“모든 사물을 공격 자원으로 만드는 AoT 시대 온다”
상태바
“모든 사물을 공격 자원으로 만드는 AoT 시대 온다”
  • 김선애 기자
  • 승인 2017.04.14 09:55
  • 댓글 0
이 기사를 공유합니다

포티넷 “지하시장 지원 받는 AoT 등장…모든 취약점 이용하는 지능형 공격 심각”

사물인터넷(IoT) 위협과 관련한 신조어가 경쟁적으로 등장하는 가운데, ‘지하시장의 지원을 받는 AoT(Army of Things)’라는 용어도 나왔다. 사이버 범죄자들인 IoT에 이용되는 사물을 이용해 ‘군대’를 조직하고 빠른 속도와 저렴한 비용으로 공격을 복제하며, 사이버 범죄의 에코시스템을 이루고 있다는 뜻이다.

포티넷이 14일 발표한 ‘글로벌 보안 위협 전망 보고서’에서는 지난해 발생한 미라이 봇넷 디도스 공격을 예로 들며, IoT 기기를 이용한 대규모 공격을 경고했다. 미라이 봇넷은 지난해 10월 미국의 DNS 서비스 기업 딘(Dyn)을 공격해 미국 주요 인터넷 서비스를 마비시켰으며, 이외에도 기록적인 수준의 디도스 공격을 여러차례 실행했다. 미라이 소스코드가 공개된 후 일주일 이내에 봇넷 활동량이 25배 늘었으며, 연말에는 125배 증가했다.

여러 기기에 걸친 IoT 관련 익스플로잇 활동량을 보면 취약한 가정용 라우터와 프린터가 가장 많았지만, DVR/NVR이 6배 이상 증가세를 보이며 라우터를 능가하는 현상도 보였다.

대담한 익스플로잇의 출현과 오랜 숙적의 귀환

사이버 범죄자들은 “취약점 하나도 남겨두지 않는다”는 전략을 취했다. 기존 기기나 소프트웨어의 보안 패치 및 결함에 모든 주의가 집중되었던 탓에 최근 디지털 기기로 인해 더욱 빠르게 성장하고 있는 공격 면(attack surface)에 미처 주의를 기울일 시간적 여유와 주의력이 부족했다.

86%에 달하는 기업들이 10년 이상 오래된 취약점을 악용한 공격에 대해 신고했다. 그중 약 40%는 그보다도 더 오래된 CVE를 대상으로 한 익스플로잇을 확인한 바 있다.

조직당 평균 10.7건의 고유 애플리케이션 익스플로잇이 발견되었다. 10개 중 한 곳이 중요하거나 심각도가 높은 익스플로잇을 감지했다.

전반적으로 아프리카, 중동 및 라틴 아메리카 지역이 다른 세계 각지의 기업 에서 감지한 익스플로잇, 멀웨어 및 봇넷 패밀리의 평균 수보다 모든 위협 범주에서 훨씬 숫자도 많고 다양했다. 이러한 차이점은 봇넷에서 가장 두드러지게 나타났다.

자동화된 대규모 공격의 우세

익스플로잇의 규모와 출현율 사이의 상관 관계를 보면, 공격 자동화는 증가하고, 멀웨어 및 다크 웹 상에서 이용 가능한 배포 툴의 비용은 낮아지고 있다는 것을 알 수 있다. 이는 다시 말해, 사이버 범죄자가 공격을 시도하기에 유례없이 비용이 적게 들고 간편한 환경이 조성되었다는 것을 의미한다.

감지된 익스플로잇 중에서 최고 순위를 차지한 것은 SQL 슬래머로, 이는 주로 교육기관에 영향을 미치며 심각도 등급도 ‘높음’ 또는 ‘중요’ 수준이다.

MS 원격 데스크톱 프로토콜(RDP)에 무차별 대입 공격(brute force attack)을 시도한 익스플로잇이 출현율 면에서 2위를 차지했다. 이것은 10초에 200회씩 RDP 요청을 실행하는 방식이다. 이를 통해 전세계 기업에서 대규모로 감지된 이유가 설명된다.

출현율 3위를 차지한 것은 윈도우 파일 매니저 메모리 손상 취약성과 연계된 서명이다. 이것은 jpg 파일을 포함한 취약한 애플리케이션 내에서 원격 공격자가 임의의 코드를 실행할 수 있게 해준다.

