신휴근* Ⅰ. 들어가며 92 Ⅱ. 국내 금융IT 정보보호 환경 93 1. 전자금융거래 환경 93 2. 보안사고 유형 및 대책 95 Ⅲ. 2013년 주요 이슈 96 1. 이슈 분석 개요 96 2. 이슈 분석 97 Ⅳ. 2014년 동향 예측 112 1. 예측 분석 개요 112 2. 예측 분석 115 Ⅴ. 2014년 국내 금융IT 관련 정보보호 주요 이슈 120 1. 전자금융사기 수법의 고도화 120 2. 모바일 지급결제에 대한 위협 증가 121 3. 금융회사에 대한 APT 공격 지속 122 Ⅵ. 맺으며 123 참고문헌 125 * 금융결제원 금융정보보호부 과장(E-mail: hkshin@kftc.or.kr) 90 지급결제와 정보기술 제55호 (2014. 1) 금융결제원 90
< 요 약 > 정보보호업계에서는 한 해를 정리하고 다음 해를 준비하는 차원에서 매년 동향 예측 보고서를 발표한다. 이와 관련하여 금융결제원에서는 2011년부터 정보보호업 계의 동향 예측자료들을 수집 분석하여 TOP 10 이슈를 도출하고 금융IT 분야의 정보보호 이슈를 예측해 왔다. 2013년 2차례에 걸쳐 총 70여개 기관으로 발생한 3.20 전산장애사고 및 6.25 사 이버공격을 통해 지능형지속가능위협(APT)은 잠재적인 보안 위협이 아닌 현실화된 보안 위협이 되었다. 또한 스마트폰 등 모바일기기의 확산은 금전적 이득을 노리는 사이버 범죄조직의 관심을 끌어 스미싱 공격의 증가로 이어졌다. 스미싱 악성코드는 2012년 대비 약 150배 이상 증가하였으며 약 2.8만건의 스미싱 공격에 이용되었다. 그로 인한 피해금액은 약 54.5억원에 달한다. 아울러 전자금융사기수법은 보안 프 로그램 무력화, 이체정보 변조 등 전자금융서비스를 직접 공격하는 방향으로 진화 하였으며, 피싱, 파밍, 스미싱, 메모리 해킹 등 매우 다양한 형태로 나타났다. 2014년의 정보보호동향 예측을 위하여 국내 외 정보보호업체, 언론 및 관련 기 관에서 발표한 총 20종의 자료를 수집하여 총 144건의 이슈를 분석하였고 이를 토 대로 악성 프로그램 위협, 스마트폰 등 모바일 관련 위협, 목표 대상이 명확한 조직 적 공격, 보안관제의 변화, 만물 사물인터넷 보안 위협을 포함한 TOP 10을 선정하 였다. 그 중에서도 특히 응용 프로그램 취약점을 이용한 공격 지속, 악성 프로그램의 탐지와 분석을 방해하는 다양한 기술 적용, 정보를 인질로 삼는 랜섬웨어와 관련된 악성 프로그램 위협, 안드로이드 OS 악성 프로그램의 급증, 윈도우즈 악성코드 수 준의 모바일 악성코드 증가와 관련된 스마트폰 등 모바일 관련 위협, 핵티비즘 공격 증가, 공격 방법의 다변화, 신뢰체인 상의 가장 약한 부분을 표적으로 선정하는 목 표 대상이 명확한 조직적 공격 등이 2014년에 주류를 이룰 것으로 예상된다. 2014년 정보보호분야의 동향 예측 분석 결과를 반영한 금융권의 IT 이슈로는 정 부, 언론 등을 포함하여 사회 근간이 되는 조직을 대상으로 한 APT의 반복적인 발 생, 전자금융서비스를 직접 공격하는 해킹 방법의 지능화 고도화 등이 있을 것으로 예상된다. 본고를 통하여 발생 가능한 보안 위협들의 리스크를 분석하여 금융권은 물론 관 계기관간 공조로 선제적인 대응방안을 마련함으로써, 사회의 안녕은 물론 금융회사 의 보안성과 안전성이 향상되기를 기대한다. 금융결제원 91
Ⅰ. 들어가며 정보보호업계에서는 한 해를 정리하고 다음 해를 준비하는 차원에서 매년 동향 예측 보고서를 발표한다. 이와 관련하여 금융결제원은 국내 외 정보보호업계의 동향 예측 자료들을 수집 분석하여 TOP 10 이슈를 도출하고 금융IT 분야의 정보보호 이슈를 예측해 왔다. 2013년 2차례에 걸쳐 총 70여개 기관으로 발생한 3.20 전산장애사고 및 6.25 사이버 공격으로 인해 지능형지속가능위협(Advanced Persistent Threat, 이하 APT )은 잠 재적인 보안 위협이 아닌 현실화된 보안 위협이 되었다. 또한 스마트폰 등 모바일기기는 금전적 이득을 노리는 사이버 범죄조직의 공격채널로 악용되면서 스미싱 공격의 증가로 이어졌다. 스미싱 악성코드는 2012년 대비 약 150배 이상 증가하였으며 약 2.8만건의 스미싱 공격에 이용되었다. 그로 인한 피해금액은 약 54.5억원에 달한다. 또한 2013년은 인터넷뱅킹 등 전자금융거래를 위협하는 전자금융사기수법이 피싱, 파밍, 스미싱, 메모리 해킹 1) 등으로 매우 다양화 되었으며 보안 프로그램 무력화, 이체 정보 변조 등을 통하여 전자금융서비스를 직접 공격하는 방향으로 진화된 한 해였다. 본고의 구성은 다음과 같다. 우선 제Ⅱ장에서는 전자금융거래 환경을 살펴보고 최근 발생한 주요 보안사고 유형 및 대책을 정리하고자 한다. 제Ⅲ장에서는 2013년에 예측 한 정보보호동향 예측 TOP 10과 실제 현실화된 대표사례를 비교 분석하여 지난 한 해의 주요 이슈들을 정리하고자 한다. 제Ⅳ장에서는 국내외 정보보호업체, 관련 기관, 언론 등 총 20개 기관에서 발표한 2014년 정보보호동향 예측 자료를 분석하여 2014 년의 주요 이슈가 될 것으로 예상되는 2014년 정보보호동향 예측 TOP 10을 선정하고 주요 동향에 대하여 분석하고자 한다. 제Ⅴ장에서는 2014년 정보보호동향 예측 TOP 10을 국내 금융IT 환경에 반영하여 국내 금융IT 관련 정보보호 주요 이슈를 도출한 후 제Ⅵ장에서 본고를 맺고자 한다. 본고를 통해 발생 가능한 위협들의 보안 리스크를 분석하여 선제적인 대응방안을 마 련함으로써, 금융회사의 보안성과 안전성 향상에 기여할 수 있을 것으로 기대한다. 1) 피싱(Phishing)은 개인정보(Private Data)와 낚시(Fishing)의 합성어로 위장 홈페이지를 통해 개인 정보를 빼 내는 행위, 파밍(Pharming)은 넓은 의미에서 피싱의 한 유형으로 도메인 정보를 중간에서 탈취하여 개인 정보 를 빼내는 행위, 스미싱(Smishing)은 문자메시지(SMS)와 낚시(Fishing)의 합성어로 휴대폰 사용자에게 웹사 이트 링크를 보내 악성코드에 감염시키는 행위, 메모리 해킹은 정상 프로그램의 메모리 정보를 위변조하여 중요 정보를 빼내는 행위이다. 92 지급결제와 정보기술 제55호 (2014. 1)
Ⅱ. 국내 금융IT 정보보호 환경 1. 전자금융거래 환경 가. 인터넷뱅킹 모바일뱅킹 이용 확대 2013년 3/4분기 기준 전체 인터넷뱅킹 등록고객수 2) 는 9,347만명으로 전년대비 8.1% 증가하였으며, 모바일뱅킹 등록고객수는 4,706만명으로 스마트폰 이용고객의 증가에 따라 전년대비 27.0% 증가하였다. 인터넷뱅킹(모바일뱅킹 포함) 이용규모는 2013년 3/4분기 일평균 기준 5,476만건, 33.5조원으로 전년대비 각각 19.7%, 0.7% 증가하였다. 스마트폰의 대중화에 따라 전 체 인터넷뱅킹 이용규모 중 모바일뱅킹 건수 비중은 40.7%로 증가 추세에 있으나, 금 액 비중은 전분기와 동일한 4.2% 수준을 유지하였다(그림1 참조). 전자금융거래 중 비대면거래의 비중과 비대면거래 중 인터넷뱅킹의 비중이 여전히 증 가추세에 있어 대표적인 전자금융채널로 정착한 인터넷뱅킹은 금전적 이득을 노리는 사 이버 범죄조직의 주된 표적이 될 것으로 보인다(표1 참조). 45 40 35 30 25 20 15 10 5 0 <그림1> 인터넷뱅킹 중 모바일뱅킹 비중 (단위: %) 건수 금액 11.2 19.7 28.3 35.8 38.1 40.7 6.5 4.7 0.7 1.0 1.4 2.0 2.9 3.8 4.2 4.2 2008 2009 2010 2011 2012 2013.1/4 2013.2/4 2013.3/4 자료: 한국은행 금융결제국, 2013년 3/4분기 국내 인터넷 뱅킹서비스 이용현황, 2013. 11. <표1> 금융채널별 업무처리비중 (단위: %) 구 분 대면거래 비 대 면 거 래 (창구거래) CD/ATM 텔레뱅킹 인터넷뱅킹 합계 2011. 9 13.5 86.5 42.5 15.8 28.1 100.0 12 13.3 86.7 42.1 15.7 28.9 100.0 2012. 3 12.8 87.2 43.0 15.2 28.9 100.0 6 12.3 87.7 43.7 15.2 28.8 100.0 9 12.2 87.8 42.7 14.8 30.3 100.0 12 13.0 87.0 39.8 13.4 33.9 100.0 2013. 3 12.3 87.7 42.3 14.0 31.4 100.0 6 11.6 88.4 42.2 13.7 32.5 100.0 9 11.6 88.4 41.2 13.3 33.9 100.0 자료: 한국은행 금융결제국(2013. 11) 2) 동일인이 여러 은행에 가입한 경우 중복 합산한다. 금융결제원 93
