2018.06.14

포티넷, 2018년 1분기 ‘글로벌 보안 위협 전망 보고서’ 발표

편집부 | CIO KR
포티넷코리아가 ‘2018년 1분기 글로벌 위협 전망 보고서’를 발표했다.

보안연구소인 포티가드랩이 발간한 이 보고서는 사이버 범죄자들이 감염 속도를 가속화하고 공격 성공률을 높이기 위해 공격 방법을 정교하게 발전시키고 진단한다. 또한, 랜섬웨어가 지속적으로 파괴적인 방법으로 조직에 악영향을 미치고 있는 가운데, 사이버 범죄자들은 시스템 하이재킹(hijacking, 가로채기)을 선호하고, 몸값을 위해 시스템을 장악하기보다는 크립토마이닝(cryptomining, 해킹을 통해 피해자 컴퓨터의 리소스를 사용해서 가상화폐를 채굴하는 것) 방법 등을 사용하고 있음을 언급하고 있다.

포티넷의 CISO(정보보호최고책임자) 필 쿼드는 “악의적인 사이버 공격자들은 점차 확장되고 있는 디지털 공격 면을 보다 정교하게 공격하고, 새롭게 알려진 제로데이 공격을 활용하며, 악성 멀웨어를 빠르게 확산시키고 있다”며, “그러나 시스템을 적절하게 보호하는데 필요한 리소스를 갖추고 있지 않은 IT 및 OT(운영기술) 팀이 상당히 많다”고 말했다.

포티넷 APAC의 네트워크 및 보안 전략가인 가빈 추는 “한국의 경우, 오라클 웹로직 서버, 아파치 스트러츠, IIS 6.0 웹 서버를 실행하는 엔터프라이즈 웹 시스템 내 알려진 취약점을 겨냥한 익스플로잇이 2018년 1분기에 가장 많이 보고됐다”며, “그 다음으로는 링크시스(Linksys), D-링크(D-Link) 홈 라우터와 같은 IoT 장치의 오래된 취약점을 대상으로 하는 공격이 많았다”고 밝혔다.

또한, 포티넷은 자바스크립트(JavaScript) 기반 크립토재킹(cryptojacking) 멀웨어와 기존의 윈도우 실행파일 기반 멀웨어가 많이 보고되고 있다고 발표했다. GH0st.RAT 봇넷(중국어 사용 인구가 많은 나라에 대량 유포)이 대량 유포되었으며, 크립토월(CryptoWall) 봇넷이 그 뒤를 이었다.

크립토월(CryptoWall)은 2015년과 2016년 초에 최고조에 달했으나 2017년 동안 봇넷 탐지 수가 크게 낮아졌다. 여기서 주목할 점은 공격자들이 알려진 취약점을 대상으로 공격이 쉬운 목표를 찾고 있다고 업체 측은 설명했다. 알려진 취약점은 이미 해결책을 가지고 있으나, 이 같은 위험을 인식하지 못하는 시스템 사용자들은 계속해서 이러한 공격에 노출되고 있다고 덧붙였다.

이번 조사에 의하면 사이버 범죄자들은 보다 정교한 방식으로 멀웨어를 활용하고 있으며, 새롭게 알려진 제로데이 취약점을 이용해 빠른 속도와 방대한 규모로 공격하고 있다. 2018년 1분기, 기업당 공격 탐지 건수는 13% 떨어졌고, 고유 익스플로잇 탐지 건수는 11% 이상 증가했으며, 기업의 73%가 심각한 익스플로잇 공격을 당했다고 밝혔다.

보고서의 핵심 내용은 ▲크립토재킹(Cryptojacking) 증가 ▲최대의 영향력을 발휘하는 타깃 공격 ▲랜섬웨어의 지속적인 공격 ▲다중 공격 벡터 ▲사이버 위생–패치만 하는 것보다 더 탁월한 방법 ▲운영 기술(OT)에 대한 공격 등이다.

멀웨어는 지속적으로 진화하고 있으며, 예방이나 탐지가 점점 어려워지고 있다. 크립토마이닝(cryptomining) 멀웨어는 13%에서 28%로 전분기 대비 2배 이상 증가했다. 또한, 크립토재킹(cryptojacking, 웹사이트 상에서 이용자의 컴퓨팅 자원을 이용해 암호화폐를 채굴하는 공격)은 중동, 라틴 아메리카, 아프리카 지역에서 상당히 많이 발견되었다.

