2024-03-28 23:00 (목)
아카마이, ‘인터넷 보안 현황-캐리어 인사이트 보고서’ 발표
상태바
아카마이, ‘인터넷 보안 현황-캐리어 인사이트 보고서’ 발표
  • 길민권 기자
  • 승인 2018.04.26 17:48
이 기사를 공유합니다

“사이버 위협과의 전쟁에서 정보 공유 중요”

아카마이코리아(대표 손부한)가 ‘인터넷 보안 현황-캐리어 인사이트 보고서’를 26일 발표했다. 아카마이는 2017년 9월부터 2018년 2월까지 전 세계 통신 서비스 사업자(CSP) 네트워크에서 수집한 14조 개 이상의 쿼리를 분석했다. 이를 통해 정보 공유가 사이버 위협을 막기 위한 중요한 요소라는 결과를 내놨다.  

아카마이가 2017년 인수한 노미넘(Nominum)은 지난 19년 동안 심층적인 DNS 데이터를 활용해 디도스, 랜섬웨어, 트로이목마, 봇넷과 같은 정교한 사이버 공격에 대한 전반적인 방어 역량을 개선시켜 왔다. 아카마이 캐리어 인사이트 보고서는 노미넘의 전문성을 기반으로 작성됐고 DNS 보안을 다른 보안 계층의 데이터와 통합했을 때 효과적임을 분명히 보여준다. 이런 보안 접근방식은 기업의 데이터를 보호하기 위해 다수의 보안 솔루션을 적용한다.

유리 유지포비치(Yuriy Yuzifovich) 아카마이 위협 인텔리전스의 데이터 과학 담당 디렉터는 “개별 시스템에 대한 공격만 부분적으로 이해하는 것으로는 오늘날의 복잡한 위협 환경에 대비하기에 부족하다. 여러 팀, 시스템, 데이터 세트에서 지식을 확보할 때 다양한 플랫폼과 커뮤니케이션하는 것이 중요하다. 아카마이 플랫폼에서 발생하는 DNS 쿼리는 위협 환경을 종합적으로 들여다 보기 위해 필요한 데이터를 보안팀에 제공하는 전략적 역할을 할 것”이라고 말했다.

▲협력적 대응으로 미라이(Mirai) 봇넷 방어

아카마이 SIRT와 노미넘은 2018년 1월 말 미라이 C&C로 의심되는 500여 개의 도메인 목록을 공유했다. 이 작업의 목표는 DNS 데이터와 인공 지능을 활용해 C&C 목록을 확대할 수 있는지, 향후 미라이 탐지를 더욱 포괄적으로 진행할 수 있을 지를 확인하는 것이었다. 협력 팀은 다계층 분석을 통해 미라이 C&C 데이터 세트를 강화하고 미라이 봇넷과 페티야(Petya) 랜섬웨어 배포자 사이의 연관성을 파악할 수 있었다.

이번 합동 분석을 통해 사물인터넷(IoT) 봇넷이 거의 디도스 공격에만 이용되다가 랜섬웨어 배포와 크립토마이닝(cryptomining)과 같은 보다 정교한 활동에도 이용되고 있다는 것이 밝혀졌다. IoT 봇넷은 대부분 침해지표(IoC)를 남기지 않기 때문에 탐지하기 어렵다. 하지만 이번 아카마이 합동 연구는 수십개의 새로운 C&C 도메인을 탐지-차단하고 봇넷 활동을 제어할 수 있는 가능성을 열었다.

▲자바스크립트 크립토마이너

아카마이는 대규모 크립토마이닝의 비즈니스 모델을 2가지로 분류한다. 첫번째 모델은 감염된 디바이스의 처리 용량을 사용해 암호화폐 토큰을 채굴하는 방법이다. 두번째 모델은 콘텐츠 사이트에 임베디드되어 있는 코드를 사용해 사이트를 방문한 디바이스가 크립토마이너 대신해 암호화폐를 채굴하도록 만드는 방식이다.

아카마이는 사용자와 웹사이트 소유자에게 새로운 보안 문제가 될 수 있는 두 번째 비즈니스 모델에 대해 광범위한 분석을 실시했다. 크립토마이너 도메인을 분석한 후 컴퓨팅 파워와 금전적 이익 측면에서 크립토마이너 활동으로 인해 발생하는 비용을 추산했다. 한 가지 주목할 만한 점은 크립토마이닝이 웹사이트의 광고 매출을 충분히 대체할 수 있다는 것이다.

▲악성코드와 사이버 공격의 변화

아카마이가 6개월 동안 관련 데이터를 수집한 결과 다음과 같이 몇몇 주요 멀웨어 캠페인의 운영 프로세스가 큰 변화를 보였다.

◇웹 프록시 자동 발견(WPAD) 프로토콜은 2017년 11월 24일부터 12월 24일 까지 윈도우 시스템을 중간자(MITM) 공격에 노출시키는 데에 사용됐다. WPAD는 LAN과 같은 보안 네트워크에 사용되는 프로토콜인데, 이 프로토콜은 인터넷에 연결됐을 때 컴퓨터를 심각한 공격에 노출시킨다.

◇멀웨어 작성자는 금융 정보뿐만 아니라 소셜 미디어 로그인 정보 수집으로 활동 영역을 넓히고 있다. 제우스(Zeus) 봇넷 중 하나인 테르돗(Terdot)은 로컬 프록시를 생성해 공격자가 사이버 스파이 활동을 하고 피해자의 브라우저에 가짜 뉴스를 올릴 수 있도록 한다.

◇로파이(Lopai) 봇넷은 봇넷 작성자가 어떻게 더 유연한 공격 툴을 만들 수 있는지 잘 보여주는 사례다. 로파이는 모바일 멀웨어로서 주로 안드로이드 디바이스를 대상으로 하며 봇넷 소유자가 새로운 기능을 업데이트할 수 있다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★