나. 모바일 지급결제서비스의 다양화 스마트폰은 통화기능 이외에 언제 어디서나 인터넷, 커뮤니케이션, 대금 결제, 마케팅 등을 가능하게 함으로써 정치 경제 사회 전반에서는 물론 일상에 혁신적인 변화를 가져왔다. 한국인터넷진흥원(KISA)의 스마트폰 이용 실태조사 3) 에 따르면 스마트폰 이 용자의 58.6%는 스마트폰 뱅킹거래, 17.8%는 스마트폰 주식거래 경험이 있는 것으로 나타났다. 스마트폰 이용자의 59.9%가 모바일쇼핑 경험이 있는 것으로 나타났고 그 중에서 48.7% 이상은 신용카드, 계좌이체 등과 같은 전통적인 지급수단을 이용하지 않은 것 으로 조사되었다. 또한 NFC 스마트폰 이용자 중 4.3%만이 NFC를 이용한 결제경험 이 있는 것으로 나타났고 NFC 미경험자의 82.4%는 향후 NFC를 이용할 의향이 있으 며 그 중 37.4%는 NFC를 이용한 모바일결제 서비스를 이용할 의향이 있다고 응답하 였다. 이와 같은 스마트폰 중심의 모바일기기 확산, 그리고 모바일기기에 대한 이용자의 인 식 변화 등으로 모바일지갑, 코드스캐닝 결제, 서버형 결제, 모바일 POS 등의 다양한 지급결제서비스가 등장하게 되었다(표2 참조). 최근 주목받고 있는 신유형의 지급결제서비스는 이용자의 편리성에 초점이 맞추어 고 안되었으므로 보안상 취약점을 가지고 있을 가능성이 높으며 사이버 범죄조직은 이 약 점을 표적으로 삼을 것으로 보인다. <표2> 신유형 지급결제서비스 구 분 모바일지갑 코드스캐닝 결제 서버형 결제 모바일 POS 내 용 화폐뿐 아니라 각종 쿠폰 티켓 교환권 등 다양한 가치를 저장하여 복합적인 결제서비 스를 제공 바코드 QR코드를 활용해 지급거래 개시방법을 변형시킨 서비스 이용자가 신용카드번호 등 자신의 결제정보와 결제용 키를 특정 서버에 미리 등록해 두 고, 결제시 복잡한 결제정보 대신 키 값만 입력하여 간단하게 결제하는 서비스 스마트폰, 태블릿 PC 등의 모바일기기를 카드 결제단말기로 사용하는 방식의 서비스 자료: 김서영, 국내외 신유형 지급결제서비스 현황과 시사점, 2013. 1. 3) 한국인터넷진흥원, 2012년 스마트폰이용실태조사, 2013. 2. 94 지급결제와 정보기술 제55호 (2014. 1)
2. 보안사고 유형 및 대책 2013년에 발생한 보안사고 유형은 전자금융거래, 전자상거래를 대상으로 한 신 변 종 금융사기 위협과 정부, 언론, 금융사를 노리는 APT로 분류할 수 있다. 이에 대한 <표3> 보안사고 유형 및 대책 사고명 시기 피해규모 주요대책 신용카드 온라인 (안전결제, 안심클릭) 부정결제 사고 2012. 11 총 230개 카드 에서 약 1.7억원 피해 발생 - (2013. 4) 온라인결제 보안강화 종합대책 부정결제가 빈번하게 발생하는 사이트(게임사이트 등) 거 래에서 본인인증 및 부정방지 모니터링 강화 모바일 상의 본인인증 강화 - (2013. 3) 통신과금서비스 이용자 보호 개선 대책 통신과금서비스 대상 스미싱 사기 피해 사고 2013. 1 4 약 1만건의 거래 에서 약 9.8억원의 피해 발생 법제도 개선(명시적 동의자만 이용 등), 자율규제 및 모니 터링 강화(실시간 결제분석 강화 등) 공동 대응체계 구축 및 홍보 강화(통신과금서비스 안전 결제 협의체 신설 등) 악성코드에 의한 공인인증서 대량 유출 사고 2013. 2 90대의 서버에서 유출된 709건의 공인인증서 발견 - (2013. 3) 보이스피싱 합동 경보 발령 신종 보이스피싱 피해 발생에 따른 대국민 유의사항 전파 를 위해 금융위원회 경찰청 금융감독원 합동으로 발령 방송 금융사 전산장애사고 (6개 기관) 2013. 3 약 4.8만대의 전산 장비 디스크 및 데이터 파괴 - (2013. 7) 금융전산 보안 강화 종합대책 금융전산 위기대응 체계 강화(금융전산 보안 컨트롤타워 역할 강화, 침해사고 대응 전담반 운영 등) 정부 방송 신문사 사이버공격 (62개 기관) 2013. 6 DDoS 공격, 악성 코드 유포를 통한 서버장비 파괴 및 홈페이지 변조 금융회사의 전자금융기반시설 보안 강화(금융전산 망분 리 의무화, 금융전산시설 내부통제 강화 등) 금융회사의 보안조직 인력 역량 강화(CISO의 역할 및 독 립성 강화) 등 - (2013. 8) 신 변종 전자금융사기 합동 경보 발령 메모리 해킹, 정상계좌 이용 등 금융사기 수법이 진화한 데 따른 대국민 유의사항 전파 신 변종 금융사기 피싱 파밍 스미싱 공격 2013. 8 (메모리 해킹 등 서비스와 밀접하 게 결합되는 방식 으로 공격 수법이 갈수록 고도화) - (2013. 9) 전자금융사기 예방서비스 전면 시행 공인인증서 재발급 및 인터넷뱅킹을 통한 자금 이체(1일 누적 기준 300만원이상)시 본인 확인절차 강화 - (2013. 12) 신 변종 전기통신금융사기 피해방지 종합대책 지능화 다양화되고 있는 전기통신금융사기에 전방위적으 로 대응하기 위해 단계별 세부방안(문자발송 정보탈취 단계, 불법이체 결제 단계, 수사 단계, 사기예방 홍보 등) 을 마련 국내 외 공조체계 및 예방홍보를 위한 노력 등을 더욱 강화 금융결제원 95
대책으로 금융당국은 컨트롤타워 역할 강화, 금융권 보안 거버넌스 확립, 금융회사 IT 보안 역량강화, 보안 취약요소 개선 등을 위한 정책을 수립하였고 금융회사는 보안투 자 인력보강 등 자체 거버넌스 확립, 내부통제 강화, 기술적 보호조치 강화 등 전자금 융서비스의 신뢰도 제고를 위해 노력하였다(표3 참조). Ⅲ. 2013년 주요 이슈 1. 이슈 분석 개요 2013년은 정부, 언론사, 금융회사 등 사회의 근간이 되는 조직을 공격하여 혼란을 야 기하는 핵티비즘(Hacktivism) 4) 유형의 APT가 반복적으로 발생하고 전자금융서비스를 직접 공격하는 방식으로 해킹 방법이 지능화 고도화된 한 해였다. 또한 전자금융서비스와 직접적으로 관련이 없는 피싱, 파밍 공격 등을 통해 수집한 금융거래 정보로 부정거래를 유발하던 소극적인 방식에서 실제 전자금융거래 과정에 직 접 개입하여 보다 정교한 방식으로 전자금융거래 정보를 실시간으로 수집 이용하는 적 극적인 방식으로 금전적 이득을 취하려는 해킹 사고가 증가하였다. 아울러 모바일기기를 이용한 금융거래, 전자상거래 시장 등에서 금전적 이득을 취하려 는 보안 위협은 모바일기기에 대한 신 변종 악성코드의 증가로 나타났다. 이와 관련하여 2013년 금융IT 정보보호동향 예측 분석 보고서에서 선정한 2013년 정보보호동향 TOP 10을 기준으로 지난 해 발생한 보안사고 및 보안이슈를 정리하였 다(표4 참조). <표4> 2013 정보보호동향 TOP 10 및 대표 사례 순 위 TOP 10 대표 사례 1 2 스마트폰 등 모바일 관련 위협 목표 대상이 명확한 조직적 공격 - 모바일 악성 프로그램의 급증 - 통신과금서비스 및 전자금융거래정보(모바일뱅킹) 대상 스미싱 사기 피해사고 급증 - 윈도우즈 OS 악성코드 수준으로 진보된 신종 악성코드 등장 - 방송 금융 대상 3.20 전산장애사고 발생 - 정부 언론 대상 6.25 사이버공격 발생 4) 해킹(hacking)과 행동주의(activism)의 합성어로, 공격대상 시스템에 침입하여 정치적 사회적 목적으로 해킹이 나 시스템을 파괴하는 행위이다. 96 지급결제와 정보기술 제55호 (2014. 1)
순 위 TOP 10 대표 사례 3 악성 프로그램 위협 - 응용 프로그램 취약점을 이용한 드라이브 바이 다운로드(Drive By Download) 5) 공격 증가 - 전자금융사기수법의 지능화 고도화 - 랜섬웨어(Ransomeware) 6) 의 지능화 고도화 4 보안관제의 변화 - 위험 및 상황 기반 지능형 통합 보안관제 체계 구축 증가 5 클라우드 컴퓨팅 보안 - 국가 정부 차원의 클라우드 서비스 접근에 따른 클라우드 데이터 유출 위협 6 7 사회 전반으로 공격 대상 확대 소셜 네트워크 서비스 위협 - 정부 언론 금융 군 교육 의료 등 사회 전반을 대상으로 하는 서비스에 대 한 공격 증가 - 소셜 네트워크 서비스 보안사고 발생 - 공격 대상 관련 정보 수집 채널로 활용 8 보안관제 대상의 확대 - 네트워크 가시성 확보를 위하여 다양한 정보 수집 9 빅데이터 보안 위협 - 빅데이터 정보에 대한 보안 조치 부재 10 데이터 유출 - 국내 금융권 데이터 유출 사고 발생 - 해외 소셜 네트워크 서비스 개인정보 유출 사고 5) 2. 이슈 분석 6) 가. 스마트폰 등 모바일 관련 위협 2013년말 기준 인터넷이 가능한 기기 중 모바일기기의 점유율은 전 세계적으로 20.6% 에 달하며 지난 2년 동안 약 14%p가 증가하였다. 국내의 모바일기기 점유율은 2010 년 대비 19.6%p 증가하였으며 2013년말 기준 31.4%의 점유율을 보이고 있다(그림2 참 조). 모바일기기 발전에 걸림돌이 되었던 소형화, 경량화, 저전력화에 관련된 기술의 획기 적인 발전과 더불어 이동성, 휴대성, 유용성 등에서 오는 생활의 편리함으로 모바일기기 가 확산된 것으로 보인다. 이런 변화는 서비스 생태계에도 영향을 끼쳐 모바일 중심으로 바뀌어 가는데 큰 힘이 되고 있다. 그러나 이러한 서비스 생태계의 변화는 금전적 이득을 얻기 위하여 활동하는 사이버 범죄조직의 관심을 데스크톱에서 모바일기기로 전환시키고 있다. 2011년부터 2013년까 지 연도별, 분기별 모바일 악성코드 통계의 변화로 이를 확인할 수 있는데, 보안업체 카 5) 컴퓨터의 취약점을 이용하여 사용자의 동의없이 임의의 코드가 PC에 설치하는 공격 기법을 의미한다. 6) 악성 프로그램을 PC에 감염시킨 다음 문서 파일에 암호를 걸어놓고 암호를 풀어주는 조건으로 금품을 요구하 는 목적의 악성 프로그램을 의미한다. 금융결제원 97
100 90 80 70 60 50 40 30 20 10 0 <그림2> 데스크톱 vs 모바일기기 점유율 (단위: %) 전 세계 우리나라 100 90 80 70 60 50 40 30 20 10 2010 2011 2012 2013 0 2010 2011 2012 2013 Desktop Mobile Tablet Desktop Mobile Tablet 자료: gs.statcounter.com 스퍼스키(Kaspersky)와 안랩(Ahnlab)의 통계에 따르면 모바일 악성코드 샘플수와 탐 지수가 전년대비 각각 약 11.5배, 3.3배 증가하였다(표5, 표6 참조). <표5> 해외 모바일 악성코드 샘플수 (단위: 건) 구 분 2011 2012 2013 1/4 68,286 2/4 98,012 - - 3/4 111,367 4/4 148,778 계 7,500 34,000 426,443 자료: 카스퍼스키 <표6> 국내 모바일 악성코드 탐지수 (단위: 건) 구 분 2011 2012 2013 1/4 35 11,923 206,628 2/4 75 10,772 440,291 3/4 286 90,207 275,788 4/4 7,894 149,797 200,973 계 8,290 262,699 1,123,680 자료: 안랩, 2013년 7대 보안 위협 트렌드, 2013. 12 모바일 악성코드는 Trojan-SMS 유형이 36%로 가장 높은 비중을 차지하고 있으며, Backdoor 26%, Trojan 16%, Trojan-Downloader 7%, 기타 15% 순으로 나타나고 있다. 해외에서 유행한 프리미엄 SMS 결제시스템을 통해 부당 이득을 취하는 톨프로드 (Toll Fraud) 등이 Trojan-SMS 유형에 속한다. 국내에서는 소액결제 인증번호와 금융 정보를 탈취하기 위하여 제작된 스미싱 악성코드가 이에 해당된다. 안랩의 통계에 따르 면 2012년 약 30건에 불과하던 스미싱 악성코드가 2013년에만 약 4,600건 확인될 정도 로 스미싱은 모바일 서비스에 큰 위협이 되고 있다(그림3 참조). 98 지급결제와 정보기술 제55호 (2014. 1)
