포티넷코리아(지사장 조현제)는 자사의 보안연구소인 포티가드랩이 최근 발간한 ‘글로벌 위협 전망 보고서’를 발표했다. 이 보고서는 원격 계측 데이터와 연구 조사를 통해 사이버 범죄자들이 이용하는 방법과 전략을 상세하게 밝혀냈으며, 향후 디지털 경제에 미칠 수 있는 잠재적 영향을 설명하고 있다.
이 보고서는 포티가드랩이 2016년 4분기 중 글로벌, 지역, 업종, 조직별로 조사한 연구 데이터를 기반으로 위협 전망의 3가지 측면(애플리케이션 익스플로잇, 멀웨어, 봇넷)에 초점을 맞췄다.
인프라 동향 및 위협과의 연관성
인프라 동향과 위협 전망과의 연관성을 고려하는 것은 매우 중요하다. 익스플로잇, 멀웨어와 봇넷은 독립적으로 발생하지 않으며, 네트워크 인프라가 발달하면서 이들의 위협을 찾아내고 예방하는 것이 점차 복잡해지고 있다.
데이터에 따르면, SSL을 사용한 암호화 트래픽은 약 50% 수준에 머물러 조직 내에 이동하는 웹 트래픽 전체의 약 절반 가량을 차지하는 것으로 나타났다. HTTPS 트래픽 사용량 추세는 중요한 모니터링 대상이다. HTTPS는 개인정보 보호에는 유용하지만, 암호화된 통신 내용에 숨길 수 있는 위협을 감지하기 어렵다는 문제가 있기 때문이다. 또한, SSL 트래픽은 검사를 거치지 않는 경우가 많은데, 암호화된 트래픽을 복호화하여 검사하고 다시 암호화하는 데 필요한 오버헤드가 가중된다. 따라서 보안 팀에서는 보호와 성능 중에서 하나를 택할 수 밖에 없다.
조직당 감지된 모든 애플리케이션 중에서 클라우드 애플리케이션의 수는 63개로, 모든 애플리케이션의 1/3 가량을 차지한다. 이러한 수치는 보안 측면에서 중요한 의미를 갖는다. 이는 IT팀이 클라우드 애플리케이션에 저장된 데이터나 데이터 사용 현황 및 해당 데이터에 액세스 권한이 있는 사람을 자세히 파악할 수 없다는 것을 의미한다. 오디오 및 비디오를 스트리밍하는 소셜미디어와 P2P 애플리케이션은 크게 증가하지 않았다.
웹 브라우징의 경우, 매일 방문하는 웹사이트의 수는 비교적 큰 변화가 없이 유지되었으며, 악성 사이트로 지정된 사이트의 백분율도 0.5% 수준에 머물렀다. 숫자 자체는 작지만 보통의 사용자가 하루에 방문하는 웹사이트의 수를 생각하면 이것만으로도 대기업 입장에서는 중대한 위험에 노출된다는 것을 의미한다.
디지털 지하(Underground)의 지원을 받는 Army of Things
IoT 기기는 전세계 사이버 범죄자들이 애용하는 디바이스다. 사이버 범죄자들은 직접 '사물(Things)'로 구성된 군대(Army)를 구축해 엄청나게 빠른 속도와 저렴한 비용으로 공격을 복제한다. 이때 속도와 규모는 최근 사이버 범죄 에코시스템의 핵심을 이루는 요소라 할 수 있다.
2016년 4분기, 보안 업계는 야후(Yahoo!)의 데이터 유출 사건과 딘(Dyn)의 디도스(DDoS) 공격의 충격에서 벗어나지 못한 상태였다. 분기가 절반도 채 지나기 전에 이 두 가지 사건이 세운 기록은 단순히 기록이 깨지기만 한 것이 아니라, 2배로 확장됐다.
미라이(Mirai) 봇넷에 의해 침해된 사물인터넷(IoT) 기기가 기록적인 수준의 DDoS 공격을 여러 차례 실행했다. 미라이(Mirai)의 소스 코드가 공개되자 일주일 이내에 봇넷 활동량이 25배나 늘었으며, 연말 무렵에는 125배나 증가했다.
여러 기기에 걸친 IoT 관련 익스플로잇 활동량을 보면 취약한 가정용 라우터와 프린터가 가장 많았지만, DVR/NVR이 6배 이상 엄청난 증가세를 보이며 라우터를 능가하는 현상도 보였다.
모바일 멀웨어가 전례 없이 큰 문제로 대두되고 있다. 모바일 멀웨어가 멀웨어 전체 규모에서 차지하는 비중은 겨우 1.7%밖에 되지 않지만, 멀웨어를 신고한 조직 5곳 중 1곳에서 모바일 변종을 접한 적이 있다고 밝혔으며, 이는 거의 대부분 안드로이드(Android) 환경에서였다. 모바일 멀웨어 공격에서는 심한 지역차가 발견됐다. 모바일 공격의 발생지는 아프리카가 36%, 아시아가 23%, 북미권이 16%였으며 이에 비해 유럽은 8% 수준에 그쳤다. 이 데이터는 오늘날 기업 네트워크에서 신뢰할 수 있는 디바이스에 대해 시사하는 바가 크다.
자동화된 대규모 공격의 우세
익스플로잇의 규모와 출현율 사이의 상관 관계를 보면, 공격 자동화는 증가하고, 멀웨어 및 다크 웹(Dark Web) 상에서 이용 가능한 배포 툴의 비용은 낮아지고 있다는 것을 알 수 있다. 이는 다시 말해, 사이버 범죄자가 공격을 시도하기에 유례 없이 비용이 적게 들고 간편한 환경이 조성되었다는 것을 의미한다.
감지된 익스플로잇 중에서 최고 순위를 차지한 것은 SQL 슬래머(SQL Slammer)로, 이는 주로 교육기관에 영향을 미치며 심각도 등급도 ‘높음’ 또는 ‘중요’ 수준이다.
Microsoft RDP(Remote Desktop Protocol, 원격 데스크톱 프로토콜)에 무차별 대입 공격(Brute Force Attack)을 시도한 익스플로잇이 출현율 면에서 2위를 차지했다. 이것은 10초에 200회씩 RDP 요청을 실행하는 방식이다. 이를 통해 전 세계 기업에서 대규모로 감지된 이유가 설명된다.
출현율 3위를 차지한 것은 Windows File Manager의 메모리 손상(Memory Corruption) 취약성과 연계된 서명이다. 이것은 jpg 파일을 포함한 취약한 애플리케이션 내에서 원격 공격자가 임의의 코드를 실행할 수 있게 해준다.
봇넷 패밀리에서 출현율과 규모가 가장 큰 것은 H-Worm과 제로액세스(ZeroAccess)였다. 이 둘을 이용하면 사이버 범죄자가 피해 시스템을 통제해 데이터를 빼내거나 클릭 사기(Click Fraud) 및 비트코인 채굴이 가능하다. 기술 및 공공 기관은 이들 2가지 봇넷 패밀리에 의한 공격 시도를 가장 많이 받았다.
사라지지 않는 랜섬웨어
랜섬웨어는 업종과 관계없이 주의해야 하는 공격 방식이다. 랜섬웨어는 ‘RaaS(Ransomware-as-a-service, 서비스형 랜섬웨어)’가 늘어나면서 계속해서 이어질 가능성이 높은데, RaaS란 아무런 교육도 받지 않고 기술도 없는 잠재적 범죄자가 툴을 다운로드하여 피해자를 노리기만 하면 되는 단순한 형태다.
기업의 36%가 랜섬웨어와 관련된 봇넷 활동을 감지했다. 1위를 차지한 주인공은 토렌트락커(TorrentLocker)였으며 '록키(Locky)'가 3위에 올랐다.
멀웨어에 속한 '네머코드(Nemucod)' 와 에이전트(Agent)도 특히 활발한 활동을 보였다. 수집한 멀웨어 샘플의 81.4%를 이 2가지 멀웨어가 차지했다. 네머코드(Nemucod) 패밀리는 랜섬웨어와 연계된 것으로 특히 악명이 높다.
랜섬웨어는 지역과 업종을 불문하고 어디에나 존재했지만, 특히 의료서비스 기관에 널리 퍼져 있었다. 이것은 여전히 중요한 의미를 갖는다. 환자 데이터란 다른 유형의 데이터보다 수명과 개인적인 가치 면에서 훨씬 중요하기 때문에 이러한 데이터가 침해당하면 그 후폭풍이 훨씬 심각할 수 있다.
대담한 익스플로잇의 출현과 오랜 숙적의 귀환
사이버 범죄자들은 “취약점 하나도 남겨두지 않는다”는 전략을 취했다. 기존 기기나 소프트웨어의 보안 패치 및 결함에 모든 주의가 집중되었던 탓에 최근 디지털 기기로 인해 더욱 빠르게 성장하고 있는 공격 면(Attack Surface)에 미처 주의를 기울일 시간적 여유와 주의력이 부족했다.
86%에 달하는 기업들이 10년 이상 오래된 취약점을 악용한 공격에 대해 신고했다. 그 중 약 40%는 그보다도 더 오래된 CVE를 대상으로 한 익스플로잇을 확인한 바 있다.
또한 조직당 평균 10.7건의 고유 애플리케이션 익스플로잇이 발견됐다. 10개 중 한 곳이 중요하거나 심각도가 높은 익스플로잇을 감지했다.
전반적으로 아프리카, 중동 및 라틴 아메리카 지역이 다른 세계 각지의 기업 에서 감지한 익스플로잇, 멀웨어 및 봇넷 패밀리의 평균 수보다 모든 위협 범주에서 훨씬 숫자도 많고 다양했다. 이러한 차이점은 봇넷에서 가장 두드러지게 나타났다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>