[데이터넷] 11월 한 달 동안 국내에서 탐지된 악성 봇 감염이 전월대비 54.62% 증가했으며, 이는 전 세계 통계 43.04%보다 11.58%p 높은 것이다. 악성봇은 크리덴셜 스터핑 등 자격증명 탈취에 사용되며, 워터링홀, APT 등 지능적인 사이버 공격에 사용될 수 있기 때문에 각별한 주의가 요구된다.

이는 로그프레소의 ‘사이버 위협 인텔리전스(CTI) 월간 리포트 12월호’에 따른 것으로, 로그프레소는 기업의 원격 근무 도입과 클라우드 활성화로 악성 봇 감염이 급증하고 있다고 설명했다.

보고서에서는 국내에서 악성봇에 감염된 사용자가 가장 많이 접속하는 사이트는 네이버, 넥슨, 카카오의 순이며, 4위부터 11위까지 합친 20만여건보다 1.6배 많은 33만여건이었다. 해외에서는 로블록스가 1136만여건으로, 2위인 인스타그램 498만여건보다 2.3배 많은 수준이었다.

봇에 감염된 사용자 컴퓨터에서 유출된 계정 정보의 종류는 구글이 가장 많은 2252만여건, 페이스북 1935만여건으로 1, 2위를 차지했다. 공격에 사용되는 IP 주소는 미국 1만4419건, 중국 1만3037건으로 3위에 비해 압도적으로 높은 비중을 보였다. 3위는 대한민국으로, 4412건의 위협 IP주소가 탐지됐다.

피싱 등 공격에 사용되는 악성 도메인은 네이버로 위장한 것이 가장 많은 323건으로, 2위인 삼성닷컴(116건)보다 2.8배 많았다.

모든 조직에 활용 가능한 CTI 제공

한편 이 보고서는 기업이 쉽게 접하기 어려운 위협 정보를 공유하고 신속하게 대응할 수 있는 방안을 안내하기 위해 매월 정기적으로 제작, 배포하는 것이다. 이번 보고서에서는 ▲주목해야 할 국내외 보안 이슈 ▲11월 수집 데이터 분석 ▲피싱 공격 분석 등의 내용을 다뤘다.

장상근 로그프레소 연구소장은 “독자적인 OSINT 방법론을 적용해 수집한 위협 인텔리전스 정보를 근간으로 CTI 월간 리포트 발행을 기획했다”며 “앞으로 사이버 위협 인텔리전스를 알기 쉽게 설명하고 위협 대응 및 예방에 있어 CTI가 갖는 가치와 중요성에 대해 알려나가겠다”고 전했다.

로그프레소는 누적 침해 지표(IoC) 2억건 이상, PI(Privacy Intelligence) 420억건 이상 CTI 정보를 보유하고 있으며, 실시간으로 전 세계를 대상으로 보안 위협 정보를 수집하고 추적하고 있다. 이렇게 축적한 데이터를 기반으로, 산업분야별로 고도화된 CTI 서비스를 제공하고 있다.

CTI는 보안 리소스가 풍부한 대기업이 주로 사용해왔으며, 중소기업은 수작업으로 침해사고 지표(IoC) 정도만 선별해 보안 시스템 정책에 적용했다. 이는 CTI를 활용하는 과정이 복잡하고 제한적이며, ROI 측면에서 쉽게 선택하기 어려웠기 때문이다.

로그프레소는 SIEM/SOAR 기반 보안 운영 플랫폼과 CTI를 통합해 대기업뿐만 아니라 보안 리소스가 충분하지 않은 기업도 별도의 절차 없이 단일 플랫폼에서 보안 위협을 자동으로 탐지하고 차단할 수 있도록 지원한다.

로그프레소는 사이버 보안, IT운영관리, 이상거래탐지, 제조공정 최적화, 실시간 마케팅 캠페인 등 다양한 분야에 섹옵스(SecOps) 플랫폼을 공급하고 있다.

김선애 기자 다른기사 보기