대가로 금전을 요구하는 악성코드다. 과거 해킹 실력을 자랑하기 위해 불특정 다수를 향했던 해킹 공격이 랜섬웨어처럼 목표를 정하고 금전을 요구하며 수익을 롤리는 기업화·조직화되고 있다.

한 부장은 "랜섬웨어 등 최근 사이버 공격이 무서운 점은 공격을 알아채기까지 시간이 오래 걸린다는 점"이라며 "오랫동안 잠복한 악성코드일 경우 사후 대처에 더 많은 시간이 걸린다"고 설명했다.

포네몬 인스티튜트(Ponemon Institute)의 2015년 조사 결과에 따르면 랜섬웨어를 포함한 최근 사이버공격의 경우 평균 잠복기간이 206일에 달했다. 오랜 기간 잠복할수록 피해와 그에 대한 대처기간도 비례해 늘어났다. 공격이 더욱 은밀하고 치밀하게 진행되기 때문이다.

(출처=체크포인트)

예를 들어 특정 기업을 목표로 삼았다면 정보 권한이 있는 직원이 자주 가는 식당, 자주 가는 장소 등의 일상 생활에 관련된 데이터를 확보하는 것이다. 이후 자주 가는 식당에서 보낸 쿠폰을 가장하는 식으로 침투에 성공하면 은밀하게 시스템을 장악한다. 사용자가 공격을 알아챘을 땐 이미 시스템에 잠복된 악성코드로 피해가 발생한 후인 셈이다.

한 부장은 "이런 방식의 공격을 막기 위해선 탐지 보단 차단 중심의 원천 봉쇄형 방어가 중요하다"고 강조했다. 악성코드가 공격대상에 접근하기 전에 샌드박스(sandbox)라는 공간에서 미리 검증하고 차단하는 것이다.

예를 들어 엑셀 파일이 첨부된 이메일이 오면 샌드박스에서 먼저 파일을 실행해 악성코드가 담겼는지 탐지한다. 악성코드가 확인되면 시스템에 접근이 차단된다.

다만 한 부장은 "샌드박스 기능을 설치하고도 속도가 저하된다고 차단이 아닌 탐지모드로 두는 경우가 많다"며 "탐지 모드로 두면 샌드박스로 방어하는 의미가 없기 때문에 반드시 차단 기능을 활성화해야 한다"고 강조했다.

이민우 기자 letzwin@asiae.co.kr