IoT를 악용하는 공격 위협이 갈수록 심각해지는 것으로 나타났다. 포티넷의 ‘2017년 4분기 보안위협 보고서’에 따르면 이 기간 동안 발견된 익스플로잇 활동이 4배 증가했으며, IoT를 이용하는 리퍼 악성 봇과 관련된 익스플로잇은 전 분기 5만건에서 4분기 270만건으로 크게 늘어났다.
또한 이 기간 중 발견된 상위 20개의 공격 중 3개가 대상화된 IoT 장치를 식별했으며, 와이파이 카메라 등에서 익스플로잇 활동이 4배 증가했다. 리퍼, 하지메 등의 IoT 봇넷이 여러 취약점을 동시에 이용할 수 있어 대응이 더욱 어려워지고 있다.
포티넷은 기업을 타깃으로 하는 표적형 공격이 벌레떼(Sworm)와 같다고 설명했다. 사이버 범죄자들은 여러 취약성, 장치, 액세스 포인트(AP)를 동시에 타깃으로 삼으며, 새로운 스웜 기능을 실행한다. 위협이 빠르게 개발되고, 새로운 변종이 신속하게 확산되면서 많은 조직들이 이에 대응하기가 점차 어려워지고 있다는 것이 포티넷의 설명이다.
가장 먼저 나타나는 현상으로, 위협의 양이 급증하고 있어 익스플로잇은 4분기 82% 증가했고, 멀웨어 변종은 25% 증가, 고유 변종은 19% 증가했다. SSL 암호화 트래픽도 60% 증가해 암호화를 이용하는 지능형 공격도 늘어나고 있다.
랜섬웨어 위협도 감소하지 않고 있다. 록키는 가장 널리 퍼진 멀웨어 변종이었는데, 새로운 록키는 몸값을 요청하기 전 스팸을 통해 수신인을 속인다. 몸값을 지불하는데 사용하는 암호화폐도 비트코인 외에 모네로 등 다양해졌다. 또한 암호화폐 채굴 봇넷은 전 세계적으로 증가하고 있어 사용자를 불편하게 만든다.
산업제어시스템(ICS)와 안전설비 시스템(SIS)에 대한 익스플로잇 활동도 증가하고 있는데, 트리톤(Triton) 멀웨어의 경우 포렌식 분석을 막기 위해 멀웨어를 쓰레기 데이터로 덮어둔다. 이처럼 추적을 피하는 방법도 교묘하게 진화하면서 핵심 인프라에 치명적인 피해를 입힌다.
스테가노그래피를 다시 사용하게 됐다는 것도 주목할만한 변화다. 최근 발견된 선다운 익스플로잇킷은 스테가노그래피를 사용해 정보를 탈취하며, 일정 기간 동안 많은 조직이 다른 익스플로잇 킷 보다 더 많이 사용하는 것으로 보고되고 있다.
포티넷 관계자는 “자가 학습 기능을 가진 하이브넷, 스웜봇이 증가하고 있으며, 공격 범위가 빠르게 늘어나고 있다. 그러나 인프라에 대한 가시성과 제어 능력은 줄어들고 있어 심각한 상황”이라며 “공격자들의 빠른 속도와 규모 문제를 해결하기 위해 조직들은 자동화와 통합을 기반으로 한 보안 전략을 수립해야 한다. 시큐리티 전환을 위한 최신 보안 플랫폼은 이벤트에 자동적으로 대응하고 위협 인텔리전스, 자가 학습을 적용해 디지털 속도로 운영돼야 하며, 이를 통해 효과적이고 자율적인 네트워크 보안 의사 결정을 내릴 수 있어야 한다”고 조언했다.