9 8 7 6 5 4 3 2 1 0 <그림3> 국내 스미싱 악성코드 현황 (단위: 건) 1,000 900 800 700 600 500 400 2012 300 2013 200 100 0 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 자료: 안랩, 2013년 7대 보안 위협 트렌드 발표, 2013. 12. 정부, 통신사 및 보안업체는 스미싱 공격을 탐지하고 피해를 예방하기 위하여 다양한 대책을 마련하고 있으나 사람의 심리를 이용하는 사회공학적 7) 공격인 스미싱의 특성으 로 인해 뚜렷한 대책을 마련하지 못하고 있다. 2013년 11월에는 한국인터넷진흥원을 사 칭하는 전화를 걸어 악성코드 차단을 위한 애플리케이션을 설치하도록 안내한 후 문자 메시지를 발송하여 악성 앱을 배포하는 등 보이스피싱과 스미싱이 결합된 신종 공격으 로 진화하고 있다(그림4 참조). <그림4> 스미싱 공격의 진화 감염방식 탈취정보 문자메시지 보이스피싱 + 문자메시지 소액결제 인증번호 소액결제 인증번호 + 금융정보 2013년 6월에는 모바일 악성코드 중 가장 복잡하고 발전된 형태인 오배드(Obad) 트 로이목마(Trojan) 8) 가 안드로이드 OS에서 발견되었다. 오배드는 윈도우즈 OS에서 동작 하는 악성코드 수준으로 평가받고 있으며 안드로이드 OS에서 악성코드가 날로 복잡해 7) Social Engineering으로, 기술적인 방법이 아닌 사람들간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보 를 획득하는 기법을 의미한다. 8) 자기복제 전파 능력은 없지만 파괴, 자료 유출 등의 목적 달성을 위하여 정상 프로그램인 것처럼 위장하고 있는 악성코드이다. 금융결제원 99
지고 빠르게 진화하고 있음을 보여주는 사례이다(표7 참조). <표7> 오배드 악성코드 주요 기능 - 단말기에 저장된 모든 유형의 정보 탈취 및 외부 정보수집 서버로 전송 - 문자메시지를 통한 공격자 명령 수신 및 추가 악성코드 설치 - 블루투스(Bluetooth), 와이파이(Wi-Fi)를 이용하여 주변기기에 악성코드 전파 - 프리미엄 문자메시지 서비스에 문자 전송 (과금 유발) - 루트 및 디바이스 관리자 권한을 이용한 악성코드 삭제 불가 및 은폐 - 다중 암호화 및 난독화를 통한 코드 및 작업 은폐 나. 목표대상이 명확한 조직적 공격 현대캐피탈, SK컴즈 사이버공격 등 2013년 이전에 발생한 국내 APT 공격은 주로 대 상 기관이 보유한 개인정보를 불법 유출하기 위한 목적이 강하였던 반면 2013년 2차례 에 걸쳐 총 70여개 기관으로 발생한 3.20 전산장애사고(6개 기관), 6.25 사이버공격(69 개 기관)은 서비스 장애를 유발하거나 홈페이지를 변조하는 등 사회적 혼란을 야기하 는 핵티비즘 성격의 공격이었다. 2013년 3월에 발생한 3.20 전산장애사고 관련 초기 악성코드 유포 방식은 ActiveX 취약점을 이용한 워터링홀(Watering Hole) 9) 공격으로 확인되었다. 인터넷 익스플로러 (Internet Explorer), 어도비 플래시(Adobe Flash), 오라클 자바(Oracle Java) 등 응 용 프로그램의 취약점을 이용하여 악성코드를 유포하거나 웹하드 등 파일공유사이트 의 설치 프로그램을 이용하는 일반적인 방식과는 다르게 국내 인터넷뱅킹 환경에서 많 이 사용하는 ActiveX 보안프로그램의 취약점을 악성코드 유포에 활용하였다는 점에서 차이가 있다(그림5 참조). 워터링홀 유포방식의 특성상 불특정 다수가 초기 악성코드에 감염되었을 가능성이 있으며 감염대상 PC에서 최종 공격 대상을 선정하여 추가 침투를 감행한 것으로 추정된다. 2011년 N은행 전산망 해킹사고도 불특정 다수에 악성코드를 감염시킨 후 서버 유지보수를 맡은 외주업체 직원의 노트북이 감염된 것을 확인하고 N 은행을 표적으로 삼았다는 점에서 유사하다. 2013년 6월에 발생한 6.25 사이버공격에서도 최소 수개월 전에 국내 P2P 웹하드 웹호스팅 업체 등이 해킹되어 악성코드 유포에 이용되는 등 공격자는 장기간에 걸쳐 공 9) 사자가 먹이를 습격하기 위하여 물웅덩이(Watering Hole) 근처에서 매복하고 있는 모습을 빗댄 말로, 악성코드 를 특정 웹사이트에 심어두고 사용자가 접속하여 악성코드에 감염되기를 기다리는 해킹방법이다. 100 지급결제와 정보기술 제55호 (2014. 1)
격을 준비하는 치밀함을 보였다(그림6 참조). <그림5> 3.20 전산장애사고 개요 <그림6> 6.25 사이버공격 개요 자료: 미래창조과학부, 3.20 사이버테러 중간 조사 결과, 2013. 4. 자료: 미래창조과학부, 6.25 사이버공격 조사 결과, 2013. 7. 또한 3.20 전산장애사고와 같이 시스템 부팅영역을 파괴하고 주요파일을 삭제하였을 뿐만 아니라 DNS(Domain Name Service) 기반의 증폭 디도스공격(DNS Amplification DDoS)을 감행함으로써 다수 정부기관 인터넷 서비스에 장애를 유발하였다(그림7 참 조). 해외에서도 정부, 금융, 교육 등과 관련된 많은 기관이 표적 공격의 대상이 되고 있 으며, 2013년에는 트위터(Twitter), 에버노트(Evernote), 페이스북(Facebook) 등의 소 셜 네트워크 서비스도 표적 공격을 받아 대량의 개인정보가 유출된 바 있다. <그림7> DNS 기반의 증폭 디도스공격 공개 DNS서버 쿼리 대비 수십배 이상의 DNS 응답 패킷 출발지를 정부통합전산센터 IP로 스푸핑한 DNS ANY 쿼리 정부통합전산센터 DNS서버 좀비PC 금융결제원 101
<공격절차> 1 악성코드에 감염된 좀비PC는 공개 DNS서버로 출발지IP를 정부통합전산센터 DNS서버 IP로 스푸핑(Spoofing) 10) 하여 DNS ANY 질의 요청 2 공개 DNS서버는 정부통합전산센터 DNS서버로 응답 패킷 전송 3 네트워크에서 DNS 응답의 패킷 분할(Fragmentation) 발생 4 정부통합전산센터 DNS서버에서 분할된 패킷 재조합 과정에서 부하 증가 5 응답 패킷 크기가 512 bytes 이상인 경우 DNS서버에서 Truncated flag 11) 값을 설 정하여 TCP(Transport Control Protocol)로 접속 유도 6 공개 DNS서버와 TCP 통신을 통하여 다시 DNS 응답패킷 수신 다. 악성 프로그램 위협 2013년 악성 프로그램의 유포 경로는 오라클 자바 90.5%, 윈도우즈 컴포넌트 2.6%, 안드로이드 OS 2.5%, 어도비 아크로벳 리더 2.0%, 인터넷 익스플로러 1.3% 등의 순으 로 나타났다(표8 참조). 이런 취약점들은 다양한 익스플로잇 툴킷에 포함되어 드라이브 바이 다운로드 공격 코드 생성에 이용되었으며, 2013년에만 약 180만건의 악성 프로그 램이 제작되어 약 3억건에 이르는 공격에 이용되었다. 주요 악성코드 유포 국가는 미국 (25.5%)과 러시아(19.4%)이며, 중국은 엄격한 단속을 통하여 악성코드 유포지라는 불 명예를 벗고 있다(표9 참조). <표8> 악성 프로그램 유포 취약점 (단위: %) 구 분 점유율 Oracle Java 90.5 Windows Component 2.6 Android OS 2.5 Adobe Acrobat Reader 2.0 Internet Explorer 1.3 Adobe Flash Player 0.5 MS Office 0.5 <표9> 주요 악성코드 유포 국가 (단위: %) 국 가 점유율 국 가 점유율 USA 25.5 France 1.7 Russia 19.4 Vietnam 1.3 Netherlands 12.8 Canada 1.1 Germany 12.5 Virgin Islands 1.0 Great Britain 3.5 Other 18.2 Ukraine 2.9 - - 자료: 카스퍼스키, SECURITY BULLETIN 2013, 2013. 12. 10) 자기 자신의 식별 정보(IP 등)을 속여 다른 대상 시스템을 공격하는 기법이다. 11) 전송 데이터 크기가 UDP(User Datagram Protocol)의 최대 전송 크기를 초과했음을 나타내는 플래그로, 이 플래그가 설정된 패킷을 받은 DNS서버는 TCP 프로토콜을 이용하여 재요청을 수행한다. 102 지급결제와 정보기술 제55호 (2014. 1)
