'제로 트러스트'…사이버보안 생태계 지배한다 [IT돋보기]

"아무도 신뢰하지 않는다"…랜섬웨어·공급망·클라우드 보안 '주시'

[아이뉴스24 김혜경 기자] 비대면 근무 일상화와 클라우드 전환 등의 영향으로 내‧외부의 네트워크 경계가 모호해지는 현상이 발생하면서 '제로 트러스트(Zero-Trust)' 보안 모델이 10년 만에 다시 부상하고 있다.

올해 상반기 포스트 팬데믹 시대와 러시아의 우크라이나 침공이 맞물리면서 사이버 위협은 고조되고 있다. 랜섬웨어와 계정 탈취, 공급망 공격 등은 하반기에도 이어질 것으로 전망되는 가운데 변화하는 환경에 대응하기 위한 보안 아키텍처 대전환은 올 한해 사이버보안 생태계를 관통할 핵심 키워드로 분석된다.

지난 6일(현지시간) 미국 샌프란시스코 모스콘센터에서 열린 RSA 컨퍼런스에서 지투 파텔(Jeetu Patel) 시스코 보안‧애플리케이션 사업 부문 총괄이 기조연설을 하고 있다. [사진=RSA 컨퍼런스 스트리밍 캡쳐]

◆ '방어·차단'→'탐지·대응' 아키텍처 강화

제로 트러스트란 '아무도 신뢰하지 않는다'는 원칙을 전제로 모든 접근을 잠재적 보안 위협으로 판단하는 개념이다. 2010년 포레스터(Forrester) 리서치의 존 킨더백(John Kindervag) 수석 애널리스트가 창안했으며, 신원확인과 인증절차 등을 철저히 검증해 네트워크 접속 환경에 따른 정보 접근 범위를 최소화한다.

방어‧차단 위주의 전통적인 보안 모델이 아닌 탐지‧대응을 강화한 아키텍처로 탈바꿈해야 한다는 것. 올해 RSA 컨퍼런스에서 로힛 가이(Rohit Ghai) RSA 최고경영자(CEO)와 지투 파텔(Jeetu Patel) 시스코 보안‧애플리케이션 사업 부문 총괄은 기조연설을 통해 사이버보안의 근본적인 변화를 강조했다.

파텔 총괄은 "공격 기법은 개인화·맞춤형으로 진화하고 있으므로 제로 트러스트 정책을 발전시켜야 한다"며 "로그인 시 사용자 신원과 액세스 권한을 확인하는 것만으로는 충분하지 않으므로 사용자 행동을 정기적으로 평가할 필요성도 부각되고 있다"고 전했다.

RSA에서 언급된 상반기 해킹 공격 트렌드는 ▲컨테이너(Container) 취약점을 이용한 클라우드 공격 ▲계정 탈취 ▲공급망 공격 ▲러시아의 우크라이나 침공에서 비롯된 국가 인프라 해킹 ▲서비스형 랜섬웨어(RaaS) 등 지능화된 랜섬웨어 공격 등이다.

클라우드 전환이 가속화되면서 클라우드 보안도 부각되고 있다. 국내 보안업계 한 관계자는 "제로 트러스트가 부상한 첫 번째 요인은 클라우드로의 전환"이라며 "이 같은 관점에서 이번 RSA에서는 클라우드 보안의 3대 요소인 ID와 데이터, 커넥션(연결) 관련 다양한 솔루션이 공개됐다"고 말했다.

올해 RSA에서 ID 분야는 계정접근관리(IAM)·사물인터넷(IoT) 식별·인증기술 관련 솔루션이, 데이터 분야는 컨테이너 보안을 비롯해 SW 구성분석(SCA)이 주를 이뤘다. 커넥션 분야의 경우 글로벌 보안기업들은 제로 트러스트 구현을 위해 마이크로세그멘테이션(Microsegmentation), SW 정의 경계(SDP) 솔루션 등을 선보였다. 엔드포인트 위협 탐지‧대응(EDR) 전문기업들이 '다계층 위협 탐지‧대응(XDR)'으로 사업 영역을 확장하고 있다는 것도 눈여겨볼 점이다.

◆ 상반기 제로데이 취약점‧랜섬웨어‧가상자산 공격 ↑

SK쉴더스의 화이트해커 그룹인 '이큐스트(EQST)'에 따르면 국외 기준 침해사고 비중이 가장 높았던 업종은 금융권으로 나타났다. 전체 사고 중 25%를 차지했으며, 국내 금융권 침해사고는 16.3%로 집계됐다.

