[헬로티]

시스코는 최근 보안 위협 동향과 해결책을 담은 ‘시스코 2016 중기 사이버 보안 보고서 (Cisco 2016 Midyear Cybersecurity Report)’를 내놓았다. 이 보고서에 따르면 랜섬웨어(Ransomware)가 수익 극대화를 위해 다양한 변종을 내놓으며 진화하고 있는 것으로 나타났다. 많은 기업이 증가하는 랜섬웨어 변종에 어려움을 겪는 주된 이유로 취약한 보안 인프라와 허술한 네트워크, 느린 위협 탐지 속도를 꼽았다.

랜섬웨어는 현재 가장 높은 수익을 얻을 수 있는 악성코드다. 랜섬웨어의 새로운 변종은 빠르게 전술을 바꿔가며 공격 효율성을 극대화하고 있다. 최근 공격자들은 공격 초점을 클라이언트에서 서버로 확대하고 있다. 또한 스스로를 복제·확산하고 네트워크 전체를 장악해 기업을 인질로 잡는 더욱 파괴적인 변종 랜섬웨어가 계속 등장할 것으로 전망된다. 

변종 랜섬웨어로부터 피해를 최소화하려면 네트워크와 엔드포인트 전역에 걸친 가시성 확보가 중요하다. 시스코는 변종 랜섬웨어의 해결 방안으로 ‘위협탐지시간(Time to detection, TTD)’ 단축을 강조했다. 위협탐지시간 단축은 공격자들의 활동 공간을 제약하고 침입 피해를 최소화한다. 

최근에는 업종과 지역을 불문하고 표적 대상이 광범위해지고 있다. 헬스케어, 자선단체, 비정부기구(NGO), IT 기업 역시 공격 증가를 경험한 것으로 조사됐다. 국가별로 상반된 사이버보안 정책과 국가별 규제의 복잡성은 지정학적 우려 사안 중 하나다. 복잡한 위협 상황에서 데이터 제어 또는 접근에 대한 니즈는 국제 통상 마찰로 이어질 가능성이 높다.  

시스코 보안사업그룹 마티 로쉬(Marty Roesch) 부사장은 “디지털 전환에 따른 새로운 사업 기회를 잡기 위해 보안은 반드시 고려돼야 한다. 탐지를 피해 공격은 더욱 정교해지고 공격 진행 시간도 늘고 있다. 따라서 기업은 네트워크의 가시성을 개선하고 노후된 인프라 교체 등 보안 역량을 강화해야 한다”고 말했다. 시스코가 발표한 보고서의 주요 내용을 요약하면 다음과 같다. 

공격 방법 진화 및 표적 범위 확대

■ 표적 범위 확대

공격자들은 공격 대상을 클라이언트에서 서버로 확대하고 있다. 어도비 플래시의 취약점이 멀버타이징(Malverti-sing: 부정광고)과 익스플로잇 키트(Exploit Kit)를 공격하기 위한 상위 표적이 되고 있다. 뉴클리어 익스플로잇 키트(Nuclear Exploit Kit)의 경우, 성공한 익스플로잇 시도의 80%를 차지한 것으로 나타났다. 

여기서 멀버타이징이란, 악성 프로그램을 뜻하는 멀웨어(Malware)와 광고를 뜻하는 애드버타이징(Advertising)의 합성어로, 정상적인 광고에 악성 웹사이트 링크를 심어 클릭 시 사용자를 악성 웹페이지로 이동시키는 것을 말한다. 그리고 익스플로잇 키트는 사용자 PC에 윈도우, 어도비, 마이크로소프트 오피스 등 소프트웨어의 취약점이 있을 경우, 이를 이용해 악성코드를 감염시키는 자동화된 도구를 의미한다.

시스코는 서버 취약점을 이용하는 랜섬웨어 공격, 특히 자바 기반의 오픈 소스 미들웨어 ‘제이보스(JBoss)’ 서버에서 새로운 경향을 발견했다. 인터넷에 연결된 전 세계 제이보스 서버 중 10%가 감염된 것으로 밝혀진 것이다. 제이보스의 취약점 중 대부분은 5년 전에 이미 파악된 것이며, 이는 기본적인 패치와 벤더 업데이트만 이루어졌어도 쉽게 예방할 수 있었다는 것을 의미한다.

■ 공격 방법 진화

공격자들은 올해 상반기에 방어자들의 가시성 부족 상태를 기회로 공격 방법을 진화시켰다. 올해 상반기의 윈도우 바이너리 익스플로잇은 최고의 웹 공격 방법으로 부상했다. 이 방법은 네트워크 인프라로 침입할 수 있는 강력한 기반을 제공하며 공격 파악 및 제거를 어렵게 한다. 

