3일 포티넷코리아(지사장 조현제)는 자사 보안연구소인 포티가드랩이 최근 발간한 ‘2017년 1분기 글로벌 위협 전망 보고서’를 발표하며 이 같이 밝혔다.

보고서는 중요 엔터프라이즈 기술 및 업계 트렌드를 배경으로 애플리케이션 익스플로잇, 악성 소프트웨어, 봇넷 등 3가지 측면에 초점을 맞춘 사이버보안 킬체인을 다루고 있다. 악명 높은 공격들이 세간의 주목을 끌고 있으나, 대부분의 조직들이 편재적인 CaaS(Crime-as-a-Service) 인프라에 의해 여러 위협에 직면해 있다는 게 보고서의 설명이다. 

공격 툴, 절대 사라지지 않고 언제 어디서나 공격할 준비돼 있어

보고서는 최신 툴과 CaaS(Crime-as-a-Service) 인프라가 공격자들이 글로벌한 규모에서 빠른 속도로 공격할 수 있도록 하는 기반이 되고 있다고 지적했다. 인터넷은 지역적 거리나 경계에 제한이 없기 때문에 대부분의 위협 트렌드는 특정 지역에 국한되기보다 글로벌한 형태로 나타나며, 공격자들은 기회가 생길 때마다 글로벌한 규모로 공격 요소들을 찾아내면서 끊임없이 공격을 시도한다는 설명이다.

보고서는 익스플로잇 트렌드와 랜섬웨어의 작용 및 확산 방법을 이해한다면 향후 워너크라이(WannaCry)와 유사한 사례에서 비롯되는 피해를 막을 수 있다고 조언했다. 악의적인 랜섬웨어와 변종들은 전 세계 수백 개의 조직에 막대한 혼란과 피해를 가져왔다.

랜섬웨어의 경우 단 10% 미만의 기업 조직만이 랜섬웨어와 관련된 활동을 감지했으며, 평균 1.2%의 조직만이 내부 환경에 잠재되어 있는 랜섬웨어 봇넷을 처리한 것으로 나타났다. 랜섬웨어는 주로 주말에 확산됐으며, 다양한 랜섬웨어 봇넷의 평균 트래픽량이 증가함에 따라 피해를 입은 기업의 평균 수도 증가한 것으로 조사됐다.

또한, 조직의 80%가 시스템에 매우 심각한 영향을 끼치는 익스플로잇에 대해 보고한 것으로 나타났다. 특히 CVE(공통 보안 취약성 및 노출)를 대상으로 하는 공격 시도가 많았다. 익스플로잇의 확산은 지역적으로 매우 일관된 형태를 보였는데, 이는 익스플로잇 활동의 대부분이 인터넷 프로빙(Internet probing)을 체계적으로 스캔하는 툴을 통해 자동화되고 있기 때문인 것으로 나타났다.

하이퍼컨버전스 및 IoT, 멀웨어 확산 가속화

네트워크와 사용자가 점점 더 많은 정보와 자원을 공유함에 따라, 분산된 지역과 다양한 산업에 걸쳐 공격이 더욱 빠르게 확산되고 있다. 보고서는 멀웨어에 대한 조사가 이러한 공격의 준비 및 침입 단계에 대한 통찰력을 제공할 수 있다고 설명했다.

오늘날 디바이스가 내부 네트워크에서 안전하게 보호되지 않고, 퍼블릭 네트워크에 빈번히 접속하며, 조직의 제어를 받지 않는 경우가 많기 때문에 모바일 멀웨어를 방어하는 것이 점차 어려워지고 있다.

모바일 멀웨어는 2016년 4분기부터 2017년 1분기까지 꾸준히 확산됐으나, 약 20%의 조직만이 이를 감지했다. 올해 1분기에는 안드로이드 멀웨어들이 상위 10위를 차지했다. 모든 멀웨어 유형 중에서 안드로이드 멀웨어가 차지하는 비율은 지난해 4분기 1.7% 에서 올해 1분기에 8.7%로 크게 증가했다.

지역별로는 중동을 제외한 모든 지역에서 모바일 멀웨어가 크게 증가했으며, 성장률은 모든 경우에 통계적으로 유의미한 결과를 보였다. 다른 위협의 지역적 특성과 비교했을 때 안드로이드 멀웨어는 지리적 경향이 강하게 나타났다.

