이 게시글은 2017년 사이버 보안 분야에서 “확실한 예측”(맞아떨어질 것이 가능성이 높은 예측)과 “대담한 예측”(실현될 가능성이 덜한 예측)을 살펴보는 블로그 연재물의 일부입니다.

다음은 저희가 2017년에 위협 환경에서 일어날 것으로 예측하는 것들입니다.

확실한 예측

랜섬웨어 비즈니스 모델이 새 플랫폼으로 이동합니다.

저희가 지난 5월 보고서에서 강조했듯이 랜섬웨어는 멀웨어 문제가 아닌 범죄 비즈니스 모델입니다. 멀웨어는 일반적으로 공격자가 배상금을 얻기 위해 시스템을 정지하는 메커니즘이지만, 이는 단지 목적 달성을 위한 수단일 뿐입니다. 저희 보고서에서 언급했듯이 랜섬웨어 비즈니스 모델에서는 공격자가 다음과 같은 다섯 가지 작업을 성공적으로 수행할 것을 요구합니다.

  1. 시스템 또는 장치를 장악. 여기에는 소프트웨어를 실행할 수 있는 단일 컴퓨터, 휴대 전화 또는 기타 시스템이 포함될 수 있습니다.
  2. 소유자의 접근을 막습니다. 이 보고서에서 나중에 설명하겠지만, 이 작업은 암호화, 화면 잠금 또는 심지어 단순 협박 전술을 통해 이루어집니다.
  3. 소유자에게 장치가 정지되었음을 알리고, 이를 해제하기 위해 배상금의 송금 방법 및 액수를 지시합니다. 이 단계는 명백하게 보일 수도 있지만, 공격자와 피해자가 종종 다른 언어를 사용하고 다른 지역에 거주하며 전혀 다른 기술적 능력을 보유하고 있다는 점을 잊지 말아야 합니다.
  4. 장치 소유자가 보낸 금품을 받습니다. 공격자가 지급된 금품을 받을 수 없는 경우 그리고 가장 중요한 것으로, 사법 당국의 목표물이 되지 않고는 금품을 받을 수 없는 경우 위의 세 단계는 허사가 됩니다.
  5. 금품을 받은 후에 장치 소유자에게 액세스 권한을 모두 돌려줍니다. 공격자가 금품을 받은 후 장치에 대한 액세스 권한을 돌려주지 않을 수도 있겠지만, 이렇게 되면 얼마 지나지 않아 이 책략의 유효성을 상실하게 됩니다. 왜냐하면 자신의 소중한 것을 되돌려받을 수 없다고 생각하면 이후에는 누구도 배상금을 지불하려 하지 않을 것이기 때문입니다.

랜섬웨어 비즈니스 모델은 이러한 다섯 가지 작업을 모두 수행할 수 있는 모든 장치, 시스템 또는 데이터를 목표물로 삼습니다. 2016년 8월 DEFCON 24에서 Pen Test Partners 소속 연구자들은 인터넷에 연결된 온도 조절 장치를 접수하여, 제어 장치를 잠근 후 1비트코인 지불을 요구하는 협박 게시물(그림 1)을 화면에 표시하는 작업을 시연하였습니다.

그림1

그림 1: DEFCON 24의 인터넷 연결 온도 조절 장치에 표시된 협박 게시물

이것은 실제 공격이 아니었지만, 2017년에는 이와 유사한 화면이 인터넷 연결 장치에 반드시 나타날 것입니다. 사이버 범죄자들에게는 돈을 버는 것이 가장 중요한 일이기 때문입니다. 그들이 어떤 장치를 장악한 경우 그러한 장악은 돈으로 바꿀 수 있는 경우에만 진정한 가치가 있는 것입니다. 그들이 인터넷에 연결된 냉장고를 장악할 경우 아마도 팔거나 현금화할 수 있는 데이터를 찾으려고 애쓸 것입니다. 그러나 작은 액수의 배상금을 대가로 냉장고를 정지하는 범죄는 수익성이 아주 높을 수도 있습니다. 이는 위에서 설명한 다섯 가지 작업을 완수할 수 있는 한, 거의 모든 인터넷 연결 장치에 동일하게 적용됩니다. 피해자가 모스(Morse) 부호로 대화할 수 있는 경우가 아니라면 인터넷 연결 전구를 통해 협박 게시물을 전달하는 것은 어려울 것입니다.

정치 관련 정보의 유출이 일상화될 것입니다.

2016년 언론 기사를 돌아보면 정치적 성격을 지닌 데이터의 유출이 분명히 미국에서 큰 영향을 미쳤습니다. 선거가 끝난 후에도 이러한 유형의 침입은 전 세계적으로 계속될 것으로 예측합니다.

정치에 초점이 맞춰진 데이터 유출의 특징 중 하나는 정부 관계자들에게는 바람직하고 유권자들에게는 위험하다는 것입니다. 다음과 같은 사항을 고려하십시오.

