2024-03-29 21:35 (금)
2017년 총 93억 2,000만 건의 멀웨어 공격 발생…전년 대비 18.4% 증가
상태바
2017년 총 93억 2,000만 건의 멀웨어 공격 발생…전년 대비 18.4% 증가
  • 길민권 기자
  • 승인 2018.03.07 15:30
이 기사를 공유합니다

0307-1.jpg
소닉월(지사장 허남주)은 2017년 보안 산업 및 사이버 위협을 분석한 ‘2018 사이버 위협 보고서’를 발표했다. 이 보고서는 사이버 보안 전문가와 전세계 사이버 범죄자로 인해 만들어진 변화를 가공, 비교 및 대조한 데이터를 기반으로 작성됐다. 

보고서에 따르면, 2017년에는 전년 대비 18.4% 증가한 93억 2,000만 건의 멀웨어 공격이 발생했고 12,500건 이상의 정보보안 취약점 표준(CVE)이 발견됐다. 랜섬웨어 공격은 2016년 6억 3,800만건에서 2017년 1억 8,400만 건으로 급감했으나 변종 랜섬웨어는 101.2% 증가한 것으로 나타났다. SSL/TLS 표준에 따라 암호화된 트래픽은 24% 증가하여 전체 트래픽의 68%를 차지했고, SSL 복호화를 갖추지 못한 기업은 평균적으로 1년에 약 900건의 SSL/TLS 암호화된 공격을 당한 것으로 나타났다.

소닉월은 2017년 기준 매일 약 500개의 새로운 악성파일 유형을 감지했다. 이러한 사이버 공격은 비즈니스, 브랜드, 운영 및 재무 전반의 가장 큰 위험요소로 자리잡았다.

〈발전을 거듭하고 있는 보안 산업〉

▲랜섬웨어 공격량 감소
2017년 워너크라이, 페트야, 낫페트야 및 배드래빗 랜섬웨어 공격에 대해 많은 미디어에서 언급했지만, 예상했던 것처럼 실제로 많은 랜섬웨어 공격이 일어나지는 않았다. 랜섬웨어 공격은 2016년 총 6억 3,800만 건에서 2017년 1억 8,400만 건으로 71.2% 감소했으며, 2017년 일어난 공격의 46%가 미주 지역, 37%가 유럽에서 발생했다. 소닉월 캡쳐 ATP는 클라우드 기반의 다중 엔진 샌드박스로 250개의 밝혀지지 않은 히트(hit)마다 하나의 새로운 멀웨어 변종을 발견했다.

▲SSL/TLS 사용 증가
2017년 SSL/TLS 표준에 따라 암호화된 웹 트래픽 사용이 24% 증가했으며, SSL/TLS 트래픽은 2017년 총 트래픽의 68%를 차지했다. 이러한 변화는 암호화된 트래픽에 더 많은 수의 악의적인 페이로드(payload)를 숨길 수 있는 빌미를 사이버 범죄자들에게 제공했다. 기업들은 SSL/TLS 트래픽의 심층 패킷 검사(DPI) 등의 보안 컨트롤 기능을 도입해 암호화된 트래픽을 검사, 탐지하고 공격을 완화할 수 있다.

▲익스플로잇 킷이 가져온 영향
마이크로소프트 엣지 공격은 2016년 대비 13% 증가했고, 아크로뱃, 아크로뱃DC, 리더DC 및 리더 등 자주 사용되는 어도비 제품에 대한 공격은 전반적으로 감소된 양상을 보였다. 2017년에는 대부분의 브라우저가 어도비 플래시에 대한 지원을 중단하여 플래시의 치명적인 취약점이 발견되지 않았고, 애플 TV(Apple TV)와 마이크로소프트 오피스 등이 새로운 공격 대상 프로그램으로 꼽히며, 소닉월이 선정한 10대 공격 대상에 처음으로 포함됐다.

▲사이버 공격의 판도를 바꾸는 법 집행
법기관은 멀웨어의 개발과 배포에 관련된 사이버 범죄자들을 체포하여 멀웨어 공급망 붕괴에 영향을 끼치고 있고, 최근에는 국내뿐 아니라 해외 사법기관과의 다각적인 협력이 이루어져 전세계 사이버 위협에 대한 방어가 보다 공고해지고 있다. 이에 따라 사이버 범죄자들은 암호화폐 지갑이나 외환거래와 관련된 범죄를 저지를 때 한층 교묘한 방법을 택하고 있다.