데이터 분산 및 탄력적 인프라 운용, 가시성 감소시켜

위협 전망은 위협이 발생되는 환경을 반영한다. 이에 보고서는 IT, 서비스, 제어, 활동이 시간 경과에 따라 어떻게 변하는지 이해하는 것이 매우 중요하다고 강조했다. 이 같은 위협 전망은 기업들이 광범위한 보안 정책 및 관리 모델을 점검해볼 수 있으며, 네트워크가 점차 복잡해지고 분산되는 환경에서 익스플로잇, 멀웨어, 봇넷의 진화를 모니터링하는데도 유용하다는 설명이다.

확장된 네트워크 환경에서 잠재적인 공격 벡터가 지속적으로 증가하면서 인프라에 대한 가시성과 제어 능력은 점차 감소하고 있다. 개인 및 공공 클라우드 솔루션을 채택하려는 움직임과 IoT의 성장, 네트워크에 연결된 스마트기기의 증가 및 다양성, 섀도우 IT(shadow IT)와 같은 대역 외(out of band) 위협 벡터들이 보안 전문가의 역량 한계를 넘어서고 있다는 지적이다.

보고서는 현재 HTTPS와 HTTP 트래픽의 평균 비율은 거의 55%에 이르며, 이러한 추세는 개인 정보를 유지하는데 도움이 되지만 위협 모니터링 및 감지에 대한 문제점을 야기한다고 밝혔다. 많은 방어 도구들은 암호화된 통신에 대해서 낮은 가시성을 제공하며, 특히 HTTPS 비율이 높은 조직은 암호화된 통신에 숨어 있는 위협에 직면할 수도 있다는 설명이다.

또한 조직이 사용한 클라우드 애플리케이션 평균 수는 62개였으며, IaaS(서비스형 인프라) 애플리케이션이 최고치를 기록했을 때는 전체 애플리케이션의 1/3를 차지하는 결과를 보였다. 그러나 클라우드로 이동 시에 데이터 가시성이 크게 낮아질 수 있다는 것은 문제점으로 지적된다는 설명이다. 또한, 이러한 애플리케이션 및 서비스에 저장되는 데이터가 지속적으로 증가하고 있기 때문에 이 같은 문제를 심도 깊게 다뤄야 한다고 보고서는 지적했다.

산업별 클러스터 분석에 따르면 교육 및 통신 분야와 같은 몇 가지 예외를 제외하고 대부분의 산업 분야에서 취약성이 동일하다는 것을 보여준다. 즉, 특히 공격자가 자동화된 툴을 사용해 산업 전반에 걸쳐 유사한 취약성을 보다 용이하게 활용할 수 있다는 설명이다.

아태 지역의 익스플로잇 트렌드는 글로벌 및 기타 지역의 트렌드와 유사했다. 예를 들어, 모든 지역에서 가장 많이 감지된 익스플로잇은 2014년 셸쇼크(Shellshock) 버그와 관련성이 높다. 전 세계 및 아태지역에서의 멀웨어 감염 대다수는 네머코드(Nemucod)와 같은 랜섬웨어 드롭퍼(droppers)와 연관돼 있다. 또한, 전 세계적으로 봇넷 활동은 안드로메다(Andromeda)와 관련이 있으며, 아태지역에서도 이는 동일하다. 앞서 강조한 바와 같이, 인터넷은 지리적인 거리와 경계에 제한이 없기 때문에 대부분의 위협 트렌트는 특정 지역에 국한되지 않고 글로벌한 형태로 나타난다.

필 쿼드(Phil Quade) 포티넷 CISO(정보보호최고책임자)는 “지난해 잘 알려졌던 사이버 보안 사고들은 공격자들이 인터넷 사용을 막고, TV 및 전화를 조작할 수도 있으며, 돈을 요구하면서 환자에 대한 치료 서비스를 중단시킬 수도 있다는 대중의 인식을 높여줬다”면서, “그러나 인식 제고만으로는 충분하지 않다. 클라우드 서비스처럼 편리하고 비용을 절감시키는 IT기술이 보편화되고, 네트워크에 연결되는 스마트기기가 다양해지면서 보안의 가시성 및 제어 능력은 현저하게 낮아지고 있으나, 공격자들은 독자적인 툴을 구매하거나 재사용하고 있다”고 설명했다.

필 쿼드 CISO는 이어 “최고의 사이버 보안 전략에는 기업과 정부의 새롭게 노출된 취약성을 대상으로 하는 공격을 철저히 감지, 차단하기 위해 최고 수준의 자동화와 신뢰할 수 있는 네트워크 세분화를 반드시 포함시켜야 한다”고 덧붙였다.