흔히 사용하는 공유 애플리케이션이 주요 공격 경로
상태바
흔히 사용하는 공유 애플리케이션이 주요 공격 경로
  • 이광재 기자
  • 승인 2014.06.03 14:24
  • 댓글 0
이 기사를 공유합니다

전체 멀웨어 로그 99% 공격자 신분 감추기 쉬운 UDP 이용

팔로알토네트웍스(지사장 박희범, Palo Alto Networks, www.paloaltonetworks.com)가 우리나라를 포함해 전세계 네트워크상에서 사용되고 있는 업무용 애플리케이션의 사이버 보안 위협 노출 현황을 분석한 ‘팔로알토 네트웍스 애플리케이션 사용 및 위협 실태 보고서(Palo Alto Networks Application Usage and Threat Report, 이하 팔로알토네트웍스 AUTR 보고서, www.paloaltonetworks.com/autr)’를 발표했다.

팔로알토네트웍스 AUTR 보고서는 지난 2013년 3월부터 2014년 3월까지 1년동안 전세계 5500여 네트워크 장비에서 발생하는 수십억 건의 로그(log)를 수집해 트래픽 데이터간의 상관관계를 조사한 정보다.

특히 팔로알토네트웍스는 최신 사이버 보안 위협과 기업용 애플리케이션들의 상관관계에 초점을 맞춰 업계에서 가장 구체적이고 광범위하게 분석하여 업계 관계자들에게 연간 보고서로 제공해 왔다.

팔로알토 네트웍스의 AUTR 보고서에 따르면 이메일과 소셜 미디어, 영상 등 일반인들이 흔히 사용하는 공유 애플리케이션들이 주요 공격 경로로 이용됐다. 하지만 이러한 애플리케이션들은 본격적인 공격 활동 보다는 다단계 전면적 공격을 위한 시발점으로 이용되는 경우가 많았다.

실제로 공유 애플리케이션들은 공격이 발견된 전체 애플리케이션의 27%에 해당하고 전체 대역폭의 26%를 차지했다. 특히 공유 애플리케이션은 발견된 모든 보안 위협의 32%(익스플로잇 및 멀웨어)를 침투시키는 통로로 사용됐다.

또한 전체 멀웨어 로그의 99%가 공격자들의 신분을 감추기 쉬운 UDP 프로토콜을 이용해 진행됐다. 공격자들은 더불어 공격 행위가 노출되지 않도록 숨기기 위해 일반적인 네트워크 전송 프로토콜인 FTP와 RDP, SSL, NetBIOS 기반의 애플리케이션들을 사용했다.

▲ 팔로알토네트웍스 AUTR 보고서 : 공유 애플리케이션, 사이버 공격 위험성

이와 함께 조사된 전체 애플리케이션 중에 34%가 SSL 암호화를 사용할 수 있는 애플리케이션이었다. SSL 암호화는 인터넷을 통해 전송되는 데이터가 보여지지 않도록 보호하는 역할을 하지만 이미 암호화된 각종 위협 및 멀웨어를 탐지하지 못하는 사각지대를 생성하며 큰 보안 위협 요인으로 부각되고 있다.

또한 네트워크 관리자들은 암호화 기술인 오픈SSL의 보안 취약점인 하트블리드로 인해 개인정보들이 유출되지 않도록 최신 보안 패치를 적용했는지 여부를 정확히 알지 못하고 있는 것으로 나타났다.

박희범 팔로알토네트웍스코리아 대표는 “팔로알토네트웍스의 AUTR 보고서에 따르면 심각한 네트워크 보안침해 사고의 상당수가 이메일과 같이 취약점 공격의 침투경로가 되는 아주 일반적인 애플리케이션으로부터 시작된 것으로 나타났다”며 “이런 방식으로 일단 네트워크상에 침투하면 공격자는 또 다른 애플리케이션이나 서비스를 이용해 은닉한 채 악의적 활동을 지속적으로 진행, 종국에는 IT 인프라 전체가 보안 위협에 노출될 수 있다”고 밝혔다.

또한 그는 “이제 기업이 조직 전체를 안전하게 보호하기 위해서는 사이버 위협 요소들이 어떠한 애플리케이션을 통해 침투하고 시스템을 위험에 빠뜨리는지 정확히 인지하는 것이 중요하다”며 “팔로알토네트웍스의 AUTR 보고서를 통해 보편적으로 널리 사용되는 기업용 애플리케이션들의 사용 실태를 정확히 파악하고 이를 통해 유입되는 최신 위협들의 현황을 살펴봄으로써 사이버 위협으로부터 기업을 보다 안전하게 보호할 수 있는 방법론를 제시할 수 있게 됐다”고 강조했다.

한편 이번에 발표된 AUTR 보고서는 기업의 보안 팀이 자사 네트워크 보안을 강화하는데 도움이 될 수 있는 관리 팁도 함께 소개했다.

우선 일반적으로 많이 사용되는 공유 애플리케이션들의 관리를 위한 보안 운영 정책을 수립하라는 것. 이에 일반적인 공유 애플리케이션이 지속적으로 빠르게 증가하고 있는 상황에서 기업 인프라를 보안위협으로부터 안전하게 관리하기 위해서는 자체적인 보안 정책을 수립하여 문서화하고 사용자 교육, 정기적으로 상황 변화를 예의 주시하여 정책을 지속적으로 업데이트해야 한다.

또한 알려지지 않은 트래픽을 효과적으로 제어하라고 회사는 밝혔다. 모든 네트워크에는 알려지지 않은 트래픽(unknown traffic)이 존재한다. 알려지지 않은 트래픽은 양적으로 봤을 때 평균적으로 전체 대역폭의 10% 정도에 불과하지만 위험성은 매우 높다. 이러한 알려지지 않은 UDP·TCP프로토콜을 제어하는 것만으로도 대부분의 멀웨어를 신속히 제거할 수 있다.

이와 함께 SSL을 사용하는 애플리케이션들을 선택적으로 복호화해 잠재된 보안 위협을 최소화하라고 팔로알토네트웍스는 권고했다. 사용자가 개인 PC나 단말기 등으로 웹사이트에 접속해 정보를 주고받을 때 해당 통신내용을 암호화하는 보안인증체계인 SSL을 적용한 애플리케이션들을 선택적으로 복호화함으로써 암호화된 사이버 위협이 발생할 수 있는 잠재적 은신처들을 파악하고 제거할 수 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.