포티넷, ‘361° 시큐리티 2018’ 컨퍼런스 개최

▲ 데릭 맨키 포티넷 글로벌 보안전략가가 글로벌 보안 위협 동향에 대해 설명하고 있다.

[아이티데일리] 전 세계적으로 기업의 96%는 최소 1번 이상 심각한 익스플로잇 공격을 경험한 것으로 나타났다. 또한 기업의 1/4는 크립토재킹 멀웨어 공격도 경험한 것으로 조사됐다.

11일 포티넷(한국지사장 조원균)은 글로벌 보안 위협 트렌드 및 네트워크 보안 전략을 제시하는 ‘포티넷 361° 시큐리티 2018’ 컨퍼런스를 개최하고, 포티가드랩이 발표한 ‘글로벌 위협 전망 보고서’의 주요 내용을 공유했다.

이번 행사 참석차 방한한 데릭 맨키(Derek Manky) 포티넷 글로벌 보안전략가는 “올해 2분기 사이버 위협 동향을 살펴보면 24,000여개의 멀웨어 변종이 나타났으며, 약 5,000개의 멀웨어 패밀리가 탐지됐다”면서, “크립토재킹 멀웨어의 동향이 두드러지며, IoT 디바이스에 대한 익스플로잇 공격과 봇넷 등도 여전히 기승을 부리고 있는 것으로 조사됐다”고 설명했다.

데릭 멘키 보안전략가에 따르면, 전 세계적으로 MS 인터넷 익스플로러와 아파치 스트러츠의 취약점을 이용한 익스플로잇 킷이 많이 활용됐으며, 국내에서는 특히 IoT 취약점을 악용한 익스플로잇 킷이 빠르게 늘고 있었다. 국내에서 발생한 21억 건의 익스플로잇 공격 중 대부분이 IoT 디바이스를 노린 것으로 조사됐다.

크립토재킹은 가정용 IoT 장비로 이동하고 있는 것으로 나타났다. 공격자들은 가정용 IoT 디바이스를 타깃으로 암호화폐 채굴 악성코드를 유포하고 있다. 이 장치들은 올웨이즈온(Always-On) 상태로 네트워크에 연결돼 있기 때문에 공격자에게 활용될 여지가 있다는 것이다.

랜섬웨어 동향은 갠드크랩이 여전히 기승을 부리고 있으며, 서비스형 랜섬웨어(RaaS)로 진화함에 따라 개발조직과 유포조직이 분리되고 있었다. 데릭 맨키 보안전략가는 “랜섬웨어 개발조직과 유포조직이 범죄 수익을 6:4로 나누고 있으며, 애자일 개발방식을 이용해 악성코드를 쉽게 개발하고 효율적으로 재사용하고 있다”고 설명했다.

봇넷도 다양한 양상이 나타났다. 새로운 미라이(Mirai) 봇넷 변종인 위키드(WICKED)는 보안 패치가 안된 IoT 장치를 타깃으로 했으며, SCADA/ICS 환경을 타깃으로 삼는 VPN필터(VPNFilter)는 데이터 유출뿐 아니라 장치를 작동하지 못하도록 할 수 있어 주요 위협으로 부상했다. 아누비스(Anubis) 변종의 경우, 랜섬웨어, 키로거(keylogger), RAT 기능, SMS 가로채기(interception), 화면 잠금, 착신 전환 기능 등 몇 가지 기능이 추가됐다.

한국에서는 아파치 스트러츠 등 알려진 취약점을 겨냥한 익스플로잇과 자바스크립트 기반 크립토재킹이 가장 많이 탐지됐다. 그 다음으로 D-링크(D-Link) 및 링크시스(Linksys) 기기의 취약점을 악용한 익스플로잇이 보고됐다. 더불어 보안USB를 표적으로 한 틱(Tick) 공격과 이메일을 통한 피싱 공격인 ‘스카크래프트(Scarcraft)’도 발견됐다. 데릭 맨키 보안전략가는 “특히 포티넷은 틱 공격에 주목하고 있다”며, “포티넷이 틱 공격을 추적한 결과 지난 3개월간 900여건의 시도가 탐지됐다”고 말했다.

데릭 맨키 보안전략가는 “한국의 경우 IoT 디바이스의 취약점을 노린 공격이 두드러졌다”며, “이에 대응하기 위해선 제로트러스트 보안전략을 수립하고 자동화된 패치관리, 네트워크 분할 및 접근제어, SIEM 솔루션을 통한 모니터링 등을 수행해야 한다”고 강조했다. 이어 “포티넷은 ‘포티게이트’, ‘포티NAC’, ‘포티SIEM’ 등 다양한 솔루션을 ‘보안패브릭’으로 통합해 제공함으로써 IoT 디바이스를 노린 위협에도 대응할 수 있다”고 덧붙였다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지