소닉월, 2018년 사이버 위협 보고서 발표
상태바
소닉월, 2018년 사이버 위협 보고서 발표
  • 정환용 기자
  • 승인 2018.03.07 13:46
  • 댓글 0
이 기사를 공유합니다

2017년 멀웨어 공격 총 93억 2000만 건, 전년 대비 18.4% 증가

[CCTV뉴스=정환용 기자] 보안 솔루션 기업 소닉월(Sonicwall)은 2017년 보안 산업과 사이버 위협을 분석한 ‘2018 사이버 위협 보고서’(2018 Cyber Threat Report)를 발표했다. 해당 보고서는 사이버 보안 전문가와 전 세계 사이버 범죄자로 인해 만들어진 변화를 가공, 비교, 대조한 데이터를 기반으로 작성됐다.

보고서에 따르면, 2017년에는 전년 대비 18.4% 증가한 93억 2,000만 건의 멀웨어(Malware) 공격이 발생했고, 1만 2500건 이상의 정보보안 취약점 표준(Common Vulnerabilities and Exposures, CVE)이 발견됐다. 랜섬웨어(Ransomware) 공격은 2016년 6억 3800만 건에서 2017년 1억 8400만 건으로 급감했으나, 변종 랜섬웨어는 101.2% 증가한 것으로 나타났다. SSL/TLS(Secure Sockets Layer/Transport Layer Security) 표준에 따라 암호화된 트래픽은 24% 증가해 전체 트래픽의 68%를 차지했고, SSL 복호화를 갖추지 못한 기업은 평균적으로 1년에 약 900건의 SSL/TLS 암호화된 공격을 당한 것으로 나타났다. 소닉월은 2017년 기준 매일 약 500개의 새로운 악성파일 유형을 감지했다. 이런 사이버 공격은 비즈니스, 브랜드, 운영, 재무 전반의 가장 큰 위험요소로 자리 잡았다.

▲랜섬웨어 공격량 감소
2017년 워너크라이(WannaCry), 페트야(Petya), 낫페트야(NotPetya), 배드래빗(Bad Rabbit) 랜섬웨어 공격에 대해 많은 미디어에서 언급했지만, 예상했던 것처럼 실제로 많은 랜섬웨어 공격이 일어나지는 않았다. 랜섬웨어 공격은 2016년 총 6억 3800만 건에서 2017년 1억 8400만 건으로 71.2% 감소했으며, 2017년 일어난 공격의 46%가 미주 지역, 37%가 유럽에서 발생했다. 소닉월 캡쳐 ATP(SonicWall Capture Advanced Threat Protection)는 클라우드 기반의 다중 엔진 샌드박스(Sandbox)로 250개의 밝혀지지 않은 히트(Hit)마다 하나의 새로운 멀웨어 변종을 발견했다.

▲SSL/TLS(Secure Sockets Layer/Transport Layer Security) 사용 증가
2017년 SSL/TLS 표준에 따라 암호화된 웹 트래픽 사용이 24% 증가했으며, SSL/TLS 트래픽은 2017년 총 트래픽의 68%를 차지했다. 이런 변화는 암호화된 트래픽에 더 많은 수의 악의적인 페이로드(Payload)를 숨길 수 있는 빌미를 사이버 범죄자들에게 제공했다. 기업들은 SSL/TLS 트래픽의 심층 패킷 검사(Deep Packet Inspection) 등의 보안 컨트롤 기능을 도입해 암호화된 트래픽을 검사, 탐지하고 공격을 완화할 수 있다.

▲익스플로잇 킷(exploit kit)이 가져온 영향
마이크로소프트 엣지(Microsoft Edge) 공격은 2016년 대비 13% 증가했고, 아크로뱃(Acrobat), 아크로뱃DC(Acrobat DC), 리더DC(Reader DC), 리더(Reader)등 자주 사용되는 어도비(Adobe) 제품에 대한 공격은 전반적으로 감소된 양상을 보였다. 2017년에는 대부분의 브라우저가 어도비 플래시(Adobe Flash)에 대한 지원을 중단해 플래시의 치명적인 취약점이 발견되지 않았고, 애플 TV(Apple TV)와 마이크로소프트 오피스 등이 새로운 공격 대상 프로그램으로 꼽히며 소닉월이 선정한 10대 공격 대상에 처음으로 포함됐다. 한편 소닉월은 마이크로소프트 엣지를 비롯해 대부분의 어도비 제품에 대한 보안 솔루션을 제공하고 있다.

