IT/과학/트랜드/기획
봇넷 침투 늘고, 변종 공격 증가
위클리포스트
2018. 11. 29. 00:11
[2018년 11월 28일] - 올 한해 칼과 방패의 싸움이라 여겨온 보안공격은 치졸하고 최악으로 기록됐다. 여전히 안심할 수 없다. 과거와 달리 더는 개인의 신상 정보를 노리지 않는 것이 달라진 점이다. 오롯이 돈 되는 타깃을 정교하게 노린 표적형 공격인데 그 점에서 기업은 해커의 구미를 당긴 최고의 재물인 것. 해커는 돈 되는 상대를 찾아 수개월간 트랩을 만들고 결정적인 순간에 활동을 개시하는데 이때 타격은 오직 단 한방.
그럼에도 불구하고 공격당한 상대는 치명상을 입고 회복 불능상대로 빠져 들었다. 정황상 실속을 챙긴 공격을 가한 셈이다.
그렇다면 올 초까지의 기승을 떨었던 보안 공격의 전형이자 대표적인 형태인 지능화와 정교해진 타깃층 공격 패턴은 하반기에도 이어졌을까? 상반기와 중반기에 중소규모 IDC를 함락시켜 수천명을 상대로 족히 수십억 원 대에 달하는 피해를 야기한 랜섬웨어 사건은 일순간 느슨했던 업계에 랜섬웨어 경계심을 발동시켰는데 이후 꽤많은 시간이 흐른 지금까지 추가적인 피해 사례가 보고되지 않으면서 소강국면에 접어들었다고 평가하는 요즘.
최대 이슈는 다름 아닌 가상화폐. 이러한 흐름을 노린 블록체인 기반 사이버 공격이 랜섬웨어 공백을 대체하고 새로운 문제가 될 전망이다.
사이버보안 기업 포티넷코리아(조원균 대표)의 보안연구소인 포티가드랩이 발간한 ‘2018년 3분기 글로벌 위협 전망 보고서’는 하반기 사이버 위협은 보다 정교해지고, 진화하고 있다는 점을 다시 한번 강조했다. 또한, 독특한 보안 위협군과 변종이 증가하는 추세며, 봇넷이 기업 조직에 지속적으로 침투하여 감염 사고를 일으키고 있다고 분석했다.
포티넷의 CISO(정보보호최고책임자) 필 쿼드(Phil Quade)는 "사이버 위협이 급속도로 증가하고 있다. 이전에는 랜섬웨어가 기승을 부렸으나, 최근에는 크립토재킹(cryptojacking), 모바일 멀웨어, 비즈니스 크리티컬한 공급망에 대한 사이버 공격이 확산되고 있다. 사이버 공격자들은 새로운 위협을 지속적으로 통합하고, 더 빠르고 확장가능한 방식으로 악의적인 활동, 분할, 통합을 위한 자동화 기술을 활용하고 있다. 이를 방어하는 것이 오늘날의 IT 및 OT 환경을 위한 중요한 보안 전략이 되고 있다"라고 주의를 당부했다.
보고서에 담긴 핵심 내용을 정리해봤다.
분명한 것은 꾸준히 해커활동은 증가하며
기업은 매력적인 먹잇감으로 평가됐다.
▲보다 전문화된 해커집단 등장 - 전문화된 툴을 개발할 뿐만 아니라, 방어 체계를 우회하는 새로운 전략을 세워 공격에 임하고 있다. 멀웨어 변종(malware variants)은 43% 증가했으며, 같은 기간 변종을 다시 변종한 멀웨어 변종군(malware families)도 약 32% 증가했다. 이러한 환경에 노출된 기업은 1일 기준 평균 62% 증가한 멀웨어에게 먹잇감이 되어 공격 받았다.
비단 멀웨어 뿐만이 아니다. 익스플로잇도 약 10% 증가했으며, 기업당 익스플로잇 탐지 수는 37% 증가했다. 해커는 멀웨어 변종 및 새로운 변종군을 만들어 지속적으로 위협을 늘려나가는 추세다. 시그니쳐 확보가 관건인데 증가 속도가 치료 속도를 앞선 상황에서는 탐지도 쉽지 않다. 이에 사이버 보안 위협 인텔리전스 및 평가 툴의 중요성이 더욱 강조되고 있다.
▲모바일 장치가 주요 타겟 - 공격 대상의 1/4 이상이 모바일 멀웨어 공격을 경험했으며, 사용 환경은 안드로이드 운영 체제인 것으로 조사됐다. 전체 멀웨어 경보 중 약 14%가 안드로이드와 연관한 것으로 확인됐다. 상대적으로 애플 기종의 위협이 낮았는데 전체 위협 중 단 0.000311%만이 Apple iOS를 타겟으로 삼았다.
특히, 대규모 연말 쇼핑 시즌이 임박함에 따라 우려되는 상황. 안드로이드 단말기의 허점은 기업 네트워크가 악용될 수 있는 관문 역할을 한다. 사이버 범죄자는 모바일이 네트워크에 침투하는데 접근이 용이한 타겟이라는 점을 잘 알고 있으며, 이를 악용하고 있다.