또한 2013년은 인터넷뱅킹 등 전자금융거래를 위협하는 전자금융사기수법이 피싱, 파 밍, 스미싱, 메모리 해킹 등으로 매우 다양화되었으며 보안 프로그램 무력화, 이체정보 변조 등을 통하여 전자금융서비스를 직접 공격하는 방향으로 진화하고 있다. <표10> 메모리 해킹 유형의 진화 - (피해자) 정상사이트에서 전자금융거래정보 입력 후 이체 요청 - (공격자) 이체 미실행, 오류 발생 반복을 통해 전자금융거래 정보를 탈취한 후 부정거래 수행 유형Ⅰ (2013. 6) - (피해자) 정상사이트에서 전자금융거래정보 입력 후 이체 요청 - (공격자) 정상 계좌이체 종료 후, 보안카드번호(앞뒤 2자리) 입력을 요구하는 보안강화 팝업 창을 생성하여 전자금융거래 정보를 탈취한 후 부정거래 수행 유형Ⅱ (2013. 8) - (피해자) 정상사이트에서 전자금융거래정보 입력 후 이체 요청 - (공격자) 메모리 상에서 이체계좌번호와 금액을 변경하여 이체 요청 유형Ⅲ (2013. 9) 자료: 경찰청, 메모리 해킹 관련 보도자료, 2013. 6~9. 금융결제원 103
그 중에서도 가장 큰 이슈가 된 수법은 메모리 해킹이라 할 수 있다. 국내 인터넷뱅킹 서비스를 표적으로 하는 메모리 해킹은 사용자가 금융회사 웹사이트 방문시 금융거래 정보를 보호하기 위하여 구동되는 키보드 보안프로그램, 공인인증서 가입자 소프트웨어 등의 메모리를 패치(수정)함으로써 계좌이체에 필요한 모든 정보(보안카드번호 포함)를 탈취하고 부정거래에 이용한다. 2013년 한 해 동안 전자금융사기 악성코드는 금융당 국, 보안업체 등에서 수립 적용한 전자금융사기 관련 보안대책을 우회하기 위하여 여 러 차례 진화를 거듭하였다(표10 참조). 2013년 7월에는 방송 신문 포탈 통신 기간망 쇼핑몰 등 40여개 기관의 관 리자 및 내부직원 계정 정보를 노린 악성코드가 인터넷 익스플로러 제로데이 취약점 12) (CVE-2013-3897)을 이용하여 유포되었다. 이는 금전적 이득을 노리는 사이버 범죄조 직의 게임계정 유출형 악성코드에 특정 관리자 및 내부직원의 계정 정보를 노리는 기능 이 추가된 경우로 타조직에 판매하여 금전적 이득을 취하거나 개인이 아닌 기업을 노려 보다 가치있는 정보에 접근을 시도한 경우일 수 있다. 러시아에서 처음 발견되어 지난 수년 동안 동유럽, 미국, 캐나다로 확산되기 시작한 Reveton, Urausy, Tobfy, Kovter 등의 랜섬웨어가 2013년에도 기승을 부렸다. 사이버 범죄조직의 새로운 비즈니스 모델인 랜섬웨어는 2013년 9월 크립토락커 (CryptoLocker)라는 강력한 악성 프로그램으로 진화하였고 약 100일 동안 전 세계적 으로 약 20만대 이상의 시스템을 감염시켰다(그림8, 9 참조). 크립토락커는 RSA 비대칭 키 암호화 방식을 이용하며 암호 해독에 필요한 개인키가 공격자의 서버에 저장되기 때 <그림8> 크립토락커 감염화면 <그림9> 크립토락커 감염상황 자료: securityblog.endpointprotector.ca, 2013. 12. 자료: securityblog.endpointprotector.ca, 2013. 12. 12) 취약점에 대한 패치가 배포되기 이전의 취약점을 의미한다. 104 지급결제와 정보기술 제55호 (2014. 1)
문에 감염되면 일단 암호를 해독하는 것은 현실적으로 어렵다. 또한 정해진 시간 내에 결제하지 않거나 악성 프로그램 제거를 시도하는 경우 서버에 존재하는 개인키를 삭제 하는 등 기능이 갈수록 고도화되고 있다. 최근에는 자금 추적을 회피하기 위하여 온라 인 가상화폐인 비트코인을 통하여 결제하도록 유도하고 있다. 아울러 P2P 사이트의 소 프트웨어 액티베이터(Software Activator) 13) 또는 크랙으로 위장하는 기존의 배포 방 식에서 USB 등의 이동성 기억매체(Removable Storage Device)를 이용하는 방식으로 변화하고 있다. 라. 보안관제의 변화 최근의 사이버 위협은 APT로 알려진 지속적이고 지능화된 위협으로 진화하고 있다. 이러한 위협은 장기간에 걸쳐 진행되기 때문에 전통적인 방식으로 보안체계를 잘 갖추 고 있는 회사들도 탐지하기 어렵고 공격에 무력화되고 있다. 지난 약 10년 동안 통합보안관리시스템(Enterprise System Management, ESM)을 기반으로 보안관제를 수행하였던 국내 보안관제 패러다임에 변화가 요구되고 있으며, 그 대안으로 빅데이터 기반의 SIEM(Security Information & Event Management) 솔루션이 부상하고 있다. 2006년부터 구현되기 시작한 SIEM 솔루션은 최근 대량의 정보로부터 가치를 추출 하고 결과를 분석하는 빅데이터라는 기술과 접목되면서 완성도가 높아지고 실제 업 무에 활용할 수 있는 수준으로 현실화되었으며, 위험(Risk) 및 상황 기반(Context Awareness)의 지능형 통합 보안관제 체계를 구축하는 인프라로서의 실질적인 대안이 되고 있다. 그러나 보안관제 인프라와 더불어 이를 효과적으로 수행하기 위한 정보보호 정책의 수립과 조직간의 협력, 정보보호 담당 직원들의 역량 강화, 전 직원의 보안의식 고취 등 이 동시에 만족되어야 진화하는 보안 위협으로부터 기업의 중요 자산을 안전하게 지켜 낼 수 있다는 점을 인식할 필요가 있다. 마. 클라우드 컴퓨팅 보안 2013년 6월 미국 국가안보국(National Security Agency, NSA)에서 근무하였던 에드워드 스노든(Edward Snowden)은 2007년부터 이어져온 NSA의 프리즘(PRISM) 13) 소프트웨어 설치 또는 사용을 위해 인증 정보를 생성하는 프로그램을 말한다. 금융결제원 105
이라는 국가보안 전자 감시체계(National Security Electronic Surveillance)를 폭 로하였다. 이는 프리즘이 마이크로소프트(Microsoft), 구글(Google), 야후(Yahoo), 페 이스북(Facebook), 유투브(Youtube), 스카이프(Skype), 에이오엘(AOL), 애플(Apple) 등의 기업에서 이메일, 비디오 및 오디오 통화내역, 사진, 송수신 파일, 소셜 네트워크 정보 등 온라인을 통하여 수집할 수 있는 거의 모든 정보를 수집하고 있다는 것이었다 (그림10, 11 참조). <그림10> 프리즘 데이터 흐름 <그림11> 프리즘 수집 정보 자료: 미국 국가안보국 자료: 미국 국가안보국 이 소식은 클라우드 업계에 상당한 영향을 미칠 것으로 예상된다 14). 기업IT 환경을 클 라우드 환경으로 전환하는데 있어서 가장 큰 걸림돌 중의 하나가 유사시 정부 감시에서 자유롭지 못하다는 측면이었기 때문이다. 클라우드 서비스 기업의 보안 수준이 곧 서비 스 이용 기업의 데이터 보안 수준을 결정하기 때문에 클라우드 서비스에 대한 불안감은 클라우드 서비스 활성화에 영향을 줄 것으로 예상된다. 프리즘의 주요 감시 대상이었던 미국 기업들은 미국 정보기관의 감시 활동에 맞서기 위하여 전송 데이터 암호화 등에 거액의 예산을 투자할 예정으로 알려졌다. 바. 사회 전반으로 공격 대상의 확대 2013년 국정감사 자료에 따르면 정부 언론사 금융회사를 대상으로 한 3.20 전산 장애사고, 6.25 사이버공격 외에도 군, 교육, 의료 등 사회 전반에 서비스를 제공하는 14) Infoworld, Cloud adoption suffers in the wake of NSA snooping, 2013. 7. 106 지급결제와 정보기술 제55호 (2014. 1)
기관에 대한 사이버공격이 급증하고 있는 것으로 나타났다. 지난 3년간 군 인터넷망에 대한 사이버공격은 6,279건이며 대학교 교육청 등 교육기관에 대한 사이버공격 역시 3년간 약 4.4만건에 달하고 있다. 사회 전반을 대상으로 하는 서비스에 대한 사이버공격은 미국, 독일, 일본 등 해외에 서도 빈번하게 발생하여 사회적 문제로 대두되고 있다(그림12 참조). <그림12> 해외 사이버공격 사례 주) 2013. 8. 기준 자료: hackmageddon.com 사. 소셜 네트워크 서비스 위협 소셜 네트워크 서비스는 사용자간의 자유로운 의사소통, 정보 공유, 인맥 형성 등 사 회적 관계를 유지 관리하는 기능을 가진 온라인 서비스로 전 세계적으로 매우 빠른 성 금융결제원 107
장세를 보이고 있는 페이스북, 트위터 등이 대표적인 예이다. 소셜 네트워크 서비스가 가진 편리성, 신속성, 영향력 등의 특징은 순기능과 역기능의 양면을 가지고 있다. 2013년 소셜 네트워크 서비스의 바탕이 되고 있는 기본적인 신뢰 관계를 이용한 보안사고가 여러 차례 발생하였다(표11 참조). 이는 사회적 관계가 경제 와 사회에 미치는 영향을 단편적으로 보여주는 사례라 할 수 있다. 기업에서 관리하는 소셜 네트워크 서비스 계정의 해킹은 기업의 공신력과 신뢰성을 한 <표11> 소셜 네트워크 서비스 보안사고 사고시기 사 고 내 용 - 어노니머스(Anonymous) 해커그룹이 버거킹과 지프의 트위터 계정을 해킹하여 경쟁사인 맥도 날드 홍보 메시지를 트윗한 사고 2013. 2 - 다국적 비영리 통신사(AP) 계정을 해킹하여 속보 : 백악관 두 차례 폭발 사고, 오바마 대통 령 부상 이라는 메시지를 트윗한 사고로 인하여 미국 주식시장 주가가 폭락 2013. 4 - 시리아 정부지지 해킹단체인 시리아 전자부대(SEA)가 톰슨 로이터 통신사 계정을 해킹하여 바 샤르 알 아사드 시리아 대통령을 지지하는 시사만화를 게재한 사고로 시리아 내전 관련 대외 개입에 대한 반대의사를 우회적으로 표명 2013. 7 108 지급결제와 정보기술 제55호 (2014. 1)
순간에 훼손하게 할 만큼 매우 중요한 사안이다. 또 한 소 셜 네 트 워 크 서 비 스 는 지 능 화 된 사 이 버 공 격 의 초 기 정 찰 ( I n i t i a l Reconnaissance) 단계에서 표적 대상과 관련한 각종 정보를 수집하는 채널로 악용될 수 있다. 즉, 공격자는 스피어피싱(Spear Phishing) 15) 또는 워터링홀 공격에 필요한 표 적 대상의 관심 주제, 주요 방문 사이트, 언어 등을 알아내는 데 소셜 네트워크 서비스 를 이용하고 있다(그림13 참조). <그림13> 트위터 사용자 200명의 개인정보 노출 정도 순 위 개인정보 유형 노출수 순 위 개인정보 유형 노출수 1 이름 176(88%) 16 정치성향 38(19%) 2 구체적 인맥 172(86%) 17 주소 36(18%) 3 얼굴 등 외모 167(84%) 18 종교 35(18%) 4 위치정보 166(83%) 19 이메일 32(16%) 5 관심분야 등 취미 128(64%) 20 병역정보 25(13%) 6 스케줄 정보 126(63%) 21 전화번호 16(8%) 7 가족관계 126(63%) 22 키/몸무게 15(8%) 8 직장 등 소속 현황 100(50%) 23 전과 등 법적 기록 8(4%) 9 구매기록 등 소비성향 98(49%) 24 수상기록 7(4%) 10 학력 76(38%) 25 자격증 보유내역 6(3%) 11 생년월일 61(31%) 26 학교기록 등 성적 5(3%) 12 근무처 61(31%) 27 소득 4(2%) 13 병력 등 의료정보 58(29%) 28 계좌번호 3(2%) 14 근로경력 46(23%) 29 저축내역 1(1%) 15 출생지 41(21%) 30 신용카드 번호 0(0%) 자료: 한국인터넷진흥원, 개인정보 노출에 대한 조사 결과, 2011. 아. 보안관제 대상의 확대 APT 공격과 같은 최근의 정교화된 보안 위협에 대하여는 네트워크 가시성 확보를 통 하여 대응하여야 한다. 네트워크 경계와 내부를 포함한 네트워크 전반에 대한 가시성을 강화하기 위해서는 네트워크 전반의 상태를 파악할 수 있는 다양한 정보의 수집이 필요 하다. 수집대상 정보는 보안솔루션 로그에 국한되지 않고 네트워크 시스템, 서버, 애플 리케이션 등 다양한 자원에서 산출될 수 있다(그림14 참조). 15) 특정인의 정보를 캐내기 위한 피싱 공격을 지칭한다. 금융결제원 109
<그림14> 보안관제 대상의 확대 자료: 가트너, Information Security Is Becoming a Big Data Analytics Problem, 2012. 3. 자. 빅데이터 보안 위협 기존의 방식으로는 관리 및 분석이 어려울 정도로 규모가 크고 그 형식 또한 다양한 데이터의 처리를 위하여 빅데이터 분석기술이 활용되고 있으며 매년 빠른 속도로 관련 시장이 성장하고 있다. 빅데이터는 소비자 행동 패턴 분석을 이용한 마케팅 전략 수립, 관측 데이터(바람, 기온, 습도 등)를 이용한 기상 예측, 이상 거래 패턴을 활용한 부정 거래 탐지 등의 예측 분석 업무에 활용되고 있다. 빅데이터의 활용도가 높아짐에 따라 분석에 활용되는 데이터에 대한 관리의 중요성도 높아지고 있으나 다양한 형태의 데이터에 대한 일관된 정책 적용의 한계, 중요 데이터 암 호화의 어려움 등으로 인하여 빅데이터 정보에 대한 보안 위협이 증가하고 있는 상황이다. 따라서 빅데이터를 활용하여 분석하고 결과를 도출하는 각 단계에서 현실적으로 적 용할 수 있는 수집 데이터에 대한 접근 통제, 데이터의 안전한 저장 관리, 데이터의 필 터링 등급 분류, 익명화된 데이터 처리 분석 등의 보안 조치에 대한 연구가 필요하다. 차. 데이터 유출 2013년 금융권에서는 총 4개 기관, 약 45만건의 데이터 유출 사고가 확인되었다. 그 110 지급결제와 정보기술 제55호 (2014. 1)
중 대부분의 유출 사고가 외부 해킹이 아닌 내부 직원 또는 외주업체 직원 등 내부 관 련자에 의해 발생하였다(표12 참조). <표12> 2013년 금융권 개인정보 유출 사고 확인시점 (사고시기) 관련기관 사고내용 및 조치 원 인 2013. 5 (2011. 2 5) H손해보험 - 고객정보(성명, 주민번호, 차량번호 등) 157,901건이 WAP시스 템 주) 해킹을 통해 유출 - 기관주의 및 최고경영자(CEO) 주의적 경고 조치 외부 해킹 2013. 5 (2013. 2, 2013. 5) M화재 - 개인신용정보(생년월일, 전화번호, 주소 등) 164,009건이 이메일 과 USB를 통해 보험대리점에 유출 - 과태료 600만원과 기관주의 조치 내부 직원 유출 2013. 12 (2011. 11 2012. 2) S은행 - 특정 신용대출상품 상담자 고객정보(성명, 주민번호, 전화번호 등) 103,287건이 USB를 통해 대출모집인에 유출 - 2014년 금융당국 특별검사 예정 외주업체 직원 유출 2013. 12 (2013. 4) C은행 - 고객정보(성명, 휴대전화번호, 대출액, 만기일자 등) 34,208건이 출력된 문서 형태로 대출모집인에게 유출 - 2014년 금융당국 특별검사 예정 (지점) 내부 직원 유출 주) WAP(Wireless Application Protocol)시스템은 자동차사고 발생시 현장출동 직원들이 사고 접수 데이터를 휴 대폰으로 조회할 수 있는 프로그램 그 동안 여러 차례의 데이터 유출 사고가 발생하였지만 2011년 9월 개인정보보호법 시행 이후 개인정보 유출 횟수와 유출규모는 지속적으로 감소추세를 나타내고 있다. 국정감사에서 안전행정부가 제출한 자료에 따르면 2010년 2,000만건, 2011년 7,044만 건, 2012년 1,380만건, 2013년 224만건으로 꾸준히 감소하고 있다. 그러나 해외에서는 소셜 네트워크 서비스를 대상으로 여러 차례의 데이터 유출 사고 가 발생하였는데, 이는 대부분 외부 해킹에 의한 것으로 밝혀졌다(표13 참조). 아울러 국가차원에서도 매우 광범위한 정보수집활동이 은밀하게 이루어지고 있었다는 점도 데 이터 유출의 또 다른 위협 사례로 볼 수 있다. <표13> 2013년 주요 해외 데이터 유출 사고 사고시기 사고시기 사고내용 및 조치 원 인 2013. 2 트위터 - 고객정보(성명, 이메일, 암호화된 패스워드 등) 25만건이 해킹을 통해 유출 - 투팩터 인증 체계 추가 외부 해킹 금융결제원 111
사고시기 사고시기 사고내용 및 조치 원 인 2013. 3 에버노트 - 고객정보(암호화된 패스워드 등) 5,000만건이 해킹을 통해 유출 - 유출된 고객 패스워드 초기화 조치 외부 해킹 2013. 6 페이스북 - 고객정보(성명, 이메일, 전화번호 등) 600만건이 페이스북 내 연 락처 및 주소록 기능을 통해 유출 외부 해킹 2013. 12 페이스북, 지메일, 트위터, 야후, 링크드인 - 인터넷서비스 관련 약 200만건의 계정 정보가 키로깅(Key Logging) 악성 프로그램에 의해 유출 악성 프로그램 - 국가 보안 감시 체계(National Security Electronic 2013. 미국 국가안보국 Surveillance)와 관련하여 야후, 구글로부터 약 1.8억건(30일 기준)의 정보 수집 통신 감청 Ⅳ. 2014년 동향 예측 1. 예측 분석 개요 2014년 주요 동향은 웹센스(WebSense), 카스퍼스키, 잉카인터넷 등 국내 외 정보 보호업체, 언론 및 관련 기관에서 발표한 총 20종의 2014년 정보보호동향 예측 자료를 토대로 분석하였다. 각 기관에서 예측한 총 144건의 이슈에 대해 공통점을 찾아 분류 하고 2014년의 주요 쟁점이 될 것으로 예상되는 TOP 10을 선정하였다. 외부 기관의 2014년 정보보호동향 예측은 크게 플랫폼 보안, 공격 트렌드, 악성 프로 그램, 대응 트렌드, 서비스 보안, 정책 이슈의 6가지 부문으로 분류할 수 있었으며, 이 중 플랫폼 보안에 대한 예측이 25%로 가장 많았고, 공격 트렌드에 대한 예측은 22%, 악성 프로그램에 대한 예측은 19%, 대응 트렌드에 대한 예측은 17%로 그 뒤를 이었다. 플랫폼 보안 부문에서는 모바일 관련 위협, 만물 사물인터넷(Internet of Everything Internet of Things), 클라우드 컴퓨팅, BYOD 16) (CYOD 17) ), 윈도우즈 및 모바일 OS 등의 주제들이 선정되었다. 공격 트렌드 부문에서는 사이버공격 대상 방 16) Bring Your Own Device, 개인 소유의 노트북이나 스마트폰 등의 기기를 업무에 활용하는 것을 말한다. 17) Choose Your Own Device, 기업이 통제권을 가지고 업무에 활용할 수 있는 제한된 수의 기기를 선택하는 방 식을 말한다. 112 지급결제와 정보기술 제55호 (2014. 1)
법 목적의 변화, 조직적 사이버 범죄, 국가 차원의 사이버 활동, 핵티비즘, 데이터 유출 등이 전망되었다. 악성 프로그램 부문에서는 고도화된 악성 프로그램 위협 증가, 응용 프로그램 취약점 이용 지속, 탐지 우회 공격 증가, 랜섬웨어 등이 예측되었다. 대응 트렌 드 부문에서는 보안관제 패러다임의 변화, 생체인증 기술의 발전, 보안관제 대상의 확대, 보안 시장의 성장 등이 예측되었다. 정책 이슈 부문에서는 유관 조직간 공조체제 강화, 인터넷 통제 움직임, 감사 영역의 확대 등이 나타났고 서비스 보안 부문에서는 소셜 네트 워크 서비스 위협, DNS서비스 보안 등이 주로 나타날 것으로 예상되었다(표14 참조). <표14> 2014 정보보호동향 예측 분류 (단위: 건, %) 구 분 세 부 내 용 예측건수 비 율 플랫폼 보안 공격 트렌드 악성 프로그램 대응 트렌드 모바일 관련 위협, 만물 사물인터넷, 클라우드 컴퓨팅, BYOD(CYOD), 윈도우즈 및 모바일 OS 등 사이버공격 대상 방법 목적의 변화, 조직적 사이버 범죄, 국가차원의 사이버 활동, 핵티비즘, 데이터 유출 등 고도화된 악성 프로그램 위협 증가, 응용 프로그램 취약점 이용 지속, 탐지 우회 공격 증가, 랜섬웨어 등 보안관제 패러다임의 변화, 생체인증 기술의 발전, 보안관제 대상의 확 대, 보안 시장의 성장 등 36 25.0 32 22.2 27 18.8 24 16.7 정책 이슈 유관 조직간 공조체제 강화, 인터넷 통제 움직임, 감사 영역의 확대 등 17 11.8 서비스 보안 소셜 네트워크 서비스 위협, DNS서비스, 비트코인 등 8 5.5 합 계 144 100.0 2014년 정보보호동향 예측자료 분석결과를 토대로 선정된 2014년 정보보호동향 예 측 TOP 10은 다음과 같다(표15 참조). 1위는 현행 탐지 대응 체계를 우회하는 등 갈수록 고도화되어 가고 있는 악성 프로 그램 위협이고, 2위는 모바일 시장의 확대에 따른 스마트폰 등 모바일 관련 위협이다. 3위는 국내외 많은 기업에게 실체가 있는 보안 위협이 된 APT와 관련된 목표 대상이 명 확한 조직적 공격이고, 4위는 점차 고도화 다양화되고 있는 보안 위협에 효과적으로 대응하기 위한 보안관제의 변화이다. 5위는 만물 사물인터넷 보안 위협이다. 만물 사물인터넷은 일상생활에서 사용되는 사물을 네트워크로 연결해 서로 소통할 수 있게 하는 것을 의미한다. 6위는 사회 전반으로 공격대상이 확대될 것이라는 예측이며, 7위는 사이버보안 프레 금융결제원 113
