포티넷, 잠재적 위협 '봇넷' 해결하는 기업은 고작 1%

[CCTV뉴스=최진영 기자] 포티넷코리아는 자사의 보안연구소인 포티가드랩이 최근 발간한 ‘2017년 1분기 글로벌 위협 전망 보고서’를 8월 3일 발표했다.

이 보고서는 중요 엔터프라이즈 기술 및 업계 트렌드를 배경으로 애플리케이션 익스플로잇, 악성 소프트웨어, 봇넷 등 3가지 측면에 초점을 맞춘 사이버보안 킬체인을 다루고 있다.

포티넷의 CISO(정보보호최고책임자) 필 쿼드(Phil Quade)는 “지난해 잘 알려진 사이버 보안 사고는 공격자들이 인터넷 사용을 막고, TV 및 전화를 조작할 수도 있으며, 돈을 요구하면서 환자에 대한 치료 서비스를 중단시킬 수도 있다는 대중의 인식을 높여줬다”며 “그러나 인식 제고만으로는 충분하지 않다. 클라우드 서비스처럼 편리하고 비용을 절감시키는 IT 기술이 보편화되고 네트워크에 연결되는 스마트기기가 다양해지면서 보안의 가시성 및 제어 능력은 현저하게 낮아지고 있으나, 공격자들은 독자적인 툴을 구매하거나 재사용하고 있다”고 진단했다.

또한 “최고의 사이버 보안 전략에는 기업과 정부의 새롭게 노출된 취약성을 대상으로 하는 공격을 철저히 감지, 차단하기 위해 최고 수준의 자동화와 신뢰할 수 있는 네트워크 세분화를 반드시 포함시켜야 한다”라고 분석했다.

□ 누구나 저지를 수 있게 된 사이버범죄

우선 보고서에 따르면 공격 툴은 절대 사라지지 않으며, 언제 어디서나 공격할 준비가 돼 있다. 최신 툴과 사이버범죄 서비스(Crime-as-a-Service, CaaS)의 인프라는 공격자들이 글로벌한 규모에서 빠른 속도로 공격할 수 있도록 하는 기반이 되고 있다.

인터넷은 지역적 거리나 경계에 제한이 없기 때문에 대부분의 위협 트렌드는 특정 지역에 국한되기보다 글로벌한 형태로 나타난다. 공격자들은 기회가 생길 때마다 글로벌한 규모로 공격 요소들을 찾아내며, 끊임없이 공격을 시도한다.

특히 랜섬웨어의 경우 단 10% 미만의 기업 조직만이 랜섬웨어와 관련된 활동을 감지했으며, 평균 1.2%의 조직만이 내부 환경에 잠재돼 있는 랜섬웨어 봇넷을 처리했다.

랜섬웨어는 주로 주말에 확산됐으며, 다양한 랜섬웨어 봇넷의 평균 트래픽량이 증가함에 따라 피해를 입은 기업의 평균 수도 증가했다.

또한 조직의 80%가 시스템에 매우 심각한 영향을 끼치는 익스플로잇에 대해 보고했다. 일반적으로 노출된 취약점(Common Vulnerabilities and Exposure, CVE)을 대상으로 하는 공격 시도가 많았다.

익스플로잇의 확산은 지역적으로 매우 일관된 형태를 보였는데, 이는 익스플로잇 활동의 대부분이 인터넷 프로빙(Internet probing)을 체계적으로 스캔하는 툴을 통해 자동화되고 있기 때문인 것으로 나타났다.

하이퍼컨버전스와 IoT는 멀웨어 확산을 큰 영향을 미치는 것으로 분석됐다. 포티넷에 따르면 네트워크와 사용자가 점점 더 많은 정보와 자원을 공유함에 따라, 분산된 지역과 다양한 산업에 걸쳐 공격이 더욱 빠르게 확산되고 있다.

디바이스가 내부 네트워크에서 안전하게 보호되지 않고, 퍼블릭 네트워크에 빈번히 접속하며, 조직의 제어를 받지 않는 경우가 많다. 특히 모바일 멀웨어를 방어하는 것이 점차 어려워지고 있다.

모바일 멀웨어는 2016년 4분기부터 2017년 1분기까지 꾸준히 확산됐다. 약 20%의 조직만이 이를 감지했다. 올해 1분기에는 안드로이드 멀웨어들이 상위 10위를 차지했다. 모든 멀웨어 유형 중에서 안드로이드 멀웨어가 차지하는 비율은 지난해 4분기 1.7%에서 올해 1분기에 8.7%로 크게 증가했다.

□ 확장된 네트워크 환경에서 가시성은 감소

HTTPS와 HTTP 트래픽의 평균 비율은 거의 55 %에 이른다. 이러한 추세는 개인 정보를 유지하는데 도움이 되나, 위협 모니터링 및 감지에 대한 문제점을 야기한다. 많은 방어 도구들은 암호화된 통신에 대해서 낮은 가시성을 제공한다. 특히, HTTPS 비율이 높은 조직은 암호화된 통신에 숨어 있는 위협에 직면할 수도 있다.

클라우드 애플리케이션도 위협이 존재한다. 포티넷에 따르면 기업들이 사용한 클라우드 애플리케이션 평균 수는 62개다. IaaS 애플리케이션이 최고치를 기록했을 때는 전체 애플리케이션의 1/3를 차지하는 결과를 보였다.

그러나 클라우드로 이전할 경우 데이터의 가시성은 크게 낮아진다. 이러한 애플리케이션 및 서비스에 저장되는 데이터가 지속적으로 증가하고 있기 때문에 클라우드 활용 시 크게 고려해야 할 부분이다.

포티넷 측은 “기업들은 데이터 분산과 탄력적 인프라 운용으로 인해 네트워크 가시성이 감소하고 있는 탓에 광범위한 보안 정책과 관리 모델을 점검하는 위협 전망을 중시하고 있다”며 “이는 네트워크가 점차 복잡해지고 분산되는 환경에서 익스플로잇, 멀웨어, 봇넷의 진화를 모니터링 한다는 점에서 유용하다”고 조언했다.