서비스형 랜섬웨어 등 통해 누구나 공격자 될 수 있어
특정인 노리는 사회공학적 공격 기법 늘어나…
개개인의 보안 인식 제고 필수
[아시아경제 이민우 기자] 랜섬웨어, 사회공학적 공격 기법 등 보안 위협이 고도화되지만 결국 중요한 것은 사람이라는 분석이 나왔다.
3일 안랩은 '2017년 보안 위협 전망'을 발표하며 이 같은 내용을 강조했다.
안랩에 따르면 최근 국내외에서 발생하고 있는 해킹 사고의 대부분은 조직 내 특정 개인이나 그룹을 표적으로 삼아 공격을 수행하는 형태다. 공격 기법 역시 특정인 또는 그룹에게만 이메일을 보내 첨부 파일을 실행하도록 유도하는 스피어 피싱(Spear Phishing)이나 특정인이 주로 이용하는 웹사이트를 해킹하여 악성코드를 유포하는 워터링 홀(Watering Hole) 공격 등 사회공학적 공격 기법이 중심이다.
안랩은 이 같은 보안 위협에서 결국 가장 중요한 것은 '사람'이라고 강조했다. 아무리 뛰어난 솔루션과 방어 체계가 갖춰져도 이를 다루는 사람이 어떻게 활용하는지가 보안 위협의 피해를 결정한다는 뜻이다.
안랩 측은 "솔루션 도입만으로 충분하다고 성급하게 판단하는 보안 관리자나 책임자뿐만 아니라 '나 하나쯤은 괜찮겠지'라는 안일한 사용자의 보안 인식으로 인해 보안 침해 사고는 지속적으로 발생할 수 밖에 없다"며 "각 솔루션과 서비스 체계에 대한 점검 및 효과적인 운용을 위한 노력과 더불어 변함없는 보안의 취약점인 '사람'에 대한 교육과 관리 등 구체적인 노력이 필요하다"고 강조했다.
이를 위해 "조직 내 일반 사용자부터 보안 관리자, 기업 책임자까지, 사람에 의한 보안 문제를 최소화하기 위한 노력이 지속적으로 이뤄져야 한다"고 설명했다.
또한 과거 사이버 공격은 전문적인 해커의 전유물이었지만 최근에는 누구나 해킹 공격을 할 수 있고 피해자가 될 수 있게 된 점을 지적했다.
안랩 측은 "사이버 암시장뿐만 아니라 일반 인터넷 상에서도 스팸 메일 발송 서비스를 비롯해 랜섬웨어를 제작·유포부터 모니터링까지 대행하는 서비스형랜섬웨어(RaaS)를 구할 수 있게 됐다"며 "주요 응용 프로그램의 보안 취약점을 이용하는 익스플로잇 킷(Exploit Kit) 활용 공격 기법이 업그레이드되면서 사이버 공격이 더 많은 범죄에 악용될 것"이라고 덧붙였다.
이민우 기자 letzwin@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>