[딜라이트닷넷] “보안 시작은 엔드포인트에서부터”

[IT전문 미디어 블로그=딜라이트닷넷]

코로나19 이후 하이브리드 업무가 확산된 가운데 PC, 프린터와 같은 엔드포인트(Endpoint) 기기를 겨냥한 사이버범죄가 기승을 부리는 것으로 나타났다. 전체 악성코드 툴의 75%가량은 10달러 이하의 가격이 책정되는 등, 공격도구에 대한 접근성이 높아지면서 사이버위협이 더 바르게 확산되는 중이다.

커지는 위협에도 불구하고 보안에 대한 기업과 개인의 인식 수준은 그에 미치지 못하고 있다는 분석도 제기된다. HP 울프 시큐리티 조사에서는 전 세계 직장인 응답자의 34%는 사이버보안이 업무를 방해하는 요소라고 답했다. 18~24세 응답자 중 48%는 보안이 업무 생산성을 저하한다고도 지적했다.

HP는 보안에 대한 개인의 인식 부족과 무관심은 기업을 위협에 빠뜨릴 수 있는 만큼 인식 개선이 필요하다고 주장한다. 운영체제(OS) 단에서부터 높은 보안 기능을 탑재한 엔드포인트 기기를 도입한다고 강조했다. 특히 네트워크 엔드포인트인 PC나 프린터 등 장치를 보호하는 솔루션은 반드시 갖춰야 하는 필수 요소라고도 제언했다.

해커들은 사용자의 개인 계정을 통해 회사 기기 및 정보 탈취에 성공할 경우 빠르게 수익을 내기 위해 조직화된 랜섬웨어 집단에게 접근권한을 넘기기도 한다. 개인을 노리는 이메일 피싱 공격이 결과적으로 기업 및 단체의 광범위한 피해로 이어지곤 하는 배경이다.

과학기술정보통신부(이하 과기정통부)가 발표한 2022년 사이버보안 위협 분석에서는 접수된 침해사고 건수가 전년대비 1.6배 증가했다. 전체 신고의 약 29%는 금품을 요구하는 악성 프로그램 사고다. 보안 위협이 가장 많이 발생하고 사업에 피해를 주는 사이버범죄는 엔드포인트 기기에서 일어난다는 조사 결과도 있다.

OS를 노린 펌웨어 공격도 고도화되는 추세다. 기존 펌웨어 공격은 해커 집단들이 국가를 상대로만 공격했으나, 지난 1년 동안 바이오스(BIOS) 암호 해킹부터 기기 펌웨어를 노리는 루트킷(Rootkit) 및 트로이 목마(Trojan)까지 OS 단계의 사이버 공격에 대한 개발이 진행되는 것으로 추정된다. 사이버범죄 시장에서는 펌웨어 루트킷이 수천달러에 광고되고 있는 상황이다.

공격자가 펌웨어에 접근할 경우 지속적인 제어가 가능하다. OS에 숨어들 경우에는 악성코드 탐지 프로그램이 실행 전 단계에서 행해지는 경우가 많다 보니 탐지나 제거, 복구 등이 어렵다. 이를 방지하기 위해 기업들은 펌웨어 공격을 예방 및 탐지하고 공격을 받더라도 복구할 수 있는 보안 기술을 필수적으로 구비해야 한다.

원격제어 세션을 통해 주요 데이터나 시스템에 접근하는 '세션 하이재킹(Session Hijacking)'도 증가 추세다. 세션 하이쟁킹은 데이터 및 시스템에 대한 높은 권한을 가진 도메인, 정보기술(IT), 클라우드 및 시스템 관리자를 대상으로 해 더 큰 문제를 야기시킨다.

세션 하이재킹의 경우 주요 시퀀스를 작동시키고 영구 제어를 위한 백도어를 생성하는 공격 명령을 실행하는 데는 수밀리초 밖에 소요되지 않는다. 일반 사용자는 공격을 당하더라도 문제를 인지하지 못하는 경우가 많다. 침투에 성공한 공격자는 특권액세스관리(PAM) 시스템이 멀티팩터인증(MFA)을 실행하는 경우에도 지속적으로 주요 데이터에 접근할 수 있다.

세션 하이재킹 공격이 공장 및 산업 시설에 사용되는 운영기술(OT) 또는 산업제어시스템(ICS)을 노릴 경우, 시설의 전원과 수도까지 통제할 수 있어 운영 가용성 및 안전성 측면에서 큰 물리적 피해를 끼칠 수 있다. 이를 방지하기 위해선 PAW(Privileged Access Workstation)와 같이 물리적으로 독립된 시스템을 사용하거나 하이퍼바이저(Hypervisor) 방식의 가상 분리가 필요하다.

보안이 취약한 인쇄장치를 대상으로 한 공격도 경계 대상이다. 인쇄 장치의 경우 PC에 비해 보안에 대한 인식 수준은 비교적 낮지만 기업 네트워크에 연결된 프린터가 증가함에 따라 이를 통한 사이버 공격의 위험성이 높아지고 있다.

한편 HP는 각종 사이버위협에 맞서기 위해서는 하드웨어 단에서 사이버공격을 예방 및 탐지하고 피해를 복구할 수 있어야 한다고 피력했다.

HP는 자사 비즈니스 PC에 'HP 슈어 시리즈' 솔루션을 내재화해 제공한다. 해당 솔루션은 사용자가 기기 전원을 켠 순간부터 종료할 때까지 모든 단계에 걸쳐 PC를 보호한다. 복구 기능으로 예상치 못한 악성코드 감염에도 인터넷 연결만으로 OS 복구가 가능하다. 이밖에 바이오스 단에서 시스템을 자동으로 치유 및 보호하는 'HP 슈어 스타트', 악성코드가 주요 프로그램을 중단하지 못하도록 하는 'HP 슈어 런', 링크 및 메일 클릭시 격리된 가상공간에서 열리도록 하는 'HP 슈어 클릭' 등의 엔드포인트 보안 솔루션을 제공한다.

[이종현 기자 블로그=데이터 가드]

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -