본문 바로가기

내부IT 환경에 잠재한 랜섬웨어봇넷 제거한 기업 고작 1.2%

랜섬웨어 관련 활동 감지한 기업조직 10% 미만 그쳐

기사입력 2017-08-05 14:06:13
내부IT 환경에 잠재한 랜섬웨어봇넷 제거한 기업 고작 1.2%
[산업일보]
사이버 보안 사고가 늘고 있지만 기업의 인식은 크게 개선되지 못하고 있다. 사이버 공격자들이 인터넷 사용을 제한하거나 전자제품에 대한 조작을 통해 돈을 요구하고 있어 기업과 정부는 최고 수준의 자동화와 신뢰할 수 있는 네트워크 세분화가 필요하다는 지적이다.

사이버 보안 솔루션 기업 포티넷 보안연구소인 포티가드랩이 최근 발간한 ‘2017년 1분기 글로벌 위협 전망 보고서’에 따르면 악명 높은 공격들이 세간의 주목을 끌고 있으나, 대부분의 조직들은 편재적인 CaaS(Crime-as-a-Service) 인프라에 의해 여러 위협에 직면해 있다고 밝혔다.

포티넷의 CISO(정보보호최고책임자) 필 쿼드(Phil Quade)는 지난 해, 잘 알려진 사이버 보안 사고는 공격자들이 인터넷 사용을 막고, TV 및 전화를 조작할 수도 있으며, 돈을 요구하면서 환자에 대한 치료 서비스를 중단시킬 수도 있다는 대중의 인식을 높였지만 인식 제고만으로는 충분하지 않다면서도 클라우드 서비스처럼 편리하고 비용을 절감시키는 IT 기술이 보편화되고 네트워크에 연결되는 스마트기기가 다양해지면서 보안의 가시성 및 제어 능력은 현저하게 낮아지고 있으나, 공격자들은 독자적인 툴을 구매하거나 재사용하고 있다고 지적했다. 최고의 사이버 보안 전략에는 기업과 정부의 새롭게 노출된 취약성을 대상으로 하는 공격을 철저히 감지, 차단하기 위해 최고 수준의 자동화와 신뢰할 수 있는 네트워크 세분화를 반드시 포함시켜야 한다고 강조했다.

공격 툴은 절대 사라지지 않으며, 언제 어디서나 공격할 준비가 돼 있다
최신 툴과 CaaS(Crime-as-a-Service) 인프라는 공격자들이 글로벌한 규모에서 빠른 속도로 공격할 수 있도록 하는 기반이 되고 있다.인터넷은 지역적 거리나 경계에 제한이 없기 때문에 대부분의 위협 트렌드는 특정 지역에 국한되기보다 글로벌한형태로 나타난다. 공격자들은 기회가 생길 때마다 글로벌한 규모로 공격 요소들을 찾아내며, 끊임없이 공격을 시도한다.

익스플로잇 트렌드와 랜섬웨어의 작용 및 확산 방법을 이해한다면 향후 워너크라이(WannaCry)와 유사한 사례로 인한 피해를 막을 수 있다. 악의적인 랜섬웨어와 변종들은 전세계 수백개의 조직에 막대한 혼란과 피해를 가져왔다.
랜섬웨어: 단 10% 미만의 기업 조직만이 랜섬웨어와 관련된 활동을 감지했으며, 평균 1.2 %의 조직만이 내부 환경에 잠재돼 있는 랜섬웨어 봇넷을 처리했다. 랜섬웨어는주로 주말에 확산됐으며, 다양한 랜섬웨어 봇넷의 평균 트래픽량이 증가함에 따라 피해를 입은 기업의 평균 수도 증가했다.

익스플로잇 트렌드: 조직의 80 %가 시스템에 매우 심각한 영향을 끼치는 익스플로잇에 대해 보고했다. 특히 CVE를 대상으로 하는 공격 시도가 많았다. 익스플로잇의 확산은 지역적으로 매우 일관된 형태를 보였는데, 이는 익스플로잇 활동의 대부분이 인터넷 프로빙(Internet probing)을 체계적으로 스캔하는 툴을 통해 자동화되고 있기 때문인 것으로 나타났다.


하이퍼컨버전스 및 IoT가 멀웨어 확산을 가속화하고 있다
네트워크와 사용자가 점점 더 많은 정보와 자원을 공유함에 따라, 분산된 지역과 다양한 산업에 걸쳐 공격이 더욱 빠르게 확산되고 있다. 멀웨어에 대한 조사는 이러한 공격의 준비 및 침입 단계에 대한 통찰력을 제공할 수 있다. 디바이스가 내부 네트워크에서 안전하게 보호되지 않고, 퍼블릭 네트워크에 빈번히 접속하며, 조직의 제어를 받지 않는 경우가 많기 때문에 모바일 멀웨어를 방어하는 것이 점차 어려워지고 있다.