■ 추적 방해(Covering Tracks)

공격자들은 공격의 요소들을 감추기 위해 암호화를 많이 사용했으며, 이로 인해 방어자의 가시성이 약화됐다. 웹에서 익명으로 커뮤니케이션할 수 있게 하는 암호화폐(Cryptocurrency), TLS (Transport Layer Security), 토르(Tor: The Onion Routing) 등을 사용하는 경우가 늘었다. 그리고 멀버타이징 수법에 사용된 HTTPS-암호화 멀웨어는 지난해 12월부터 올 3월까지 3배나 증가했다. 암호화된 멀웨어는 공격자들의 웹 활동을 숨기거나 공격 감행 시간을 벌어 주기도 한다.

정교해진 지능적 공격에 대처 미흡

공격은 점점 지능화되고 정교해지는 반면, 기업은 한정된 자원과 노후된 인프라로 공격자들의 속도를 따라잡기 위해 안간힘을 쓰고 있다. 보고서에 따르면 패치 및 버전 업데이트와 같은 기본적인 관리 상태도 부족한 것으로 나타났다.

브라우저에서 자동 업데이트를 지원하는 구글 크롬의 경우, 전체 사용자의 75∼80%가 최신 버전 또는 바로 이전 버전의 브라우저를 사용하고 있었다. 그리고 자바(Java)의 경우, 검토한 시스템 중 1/3이 오라클에서 단계적으로 중단 중인 Java SE 6에서 구동되고 있었다. 최신 버전은 SE 10이다. 마이크로소프트 오피스 2013 버전 15x의 경우, 주요 버전 사용자의 10% 정도만 최신 서비스 팩 버전을 사용하고 있었다.

기업 인프라 대부분이 제대로 된 지원 없이 취약점을 지닌 채 운영되고 있다. 이러한 문제는 벤더와 엔드포인트 전체에 영향을 준다. 시스코의 연구원들은 인터넷에 연결된 10만 대 이상의 시스코 기기를 조사해 다음과 같은 결과를 발견했다.

• ‌각 기기별로 평균 28개의 알려진 취약점을 구동시키고 있었다.

• ‌기기들은 평균 5.64년 동안 알려진 취약점을 활발히 구동시키고 있었다.

• ‌기기 중 9% 이상이 확인된 지 10년이 넘는 취약점을 지니고 있었다.

시스코는 비교를 위해 샘플로 3백만 곳에 설치된 소프트웨어 인프라를 살펴봤다. 아파치(Apache)와 OpenSSH가 대부분이었으며, 평균 16개의 알려진 취약점을 가진 상태로 5.05년 동안 운영되고 있었다.

브라우저 업데이트는 엔드포인트에서 쉽게 실행할 수 있다. 그러나 엔터프라이즈 애플리케이션과 서버 인프라는 업데이트가 어렵기 때문에 사업 영속성 문제가 발생할 수 있다. 기업 운영에 핵심적인 애플리케이션은 업데이트를 주기적으로 관리하기 어려워 공격자에게 침입의 기회를 제공한다.

시스코, 비즈니스 환경 보호 위한 간단한 조치 권고

시스코의 보안 인텔리전스 조직인 ‘탈로스(Talos)’의 연구원들은 보안 수준을 개선시키는 데 필요한 몇 가지 간단한 조치를 권고했다.

• ‌네트워크 상태 개선: 네트워크를 모니터링하고 정기적으로 패치를 설치해 업그레이드한다. 그리고 네트워크를 분할하며 이메일, 웹보안, 차세대 방화벽, 차세대 침입 탐지 시스템(IPS) 등 방어 진지를 구축한다.

• ‌통합 방어: 통합 보안을 위해 아키텍처 접근 방식을 활용한다.

• ‌탐지시간 측정: 위협을 발견하기 위해 가장 빠른 탐지 시간을 유지하고 위협을 즉각 완화시킨다. 조직의 보안 정책을 개선하기 위한 매트릭스를 구축한다.

• ‌위치에 상관없이 모든 사용자 보호: 기업 네트워크에 접속해 있을 때는 물론, 위치에 상관없이 모든 시스템과 사용자를 보호해야 한다.

• ‌중요 데이터 백업: 데이터를 백업하고 주기적으로 해당 데이터의 유효성을 검사해 공격에 취약한지 확인한다. 

김희성 기자 (npnted@hellot.net)