거의 대부분의 기업과 기관이 심각한 익스플로잇 공격을 당한 것으로 나타났다. 포티넷의 ‘글로벌 위협 전망 보고서’에 따르면 96%의 기업이 최소 1번의 심각한 익스플로잇 공격을 당했으며, 약 1/4의 기업이 크립토재킹 멀웨어 공격을 받았고, 멀웨어 변종 6개가 전체 조직의 10% 이상에 확대된 것으로 분석됐다.
이 보고서에서는 또한 암호화폐 채굴을 위한 크립토재킹 공격이 가정용 IoT 장치를 대상으로 이뤄지고 있다고 밝혔다. 가정용 미디어 장치, 라우터, 공유기 등이 크립토재킹에 감염돼 암호화폐 채굴에 이용된다.
이러한 장치는 풍부한 연산 능력과 소스로 인해 공격자들에게 매력적인 타깃이 되고 있으며, 악의적인 목적으로 충분히 사용될 수 있다. 이 장치는 언제나 네트워크에 연결돼 있기 때문에 공격자들은 이들 장치에 멀웨어를 침투시켜 채굴에 활용한다.
또한 이 장치의 인터페이스는 웹 브라우저로 악용돼 취약점을 확장하고, 공격 벡터로서 기능한다. 이러한 트렌드는 향후에도 지속될 것이다. 이에 기업 네트워크에 연결된 장치를 효과적으로 보호하기 위해서는 ‘분할(Segmentation)’이 필요하다.
데릭 맨키(Derek Manky) 포티넷 글로벌 보안 전략가는 “사이버 범죄자들이 익스플로잇을 악용하는 방법이 더욱 스마트해지고 빨라지고 있다. 또한 공격자들이 확장되고 있는 공격 면을 대상으로 삼고, 지속적인 소프트웨어 개발을 통해 공격 방법론을 더욱 진화시켜 공격 효과를 극대화하고 있다”고 설명했다.
덧붙여 그는 “사이버 공격자들의 공세가 더욱 강화되고 있으며, 점점 더 많은 공격자들이 그들의 툴 세트를 자동화하고, 잘 알려진 익스플로잇의 변종을 만들어내고 있다. 또한 그들은 희생양을 찾기 위해 다수를 공략하는 접근보다는 보다 정확하게 타깃을 선별하고 있다. 기업들은 공격자들의 이 같은 전략에 대응하기 위해 새로운 보안 전략을 수립해야 한다”고 강조했다.
그는 이어 “자동화된 통합 방어 체계를 활용해 빠른 공격 속도 및 확대된 공격 규모의 문제를 해결하고, 고성능 행동 기반 탐지 기법을 활용해야 하며, AI 기반 위협 인텔리전스 통찰력을 통해 중요한 취약점을 패치하는데 주력해야 한다”고 덧붙였다.
창의적으로 활용하는 ‘봇넷’
포티넷 보고서에서 주목해야 할 새로운 위협 중 하나로 ‘봇넷’을 들었다. 공격자들은 ‘창의적’으로 봇넷 활용 공격을 벌이면서 영향력을 극대화하고 있다. 예를 들어 미라이 봇넷 변종인 ‘위키드(WICKED)’는 보안 패치가 안된 IoT 장치를 대상으로 하며, 그들의 신형 무기에 최소 3 개의 익스플로잇을 추가했다.
ICS/SCADA를 노리는 VPN필터도 중요한 위협으로 부상했다. VPN필터는 모드버스 스카다(Modbus SCADA) 프로토콜을 모니터링해 ICS/SCADA 환경을 공격하며, 데이터 유출 뿐 아니라 장치를 개별적으로 또는 그룹으로 완전히 작동하지 못하도록 한다.
금융을 타깃으로 하는 봇인 애너비스(Anubis) 변종의 경우, 랜섬웨어, 키로거, RAT 기능, SMS 가로채기, 화면 잠금, 착신 전환 기능 등 몇 가지 획기적인 기능이 추가됐다. 이처럼 공격자들의 ‘창의성’이 향상됨에 따라 실행 가능한 위협 정보를 기반으로 모핑 공격에 대응하는 것이 더욱 중요해졌다.