  1. 수년에 걸친 위키리크스 및 기타 유출로 인해 대중은 유출된 정보가 기본적으로 참이라는 전제하에 이를 받아들이게 되었습니다. 이전에 배포된 데이터가 참일 수 있으나, 이러한 선입견은 유권자들에게 영향을 미치고자 하는 유출자에 의해 쉽게 악용될 수 있습니다.
  2. 유출된 데이터가 변경된 경우 침해를 당한 당사자는 그러한 변경 내용을 반박할 합당한 방법을 찾지 못할 수 있습니다. 문서의 디지털 서명은 그 문서의 정보가 참이라는 것을 증명할 수 있지만, 디지털 서명이 없다는 것이 그 문서가 거짓임을 증명하지는 못합니다.
  3. 정부 조직(또는 정부의 지원을 받는 조직)은 핵티비스트로 가장한 첩보 활동을 통해 얻은 정보를 배포함으로써, 그가 끼친 안 좋은 정치적 영향에 무죄를 선언할 수 있습니다. 유출된 데이터를 폭로한 침입의 배후에 정부가 있었다는 강력한 증거가 있어도, 그럴 듯한 부인을 하는 경우가 있을 수 있습니다.

국가 A 그리고 국가 C를 우호적으로 여기지 않는 국가 B 간의 무역 협상을 기술한 비밀 문서와 관련된 사례를 생각해봅시다. 국가 C가 협상 관련 세부 정보를 기술한 합법적 문서를 획득하여 국가 A에 크게 유리한 내용으로 변경한 버전을 배포하는 경우 국가 C의 유권자들의 분노로 인해 그 협상이 실패할 수도 있습니다. 이러한 유출 내용이 사실이 아님을 증명하려면 국가 A와 B는 실제 문서를 배포해야 하는데, 이것 역시 협상에 문제점을 야기할 수 있습니다.

정부의 투명성에 대한 정치적 신조나 견해에 상관없이 특정 당사자가 현재 환경을 어떻게 남용할 수 있는지 이해하는 것이 중요합니다. 정치적 유출은 이를 통해 큰 효과를 얻으면서도 그에 대한 징벌은 받을 가능성이 거의 없는 정보 작전의 한 형태입니다. 2016년에 우리가 본 일들이 이제는 일상화될 것입니다.

대담한 예측

막대한 이메일 유출에 대한 반응으로 암호화된 메시지 앱이 광범위하게 사용될 것입니다.

사람들이 2016년의 유출 사건에서 얻은 교훈이 있다면 아마도 다음과 같은 내용일 것입니다.

신문 첫 페이지에 대서특필되기 원하지 않는 내용을 이메일에 쓰지 말아라.

이는 속으로 받아들이기 어려운 교훈입니다. 이메일은 전 세계 대부분의 지역에서(그리고 이 글을 읽는 사람들에게) 비동기 통신이 되었기 때문입니다. 그러나 우리가 명심해야 할 교훈입니다.

특정인에게만 보내는 메세지를 전송시 이메일의 사용은 여러가지 문제가 있습니다. 메시지가 목적지에 도달한 후 비암호화 상태로 머무는 경우가 종종 있습니다. 암호화되어 있다 하더라도 발신자는 일반적으로 수신자 시스템의 보안을 제어할 수 없습니다. 수신자는 이메일의 암호를 해제하여 일반 텍스트로 저장하거나 암호화 키를 잘못 처리할 수 있습니다. 대부분의 경우 메시지는 자동으로 분류, 카탈로그화 및 인덱스 처리되므로, 개인이 임시 액세스 권한만 가지고도 키워드로 기밀 사항을 끄집어내 알려지지 않은 수신자에게 전달할 수 있습니다.

사적인 메시지를 공유하고 싶을 때 전화 통화에만 의존하는 방법을 고려한다면 그것도 적절한 생각은 아닙니다. 그러나 기술 솔루션을 고려할 때 십 대 청소년들의 전화 사용에 주목해봐야 합니다. Snapchat의 가장 강력한 기능은 수신자가 메시지를 읽으면 자동으로 삭제된다는 것입니다. 따라서 사용자는 메시지를 보낼 때 다른 사람과 공유되는 데에 대한 걱정을 덜 수 있습니다. 현재 Telegram, Wickr, SignalAllo 등 보안에 초점을 맞춘 메시지 시스템이 많이 있는데, 이들은 종단 간 암호화 및 자동 삭제 메시지 기능이 있습니다. 누군가 이 메시지를 화면 캡처할 수 있기는 하지만 이메일보다는 훨씬 더 안전합니다.

2017년에 이 서비스가 확대되리라는 예측이 불확실한 이유는 많은 사용자들이 이메일에서 이 메시지 시스템으로의 전환에 불편함을 느낄 수 있기 때문입니다. 그러나 광범위한 유출 사건에서 교훈을 얻은 사람들은 사적인 생각을 공유할 수 있는 다른 방식을 찾을 것입니다.

위협 환경과 관련해 사이버 보안의 동향을 어떻게 예측하십니까? 댓글을 통해 여러분의 생각을 공유하고 네트워크 보안에 대한 예측을 공유할 다음 게시글도 기대해 주시기 바랍니다.

cp17-infographic-phase1