파괴적인 멀웨어는 설계자 공격(designer attack)과 결합할 때 상당한 영향력을 발휘하는 것으로 나타났다. 보다 구체화된 타깃 공격의 경우, 공격자들은 공격을 시작하기 전에 조직에 대한 정찰(reconnaissance)을 실시해 공격 성공률을 높인다. 그런 다음 공격자가 네트워크에 침투한 뒤, 시나리오에 따라 가장 파괴적인 공격을 시작하기 전에 네트워크 측면으로 이동한다.

랜섬웨어의 양적 성장 및 정교함은 조직에게 매우 중요한 보안 과제가 되고 있다. 랜섬웨어는 사회 공학(social engineering)과 같은 새로운 전송 채널과 탐지 및 감염 시스템을 피하기 위한 다단계 공격 등의 새로운 기법을 적용하며 지속적으로 진화해 가고 있다. 올해 1월에 발견된 갠드크랩 랜섬웨어(GandCrab ransomware)는 암호화폐인 대시(Dash)를 결제 수단으로 요구하는 첫 랜섬웨어다. 블랙루비(BlackRuby)와 삼삼(SamSam)은 2018년 1분기에 주요한 위협 요소로 발견된 랜섬웨어 변종이다.

2018년 1분기, 사이드 채널 공격(side channel attack)이 기승을 부리긴 했으나, 가장 주요한 공격은 모바일 장치를 타깃으로 한 공격이나 라우터, 웹, 인터넷 기술에 대한 잘 알려진 익스플로잇이었다. 조직의 21%가 모바일 멀웨어에 대해 보고했는데 이는 전분기 대비 7% 증가한 수치로 IoT 장치가 지속적으로 타깃이 되고 있다는 점을 보여준다.

또한, 사이버 범죄자들은 최근의 제로데이 공격과 같이 패치되지 않은 잘 알려진 취약점을 악용할 때 효과가 높다는 점을 인식하고 있다. 마이크로소프트는 익스플로잇의 1위 타깃, 라우터는 전체 공격 양에서 2위 타깃을 차지했다. CMS(Content Management Systems, 콘텐츠 관리 시스템) 및 웹을 이용한 기술도 공격 대상이었다. ciokr@idg.co.kr



2018.06.14

포티넷, 2018년 1분기 ‘글로벌 보안 위협 전망 보고서’ 발표

편집부 | CIO KR
포티넷코리아가 ‘2018년 1분기 글로벌 위협 전망 보고서’를 발표했다.

보안연구소인 포티가드랩이 발간한 이 보고서는 사이버 범죄자들이 감염 속도를 가속화하고 공격 성공률을 높이기 위해 공격 방법을 정교하게 발전시키고 진단한다. 또한, 랜섬웨어가 지속적으로 파괴적인 방법으로 조직에 악영향을 미치고 있는 가운데, 사이버 범죄자들은 시스템 하이재킹(hijacking, 가로채기)을 선호하고, 몸값을 위해 시스템을 장악하기보다는 크립토마이닝(cryptomining, 해킹을 통해 피해자 컴퓨터의 리소스를 사용해서 가상화폐를 채굴하는 것) 방법 등을 사용하고 있음을 언급하고 있다.

포티넷의 CISO(정보보호최고책임자) 필 쿼드는 “악의적인 사이버 공격자들은 점차 확장되고 있는 디지털 공격 면을 보다 정교하게 공격하고, 새롭게 알려진 제로데이 공격을 활용하며, 악성 멀웨어를 빠르게 확산시키고 있다”며, “그러나 시스템을 적절하게 보호하는데 필요한 리소스를 갖추고 있지 않은 IT 및 OT(운영기술) 팀이 상당히 많다”고 말했다.

포티넷 APAC의 네트워크 및 보안 전략가인 가빈 추는 “한국의 경우, 오라클 웹로직 서버, 아파치 스트러츠, IIS 6.0 웹 서버를 실행하는 엔터프라이즈 웹 시스템 내 알려진 취약점을 겨냥한 익스플로잇이 2018년 1분기에 가장 많이 보고됐다”며, “그 다음으로는 링크시스(Linksys), D-링크(D-Link) 홈 라우터와 같은 IoT 장치의 오래된 취약점을 대상으로 하는 공격이 많았다”고 밝혔다.