봇넷 패밀리에서 출현율과 규모가 가장 큰 것은 H-Worm과 제로액세스(ZeroAccess)였다. 이 둘을 이용하면 사이버 범죄자가 피해 시스템을 통제하여 데이터를 빼내거나 클릭 사기(Click Fraud) 및 비트코인 채굴이 가능하다. 기술 및 공공 기관은 이들 2가지 봇넷 패밀리에 의한 공격 시도를 가장 많이 받았다.

사라지지 않는 랜섬웨어

랜섬웨어는 업종과 관계없이 주의해야 하는 공격 방식이다. 특히 서비스형 랜섬웨어(RaaS)가 늘어나면서 계속해서 이어질 가능성이 높은데, RaaS란 아무런 교육도 받지 않고 기술도 없는 잠재적 범죄자가 툴을 다운로드하여 피해자를 노리기만 하면 되는 단순한 형태이다.

기업의 36%가 랜섬웨어와 관련된 봇넷 활동을 감지했다. 1위를 차지한 주인공은 토렌트락커(TorrentLocker)였으며 ‘록키(Locky)’가 3위에 올랐다.

멀웨어에 속한 ‘네머코드(Nemucod)’와 에이전트(Agent)도 특히 활발한 활동을 보였다. 수집한 멀웨어 샘플의 81.4%를 이 2가지 멀웨어가 차지했다. 네머코드(Nemucod) 패밀리는 랜섬웨어와 연계된 것으로 특히 악명이 높다.

랜섬웨어는 지역과 업종을 불문하고 어디에나 존재했지만, 특히 의료서비스 기관에 널리 퍼져 있었다. 이것은 여전히 중요한 의미를 갖는다. 환자 데이터란 다른 유형의 데이터보다 수명과 개인적인 가치 면에서 훨씬 중요하기 때문에 이러한 데이터가 침해당하면 그 후폭풍이 훨씬 심각할 수 있다.

웹 트래픽 절반, SSL 암호화

SSL을 사용한 암호화 트래픽은 약 50% 수준에 머물러 조직 내에 이동하는 웹 트래픽 전체의 약 절반 가량을 차지하는 것으로 나타났다. HTTPS 트래픽 사용량 추세는 중요한 모니터링 대상이다. HTTPS는 개인정보 보호에는 유용하지만, 암호화된 통신 내용에 숨길 수 있는 위협을 감지하기 어렵다는 문제가 있기 때문이다.

SSL 트래픽은 검사를 거치지 않는 경우가 많은데, 암호화된 트래픽을 복호화해 검사하고 다시 암호화하는 데 필요한 오버헤드가 가중된다. 따라서 보안 팀에서는 보호와 성능 중에서 하나를 택할 수 밖에 없다.

전체 앱 1/3 차지하는 클라우드 앱

조직당 감지된 모든 애플리케이션 중에서 클라우드 애플리케이션의 수는 63개로, 모든 애플리케이션의 1/3 가량을 차지한다. 이러한 수치는 보안 측면에서 중요한 의미를 갖는다. 이는 IT 팀이 클라우드 애플리케이션에 저장된 데이터나 데이터 사용 현황 및 해당 데이터에 액세스 권한이 있는 사람을 자세히 파악할 수 없다는 것을 의미한다. 오디오 및 비디오를 스트리밍하는 소셜미디어와 P2P 애플리케이션은 크게 증가하지 않았다.

웹 브라우징의 경우, 매일 방문하는 웹사이트의 수는 비교적 큰 변화가 없이 유지되었으며, 악성 사이트로 지정된 사이트의 백분율도 0.5% 수준에 머물렀다. 숫자 자체는 작지만 보통의 사용자가 하루에 방문하는 웹사이트의 수를 생각하면 이것만으로도 대기업 입장에서는 중대한 위험에 노출된다는 것을 의미한다.

안드로이드 기반 모바일 멀웨어 심각

모바일 멀웨어가 전례 없이 큰 문제로 대두되고 있다. 모바일 멀웨어가 멀웨어 전체 규모에서 차지하는 비중은 겨우 1.7%밖에 되지 않지만, 멀웨어를 신고한 조직 5곳 중 1곳에서 모바일 변종을 접한 적이 있다고 밝혔으며, 이는 거의 대부분 안드로이드(Android) 환경에서였다.

모바일 멀웨어 공격에서는 심한 지역차가 발견되었다. 모바일 공격의 발생지는 아프리카가 36%, 아시아가 23%, 북미권이 16%였으며 이에 비해 유럽은 8% 수준에 그쳤다. 이 데이터는 오늘날 기업 네트워크에서 신뢰할 수 있는 디바이스에 대해 시사하는 바가 크다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.