〈진화된 사이버 범죄〉

▲새롭게 발견된 변종 랜섬웨어
랜섬웨어 공격의 총량이 해마다 크게 감소한 반면, 변종의 수는 2015 년 이후 지속으로 증가해 2017년에는 101.2% 증가세를 보였다. 이처럼 변종 수의 증가와 약 1억 8,400만 건의 랜섬웨어 공격으로 인해 랜섬웨어는 여전히 만연한 사이버 위협 요소로 자리매김했다. 소닉월 캡쳐 랩은 2017년 전년 대비 2배 가량 많은 2,855개의 새로운 랜섬웨어 서명을 만들었다. 한편, 2018년에는 사물인터넷 및 모바일 장치를 타깃으로 한 랜섬웨어가 증가할 것으로 예상된다.

▲SSL 암호화에 숨겨진 사이버 공격
해커와 사이버 범죄자는 멀웨어 페이로드를 암호화하여 기존 보안 통제를 우회해 왔다. 2017년에 암호화는 합법적인 트래픽과 악의적인 페이로드 모두에 최근 몇 년 대비 더 많이 사용됐다. SSL 암호 해독 기능을 갖추지 않은 조직은 일반적으로 연간 약 900 건의 TLS/SSL 암호화에 의해 숨겨진 파일 기반의 공격을 경험한다. 소닉월은 암호화 된 트래픽에 숨겨진 멀웨어 및 기타 익스플로잇을 포함한 실제 데이터를 보유하고 있으며 소닉월 캡쳐 랩은 매일 평균 60건의 파일 기반 멀웨어 확산 시도를 발견했다.

▲다른 악성코드와 결합되어 변종하는 멀웨어
2017년의 익스플로잇은 2016년의 앵글러나 뉴트리노만큼 위험하지는 않았지만, 많은 멀웨어 개발자가 다른 멀웨어의 코드를 혼합해 새로운 멀웨어가 만들어지면서 서명으로만 이루어지는 보안 체계에 큰 위험이 되었다.

소닉월 캡쳐 랩은 머신러닝 기술을 사용하여 멀웨어를 검사하고 분류한다. 2017년 소닉월은 2016년에 비해 6.7% 감소한 5,600만 개의 멀웨어 샘플을 수집했으며, 2017년의 새로운 멀웨어 샘플 수는 2014년의 그것보다 51.4% 증가했다.

▲새로운 공격 대상으로 떠오른 칩 프로세서와 IoT
메모리 영역은 사이버 범죄자들이 향후 집중적으로 노릴 영역으로 꼽히고 있다. 최신 멀웨어는 메모리에 숨겨진 상태로 유지되도록 사용자 지정 암호화, 난독화, 패킹 및 샌드박스 환경 적합화 등의 발전된 기술이 활용된다. 이에 따라 앞으로 많은 기업들이 악의적인 암호화를 통해 숨겨져 있는 멀웨어를 탐지하고 차단할 수 있도록 더 고도화된 기술을 사용해야 할 것이다.

존 그뮌더(John Gmuender) 소닉월 CTO 는 "최신 멀웨어 분석에는 샌드박스 기술이 종종 효과가 없는 경우가 있다"며 “실시간 딥 메모리 검사는 매우 빠르고 정확해 100나노초 미만 동안 노출되는 정교한 멀웨어 공격의 여파도 완화할 수 있다"고 말했다.

빌 코너(Bill Conner) 소닉월 CEO는 "사이버 상의 군비 경쟁은 모든 정부, 기업, 조직 및 개인에게 영향을 미치는 것으로, 누구도 승자가 될 수 없다. 소닉월의 축적된 최신 데이터와 새롭게 발견된 정보들은 사이버 군비 경쟁이 계속 확대됨에 따른 전략적 공격과 대응책을 보여줄 수 있다. 자사는 이에 맞는 실행 가능한 정보를 공유함으로써 현재 가장 악의적인 위협과 사이버 범죄에 대항하는 비즈니스 및 보안 태세를 함께 개선하려 한다”라며 덧붙여 "비즈니스, 개인 정보 및 관련 데이터에 대한 위협은 날이 갈수록 증가하고 있으며, 사이버 보안 문제는 기존 비즈니스가 안고 있던 위험요소 보다 더 커지는 양상을 보이고 있기까지 하다”고 말했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★