또한, 포티넷은 자바스크립트(JavaScript) 기반 크립토재킹(cryptojacking) 멀웨어와 기존의 윈도우 실행파일 기반 멀웨어가 많이 보고되고 있다고 발표했다. GH0st.RAT 봇넷(중국어 사용 인구가 많은 나라에 대량 유포)이 대량 유포되었으며, 크립토월(CryptoWall) 봇넷이 그 뒤를 이었다.

크립토월(CryptoWall)은 2015년과 2016년 초에 최고조에 달했으나 2017년 동안 봇넷 탐지 수가 크게 낮아졌다. 여기서 주목할 점은 공격자들이 알려진 취약점을 대상으로 공격이 쉬운 목표를 찾고 있다고 업체 측은 설명했다. 알려진 취약점은 이미 해결책을 가지고 있으나, 이 같은 위험을 인식하지 못하는 시스템 사용자들은 계속해서 이러한 공격에 노출되고 있다고 덧붙였다.

이번 조사에 의하면 사이버 범죄자들은 보다 정교한 방식으로 멀웨어를 활용하고 있으며, 새롭게 알려진 제로데이 취약점을 이용해 빠른 속도와 방대한 규모로 공격하고 있다. 2018년 1분기, 기업당 공격 탐지 건수는 13% 떨어졌고, 고유 익스플로잇 탐지 건수는 11% 이상 증가했으며, 기업의 73%가 심각한 익스플로잇 공격을 당했다고 밝혔다.

보고서의 핵심 내용은 ▲크립토재킹(Cryptojacking) 증가 ▲최대의 영향력을 발휘하는 타깃 공격 ▲랜섬웨어의 지속적인 공격 ▲다중 공격 벡터 ▲사이버 위생–패치만 하는 것보다 더 탁월한 방법 ▲운영 기술(OT)에 대한 공격 등이다.

멀웨어는 지속적으로 진화하고 있으며, 예방이나 탐지가 점점 어려워지고 있다. 크립토마이닝(cryptomining) 멀웨어는 13%에서 28%로 전분기 대비 2배 이상 증가했다. 또한, 크립토재킹(cryptojacking, 웹사이트 상에서 이용자의 컴퓨팅 자원을 이용해 암호화폐를 채굴하는 공격)은 중동, 라틴 아메리카, 아프리카 지역에서 상당히 많이 발견되었다.

파괴적인 멀웨어는 설계자 공격(designer attack)과 결합할 때 상당한 영향력을 발휘하는 것으로 나타났다. 보다 구체화된 타깃 공격의 경우, 공격자들은 공격을 시작하기 전에 조직에 대한 정찰(reconnaissance)을 실시해 공격 성공률을 높인다. 그런 다음 공격자가 네트워크에 침투한 뒤, 시나리오에 따라 가장 파괴적인 공격을 시작하기 전에 네트워크 측면으로 이동한다.

랜섬웨어의 양적 성장 및 정교함은 조직에게 매우 중요한 보안 과제가 되고 있다. 랜섬웨어는 사회 공학(social engineering)과 같은 새로운 전송 채널과 탐지 및 감염 시스템을 피하기 위한 다단계 공격 등의 새로운 기법을 적용하며 지속적으로 진화해 가고 있다. 올해 1월에 발견된 갠드크랩 랜섬웨어(GandCrab ransomware)는 암호화폐인 대시(Dash)를 결제 수단으로 요구하는 첫 랜섬웨어다. 블랙루비(BlackRuby)와 삼삼(SamSam)은 2018년 1분기에 주요한 위협 요소로 발견된 랜섬웨어 변종이다.

2018년 1분기, 사이드 채널 공격(side channel attack)이 기승을 부리긴 했으나, 가장 주요한 공격은 모바일 장치를 타깃으로 한 공격이나 라우터, 웹, 인터넷 기술에 대한 잘 알려진 익스플로잇이었다. 조직의 21%가 모바일 멀웨어에 대해 보고했는데 이는 전분기 대비 7% 증가한 수치로 IoT 장치가 지속적으로 타깃이 되고 있다는 점을 보여준다.

또한, 사이버 범죄자들은 최근의 제로데이 공격과 같이 패치되지 않은 잘 알려진 취약점을 악용할 때 효과가 높다는 점을 인식하고 있다. 마이크로소프트는 익스플로잇의 1위 타깃, 라우터는 전체 공격 양에서 2위 타깃을 차지했다. CMS(Content Management Systems, 콘텐츠 관리 시스템) 및 웹을 이용한 기술도 공격 대상이었다. ciokr@idg.co.kr

X