[CCTV뉴스=이건한 기자] 포티넷코리아가 자사의 보안 연구소인 포티가드랩이 발간한 '2019년 1분기 글로벌 위협 전망 보고서'를 발표했다.
이번 보고서에서는 특히 사이버 범죄자들이 특정 공격을 위해 맞춤형 코딩·랜섬웨어부터 인프라 공유, 나아가 '자급자족식 공격(Living off the Land)'에 이르기까지 공격 기회를 극대화하기 위한 여러 기법을 지속해서 정교화하고 있다고 밝혔다.
포티넷의 정보보호 최고 책임자(CISO) 필 쿼드(Phil Quade)는 "해커들이 타깃으로 삼는 장치와 네크워크는 점점 진화하고 있다"며, "사이버 리스크 관리를 위해서는 기업들이 속도와 연결성을 활용해 보안, 마이크로, 매크로 분할에 대한 패브릭 접근 방식을 채택하고, AI 머신러닝과 자동화를 활용한다면 공격에 대항할 수 있는 엄청난 기회를 확보할 수 있을 것"이라고 말했다.
포티가드랩의 1분기 글로벌 위협 전망 보고서 핵심 내용은 아래와 같다.
▲사전·사후 공격 트래픽: 평일과 주말 동안 두 개의 사이버 킬 체인(Cyber Kill chain) 단계에 대한 웹 필터링 양을 비교해보면 사전-공격 활동은 평일에 약 3배 더 많이 발생하는 것으로 조사됐다. 반면, 사후-공격 트래픽은 큰 차이가 없었다. 이런 주된 이유는 공격 활동이 누군가 피싱 이메일을 클릭하는 등의 특정 행위를 필요로 하기 때문이다. 반대로, 명령·제어(C2) 공격에는 이 같은 행위가 필요 없기 때문에 상시로 발생한다는 것이다. 따라서 공격자들은 공격 기회 극대화를 위해 인터넷 활동이 가장 활발한 평일에 다수의 공격을 감행하는 모습을 보인다.
▲대다수의 위협이 인프라를 공유: 최소 하나 이상의 도메인을 공유하는 위협의 약 60%는 이미 구축된 인프라를 활용한다. "빌릴 수 있는데 왜 사거나 구축하나"란 의식이 반영된 멀웨어 아이스드 ID(IcedID)가 적절한 예시다. 또한 위협들이 인프라를 공유하는 경우, 킬 체인의 동일한 단계에서 그 같은 경향은 더욱 두드러진다. 위협이 도메인을 악용하고 그 뒤 C2 트래픽을 활용하는 경우는 드물었다.
▲공격 기회 극대화를 위해 다음 기회 공략: 공격 기회의 극대화를 위해 사이버 범죄자들은 이미 공격에 성공한 취약점과 상승세를 타고 있는 기술을 활용해 클러스터 내에서 또 다른 공격 기회로 이동하는 경향이 있다. 최근 사이버 범죄자들의 주목받는 신기술의 예로 소비자와 기업들의 웹 프레즌스(Web presence) 구축을 돕는 웹 플랫폼(Web platforms)을 들 수 있다. 사이버 범죄자들은 관련된 써드파티 플러그인이 필요하다고 해도 타겟팅을 지속한다.
▲랜섬웨어 사라지지 않아: 랜섬웨어는 보다 타깃화된 공격으로 대체되고 있으며, 결코 사라지지 않고 있다. 대신, 여러 공격이 높은 가치의 타깃에 맞춰 커스터마이즈돼 공격자들에게 네트워크 엑세스 권한을 부여하는 형태로 나타나고 있다. 락커고가(LockerGoga)는 여러 단계의 공격에서 진행되는 타깃화된 랜섬웨어의 한 종류다. 대부분의 랜섬웨어 도구들이 탐지를 피하기 위해 난독화(Obfuscation)를 사용하는 반면, 락커고가(LockerGoga)는 분석 시에 이에 대한 사용을 발견하지 못했다. 이는 공격의 타깃화된 특성과 멀웨어가 쉽게 발견되지 않을 것이라는 공격자들의 확신을 잘 보여준다.
▲자급자족식 공격을 위한 도구와 트릭: 공격자들은 초기 침투 이후 타깃 시스템에 미리 설치된 도구를 활용해 사이버 공격을 감행한다. 이런 자급자족식 공격 기술을 통해 해커들은 합법적인 과정으로 자신의 행위를 숨길 수 있으며 탐지를 더욱 어렵게 만든다. 또한, 이러한 도구들은 공격 속성을 더욱 강화한다. 안타깝게도 사이버 공격자들은 그들의 목표를 달성하고 행위를 숨기기 위해 다양한 합법적 도구를 사용할 수 있다.
포티넷은 "각 보안 장치에서 실시간 보안을 실행할 수 없다면, 위협 인텔리전스를 기반으로 하는 보안 조치의 가치는 크게 저하될 것"이라며, "광범위하고 자동화된 통합 보안 패브릭만이 IoT에서 엣지, 네트워크 코어, 멀티 클라우드에 이르기까지 전체 네트워크 환경을 신속하게 보호할 수 있다"고 조언했다.
한편 이번 보고서에 대한 보다 자세한 내용은 웹 사이트를 참고하면 된다.
