파이어아이, '지능형 사이버 공격 동향 보고서' 발표

파이어아이(지사장 전수홍, www.fireeye.com)가 '지능형 사이버 공격 동향 보고서(Advanced Cyber Attack Landscape)'와 '인터랙티브 맵'을 발표했다. 이를 통해 정교화된 사이버 공격과 연관된 멀웨어 커뮤니케이션 활동에 대해 상세 정보와 글로벌 인사이트를 제공한다는 계획이다.

파이어아이가 이번에 발표한 지능형 사이버 공격 동향 보고서는 2012년 한 해 동안 전세계 네트워크에 설치된 수천대의 파이어아이 엔드-유저 어플라이언스에 의해 수집된 데이터에 기반한다. 전세계 184개국에서 차단된 1200만개의 콜백 이벤트가 파이어아이 플랫폼에 의해 기록됐고 보고서는 이를 바탕으로 작성됐다.

이번 보고서는 대부분의 공격 활동이 이뤄지는 아시아와 동유럽 국가를 비롯해 커뮤니케이션 허브 혹은 중간명령제어(CnC) 서버가 호스팅된 184개국을 대상으로 조사됐다. 보고서에 따르면 기술 기업은 공격에 가장 빈번하게 노출되는 조직인 것으로 나타났으며 전체 지능형지속위협(APT) 중 89%의 공격이 중국 해커 그룹에 의해 개발, 전파된 툴과 연관됐다.

CnC 서버는 공격의 수명 주기 동안 감염된 호스트가 접속을 시도하는 콜백 신호 생성에 빈번하게 이용된다. 이는 공격자가 타깃 조직 내에서 공격을 확장하거나 데이터를 추출하고 탐지를 회피하기 위해 악성 코드를 다운로드하고 변종 하도록 한다.

파이어아이의 위협 방어 플랫폼은 방화벽, 차세대 방화벽, 침입 방지 시스템(IPS), 안티바이러스(AV), 보안 게이트웨이 등의 기존 솔루션이 방어하지 못하는 위협을 빠르고 정확하게 탐지한다. 이로써 전통적인 시그니처 방식의 보안 인프라를 우회하는 진화된 공격에 대응하는 최후의 보안 솔루션을 제공한다.

특히 보고서는 사이버 공격이 전세계적으로 확대되고 있다고 분서했다. 지난 한 해 동안 콜백은 184여개 국에서 발생했다. 파이어아이는 CnC 서버가 184개국에 호스팅된 것으로 조사했으며 이는 파이어아이가 2010년에 130개국에서 찾아낸 수치와 비교했을 때 무려 41% 증가한 수치다.

또한 아시아 및 동유럽의 높은 공격 발생 빈도를 보인 것으로 조사됐다. 국가별로 기업 당 평균 콜백 수에 있어 중국, 한국, 인도, 일본, 홍콩의 아시아 국가들은 전체 글로벌 콜백의 24%를 차지했다. 러시아, 폴란드, 루마니아, 우크라이나, 카자흐스탄, 라트비아의 동부 유럽 국가는 22%를 차지해 적은 격차를 보였다.

더불어 기술기업이 가장 높은 타깃 대상으로 밝혀졌다. 기술기업은 차세대 사이버 공격과 관련된 콜백 활동을 가장 높은 비율로 경험하고 있었고 지적 재산권의 도난, 파괴, 또는 추가 범죄 활동의 개시를 지원하는 소스 코드의 변종에 주 타깃이 되고 있었다.

뿐만 아니라 대부분의 APT 콜백 활동은 중국에서 만들어지거나 중국 해커 그룹에서 비롯된 APT 툴과 연관성을 보였다. 파이어아이는 콜백에 대해 알려진 APT 악성코드 집단의 DNA 맵핑을 통해 89%에 달하는 APT 콜백 활동이 중국에서 만들어지거나 중국 해커 그룹에서 비롯된 APT 툴과 연관이 있음을 밝혀냈다. 주요 툴은 'Gh0st RAT'다.

전수홍 파이어아이코리아 지사장은 "전세계에 걸쳐 진화하고 있는 오늘날의 사이버 위협은 기존의 탐지 솔루션을 쉽게 우회하고 주요 조직의 내부 침입을 시도하면서 안티바이러스와 같은 전통적인 시그니처 기반의 보안 솔루션을 이미 넘어서고 있다"며 "이번 파이어아이의 연구 결과는 진화된 사이버 공격의 새로운 흐름으로 등장해 전세계에 유행처럼 번지고 있는 오늘날 보안 위협에 통찰을 제공할 것"이라고 말했다.