임워크 발표, 클라우드 개인정보보호 등 정보보호제도의 강화가능성이다. 8위는 전통 적인 IT환경을 대체하면서 더 많은 중요 데이터를 보유하게 된 클라우드에 대한 보안 위협이고 9위와 10위는 각각 소셜 네트워크 서비스 위협과 데이터 유출이다. <표15> 2014 정보보호동향 예측 TOP 10 (단위: 건) 순 위 세 부 내 용 예측건수 1 악성 프로그램 위협 18 2 스마트폰 등 모바일 관련 위협 11 3 목표 대상이 명확한 조직적 공격 10 4 보안관제의 변화 9 5 만물 사물인터넷 보안 위협 9 6 사회 전반에 대한 공격대상의 확대 8 7 정보보호제도의 강화 8 8 클라우드 컴퓨팅 보안 7 9 소셜 네트워크 서비스 위협 6 10 데이터 유출 6 계 92 최근 3년 동안 정보보호동향 예측 TOP 10 추이를 보면 순위에 일부 변동이 있지만 악성 프로그램 위협, 스마트폰 등 모바일 관련 위협, 목표 대상이 명확한 조직적 공격이 높은 순위를 차지하고 있다(그림15 참조). <그림15> 정보보호동향 예측 TOP 10 추이 2012 년 2013 년 2014 년 1 목표 대상이 명확한 조직적 공격 스마트폰 등 모바일 관련 위협 악성 프로그램 위협 2 스마트폰 등 모바일 관련 위협 목표 대상이 명확한 조직적 공격 스마트폰 등 모바일 관련 위협 3 악성 프로그램 위협 악성 프로그램 위협 목표 대상이 명확한 조직적 공격 지속 4 데이터 유출 보안관제의 변화 보안관제의 고도화 5 소셜 네트워크 서비스 위협 클라우드 컴퓨팅 보안 만물 사물인터넷 보안 위협 6 소셜 엔지니어링 사회 전반에 대한 공격대상의 확대 사회 전반으로 공격대상 확대 7 클라우드 컴퓨팅 보안 소셜 네트워크 서비스 위협 정보보호제도의 강화 8 사이버범죄 조직화 보호 대상 확대 클라우드 컴퓨팅 보안 9 보안 관제의 변화 빅데이터 보안 위협 소셜 네트워크 서비스 위협 10 HTML5 보안 데이터 유출 데이터 유출 114 지급결제와 정보기술 제55호 (2014. 1)
2. 예측 분석 가. 악성 프로그램 위협 2013년의 악성 프로그램 위협은 많은 인터넷이용자 PC에 설치되어 있는 응용 프로그 램의 취약점을 노린 드라이브 바이 다운로드 공격 증가, 해외에서 유행하던 전자금융사 기 수법의 국내 상륙, 사이버 범죄조직의 표적 확장, 랜섬웨어 급증으로 요약할 수 있다. 2014년에는 악성 프로그램의 탐지 및 분석을 방해하기 위한 보다 다양한 기술들이 적 용되고 진화할 것으로 예상된다. 일반적으로 악성 프로그램 탐지는 안티바이러스에서 사 용하는 패턴 방식, 악성 프로그램 탐지 전용 솔루션에서 사용하는 가상화 방식(샌드박 싱(Sandboxing) 18) 포함), 클라우드 기반 평판 데이터베이스를 이용한 블랙리스트 방식 으로 구분할 수 있다. 공격자는 악성 프로그램의 통신 사실을 네트워크 기반 보안 장비 로부터 은폐하기 위해 터널링 및 릴레이 기술을 채택할 것으로 예상되고 악성 프로그램 파일 탐지를 우회하기 위해 강력한 코드 가상화, 암호화, 안티디버깅 기술 등을 적용할 것으로 예상된다. 또한 2013년 10월 국내에서 널리 이용하는 어도비 응용 프로그램(아크로벳, 콜드퓨 전, 콜드퓨전 빌더 등)의 소스코드가 유출됨에 따라 소스코드를 통해 확인할 수 있는 다수의 취약점을 이용한 공격이 증가할 것으로 예상된다(그림16 참조). 공격코드가 포 함된 PDF 등의 문서 파일을 정교하게 제작하여 APT 공격 등에 활용할 가능성이 높아 더욱 주의가 요구된다. <그림16> 어도비 프로그램 소스코드 유출 18) 외부로부터 들어온 프로그램이 보호된 영역에서 동작해 시스템이 부정하게 조작되는 것을 막는 보안 형태이다. 금융결제원 115
마지막으로는 전 세계적으로 큰 피해가 발생하고 있는 랜섬웨어가 확산되어 대규모로 피해가 발생할 가능성이 있다. 랜섬웨어는 모바일기기를 포함한 모든 단말기에 위협이 될 수 있으며, 특히 모바일기기의 경우엔 문자메시지 등을 이용한 사회공학적 기법으로 보다 쉽게 악성 프로그램이 유포될 수 있다. 나. 스마트폰 등 모바일 관련 위협 2009년 5%에 이르던 세계 스마트폰 보급률이 2013년말에는 22%로 증가할 것으로 예상되고 있으며 우리나라는 2013년 1/4분기 기준 73%에 이르고 있다(그림17 참조). 이와 더불어 우리나라의 모바일뱅킹 등록고객수도 2013년 3/4분기 기준 4,706만명으 로 전년대비 26.9% 증가하였다(표16 참조). 보안업체 포티넷이 우리나라를 포함한 세계 20개국을 대상으로 한 설문조사 결과 19) 에 따르면, 개인 소유 단말기를 업무에 한 번도 사용한 적이 없다는 응답이 전무할 정도로 모바일기기는 우리의 가정은 물론 직장 생활 과도 밀접하게 연결되어 있다. <그림17> 주요 국가의 스마트폰 보급률 주) 2013. 1/4분기 기준 자료: 구글, Our Mobile Planet, 2013. 12. 구 분 IC칩 방식 VM 방식 스마트폰 기반 <표16> 국내 모바일뱅킹 등록고객수 (단위: 천명, %) 2012 2013 2013 2/4 3/4 4/4 1/4 2/4 3/4 4,403 (-0.4) 8,852 (-2.1) 16,796 (22.9) 합 계 30,052 (10.8) 4,384 (-0.4) 8,805 (-0.5) 19,858 (18.2) 33,047 (10.0) 4,376 (-0.2) 8,749 (-0.6) 23,966 (20.7) 37,092 (12.2) 4,370 (-0.1) 8,692 (-0.6) 28,069 (17.1) 41,132 (10.9) 주) ( )는 전년동기대비 증감률 자료: 한국은행 금융결제국(2013. 11) 4,358 (-0.3) 8,656 (-0.4) 31,308 (11.5) 44,321 (7.8) 4,334 (-0.6) 8,618 (-0.4) 34,107 (8.9) 47,059 (6.2) 그러나 사람들의 생활 패턴에서 모바일기기의 의존성이 커지고 모바일기기에서 중요한 정보를 많이 다룰수록 보안 위협의 대상이 될 가능성이 높아지기 때문에 2014년엔 모 바일과 관련된 다양한 보안 위협이 등장하고 증가할 것으로 예상된다. 그 중에서도 특히 높은 시장 점유율, 앱 개발의 편리성, 앱의 설치와 배포의 용이성 등 19) Fortinet, Internet Security Census 2013, 2013. 10. 116 지급결제와 정보기술 제55호 (2014. 1)
의 이유로 안드로이드 OS 대상 악성 프로그램이 2013년에 비해 더욱 급증할 것으로 예 상된다. 모바일 OS의 취약점을 이용하여 드라이브 바이 다운로드 공격을 통해 악성 프 로그램이 설치되거나 2013년에 발견된 오배드와 같이 윈도우즈 악성코드 수준의 트로 이목마가 모바일 봇넷을 통해 유포되는 사례가 증가할 것으로 보인다. 하이롤러(High Roller) 또는 페르켈레(Perkele)와 같은 트로이목마가 더욱 지능화 고도화 자동화 되어 모바일뱅킹 등 전자금융서비스에 위협이 될 것으로 보인다. 또한 2013년도와 마찬가지로 업무에 사용되는 개인기기(BYOD)에 대한 보안 위협이 제기되고 있다. 기업의 IT통제권 상실, 악성 프로그램에 감염된 기기를 이용한 기업 IT자 산 접근, 개인기기 분실로 인한 데이터 유출 등 다양한 보안 위협이 존재한다. 포티넷의 조사결과에 따르면 개인기기의 확산에도 불구하고 보안 위협에 대한 인식이나 지식수준 은 높지 않은 것으로 나타나고 있으므로 관련된 솔루션(MDM, MAM, NAC 등) 20) 의 도 입뿐만 아니라 직원에 대한 교육이 병행되어야 할 필요가 있다. 한편에서는 기업이 통제 권을 가지고 업무에 활용할 수 있는 제한된 수의 디바이스를 선택하도록 하는 CYOD 개념이 확산되어 BYOD를 대체할 것으로 예상되고 있다. 다. 목표 대상이 명확한 조직적 공격 2014년 역시 APT 등 목표 대상이 명확한 조직적 공격이 TOP 10으로 선정되었 다. 8개월 이상의 준비 기간을 거쳐 총 70여개 기관으로 APT 공격이 발생하였던 2013년과 마찬가지로 2014년에도 APT가 큰 보안 위협이 될 것으로 예측된다. 장기 간에 걸쳐 공격이 진행되는 만큼 2013년 후반부는 2014년 APT 공격을 위한 정찰 (Reconnaissance), 무기화(Weaponization), 유포(Delivery) 등 사전 준비 단계일 가 능성이 있다. 2014년에는 APT 공격이 보다 지능화 고도화되고 공격대상 기업을 보다 다양한 경 로와 방법을 통해 공략할 것으로 보인다. 이메일 기반의 스피어피싱방식에서 워터링홀, 소셜미디어 등 공격대상자가 신뢰하는 채널을 이용한 방식으로 공격을 다변화할 것으 로 예상된다. 또한 공격 대상 기업과 서비스로 연관되어 있는 시스템 공급업체, 서비스 협력업체를 공격 대상으로 삼는 등 공격자는 신뢰체인(Chain of Trust) 상의 가장 약 한 부분을 찾기 위한 시도를 계속할 것으로 보인다. 기존 사이버 공격은 해커와 범죄 조직들에 의하여 금전적 목적이나 자기 과시적인 이 20) MDM(Mobile Device Managemnet), MAM(Mobile Application Management), NAC(Network Access Control) 금융결제원 117
