랜섬웨어가 기업 비즈니스를 크게 위협하고 있는 가운데, 지난 1분기 동안 랜섬웨어 활동을 미리 감지한 기업/기관은 10% 미만이었으며, 내부에 잠재된 랜섬웨어 봇넷을 제거한 기업/기관은 1.2%에 불과한 것으로 나타났다.
이는 포티넷이 3일 발표한 ‘2017년 1분기 글로벌 위협 전망 보고서’에 따른 것으로, 랜섬웨어는 주로 주말에 확산됐으며, 다양한 랜섬웨어 봇넷의 평균 트래픽량이 증가하면서 피해 기업도 늘어난 것으로 확인됐다.
또한 조직의 80%가 시스템에 심각한 영향을 끼치는 익스플로잇을 발견했는데, CVE를 대상으로 하는 공격 시도가 많았다. 익스플로잇의 확산은 지역적으로 일관된 형태를 보였다. 익스플로잇 활동의 대부분이 인터넷 프로빙(Internet probing)을 체계적으로 스캔하는 툴을 통해 자동화되고 있기 때문인 것으로 분석됐다.
IoT·클라우드로 보안 가시성·제어 능력 낮아져
포티넷은 서비스로 제공되는 사이버 공격(CaaS: Crime-as-a-Service) 인프라에 의해 기업/기관이 여러 위협에 직면해 있다고 밝혔다. 특히 IoT·클라우드와 같이 편리하고 비용을 절감시키는 IT 기술이 보편화되고, 네트워크에 연결되는 스마트 기기가 다양해지면서 보안의 가시성과 제어 능력이 현저하게 낮아지고 있다고 설명했다.
필 쿼드(Phil Quade) 포티넷의 CISO는 “지난 해 잘 알려진 사이버 보안 사고는 공격자들이 인터넷 사용을 막고, TV 및 전화를 조작할 수도 있으며, 돈을 요구하면서 환자에 대한 치료 서비스를 중단시킬 수도 있다는 대중의 인식을 높여주었다”며 “공격자들은 독자적인 툴을 구매하거나 재사용하고 있다. 최고의 사이버 보안 전략에는 기업과 정부의 새롭게 노출된 취약성을 대상으로 하는 공격을 철저히 감지, 차단하기 위해 최고 수준의 자동화와 신뢰할 수 있는 네트워크 세분화를 반드시 포함시켜야 한다”라고 말했다.
보고서에서는 최신 공격 툴과 CaaS 인프라로 인해 공격자들은 언제, 어디서나 공격할 준비가 되어있다고 설명했다. 특히 CaaS를 이용해 전 세계적인 규모에서 빠른 속도로 공격할 수 있게 됐다. 인터넷은 지역적 거리나 경계에 제한이 없기 때문에 대부분의 위협 트렌드는 특정 지역에 국한되지 않고 세계적인 규모에서 일어나게 된다. 공격자들은 기회가 생길 때마다 글로벌한 규모로 공격 요소들을 찾아내며, 끊임없이 공격을 시도한다.
워너크라이가 대표적인 예로, 보고서는 “익스플로잇 트렌드와 랜섬웨어의 작용·확산 방법을 이해한다면 향후 워너크라이와 유사한 사례로 인한 피해를 막을 수 있다. 악의적인 랜섬웨어와 변종들은 전세계 수 백개의 조직에 막대한 혼란과 피해를 가져왔다”고 지적했다.
모바일 멀웨어 탐지 기업 20%에 불과
하이퍼컨버전스와 IoT가 멀웨어 확산을 가속화하고 있는 것도 중요하게 봐야 할 지점이다. 네트워크와 사용자가 점점 더 많은 정보와 자원을 공유함에 따라, 분산된 지역과 다양한 산업에 걸쳐 공격이 더욱 빠르게 확산되고 있다.
멀웨어에 대한 조사는 이러한 공격의 준비 및 침입 단계에 대한 통찰력을 제공할 수 있다. 디바이스가 내부 네트워크에서 안전하게 보호되지 않고, 퍼블릭 네트워크에 빈번히 접속하며, 조직의 제어를 받지 않는 경우가 많기 때문에 모바일 멀웨어를 방어하는 것이 점차 어려워지고 있다.