모바일 멀웨어: 모바일 멀웨어는 2016 년 4 분기부터 2017 년 1 분기까지 꾸준히 확산됐으나, 약 20 %의 조직만이 이를 감지했다. 올해 1분기에는 안드로이드 멀웨어들이 상위 10 위를 차지했다. 모든 멀웨어 유형 중에서 안드로이드 멀웨어가 차지하는 비율은 지난해 4분기 1.7 % 에서 올해 1분기에 8.7% 로 크게 증가했다.

지역적 확산: 중동 지역을 제외한 모든 지역에서 모바일 멀웨어가 크게 증가했다. 성장률은 모든 경우에 통계적으로 유의미한 결과를 보였다. 다른 위협의 지역적 특성과 비교했을 때 안드로이드 멀웨어는 지리적 경향이 강하게 나타났다.


데이터 분산 및 탄력적 인프라 운용으로 인해 가시성이 감소하고 있다
위협 전망은 위협이 발생되는 환경을 반영한다. 이에 IT, 서비스, 제어, 활동이 시간 경과에 따라 어떻게 변하는지 이해하는 것이 매우 중요하다. 이 같은 위협 전망은 기업들이 광범위한 보안 정책 및 관리 모델을 점검해볼 수 있으며, 네트워크가 점차 복잡해지고 분산되는 환경에서 익스플로잇, 멀웨어, 봇넷의 진화를 모니터링하는데도 유용하다.

확장된 네트워크 환경에서 잠재적인 공격 벡터가 지속적으로 증가하면서 인프라에 대한 가시성과 제어 능력은 점차 감소하고 있다. 개인 및 공공 클라우드 솔루션을 채택하려는 움직임과 IoT의 성장, 네트워크에 연결된 스마트기기의 증가 및 다양성, 섀도우 IT(shadow IT)와 같은 대역외(out of band) 위협 벡터는 보안 전문가의 역량 한계를 넘어서고 있다.

암호화된 트래픽: HTTPS와 HTTP 트래픽의 평균 비율은 거의 55 %에 이른다. 이러한 추세는 개인 정보를 유지하는데 도움이 되나, 위협 모니터링 및 감지에 대한 문제점을 야기한다. 많은 방어 도구들은 암호화된 통신에 대해서 낮은 가시성을 제공한다. 특히, HTTPS 비율이 높은 조직은 암호화된 통신에 숨어 있는 위협에 직면할 수도 있다.

클라우드 애플리케이션: 조직이 사용한 클라우드 애플리케이션 평균 수는 62개였으며, IaaS 애플리케이션이 최고치를 기록했을 때는 전체 애플리케이션의 1/3를 차지하는 결과를 보였다. 그러나 클라우드로 이동 시에 데이터 가시성이 크게 낮아질 수 있다는 것은 문제점으로 지적된다. 또한, 이러한 애플리케이션 및 서비스에 저장되는 데이터가 지속적으로 증가하고 있기 때문에 이 같은 문제를 심도 깊게 다뤄야 한다.

산업 분야: 산업별 클러스터 분석에 따르면 교육 및 통신 분야와 같은 몇 가지 예외를 제외하고 대부분의 산업 분야에서 취약성이 동일하다는 것을 보여준다. 즉, 공격자는 특히 자동화된 툴을 사용해 산업 전반에 걸쳐 유사한 취약성을 보다 용이하게 활용할 수 있다.


아태 지역의 익스플로잇 트렌드는 글로벌 및 기타 지역의 트렌드와 유사했다. 예를 들어, 모든 지역에서 가장 많이 감지된 익스플로잇은 2014 년 셸쇼크(Shellshock) 버그와 관련성이 높다. 전세계 및 아태지역에서의 멀웨어 감염 대다수는 네머코드(Nemucod)와 같은 랜섬웨어드롭퍼(droppers)와 연관돼 있다. 또한, 전 세계적으로 봇넷 활동은 안드로메다(Andromeda)와 관련이 있으며, 아태지역에서도 이는 동일하다. 인터넷은 지리적인 거리와 경계에 제한이 없기 때문에 대부분의 위협 트렌트는 특정 지역에 국한되지 않고 글로벌한 형태로 나타나고 있다.
강은영 기자 qboom@kidd.co.kr

반갑습니다. 산업부 강은영 기자입니다. 산업 관련 빅데이터(Big Data), 3D프린터, 웨어러블 기기, 가상현실(VR) 분야 등과 함께, ‘산업인 24시’, ‘동영상 뉴스’, ‘동영상 인터뷰’ 를 통해 여러분을 찾아뵙겠습니다.

이 기자의 다른기사 보기 >

메인 추천제품

1/4

주소 : 08217 서울시 구로구 경인로 53길 15, 업무A동 7층 | TEL : 1588-0914 | 정기간행등록번호 서울 아 00317 | 등록일자 2007년 1월29일

발행인 · 편집인 : 김영환 | 사업자번호 : 113-81-39299 | 통신판매 : 서울 구로-1499

산업일보의 사전동의 없이 뉴스 및 컨텐츠를 무단 사용할 경우 저작권법과 관련 법적 제재를 받을 수 있습니다.

COPYRIGHT© SINCE 1991 DAARA ALL RIGHT RESERVED