포티넷이 28일, 자사의 보안연구소인 포티가드랩이 발간한 ‘2018년 3분기 글로벌 위협 전망 보고서’를 발표했다. 보고서는 사이버 위협이 보다 정교해지고, 진화하고 있다는 점을 다시 한번 강조하고 있다. 또한, 독특한 보안 위협군과 변종들이 증가하고 있으며, 봇넷이 기업 조직에 지속적으로 침투하여 감염 사고를 일으키고 있다고 밝혔다. 사이버 범죄자들은 공격 무기를 확장할 뿐만 아니라, 방어 체계를 우회하는 새로운 전략을 지속적으로 개발하고 있다. 고유 멀웨어 변종은 43% 증가했으며, 같은 기간 멀웨어 변종군은 약 32% 증가했다. 기업당 일일 멀웨어 탐지 수도 62%나 증가했다. 고유 익스플로잇은 약 10% 증가했으며, 기업당 익스플로잇 탐지 수는 37% 증가했다.
포티가드랩, 2018년 3분기
글로벌 보안 위협 전망 보고서 발표
2018 3분기 글로벌 위협 전망 보고서
포티넷이 28일, 자사의 보안연구소인 포티가드랩이 발간한 ‘2018년 3분기 글로벌 위협 전망 보고서’를 발표했다.
보고서는 사이버 위협이 보다 정교해지고, 진화하고 있다는 점을 다시 한번 강조하고 있다. 또한, 독특한 보안 위협군과 변종들이 증가하고 있으며, 봇넷이 기업 조직에 지속적으로 침투하여 감염 사고를 일으키고 있다고 밝혔다.
끊임없이 위협을 개발하는데 주력하는 사이버 범죄자
사이버 범죄자들은 공격 무기를 확장할 뿐만 아니라, 방어 체계를 우회하는 새로운 전략을 지속적으로 개발하고 있다. 고유 멀웨어 변종(malware variants)은 43% 증가했으며, 같은 기간 멀웨어 변종군(malware families)은 약 32% 증가했다.
기업당 일일 멀웨어 탐지 수도 62%나 증가했다. 이러한 추세에 따라 고유 익스플로잇은 약 10% 증가했으며, 기업당 익스플로잇 탐지 수는 37% 증가했다.
3분기 사이버 위협양의 변화
사이버 범죄자들은 고유 멀웨어 변종 및 변종군을 만들어 지속적으로 위협을 진화시키고 있다. 이에 사이버 보안 위협 인텔리전스 및 평가 툴의 중요성이 더욱 강조되고 있다.
타깃은 모바일 디바이스
조직의 1/4 이상이 모바일 멀웨어 공격을 경험했으며, 이들 대다수가 안드로이드 운영 체제를 사용하고 있었다. 전체 멀웨어 경보의 14%가 안드로이드와 관련되어 있다. 이에 비해 전체 위협 중 단 0.000311%만이 애플 iOS를 타깃으로 삼고 있다.
대규모 연말 쇼핑 시즌이 다가옴에 따라 모바일 위협은 반드시 해결해야 할 보안 위협으로 부상하고 있다. 이러한 위협은 기업 네트워크가 악용될 수 있는 관문 역할을 한다. 사이버 범죄자들은 모바일이 네트워크에 침투하는데 접근이 용이한 타깃이라는 점을 잘 알고 있으며, 이를 악용하고 있다.
또 다른 공격의 관문 크립토재킹
크립토재킹(cryptojacking)의 범위가 계속 확대되고 있다. 지난해, 크립토재킹의 영향을 받은 플랫폼이 38%나 증가했으며, 고유한 시그니처 수는 거의 2배가 되었다. 여기에는 숙련된 공격자들을 위한 정교한 새 플랫폼은 물론, 초보 공격자들을 위한 “서비스로서의” 플랫폼이 모두 포함된다.
IoT 봇넷은 공격 전략을 위해 크립토재킹 익스플로잇을 더 많이 활용하고 있다. 이는 사용되지 않는 CPU 사이클을 단순히 하이재킹하는 성가신 위협으로 여겨질 수도 있으나, 보안 담당자들은 크립토재킹이 추가 공격의 관문 역할을 할 수도 있다는 점을 인식해야 한다. 크립토재킹의 영향력을 과소평가한다면 조직의 위험이 더 커질 수 있다.