모바일 멀웨어는 지난해 4분기부터 지난 1분기까지 꾸준히 확산됐으나, 약 20%의 조직만이 이를 감지했다. 올해 1분기에는 안드로이드 멀웨어들이 상위 10위를 차지했다. 모든 멀웨어 유형 중에서 안드로이드 멀웨어가 차지하는 비율은 지난해 4분기 1.7 % 에서 올해 1분기에 8.7% 로 크게 증가했다.
중동 지역을 제외한 모든 지역에서 모바일 멀웨어가 크게 증가했다. 성장률은 모든 경우에 통계적으로 유의미한 결과를 보였다. 다른 위협의 지역적 특성과 비교했을 때 안드로이드 멀웨어는 지리적 경향이 강하게 나타났다.
섀도우 IT 리스크 더욱 증가
IT, 서비스, 제어, 활동이 시간 경과에 따라 어떻게 변하는지 이해하는 것이 매우 중요하다. 이 같은 위협 전망은 기업들이 광범위한 보안 정책 및 관리 모델을 점검해볼 수 있으며, 네트워크가 점차 복잡해지고 분산되는 환경에서 익스플로잇, 멀웨어, 봇넷의 진화를 모니터링하는데도 유용하다.
그러나 점점 더 데이터가 분산되고 탄력적인 인프라 운용으로 인해 가시성이 감소하고 있다. 확장된 네트워크 환경에서 잠재적인 공격 벡터가 지속적으로 증가하면서 인프라에 대한 가시성과 제어 능력은 점차 감소하고 있다. 개인·공공 클라우드 솔루션을 채택하려는 움직임과 IoT의 성장, 네트워크에 연결된 스마트기기의 증가 및 다양성, 섀도우 IT와 같은 대역 외 위협 벡터는 보안 전문가의 역량 한계를 넘어서고 있다.
HTTPS와 HTTP 트래픽의 평균 비율은 거의 55%에 이른다. 이러한 추세는 개인 정보를 유지하는데 도움이 되지만, 위협 모니터링 및 감지에 대한 문제점을 야기한다. 많은 방어 도구들은 암호화된 통신에 대해서 낮은 가시성을 제공한다. 특히, HTTPS 비율이 높은 조직은 암호화된 통신에 숨어 있는 위협에 직면할 수도 있다.
자동화된 공격 툴 사용해 산업 전반에 피해 입혀
관리되지 않는 섀도우 클라우드도 큰 문제다. 조직이 사용하는 클라우드 애플리케이션 평균 수는 62개이며, IaaS 애플리케이션이 최고치를 기록했을 때는 전체 애플리케이션의 1/3를 차지하는 결과를 보였다. 그러나 클라우드로 이동 시에 데이터 가시성이 크게 낮아질 수 있다는 것은 문제점으로 지적된다. 또한 이러한 애플리케이션 및 서비스에 저장되는 데이터가 지속적으로 증가하고 있기 때문에 이 같은 문제를 심도 깊게 다뤄야 한다.
산업별 클러스터 분석에 따르면 교육 및 통신 분야와 같은 몇 가지 예외를 제외하고 대부분의 산업 분야에서 취약성이 동일하다는 것을 보여준다. 즉, 공격자는 특히 자동화된 툴을 사용하여 산업 전반에 걸쳐 유사한 취약성을 보다 용이하게 활용할 수 있다.
아태 지역의 익스플로잇 트렌드는 글로벌 및 기타 지역의 트렌드와 유사했다. 예를 들어, 모든 지역에서 가장 많이 감지된 익스플로잇은 2014 년 셸쇼크 버그와 관련성이 높다. 전세계 및 아태지역에서의 멀웨어 감염 대다수는 네머코드(Nemucod)와 같은 랜섬웨어 드롭퍼(droppers)와 연관되어 있다.
또한 전세계적으로 봇넷 활동은 안드로메다(Andromeda)와 관련이 있으며, 아태지역에서도 이는 동일하다. 앞서 강조한 바와 같이, 인터넷은 지리적인 거리와 경계에 제한이 없기 때문에 대부분의 위협 트렌트는 특정 지역에 국한되지 않고 글로벌한 형태로 나타난다.
