2024-06-25 22:10 (화)
아카마이, 아태지역 악성 DNS 트래픽의 주요 원인으로 큐스내치 지목
상태바
아카마이, 아태지역 악성 DNS 트래픽의 주요 원인으로 큐스내치 지목
  • 길민권 기자
  • 승인 2023.03.31 16:55
이 기사를 공유합니다

공격 시 서버 가동 중단, 데이터 유출, 서비스 중단 위험 발생

아카마이(아카마이코리아 대표 이경준)가 악성 DNS 트래픽으로 인해 아시아태평양지역(이하 아태지역)의 기업 및 소비자들이 받는 위협을 중점적으로 다룬 새로운 인터넷 현황 보고서를 발표했다.

해당 아태지역(APAC) 보고서의 주요 내용은 다음과 같다.

◇큐스내치(Qsnatch), 아태지역의 최대 봇넷 위협으로 성장

큐스내치는 기업의 백업 또는 파일 저장에 사용되는 NAS(Network Attached Storage) 디바이스 업체인 큐냅(QNAP)을 표적으로 하는 악성코드로, 2022년 아태지역 기업 환경의 봇넷 위협 중 최대 규모인 것으로 나타났다. 아태지역에서 이에 영향을 받은 디바이스 중 큐스내치에 감염된 비율은 60%에 달했으며, 감염된 디바이스의 수는 북미에 이어 전 세계 2위를 기록했다.

◇기업 지휘통제(Command and Control, 이하 C2) 트래픽 증가

전 세계 10%에서 16%에 달하는 기업들이 매 분기 사내 네트워크에서 C2 트래픽을 발견하는데, 이는 공격 또는 침입이 진행 중일 가능성을 나타낸다. 아카마이는 아태지역에서 영향을 받은 디바이스 중 약 15%가 초기 접근 브로커(IAB)들의 도메인으로 향하는 것을 관측했다. 이들은 사이버 범죄 조직으로, 유출된 네트워크에 무단 접속할 수 있는 권한을 랜섬웨어 그룹과 같은 사이버 범죄자들에게 판매한다.

◇아태지역의 홈 네트워크 위협, 전세계에서 가장 높아

아태지역의 소비자 홈 네트워크 위협은 전세계 최고치를 기록했다. 2022년 하반기 아태지역의 악성 쿼리 수는 전 세계 2위였던 북미보다 두 배나 많은 것으로 나타났다. 또한, 아태지역에서 3억 5천만 건 이상의 쿼리가 Pykspa(스카이프를 통해 감염된 사용자의 연락처로 악성 링크를 전송해 정보를 빼내는 웜)에 관련되어 있는 것으로 확인됐다.

인터넷 사용 시 대부분 DNS를 활용하는 만큼, DNS는 이러한 편재성으로 인해 공격 인프라의 중요한 부분이 됐다. 아카마이는 매일 7조 건에 달하는 DNS 요청을 관찰하면서 악성 DNS 트랜잭션을 멀웨어, 피싱, C2로 이루어진 세 가지 주요 카테고리로 분류했다.

아카마이의 데이터에 따르면, 전 세계 기업 중 10%에서 16%가 매 분기 사내 네트워크에서 C2 트래픽을 감지했다. C2 트래픽이 존재한다는 것은 공격 또는 침입 가능성이 있음을 나타내며, 그 위협은 봇넷 도용부터 유출된 네트워크에 대한 무단 접속 권한을 다른 사이버 범죄자에게 판매하는 IAB에 이르기까지 다양하다.

영향을 받는 아태지역 내 디바이스 중 15%는 이모텟(Emotet)과 같이 이미 알려진 IAB C2도메인에 접속했으며, 이 도메인은 초기 침투를 실행한 후 락비트(Lockbit)와 같은 랜섬웨어 그룹 및 기타 사이버 범죄 그룹에 접속 권한을 판매했다. 또한 아태지역에서는 레빌(REvil) 및 락비트와 같은 변종 랜섬웨어가 전체 기업의 디바이스에 영향을 미치는 상위 5종의 C2 위협으로 증가한 것을 확인됐다.

NAS 디바이스는 패치 될 가능성이 낮으면서도 귀중한 데이터를 보관하고 있을 가능성은 높기 때문에 악용되기 쉽다. 아카마이 데이터에 따르면, 2022년 아태지역에서 영향을 받은 디바이스 중 60% 가까이는 NAS 디바이스를 타겟으로 삼는 큐스내치에 감염되어, 북미 다음으로 높은 감염 건수를 기록했다. 아태지역에 데이터 센터가 대규모로 집중되어 있고 중소기업들이 NAS 디바이스를 많이 사용하기 때문에 전반적인 감염 수가 증가했을 가능성이 높다.

