“사이버 위협 대응, 정보공유가 필수”
상태바
“사이버 위협 대응, 정보공유가 필수”
  • 김선애 기자
  • 승인 2018.04.26 17:18
  • 댓글 0
이 기사를 공유합니다

아카마이 캐리어 인사이트 보고서…복잡한 위협 환경 대응 위해 정보 공유해야“

“정보 공유는 사이버 위협을 막기 위한 중요한 요소다.”

아카마이는 26일 ‘인터넷 보안 현황: 캐리어 인사이트 보고서, 봄 2018’를 통해 이같이 밝혔다. 이 보고서는 지난해 9월부터 지난 2월까지 전 세계 통신 서비스 사업자(CSP) 네트워크에서 수집한 14조 개 이상의 쿼리를 분석한 것이다.

아카마이가 지난해 인수한 노미넘(Nominum)은 19년 동안 심층적인 DNS 데이터를 활용해 디도스, 랜섬웨어, 트로이목마, 봇넷과 같은 정교한 사이버 공격에 대한 전반적인 방어 역량을 개선시켜 왔다.

아카마이 캐리어 인사이트 보고서는 노미넘의 전문성을 기반으로 작성됐고 DNS 보안을 다른 보안 계층의 데이터와 통합했을 때 효과적임을 분명히 보여준다. 이런 보안 접근방식은 기업의 데이터를 보호하기 위해 다수의 보안 솔루션을 적용한다.

유리 유지포비치(Yuriy Yuzifovich) 아카마이 위협 인텔리전스의 데이터 과학 담당 디렉터는 “개별 시스템에 대한 공격만 부분적으로 이해하는 것으로는 오늘날의 복잡한 위협 환경에 대비하기에 부족하다. 여러 팀, 시스템, 데이터 세트에서 지식을 확보할 때 다양한 플랫폼과 커뮤니케이션하는 것이 중요하다. 아카마이 플랫폼에서 발생하는 DNS 쿼리는 위협 환경을 종합적으로 들여다 보기 위해 필요한 데이터를 보안팀에 제공하는 전략적 역할을 할 것”이라고 밝혔다.

▲이상적인 보안은 각각의 레이어에서 다음 피드에 보안에 관한 실효적인 정보를 제공하는 것이다.

협력적 대응으로 미라이 봇넷 방어

미라이 명령 및 제어(C&C) 도메인을 발견하고 공격을 보다 종합적으로 탐지하는 과정에서 아카마이 팀 간 협력은 중요한 역할을 했다. 아카마이 보안 인텔리전스 대응팀(SIRT)은 미라이 발생 초기 단계부터 미라이를 추적해 왔고 허니팟을 이용해 미라이 통신과 C&C 서버를 탐지했다.

아카마이 SIRT와 노미넘은 2018년 1월 말 미라이 C&C로 의심되는 500여 개의 도메인 목록을 공유했다. 이 작업의 목표는 DNS 데이터와 인공 지능을 활용해 C&C 목록을 확대할 수 있는지, 향후 미라이 탐지를 더욱 포괄적으로 진행할 수 있을 지를 확인하는 것이었다. 협력 팀은 다계층 분석을 통해 미라이 C&C 데이터 세트를 강화하고 미라이 봇넷과 페티야(Petya) 랜섬웨어 배포자 사이의 연관성을 파악할 수 있었다.

이번 합동 분석을 통해 사물인터넷(IoT) 봇넷이 거의 디도스 공격에만 이용되다가 랜섬웨어 배포와 크립토마이닝(cryptomining) 같은 보다 정교한 활동에도 이용되고 있다는 것이 밝혀졌다. IoT 봇넷은 대부분 침해지표(IoC·Indicators of Compromise)를 남기지 않기 때문에 탐지하기 어렵다. 하지만 이번 아카마이 합동 연구는 수십개의 새로운 C&C 도메인을 탐지·차단하고 봇넷 활동을 제어할 수 있는 가능성을 열었다.

자바스크립트 크립토마이너 급증

암호화폐 도입 및 소비가 기하급수적으로 증가하면서 크립토마이닝 멀웨어 변종과 이 멀웨어에 감염된 디바이스도 급증하고 있다.

아카마이는 대규모 크립토마이닝의 비즈니스 모델을 2가지로 분류한다. 첫번째 모델은 감염된 디바이스의 처리 용량을 사용해 암호화폐 토큰을 채굴하는 방법이다.

두번째 모델은 콘텐츠 사이트에 임베디드되어 있는 코드를 사용해 사이트를 방문한 디바이스가 크립토마이너 대신해 암호화폐를 채굴하도록 만드는 방식이다. 아카마이는 사용자와 웹사이트 소유자에게 새로운 보안 문제가 될 수 있는 두 번째 비즈니스 모델에 대해 광범위한 분석을 실시했다. 크립토마이너 도메인을 분석한 후 컴퓨팅 파워와 금전적 이익 측면에서 크립토마이너 활동으로 인해 발생하는 비용을 추산했다. 한 가지 주목할 만한 점은 크립토마이닝이 웹사이트의 광고 매출을 충분히 대체할 수 있다는 것이다.

악성코드와 사이버 공격의 변화

사이버 보안 산업은 끊임 없이 변화한다. 해커들이 오래된 기법을 현재 디지털 환경에 맞게 재사용한다는 것이 연구를 통해 드러났다. 아카마이가 6개월 동안 관련 데이터를 수집한 결과 다음과 같이 몇몇 주요 멀웨어 캠페인의 운영 프로세스가 큰 변화를 보였다.

웹 프록시 자동 발견(WPAD) 프로토콜은 2017년 11월 24일부터 12월 24일 까지 윈도우 시스템을 중간자(MITM) 공격에 노출시키는 데에 사용됐다. WPAD는 LAN과 같은 보안 네트워크에 사용되는 프로토콜인데, 이 프로토콜은 인터넷에 연결됐을 때 컴퓨터를 심각한 공격에 노출시킨다.

멀웨어 작성자는 금융 정보뿐만 아니라 소셜 미디어 로그인 정보 수집으로 활동 영역을 넓히고 있다. 제우스(Zeus) 봇넷 중 하나인 테르돗(Terdot)은 로컬 프록시를 생성해 공격자가 사이버 스파이 활동을 하고 피해자의 브라우저에 가짜 뉴스를 올릴 수 있도록 한다.

로파이(Lopai) 봇넷은 봇넷 작성자가 어떻게 더 유연한 공격 툴을 만들 수 있는지 잘 보여주는 사례다. 로파이는 모바일 멀웨어로서 주로 안드로이드 디바이스를 대상으로 하며 봇넷 소유자가 새로운 기능을 업데이트할 수 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.