진화한 랜섬웨어…‘서비스 파괴형 공격’ 늘어난다
상태바
진화한 랜섬웨어…‘서비스 파괴형 공격’ 늘어난다
  • 김선애 기자
  • 승인 2017.07.31 16:01
  • 댓글 0
이 기사를 공유합니다

시스코 보고서 “랜섬웨어 방식으로 서비스 파괴하는 공격 늘어…IoT, 사이버 범죄자의 새로운 기회”

랜섬웨어가 시스템을 파괴하기 위한 목적으로 변하고 있는 가운데, 이와 같은 ‘서비스 파괴형(DeOS)’ 공격이 규모와 영향력을 더욱 높여갈 것이라는 예측이 나왔다.

시스코가 31일 발표한 ‘2017 중기 사이버보안 보고서’에 따르면 워너크라이, 페트야/네티야 등 최근 사이버 공격은 기존 랜섬웨어처럼 보이지만, 훨씬 파괴적이고 확산 속도가 빠르며 광범위한 영향력을 보여준다. 시스코가 서비스 파괴 공격으로 규정하는 이 같은 공격은 기업에게 많은 피해를 입히고 복구를 힘들게 만든다.

IoT 취약점 공격, 광범위한 사이버 위협 될 것

IoT는 사이버 범죄자에게 새로운 기회를 제공하며 IoT 보안 취약성은 파괴력이 큰 공격을 수행하는 데 중심 역할을 한다. 최근 IoT 봇넷 활동의 경우, 공격자가 인터넷 자체를 파괴하는 광범위한 사이버 위협을 감행할 수 있음을 시사한다.

이 같은 공격에 대비해 보안 프랙티스 효과를 측정하는 일이 매우 중요하다. 시스코는 위협 침해와 탐지 사이의 시간을 나타내는 ‘탐지 시간(TTD)’이 얼마나 단축되고 있는지 진행 과정을 추적하고 있다. 탐지 시간 단축은 공격자의 활동 영역을 제한하고 침입 피해를 최소화하는 데 큰 역할을 한다.

시스코는 2015년 11월부터 2017년 5월까지 위협 탐지 시간 중앙값을 39시간 이상에서 약 3.5시간으로 대폭 단축했다. 이 수치는 사전 동의 후 전 세계에 구축된 시스코 보안 제품으로부터 원격 측정해 수집한 정보를 기반으로 한다.

배민 시스코코리아 보안 솔루션 사업 총괄 상무는 “워너크라이, 페트야/네티야에서 보듯 최근 공격의 진행 방식은 점점 더 창의적으로 진화하고 있다. 보안 사고 이후 대다수 기업이 개선 조치를 취했지만 공격자와 경쟁은 끊임 없이 계속될 것”이라며 “복잡성은 보안을 방해하고 사용 제품이 많을수록 간과된 취약점과 보안 틈이 많아져 오히려 공격자에게 엄청난 기회를 준다. 탐지 시간을 줄이고 공격 영향을 최소화하기 위해 기업은 가시성과 관리 능력을 높인 통합적이고 구조적인 방식을 통해 부서 간 ‘보안 격차’를 좁혀야 한다”고 말했다.

전통적인 공격과 새로운 공격의 공존

최근 공격에서 주목할만한 점은 전통적인 공격이 부활하고 있다는 점이다. 최근 공격자들은 익스플로잇 키트를 사용하기보다, 스팸·스피어피싱과 같은 오래된 공격 기법을 사용하는 것으로 보인다. 이메일과 같이 검증된 방법을 이용해 멀웨어를 배포하고 수익을 창출하고 있기 때문이다. 시스코는 악성 첨부 파일을 동반한 스팸은 익스플로잇 키트 환경이 끊임없이 바뀌는 동안에도 계속 늘어날 것으로 전망했다.

공격자는 파일 없는 멀웨어를 개발해 탐지를 피하는데, 메모리에 상주하고 기기가 재부팅될 때 삭제되므로 탐지·조사가 어렵다. C&C 활동을 숨기기 위해 토르 프록시 서비스와 같은 익명의 분산 인프라를 이용한다.

스파이웨어와 애드웨어는 지속적으로 기업에 위험을 가하는 멀웨어 형태다. 시스코가 4개월 동안 300개 기업을 조사한 결과 잘 알려진 3개 스파이웨어 군이 표본 기업의 20%를 감염시킨 것으로 나타났다. 스파이웨어는 사용자와 기업 정보를 훔치고 기기에 대한 보안 태세를 약화시키며 멀웨어 감염을 증가시킨다.

이메일 사기 피해, 13년간 53억달러

서비스형 랜섬웨어의 성장과 같이 진화하는 랜섬웨어로 인해 사이버 범죄자는 공격을 더욱 쉽게 진행할 수 있다. 기업을 속여 공격자에게 돈을 이체하도록 설계된 사회 공학적 송금 유도 이메일 사기(BEC)는 수익성이 높은 공격이다. 인터넷범죄신고센터에 따르면 2013년 10월부터 2016년 12월까지 BEC 공격 피해액은 53억 달러에 달한다.

 

▲이메일 송금 유도 사기를 통해 발생한 피해는 2013년 10월10월부터 2016년 12월까지 53억달러에 달한다.

사이버 범죄자들이 공격의 강도와 정교함을 지속적으로 높여감에 기업은 기초적인 사이버 보안 역량을 쌓기도 쉽지 않다. 정보 기술(IT)과 운영 기술(OT)이 IoT에서 융합되면서 기업은 가시성과 복잡성을 해결하기 위해 씨름하고 있다. ‘보안 역량 벤치마크 연구’의 하나로 13개국 3천명에 이르는 보안 책임자를 시스코가 조사한 결과, 모든 산업의 보안 부서에서 공격 규모가 감당하기 힘든 수준이라 답했다. 이는 많은 기업의 보안 활동이 사후 대응(reactive)에 머무르는 결과를 가져오고 있다.

기업의 3분의 2만이 보안 경고를 조사하고 있다. 의료·운송과 같은 산업은 그 비율이 50%에 불과하다. 금융·의료와 같은 대응이 가장 적극적인 산업에서도 기업은 알고 있는 정상적(legitimate)이라고 인지하는 공격의 50% 미만의 수준으로 줄이고 있다.

보안 침해는 경각심을 불러 일으킨다. 이러한 영향으로 대다수 산업에서 기업의 90%가 일반적인 수준으로 보안 개선을 단행했다. 단, 운송과 같은 일부 산업은 그 대응력이 떨어져 80% 정도의 수준이다.

시스코는 인프라와 애플리케이션을 최신 상태로 유지해 공격자가 공개적으로 알려진 취약점을 이용할 수 없도록 해야 한다고 조언했다. 또한 통합적인 방어를 통해 복잡성을 해결하고 폐쇄적인 투자를 제한하며, 위험·보상·예산 제약에 대해 완전히 파악할 수 있도록 회사 주요 임원을 초기 단계부터 참여시켜야 한다고 덧붙였다.

나아가 명확한 지표를 설정하고 이를 활용해 보안 프랙티스를 검증·개선하는 한편, 방어와 적극적인 대응 간 균형을 유지하고, 보안 통제나 프로세스를 ‘설정하고 잊지 않도록’ 해야 한다고 강조했다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.