유 그리고 정보를 수집하려는 목적으로 행해졌으나 2010년 스턱스넷(Stuxnet) 21) 공격 이후 국가가 주도하거나 제3의 세력을 지원하는 방법으로 상대 국가의 기반이 되는 정 보통신시스템을 공격하여 무력화하거나 파괴하려는 시도가 빈번히 발생하고 있다. 상대 국가의 주요 시설에 대한 폭격이나 미사일 공격 등의 물리적 대응이 가져올 수 있는 위 험과 문제점을 일소하고 공격 주체가 명확히 드러나지 않는 사이버 공격의 특징을 이용 하여 향후 국가 주도의 혹은 지원의 조직적 공격이 더욱 빈번히 발생할 것으로 예상된 다. 구글, 애플 등 민간 기업뿐만 아니라 록히드마틴(Lockheed Martin) 등과 같은 방 위산업체를 표적으로 한 사이버 공격이 끊임없이 발생하고 있는 사실이 그 반증이다. 라. 보안관제의 고도화 2013년 3.20 전산장애사고, 6.25 사이버공격 등의 APT 공격은 기존 보안관제 체계의 허점을 드러냈다. 기업 자산을 침해하기 위한 보안 위협이 고도화 정교화되고 있는 가 운데 기존의 경계(Perimeter) 보안관제 체계로는 이를 신속하고 효과적으로 탐지하는데 한계가 있다. 이에 대한 해법으로 위험 및 상황 기반 지능형 통합 보안관제방식이 제시되 고 있다(그림18 참조). 이와 더불어 잠재적으로 관련 있는 빅데이터로부터 즉시 활용가능 데이터 수집 <그림18> 위험 및 상황 기반 지능형 통합보안관제 체계 배치처리 실시간처리 실시간처리 비정형 데이터 정형 데이터 데이터 처리 통합로그 수집 분석 시스템(빅데이터 기반 분산 병렬처리) 저장/검색/관리 상관분석 (실시간, 통계 등) 시각화 위협 탐지 대응 보안 위협 탐지 및 대응 21) 국가 기반시설(발전소, 댐, 철도 등)의 제어시스템을 공격하는 악성코드를 말하며, USB를 이용하여 물리적으로 분리된 내부 네트워크 시스템에 침투하여 정보 유출, 오작동 등을 유발한다. 118 지급결제와 정보기술 제55호 (2014. 1)
한 정보(Actionable Intelligence)를 도출하기 위한 방법론에 대한 연구가 필요하다. 마. 만물 사물인터넷 보안 위협 만물 사물인터넷은 가트너가 선정한 2014년 10대 IT전략기술 중 하나로 2014년에 새로운 온라인 트렌드로 부각할 것으로 예상되고 있다. 만물 사물인터넷은 제품이나 기계와 같이 일상생활에서 사용되는 사물을 네트워크 로 연결하여 이들이 가지고 있는 데이터를 읽어내거나 서로 소통하는 것을 의미한다. 시 스코(Cisco)는 2012년 기준 인터넷과 연결된 기기는 약 87억개이며 2020년에 약 500억 개로 증가할 것으로 전망하고 있다. 사물을 네트워크로 연결하면 사물이 서로 협력하면서 인간에게 보다 편리한 세상을 가져다주는 장점이 있지만 무선인터넷의 구조적 한계, 인증 수단 부재, 사후관리 부족, 보안규제나 가이드라인 부재 등의 취약점은 우리에게 또 다른 보안 위협을 가져올 것으 로 보인다. 2013년 8월에 열린 보안 컨퍼런스인 블랙햇(Black Hat)과 데프콘(Defcon)에 서 사물인터넷 해킹이 큰 이슈가 된 바 있다. 2014년에는 우리 생활 속에 존재하는 만 물 사물인터넷에서 기기 오동작, 사생활 침해 등의 다양한 보안 위협이 발생할 것으로 예상된다(표17 참조). <표17> 만물 사물인터넷 보안 위협 예시 구 분 보 안 위 협 자 동 차 텔레매틱스에 연결된 자동차 해킹으로 운전자 안전 위협 스마트T V 디도스 공격으로 동작 방해, 내장 카메라 해킹으로 사생활 촬영 의 료 장 비 인슐린 펌프 해킹으로 인슐린량 조절, 심장박동기 해킹으로 박동수 조절 정 유 시 설 센서 및 자동화 설비 해킹으로 석유 공급량 조절, 잘못된 데이터 전송 스 마 트 홈 전자도어록과 보안카메라 해킹으로 보안 해제 자료: 데이터넷, 사물인터넷 편리한 만큼 보안 위협 높다, 2013. 12. 바. 정보보호제도의 강화 미국 오바마 대통령은 화학시설, 댐, 통신시설, 전력시설, 수자원시설 등 주요 기반 시설 보호 강화를 위하여 2013년 2월 행정명령(Executive Order 13636)을 공표하였 으며, 이에 따라 미국 국가표준기술연구소(NIST)는 주요 기반시설의 보호체계 구축 을 위한 기준, 방법, 절차, 지침 등을 정의한 예비 사이버 보안 프레임워크(Preliminary 금융결제원 119
Cybersecurity Framework)를 발표하였다. 국내 외 많은 기업들은 동 프레임워크를 바탕으로 조직의 기존 비즈니스 또는 사이버보안 위험 관리 프로세스 및 사이버보안 프 로그램을 보완해 나갈 필요가 있다. 2014년 우리나라에서는 공인인증서 제도의 문제점을 개선하기 위하여 다양한 대체 인 증수단이 나타날 가능성이 있고 금융당국은 금융회사가 다양한 인증기술을 도입할 수 있도록 유도할 것으로 보인다. 또한 2014년중 전자금융기반시설 보호를 위해서 전자금 융거래법 상의 금융보안 관리체계 인증제도(금융ISMS) 22) 도입을 위한 법적 근거가 마 련되고 이를 통해 금융회사를 대상으로 정보보호 관리체계 심사 인증제도가 실시될 것 으로 예상된다. Ⅴ. 2014년 국내 금융IT 관련 정보보호 주요 이슈 1. 전자금융사기 수법의 고도화 유럽 일부 국가, 미국 등 일부 지역에서 집중적으로 발생하였던 인터넷뱅킹 악성 코드 공격이 전 세계적인 위협으로 번지고 있다. 미국 보안업체인 트렌드마이크로 (Trendmicro)에 따르면 2013년 3/4분기 기준 인터넷뱅킹 악성코드 감염률은 2002년 이후 최고치에 이르고 있다(그림19 참조). 국내 인터넷뱅킹 환경의 특수성으로 인해 글로벌하게 이용되는 제우스(ZBot), 스파이 <그림19> 인터넷뱅킹 악성코드 감염 (단위: 천건) <표18> 인터넷뱅킹 악성코드 피해 국가 (단위: %) 자료: 트렌드마이크로, 3Q 2013 Security Roundup, 2013. 10. 자료: 트렌드마이크로(2013. 10) 22) 금융ISMS(Information Security Management System)는 정보통신망의 안전성 확보를 위한 기술 물리적 보호조치 등을 포함한 종합적인 국내 정보보호 관리체계 인증제도를 말한다. 120 지급결제와 정보기술 제55호 (2014. 1)
아이(SpyEye), 시타델(Citadel), 킨스(KINS) 등의 악성코드가 국내 환경에 직접 적용되 기엔 한계가 있어 국내 인터넷뱅킹 악성코드 피해 횟수는 타국가 대비 절대적으로 높은 편은 아니다(표18 참조). 그러나 국내에서 온라인게임 사이버머니 계정 탈취 등에 이용된 악성코드를 제작하 던 사이버 범죄조직이 2013년 6월부터 인터넷뱅킹 악성코드 제작을 시작하면서 국내 인 터넷뱅킹 환경에 특화된 악성코드가 제작되고 있는 상황이다. 2014년에는 국내 전자금융서비스를 위협하는 전자금융사기 수법이 더욱 지능화 고도화되어 부정거래 발생 기능의 자동화, 이상거래 탐지시스템(Fraud Detection System) 우회, 모바일 악성코드와 연계한 문자메시지 통지서비스 우회, 부정거래 자금 에 대한 세탁 등과 같은 유형의 위협이 나타날 것으로 예상된다. 전자금융사기 악성코드는 전자금융거래정보를 보호하기 위한 목적으로 설치되는 보 안 프로그램을 무력화하여 거래정보를 탈취하는 수준에서 그치지 않을 것으로 보인다. 전자금융사기 예방서비스 등 기존의 보안대책을 우회하기 위하여 부정거래를 발생시키 는데 필요한 정보(이체정보 등)만 변조하는 방식을 더욱 고도화하고 거의 모든 금융회 사의 전자금융서비스에 맞게 커스터마이징된 올인원 악성코드가 등장할 것으로 예상된 다. 즉, 전자금융서비스 맞춤형 악성코드가 전자금융사기에 이용되고 다양한 추가 기 능을 통해 기존의 보안대책을 우회하려는 시도가 계속될 것으로 예상된다. 2. 모바일 지급결제에 대한 위협 증가 모바일기기에서 문자메시지는 사회공학적 기법을 이용하여 악성코드 설치를 유도하 는 주요 수단 중 하나이다. 스미싱 역시 문자메시지를 이용하여 피싱을 시도하는 공격 방법으로, 인증번호를 포함한 거래정보를 탈취하는 악성코드를 설치한다. 모바일 지급결제에 대한 보안 위협은 소액결제서비스 이용시 필요한 인증번호를 탈 취하는 초창기 방식에서 은행 앱을 대체한 후 금융정보 입력을 유도하는 방식으로 변 화하였다. 이후에는 보이스피싱과 결합하여 악성앱 설치를 유도하는 방식으로 진화하 였다. 2014년에도 스미싱을 이용한 공격이 더욱 기승을 부릴 것으로 예상되며 문자메시지 인증 등과 같이 공격자에 의해 쉽게 탈취될 수 있는 정보만으로 인증을 수행하고 앱에 대한 위 변조 검증을 수행하지 않는 지급결제서비스에 대한 공격이 증가할 것으로 예 상된다. 모바일지갑(Mobile Wallet), 바코드 QR코드 기반의 모바일 POS 등 서비스 제공자 금융결제원 121