▲사이버 공격의 판도를 바꾸는 법 집행
사법기관은 멀웨어의 개발과 배포에 관련된 사이버 범죄자들을 체포해 멀웨어 공급망 붕괴에 영향을 끼치고 있다. 최근에는 국내뿐 아니라 해외 사법기관과의 다각적인 협력이 이뤄지며 전 세계 사이버 위협에 대한 방어가 보다 공고해지고 있다. 이에 따라 사이버 범죄자들은 ​​암호화폐 지갑(Cryptocurrency Wallets)이나 외환거래와 관련된 범죄를 저지를 때 한층 교묘한 방법을 택하고 있다.

▲새롭게 발견된 변종 랜섬웨어
랜섬웨어 공격의 총량이 해마다 크게 감소한 반면, 변종의 수는 2015년 이후 지속으로 증가해 2017년에는 101.2% 증가세를 보였다. 이처럼 변종 수의 증가와 약 1억 8400만 건의 랜섬웨어 공격으로 인해 랜섬웨어는 여전히 만연한 사이버 위협 요소로 자리매김 했다. 소닉월 캡쳐 랩(SonicWall Capture Labs)은 2017년 전년 대비 2배가량 많은 2855개의 새로운 랜섬웨어 서명을 만들었다. 한편, 2018년에는 사물인터넷과 모바일 장치를 목표로 한 랜섬웨어가 증가할 것으로 예상된다.

▲SSL 암호화에 숨겨진 사이버 공격
해커와 사이버 범죄자는 멀웨어 페이로드를 암호화해 기존 보안 통제를 우회해 왔다. 2017년에 암호화는 합법적인 트래픽과 악의적인 페이로드 모두에 최근 몇 년 대비 더 많이 사용됐다. SSL 암호 해독 기능을 갖추지 않은 조직은 일반적으로 연간 약 900건의 TLS/SSL 암호화에 의해 숨겨진 파일 기반의 공격을 경험한다. 소닉월은 암호화 된 트래픽에 숨겨진 멀웨어와 기타 익스플로잇을 포함한 실제 데이터를 보유하고 있으며 소닉월 캡쳐 랩은 매일 평균 60건의 파일 기반 멀웨어 확산 시도를 발견했다.

▲다른 악성코드와 결합, 변종하는 멀웨어
2017년의 익스플로잇은 2016년의 앵글러(Angler)나 뉴트리노(Neutrino)만큼 위험하지는 않았다. 하지만 많은 멀웨어 개발자가 다른 멀웨어의 코드를 혼합해 새로운 멀웨어가 만들어지면서, 서명으로만 이뤄지는 보안 체계에 큰 위험이 됐다.

소닉월 캡쳐 랩은 머신러닝(Machine Learning) 기술을 사용해 멀웨어를 검사하고 분류한다. 2017년 소닉월은 2016년에 비해 6.7% 감소한 5600만 개의 멀웨어 샘플을 수집했으며, 2017년의 새로운 멀웨어 샘플 수는 2014년의 그것보다 51.4% 증가했다.

▲새로운 공격 대상으로 떠오른 칩 프로세서와 IoT
​​메모리 영역은 사이버 범죄자들이 향후 집중적으로 노릴 영역으로 꼽히고 있다. 최신 멀웨어는 메모리에 숨겨진 상태로 유지되도록 사용자 지정 암호화, 난독화, 패킹, 샌드박스 환경 적합화 등의 발전된 기술이 활용된다. 이에 따라 앞으로 많은 기업들이 악의적인 암호화를 통해 숨겨져 있는 멀웨어를 탐지하고 차단할 수 있도록 더 고도화된 기술을 사용해야 할 것이다.

빌 코너(Bill Conner) 소닉월 CEO는 “사이버 상의 군비 경쟁은 모든 정부, 기업, 조직, 개인에게 영향을 미치는 것으로, 누구도 승자가 될 수 없다”며, “소닉월의 축적된 최신 데이터와 새롭게 발견된 정보들은 사이버 군비 경쟁이 계속 확대됨에 따른 전략적 공격과 대응책을 보여줄 수 있다. 자사는 이에 맞는 실행 가능한 정보를 공유함으로써, 현재 가장 악의적인 위협과 사이버 범죄에 대항하는 비즈니스와 보안 태세를 함께 개선하려 한다. 비즈니스, 개인 정보, 관련 데이터에 대한 위협은 날이 갈수록 증가하고 있으며, 사이버 보안 문제는 기존 비즈니스가 안고 있던 위험요소보다 더 커지는 양상을 보이고 있기까지 하다”고 덧붙였다.

존 그뮌더(John Gmuender) 소닉월 CTO는 “최신 멀웨어 분석에는 샌드박스 기술이 종종 효과가 없는 경우가 있다”며, “실시간 딥 메모리 검사는 매우 빠르고 정확해 100나노초 미만 동안 노출되는 정교한 멀웨어 공격의 여파도 완화할 수 있다”고 말했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.