루벤 코(Reuben Koh) 아카마이 아시아태평양 및 일본 지역 보안 기술 및 전략 담당 디렉터는 "아태지역이 경제 및 디지털 전환의 글로벌 허브로서 진화를 가속하고 있는 만큼, 공격자들이 금전적 이익을 위해 이태지역 기업들에 대한 공격 방안들을 계속해서 모색하는 것은 그리 놀라운 일이 아니다”라며 “아카마이의 최신 연구 결과는 각 지역에서 가장 많이 발생하는 공격 방식을 조명할 뿐 아니라, 멀티스테이지 공격이 오늘날 아태지역의 사이버 환경에 주요하게 자리 잡았다는 것을 보여준다”고 말했다. 또한, 그는 “공격자들은 한번의 공격에도 다양한 툴을 결합하여 사용하거나 협업할 때 성공할 확률이 높다는 것을 깨닫고 있다. C2 인프라는 통신뿐 아니라 페이로드(payload) 다운로드나 다음 단계의 멀웨어가 공격을 이어가도록 만드는 데 활용될 수 있기 때문에 공격의 성공에 중추적인 역할을 한다"고 말했다.

더불어, 루벤 코 디렉터는 "멀티스테이지 공격이 비즈니스에 손해를 입히는 것을 막으려면 기업들은 공격자보다 앞서 있어야 한다. 이로 인한 피해에는 직접적인 재정 손실과 고객 신뢰 하락 등의 즉각적인 영향 외에도 감염된 인프라를 복구하는데 소요되는 법률, 상환, 정리 비용 등 장기적인 비용도 있다"고 덧붙여 말했다.

공격자는 네트워크 침투 시 더 큰 이득을 얻을 수 있는 기업을 겨냥하는 경우가 많지만, 홈 네트워크는 기업 환경에 비해 보안에 취약하기 때문에 더 쉽고 빠른 공격을 위한 표적이 될 수 있으므로 가정 사용자들도 안심해서는 안 된다. 공격자는 컴퓨터와 같은 전통적인 디바이스 뿐만 아니라 휴대전화와 IoT 디바이스도 악용하려고 한다.

아카마이의 데이터에 따르면, 2022년 하반기 홈 네트워크 위협과 관련된 쿼리의 수가 가장 높았던 지역은 아태지역으로, 관련 쿼리 수가 전세계 두 번째로 많았던 북미보다 두 배나 높은 수치를 기록했다.

아태지역에서는 감염된 사용자가 가지고 있는 연락처에 스카이프로 악성 링크를 전송하면서 확산시키는 위협인 Pykspa에 관련된 쿼리가 3억 5천만 건 이상 관측됐다. 이는 백도어 기능을 사용해 공격자가 원격 시스템에 연결될 수 있도록 하고, 파일 다운로드나 프로세스 종료 등의 임의 명령을 실행하며, 매핑 된 드라이브 및 네트워크 공유를 포함한 다양한 방법들을 통해 전파된다.

피싱 캠페인은 아태지역의 금융 브랜드를 적극적으로 겨냥해서 순진한 금융 고객들을 피싱으로 유인한다. 아카마이의 조사 결과, 피싱 캠페인의 40% 이상이 금융 서비스 고객을 대상으로 한 것으로 나타났으며, 전체 피해자들 중 금융 관련 피싱 사기 및 공격으로 피해를 입은 비율이 약 70%에 이르는 것으로 드러났다. 2022년에 금융 서비스 및 금융 고객을 대상으로 한 공격이 매우 효과적이었다는 것을 보여준다.

루벤 코 디렉터는 "네트워크 감염 시 홈 네트워크 사용자들은 모든 데이터를 잃어버리는 개인적인 피해를 입을 수 있을 뿐 아니라, 인지하지 못하는 사이에 자신의 디바이스가 대규모 봇넷, 즉 공격자가 좀비 디바이스들을 동원하여 기업을 대상으로 스팸 메일을 보내거나 DDoS 공격을 하는 사이버 범죄 활동의 일부가 되어 치명적인 피해를 일으킬 수 있다"고 말했다.

그는 또한 "오늘날 아태지역에서 모바일 인터넷 서비스에 접속하는 사람이 12억여 명에 이르고 2026년 IoT 지출이 4360억 달러에 이를 것으로 전망되는 가운데, 아태지역에서의 공격이 증가하고 있는 것은 그리 놀라운 일이 아니다. 모바일 및 스마트 디바이스의 사용 및 도입이 지속적으로 증가함에 따라 공격 또한 늘어날 것으로 예상되는 만큼, 홈 네트워크 사용자들은 사이버 공격의 피해자가 되지 않도록 경계해야 한다"고 말했다.

★정보보안 대표 미디어 데일리시큐!

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★