코로나 백신의 대중화와 코로나19 확산 예방 조치에도 불구하고 예방하기 더 어려운 변종의 등장은 꾸준히 전세계를 위협하고 있다. 코로나 변종와 유사하게 2022년에는 기업이 새로운 네트워크 보안 도구 및 보호 기능을 배포함에 따라 산업제어 보안 위협 또한 빠르게 변혀오딜 것으로 보인다. 최근 세계를 강타한 Log4j2 슈퍼 취약점은 네트워크 보안의 “코로나19″바이러스로 불리고 있으며 이 산업제어 보안 분야는 Log4j2 취약점의 가장 큰 타격을 받는 분야 중 하나가 될 것으로 예상되어 산업 보안 상황을 더욱 악화시킬 것으로 보인다.

다음은 2021년 모니터링 데이터를 기반으로 한 카스퍼스키의 2022년 APT 공격 및 산업제어 보안 위협 예측의 주요 내용이다.

  1. APT 공격의 4대 추세

1) 단일 공격의 대상 수 감소 : 사이버 범죄 활동에서 개인에 대한 공격은 점점 더 표적성을 띄고 있으며 공격 당 희생자 수는 감소 하고 있다. 예를 들어 스파이웨어 기반 인증 데이터 도용 관련 범죄에서 공격들은 매우 적은 수의 목표(1개~수십개)를 대상으로 하는 새로운 경향을 보였다. 이러한 추세는 빠르게 불어나고 있으며 일부 지역에서는 산업용 제어 시스템을 대상으로 하는 스파이웨어의 20%가 이 전략을 사용하여 공격받고 있다. 내년에는 이러한 공격이 위협 환경에 더 큰 부분을 차지할 수 있으며 이 전략은 다른 유형의 위협으로도 확산될 수 있다.

2) 악성코드 수명주기 단축 : 백신 탐지를 우회하기 위해 점점 더 많은 사이버 범죄자들은 본인들이 선택한 계역의 악성코드를 자주 업그레이드 하는 전략을 채택한다. 이들은 악성코드를 사용하여 보안 솔루션의 방어장치를 최대한 효율적으로 우회하여 침투하고 현재 버전에 대한 탐지 가능성이 생긴다면 즉시 새 버전으로 업데이트 한다. 특정 유형의 위협(이를테면 스파이웨어)의 경우 개발 및 배포 수명 주기가 단축되고 있으며 대부분의 경우 3~4주를 초과하지 않고 보통 이보다 더 짧은 경우가 많다. 최신 MaaS 플랫폼의 개발로 인해 글로벌 악성코드 운영자가 이 전략을 사용하기가 더욱 수월해졌다. 이 같은 방식은 다양한 위협 시나리오에서 더 자주 발생할 것이다. 공격 당 희생자수의 감소와 함께 이 전략의 광범위한 사용은 더 많은 유형의 멀웨어 공격으로 이어지게 될 것이다.

3) “고급”보다 “오래 지속”이 중요 : 점점 더 많은 APT 공격이 “지속성(장기전)” 전략을 채택하기 시작했다. APT의 P(지속성)는 A(고급)에 대한 의존도가 낮아졌다. 특히 APT 운영자들은 비용이 많이 들고 복잡한 “고급” 프레임을 피하기 위해 프레임워크를 사용하는 대신 툴킷을 확장하고 정기적으로 업그레이드하면서 저비용 방식으로 장기간 집요하게 피해자의 인프라에 평범하게 머무를 수 있는 방법을 택한다. 이 전략은 APT 활동에서 점점 더 자주 채택될 것이다.

4) 악성 인프라 사용 최소화 : 보안 도구 및 보호 수단과의 싸움에서 공격자는 공격에 의해 남겨진 탐지 가능한 흔적을 줄이기 위해 끊임없이 노력할 것이다. 특히 공격자가 악성 인프라의 사용을 최소화하고 있음이 분명하다. 예를 들어 APT 공격에서 일부 C&C 서버의 수명주기는 공격 단계에서 몇 시간 이상 실행되지 않을 정도로 매우 짧다. 때떄로 공격자는 악의적인 인프라를 사용하지 않으려고 할 뿐만 아니라 의심스럽고 신뢰할 수 없는 인프라도 사용하지 않는다. 예를 들어 스파이웨어 공격에서 널리 사용되는 전략은 대상 피해자의 파트너 조직에서 조직한 감염된 기업 이메일 계정에서 피싱 메일을 보내는 것이다. 이 경우 신중하게 설계된 피싱 메일의 내용은 실제로 합법적인 이메일과 구별할 수 없으며 자동화된 도구로 탐지하는 것이 거의 불가능하다.

 

[출처 : 中보안매체 / 12.24.]