멀웨어 개발자들의 민첩한 개발
멀웨어 제작자들은 탐지를 피하기 위해 오랫동안 다형성(polymorphism)에 의존해 왔다. 최신 공격 트렌드는 멀웨어 제작자들이 멀웨어 탐지를 더욱 어렵게 만들고, 안티 멀웨어 제품의 최신 전략에 효과적으로 대응하기 위해 애자일 방식의 민첩한 개발 프랙티스를 적용한다.
갠드크랩(GandCrab)은 올해 여러 버전이 유포됐고, 갠드크랩 개발자는 이 멀웨어를 지속적으로 빠르게 업데이트하고 있다. 멀웨어 공격은 자동화될 뿐만 아니라, 새로운 우회 기술을 적용하는 방식으로 민첩하게 개발이 이뤄지고 있다. 사이버 범죄자들의 민첩한 개발에 대응하기 위해 기업들은 이러한 취약점을 정확히 찾도록 해주는 고급 위협 보호 및 탐지 기능을 보유해야 한다.
공격자들이 많은 멀웨어와 익스플로잇을 만들지만, 실제로 공격에 사용하는 익스플로잇은 5.7% 뿐이다. 공격자들은 까다롭게 공격도구와 취약점을 선별하며, 성공률이 높은 것을 주로 사용한다. 따라서 기업들은 취약점 개선을 위해 보다 적극적이고 전략적인 접근 방식을 취해야 한다.
‘보안 패브릭’으로 통합·자동화 지원
한편 포티넷은 이처럼 복잡하고 지능화된 공격에 대응하기 위해 ‘보안 패브릭(Security Fabric)’을 지속적으로 강화하고 있다. 보안 패브릭은 기존의 보안 장비들이 서로 연결돼 정보를 서로 공유하고 대응해 클라우드, IoT, 원격 기기와 같이 분산된 네트워크에서 각각 다뤄지던 보안을 네트워크 인프라 중심부에서 통합 관리할 수 있도록 지원한다.
보안 패브릭은 오늘날의 동적인 네트워크를 보호하기 위해 설계된 자동화된 통합 보안 프레임워크로, 디지털 비즈니스를 보호하는데 필요한 지속적인 평가는 물론, 광범위한 가시성, 지능적 위협에 대한 통합 탐지, 자동화된 대응을 지원한다.
조원균 포티넷코리아 대표는 “이번 글로벌 보안 전망이 시사하는 것과 같이, 기업들이 확장된 공격 면을 효과적으로 보호하기 위해서는 각 보안 요소들을 통합한 보안 패브릭을 구축해야 한다. 이 접근법은 실행 가능한 위협 인텔리전스를 신속 정확하게 공유할 수 있으며, 오늘날의 다중-벡터 익스플로잇에 효과적으로 대응할 수 있는 자동화된 치료 방법이기 때문이다”라며 “포티넷코리아는 보안 패브릭을 기반으로 국내 기업들에게 IoT부터 클라우드까지 네트워크의 모든 지점에 매끄러운 보호와 실천 가능한 위협 인텔리전스를 제공하고, 급변하는 위협 트렌드 속에서 최적의 보안 전략을 제시하는 가장 신뢰할 수 있는 보안 벤더로서의 역할을 다할 것이다”라고 말했다.
한편 포티넷코리아는 11일 서울 삼성동에서 고객과 사용자를 대상으로 ‘2018 포티넷 361° 시큐리티 컨퍼런스’를 개최하고 최신 사이버 위협 동향과 방어 방법에 대해 제안했다. 이 자리에서 포티넷코리아는 국내외 보안 업계의 전문가들과 함께 변화하는 사이버 보안 환경과 최신 기술 트렌드를 공유하고, 보안 트랜스포메이션(SX)의 실행 방안에 대해 구체적인 해답을 제시했다.
특히 이번 행사에서는 2017년 이퀴팩스 해킹 사건의 원인이기도 했던 웹 애플리케이션 플랫폼인 아파치 스트럿츠 취약점 익스플로잇의 공격 방법 시연 및 가상화폐 크립토재킹의 침투 과정을 시연하고, 최신 사이버 공격에 대한 가장 효과적인 방안을 모색했다. 또한 클라우드 환경에서의 보안 방안에 대한 패널 토론 및 기업 사례 연구를 발표했다.