악성 네트워크 트래픽 비율, 주말과 휴일에 더 높아
보고서에 의하면, 주말과 휴일에는 비즈니스 트래픽이 크게 줄고, 악성 네트워크 트래픽이 높은 비율을 차지하는 것으로 나타났다. 이는 대부분의 조직에서 많은 직원들이 주말과 휴일에는 근무하지 않아, 비즈니스 트래픽의 양이 감소하기 때문이다.
트래픽 양 자체가 줄어들기 때문에 악의적인 공격을 발견할 확률이 훨씬 높아지는 것이다. 이는 보다 자동화되고 정교한 기법을 사용하는 사이버 범죄에 대한 가시성을 높일 수 있는 기회가 될 수도 있다.
탐지와 제거가 어려워진 봇넷
기업당 감염 일수는 7.6일에서 10.2일로 34% 증가했지만 봇넷 탐지 지수는 단 2 % 상승했다. 이는 봇넷이 보다 정교해지고 탐지 및 제거가 더 어려워지고 있다는 사실을 보여준다. 또한, 일부 조직에서는 사이버 위생을 제대로 실천하지 못하고 있음을 보여준다.
이러한 공격의 전체 범위를 철저하게 파악하는데 ‘보안 위생’은 중요한 역할을 한다. 봇넷은 활동을 잠정 중단할 수도 있으나 근본적인 원인이나 ‘최초 감염자(patient zero)’가 확인되지 않는다면 봇넷은 비즈니스 운영이 재개된 후에 다시 활동을 시작할 수 있다.
암호화된 트래픽의 증가
암호화된 트래픽이 전체 네트워크 트래픽의 72% 이상을 차지했다. 이는 1년 전 55%에서 크게 증가한 수치이다.
코어, 클라우드, 엔드 포인트 환경 간 데이터가 이동할 때 암호화는 데이터 보호에 있어 확실한 역할을 하고 있다. 그러나 반면에 전통적인 보안 솔루션에게는 과제를 안겨준다.
일부 레거시 보안 솔루션의 IPS 성능 제한성과 중요 방화벽으로 인해 기업들은 암호화된 데이터를 철저히 검사하는데 제한을 받는다. 이러한 트래픽의 악의적인 활동이 분석되지 않아 결과적으로 사이버 범죄자들이 멀웨어를 확산시키거나 데이터를 유출시키는 메커니즘으로 연결되는 것이다.
디지털 트랜스포메이션, 시큐리티 트랜스포메이션과 함께
이번 분기의 위협 전망 보고서는 포티가드랩 글로벌 리서치팀이 그동안 발표해온 여러 위협 트렌드를 다시 한 번 강조하고 있다.
각종 3분기 위협 수치
기업은 디지털 트랜스포메이션의 일환으로 보안 전략도 전환해야 한다.
격리된 레거시 보안 장치 및 취약한 보안 위생은 적절한 가시성이나 제어를 지원하지 못하기 때문에 오늘날의 위협 환경에 리스크를 높인다. 대신, 확장된 전체 네트워크 환경을 아우르고 각 보안 요소들이 통합된 ‘보안 패브릭’은 오늘날의 위협 환경의 니즈를 충족시키고 확장된 공격 면을 보호하는데 매우 중요하다.
이 접근법은 실행 가능한 사이버 보안 위협 인텔리전스를 신속, 정확하게 공유할 수 있으며, 필수적인 탐지 창을 줄이고, 오늘날의 다중-벡터 익스플로잇에 효과적으로 대응할 수 있는 자동화된 치료 방법이다.
포티넷의 정보보호최고책임자 필 쿼드(Phil Quade)는 "얼마 전에는 랜섬웨어가 기승을 부렸고 최근에는 크립토재킹, 모바일 멀웨어, 비즈니스 크리티컬한 공급망에 대한 사이버 공격이 확산되고 있다"면서 "사이버 공격자들은 새로운 위협을 지속적으로 통합하고 있으며, 더 빠르고 확장 가능한 방식으로 악의적인 활동, 분할, 통합을 위한 자동화 기술을 활용하고 있다"라고 말했다.
또 "이를 방어하는 것이 오늘날의 IT 및 OT 환경을 위한 중요한 보안 전략이 되고 있다"라고 덧붙였다.