및 이용자에게 편리한 모바일 지급결제서비스 시장의 확대는 공격자의 관심을 끌기에 충분하다. 공격자는 모바일 서비스에서 발생할 수 있는 도청, 데이터 손상, 데이터 위 변조, 중간자 공격 등 통신상의 보안 위협과 애플리케이션, 플랫폼 변조 등 단말기상의 보안 위협을 악용하여 이용자의 중요 거래정보 등 개인정보를 탈취하거나 부정거래를 발생시킬 수 있다는 점에 유의하여 대책을 마련할 필요가 있다. 3. 금융회사에 대한 APT 공격 지속 2013년 3.20 전산장애사고, 6.25 사이버공격 등의 APT 공격을 직간접적으로 경험하면 서 금융당국은 금융전산 보안 전반에 대한 점검 및 대책을 수립하였고 금융회사는 APT 에 대응할 수 있는 솔루션 도입을 검토하고 대응 전략을 수립 보완하였다(표19 참조). <표19> 금융전산 보안 강화 종합대책 대응 체계 - 금융권 보안전담조직 체계화 - 금융권 백업전용센터(제3백업센터) 구축 - 금융전산 위기대응능력 강화 금융 전산 보안 전자금융기반시설 보호 - 금융전산 망분리 의무화 - 금융전산 내부통제 강화 - 금융보안 인증제 도입 금융회사 자율적 보안노력 지원 - IT 신기술 보안가이드 제공 - 보안수준 자체평가 지원 - 중소형 금융회사 보안 지원 보안조직 인력 역량 - CISO 역할 및 독립성 강화 - 전산보안인력 사기진작 - 금융보안 전문인력 양성 금융전산부문 감독 및 검사 - 지주사 및 IT자회사 감독 강화 - 사고 빈발 금융회사 집중관리 - 업무정지 등 제재기준 마련 이용자 보호 - 이상금융거래 탐지시스템 구축 확대 - 금융회사 사칭 불법 사이트 접속 차단 - 보안사고 예방교육 및 홍보 강화 자료: 금융위원회, 금융전산 보안 강화 종합대책, 2013. 7. 금융당국은 2013년 수립한 종합대책에서 APT 공격 등 고도화된 사이버 공격에 대 응하기 위한 주요 대책으로 금융전산 망분리 의무화, 금융전산 내부통제 강화 등을 제시하였다. 금융전산 망분리 의무화 대책으로 인하여 모든 금융회사는 전산센터에 대 122 지급결제와 정보기술 제55호 (2014. 1)
해 2014년 12월까지 인터넷망을 업무망과 분리하여야 하며 본점, 지점은 금융회사의 규모에 따라 단계적으로 망분리를 추진하여야 한다. 또한 금융전산 내부 통제 강화로 인해 금융회사는 취약점 점검 및 보완조치를 CEO 책임하에 이행하고, 홍보용 홈페이지, 그룹웨어 등 비금융전산시스템까지 취약점 점검 및 보안관제 대상을 확대하며, 모든 전산시스템에 대해 추가 인증을 적용하여야 한다. 망분리를 적용하게 되면 네트워크의 구조적인 변화로 인해 다른 보안 조치를 추가로 구현하지 않더라도 많은 보안 목적을 달성할 수 있게 된다. 그러나 공격 벡터(Attack Vector) 23) 를 면밀하게 고려하지 않는다면 망분리에도 불구 하고 중요 자산이 위치한 내부망에 대한 침투 위험은 여전히 존재하게 된다. 또한 망 분리 후에 존재하는 공격 벡터는 홈페이지를 통한 대고객 서비스 제공, 내 외부망간 자료 송수신, 인터넷을 통한 정보 수집 등 정상적인 업무 수행에 반드시 필요하고 신규 사업 추진 등으로 인해 더욱 확대될 가능성이 높다. 이와 같이 일부 유형의 공격 벡터는 원천적인 제거가 어려우므로 엄격한 통제 및 모니터링을 통해 발생 가능한 리스크를 최 소화할 필요가 있다. 이런 각종 대책에도 불구하고 여전히 존재하는 망간 접점, 추가 인증 우회 등의 허점 을 노리는 APT 공격은 지속될 것으로 예상된다. 아울러 금융회사들의 보안수준이 상 대적으로 높기 때문에 서비스대행업체, 유지보수업체 등 신뢰체인 상의 약한 부분을 노 려 금융회사로 침투하는 APT 공격이 발생할 수 있다. 많은 보안업체들은 2014년에 핵티비즘 공격이 증가할 것으로 예상한다. 핵티비즘 공 격이 금융, 방송, 전기 등 사회 전반을 대상으로 하는 서비스로 발생하였을 때 정치 사회적으로 혼란 야기 등이 용이하고 공격 목적을 극대화할 수 있기 때문에 2014년에 도 금융회사는 표적 공격의 주요 대상이 될 것으로 예상된다. Ⅵ. 맺으며 본고에서는 2012년 자체적으로 선정한 2013년 정보보호동향 TOP 10을 기준으로 실 제 한 해 동안 발생한 주요 이슈들을 비교 정리하고, 국내 외 정보보호업체, 관련기 관, 언론 등에서 발표한 총 144건의 이슈를 분석하여 2014년 정보보호동향 예측 TOP 10을 선정하였다. 23 ) 해커가 컴퓨터나 네트워크에 접근하기 위해 사용하는 경로나 방법을 의미한다. 금융결제원 123
최근 3년 동안 선정한 정보보호동향 예측 TOP 10의 추이를 살펴보면 악성 프로그램 위협, 스마트폰 등 모바일 관련 위협, 목표 대상이 명확한 조직적 범죄가 높은 순위를 유지하고 있다. 그 중에서도 모든 보안 위협이 악성 프로그램에서 비롯되는 이유로 악 성 프로그램 위협이 1위로 선정되었다. 모바일 시장의 확대에 따른 스마트폰 등 모바일 관련 위협과 국내외 많은 기업에게 실체가 있는 보안 위협이 된 APT와 관련된 목표 대 상이 명확한 조직적 공격이 각각 2위와 3위를 차지하였다. 또한 기존 보안관제 체계를 이용한 대응의 한계, 만물 사물인터넷 기술의 부각으로 보안관제의 변화와 만물 사 물인터넷의 보안 위협이 각각 4, 5위로 선정되었다. 인터넷뱅킹 등 기존 전자금융서비스에 대한 고도화된 위협, 스마트폰, 태블릿PC, 스 마트TV 등 거래채널의 다양화, 이용고객의 이동성, 휴대성, 편리성을 강조한 새로운 전자금융서비스의 등장 등 국내 금융IT 환경은 빠른 속도로 혁신과 변화를 거듭하고 있다. 정보보호업계의 예측자료 분석결과를 국내 금융IT 환경에 반영해 보면 2014년은 정 부, 언론, 금융 등 사회 근간이 되는 조직을 공격하여 혼란을 야기하는 APT가 반복적 으로 발생하고 전자금융서비스를 직접 공격하는 해킹 방법이 더욱 지능화 고도화될 것으로 예상된다. 따라서 금융권에서는 유관기관간 협력과 정보공유를 통하여 금융IT 환경과 정보보 호 위협의 변화에 유연하게 대응할 수 있는 정보보호 전략을 수립하여 효과적으로 실행 하여 나갈 필요가 있다. 이를 통하여 전자금융거래의 안정성, 효율성이 제고될 수 있기 를 기대해 본다. 124 지급결제와 정보기술 제55호 (2014. 1)
<참 고 문 헌> 2013년 금융IT 동향 및 주요 이슈 관련 [1] 김서영, 국내외 신유형 지급결제서비스 현황과 시사점, 2013. 1. [2] 안랩, 2013년 7대 보안 위협 트렌드 발표, 2013. 12. [3] 한국은행, 2013년 3/4분기 국내 인터넷뱅킹서비스 이용현황, 2013. 11. [4] COMODO, Android OBAD, 2013. 7. [5] CRN, The 10 Biggest Data Breaches Of 2013, 2013. 7. [6] Hackmageddon, 2013 Cyber Attacks Timeline Master Index, 2013. 12. [7] IBM X-Force 2013 Mid-Year Trend and Risk Report, 2013. 10. [8] NIST, Preliminary Cybersecurity Framework, 2013. 12. [9] SC Magazine, Top 8 threats in 2013, 2013. 12. 2014년 동향 예측 관련 [1] 데이터넷, 사물인터넷, 편리한 만큼 보안 위협 높다, 2013. 12. [2] 이스트소프트, 2014년 5대 보안 이슈, 2013. 11. [3] 잉카인터넷, 2013년 사례분석을 통한 2014년 보안 위협 예측, 2013. 11. [4] AppRiver, Top Security Trend Predictions For 2014, 2013. 12. [5] Booz Allen, Annual Cyber Security Trends for 2014, 2013. 12. [6] Enterprise Networking Planet, 5 Network Security Predictions for 2014, 2013. 12. [7] ESET, 2014 security and privacy predictions, 2013. 12. [8] FireEye, Top Security Predictions for 2014, 2013. 11. [9] Fortinet, Top 10 Threat Predictions for 2014, 2013.11. [10] Gartner, Top 10 Strategic Technology Trends for 2014, 2013. 10. [11] Infoworld, 9 trends for 2014 and beyond, 2013. 10. [12] ISF, Top six security threats for 2014, 2013. 12. [13] Kaspersky, SecurityBulletin 2013 Forecasts, 2013. 12. [14] Kroll, 2014 Cyber Security Forecast, 2013. 12. [15] Lancope, 2014 Security Predictions, 2013. 12. [16] Microsoft, Top Cyber Threat Predictions for 2014, 2013. 12. [17] Sophos, Security Threat Report 2014, 2013. 12. 금융결제원 125
[18] Symantec, 5 key information security predictions for 2014, 2013. 11. [19] TrendMicro, Security Predictions for 2014 and Beyond, 2013. 12. [20] Trusteer, The Most Dangerous Malware Trends for 2014, 2013. 11. [21] WatchGuard, Top 8 Security Predictions for 2014, 2013. 12. [22] Websense, 2014 Security Predictions, 2013. 12. [23] Zscaler, 2014 Security Cloud Forecast, 2013. 12. 126 지급결제와 정보기술 제55호 (2014. 1)