▲크립토재킹(Cryptojacking)이 본격 문제로 대두 - 지금부터가 본론이다. 랜섬웨어 논란을 잠재운 가상화폐와 연관한 문제가 활동에 돌입했다. 크립토재킹(Cryptojacking)은 여전히 증가추세며, 그 범위도 계속 확대되고 있다. 지난 해에만 크립토재킹의 영향 대상으로 지목된 플랫폼이 38%나 증가했으며, 고유한 시그니처는 거의 2배에 임박했다. 여기에는 숙련된 공격자에게 좋은 먹잇감이 될 신규 플랫폼은 물론, 초보 공격자에게 유리한 “서비스로서의” 플랫폼이 모두 포함된다.
문제라면 일상에서 사용되는 IoT를 이용한 봇넷 공격이다. 크립토재킹 익스플로잇 환경에 무방비에 노출된 상태인데 일상 생활에서 A부터 Z까지 쓰이는 사소한 장비까지 네트워크에 접속되는 추세를 감안하면 크립토재킹(cryptojacking)이 추가 공격을 위한 관문으로 IoT가 악용될 수 있다는 점을 인지해야 한다.
▲ 악성 네트워크 트래픽 비율은 주말 및 휴일에 증가 - 보고서에 의하면, 주말과 휴일에는 비즈니스 트래픽이 크게 줄고, 악성 네트워크 트래픽이 높은 비율을 차지하는 것으로 나타났다. 이는 대부분의 조직에서 많은 직원들이 주말과 휴일에는 근무하지 않아, 비즈니스 트래픽의 양이 감소하기 때문이다. 트래픽 양 자체가 줄어들기 때문에 악의적인 공격을 발견할 확률이 훨씬 높아지는 것이다. 이는 보다 자동화되고 정교한 기법을 사용하는 사이버 범죄에 대한 가시성을 높일 수 있는 기회가 될 수도 있다.
▲ 탐지 및 제거가 어려워진 봇넷 - 기업당 감염 일수는 7.6일에서 10.2 일로 34% 증가했지만 봇넷 탐지 지수는 단 2 % 상승에 불과했다. 이는 봇넷이 보다 정교해지고 탐지 및 제거가 더 어려워지고 있다는 사실을 의미한다. 또한, 일부 조직에서는 보안 규정을 제대로 준수하지 않은 정확도 포착됐다. 물론 탐지가 되면 활동을 잠정 중단할 수도 있으나 근본적인 원인을 찾지 못하고 방치할 경우 ‘페이션트 제로(patient zero, 최초감염자)’가 확인되지 않는다면 봇넷은 비즈니스 운영이 재개된 후에 다시 활동을 시작할 수 있다.
▲ 암호화된 트래픽 증가 - 암호화된 트래픽이 전체 네트워크 트래픽의 72% 이상에 달했다. 이는 1년 전 55%에서 크게 증가한 수치로 단적으로만 보면 긍정적인 신호다. 코어, 클라우드, 엔드포인트 환경간 데이터가 이동할 때 암호화는 데이터 보호에 있어 확실한 역할을 하고 있다. 반면에 전통적인 보안 솔루션은 또 하나의 골치거리가 될 수 있다.
일부 레거시 보안 솔루션의 IPS 성능 하락은 물론 중요 방화벽으로 인해 암호화된 데이터 검사에 제약도 따른다. 트래픽에 숨어 접근하는 문제를 탐지할 수 없어 결과적으로 멀웨어가 확산하는 데 도움이 되거나 데이터가 휴출되는 메커니즘으로 악용하는 문제까지 야기할 수 있다.
보안에 대한 새로운 접근법 요구돼
과거와 달리 변종이 지속적인 증가세
장비도 사람도 똑똑해져야 할 시기
종합적으로 요약하자면 위협 전망 보고서가 전하고자 하는 핵심은 ▲기업은 ‘디지털 전환’ 노력의 일환으로 ‘보안 전략’도 전환해야 한다.라는 것. 격리된 레거시 보안 장치 및 취약한 보안 위생은 적절한 가시성이나 제어를 지원하지 못하기 때문에 오늘날의 위협에 리스크를 높인는 요인이 됐다. 대신, 확장된 전체 네트워크 환경을 아우르고 각 보안 요소들이 통합된 ‘보안 패브릭’은 오늘날의 위협 환경을 효율적으로 진단하는 데 매우 중요하다. 이 접근법은 실행 가능한 사이버 보안 위협 인텔리전스를 신속, 정확하게 공유할 수 있으며, 필수적인 탐지 창을 줄이고, 오늘날의 다중-벡터 익스플로잇에 효과적으로 대응할 수 있는 자동화된 치료 방법이다.
By 김현동 에디터 hyundong.kim@weeklypost.kr
〈저작권자ⓒ 위클리포스트, 무단전재 및 재배포 금지〉