국내에서 가장 침해사고가 많았던 업종은 22.1%를 기록한 제조업으로 조사됐다. 이는 국외(15.3%) 대비 높은 수준이다. 반면 공공‧정부기관을 겨냥한 공격의 경우 국내는 10.8%로 나타났지만 국외에서는 22.2%를 기록했다.

2022년 상반기 업종별 침해사고 발생 통계. [사진=SK쉴더스]

제로데이 취약점과 랜섬웨어, 가상자산을 노린 공격이 상반기에 집중됐다고 EQST는 설명했다. 1월에는 로그포제이(Log4j), 3월에는 스프링포쉘(Spring4shell) 취약점이 연달아 공개되면서 관련 침해사고가 늘었다. 2월에는 탈중앙화 금융(Decentralized Finance, DeFi) 서비스 해킹 공격으로 22억원 규모의 가상자산 피해가 발생한 바 있다.

유형별로는 악성코드 침해사고가 39.2%로 가장 많았다. 이는 RaaS 대중화로 사이버 공격에 대한 진입장벽이 낮아진 영향으로 분석된다. 대표적인 RaaS 랜섬웨어로는 '락빗(LockBit)'과 '콘티(Conti)', '블랙캣(BlackCat)' 등이 있다. 악성코드에 이어 ▲정보유출 32.3% ▲피싱‧스캠 15.7% ▲시스템 장악 11.8% 순으로 침해사고가 많았다. 상반기 가장 활발하게 활동한 랜섬웨어 그룹은 락빗으로 다른 조직 대비 3배 이상 활동량이 많은 것으로 분석됐다.

가상자산 탈취와 랜섬웨어 공격은 하반기에도 이어질 것으로 보인다. 특히 코로나19로 위축됐던 경제활동이 재개되면서 여행업 등을 겨냥한 침해사고도 빈번하게 발생할 것으로 전망된다.

박태환 안랩사이버시큐리티센터(ACSC) 대응팀장은 "상반기에는 타깃형 랜섬웨어 그룹의 왕성한 활동이나 Log4j 등 제로데이를 이용한 공격, 항공우주 영역으로 공격 범위 확대 등이 특징이라고 할 수 있다"며 "하반기에는 디지털 환경의 확산, 국제 정세의 변동, 우주산업 등 새로운 영역의 대두 등으로 사이버 공격 방식과 대상의 다각화가 예상되므로 조직과 개인의 각별한 주의가 필요하다"고 말했다.

앞서 열린 간담회에서 이호석 SK쉴더스 EQST 랩(Lab)장은 "지난해 여행·서비스 산업은 국내 침해사고에서 15.7%를 차지했지만 올해 상반기에는 22.6%로 크게 늘었다"며 "여행 관련 사이트에 지능형지속위협(APT) 공격을 수행하거나 웹 취약점을 이용해 RaaS를 유포하는 공격도 가능한 것으로 분석됐다"고 전했다.

랜섬웨어 그룹들은 수사당국의 감시를 회피하기 위해 조직을 재정비하거나 점조직 형태로 활동하고 있다. 앞서 콜로니얼 파이프라인을 해킹한 '다크사이드(Darkside)'는 수사망이 좁혀오자 '블랙매터(Black Matter)'로 조직을 재정비했다. 지난해 11월부터는 블랙캣 랜섬웨어가 국내에서도 포착되고 있다. EQST는 블랙캣을 블랙매터에서 파생된 조직으로 추정하고 있다.

임진수 한국인터넷진흥원(KISA) 침해사고분석단장은 "상반기 랜섬웨어 공격은 지난해와 비슷한 수준의 규모로 발생하고 있다"며 "엔데믹 시대로 접어들면서 일상 복귀는 가속화되고 있지만 하이브리드 업무 환경은 유지될 것이므로 비대면 환경에서 파생된 침해사고는 하반기에도 유의해야 한다"고 설명했다.

임 단장은 "올해 RSA에서도 강조된 것처럼 제로 트러스트 아키텍처 도입이 필요하다"며 "특히 멀티 팩터 인증 도입 시 주의할 점은 어느 한쪽에서 보안 취약점이 발견되지 않도록 균형있게 구축하는 것이 중요하다"고 강조했다.

/김혜경 기자(hkmind9000@inews24.com)

[ⓒ 아이뉴스24 무단전재 및 재배포 금지]