2020-04-06 00:10 (월)
“글로벌 봇넷 JAKU 피해국 상위 5개국에 한국 포함”
상태바
“글로벌 봇넷 JAKU 피해국 상위 5개국에 한국 포함”
  • 길민권
  • 승인 2016.06.26 15:37
이 기사를 공유합니다

포스포인트 시큐리티랩, 2016 글로벌 보안위협보고서 발표
최근 포스포인트 시큐리티랩에서는 글로벌 보안위협보고서를 발표했다. 현재 가장 영향력 있는 사이버 보안 위험과 해당조직에 미치는 모든 기술, 운영과 비용 영향을 상세하게 분석했다.
 
내용을 보면, 지난해는 커다란 전환이 사이버 공격의 복잡성에 변화를 가져왔다. 데이터 유출 멀웨어가 여전히 은밀히 횡행하고 있는 가운데 기술에 밝은 직원도 조직의 데이터에 가장 큰 위협이 될 수 있다.
 
또 대담한 신종 랜섬웨어 제작자들은 단순히 데이터를 암호화했다는 주장만으로 데이터를 인질로 삼아 더 신속하게 수익을 창출하고 있다. 새로운 멀웨어 방지 도구에 직면한 공격자들은 데스크톱에 있는 마이크로소프트 오피스 파일 매크로로 돌아가는 등, 과거의 공격 방법을 재활용하고 있다.
 
또 제어가 일관되지 않은 클라우드 컴퓨팅으로의 이동이 증대함에 따라 보안에 심각한 과제가 발생하고 있다. 한편 새로운 봇넷으로 인해 보안 커뮤니티의 탐지 능력과 상대의 단기 전술과 전체적인 목표를 파악해 막는 능력이 시험받고 있다고 전했다.
 
1. 내부자의 악의적인 위협과 우발적인 위협
연구에 따르면 조직에서 가장 대비가 미흡하다고 생각하는 과제는 내부자 활동을 감찰하고 권한이 부여된 인증 정보의 책임 추적성이라는 보안 문제였다. 보안의 30%가 경계방어에 집중되어 있고, 설문에 답한 조직 중 40%에 못 미치는 곳만이 내부자 위협 관련 프로그램 전용 예산을 마련하고 있었다. 그 와중에도 많은 직원이 원격으로 연결할 수 있고, 대부분 중요 데이터가 상주하는 서버에 지속해서 접속하면서 네트워크에 드나들 수 있다는 점이다.
 
2. 웹과 이메일의 이중 위협
웹과 이메일 없이는 가장 제한되고 보안이 유지되는 작업장의 직원이라 할지라도 일반적으로 생산성을 유지할 수 없으므로, 웹과 이메일이 멀웨어의 근거지 웹 사이트에 대한 링크와 악성 이메일 첨부 파일의 형태로 이루어진 악의적 페이로드를 제공하는 수단으로 주목받고 있다. 현재 원치 않는 이메일의 92%가 URL을 담고 있으며, 이메일에 담긴 악성 매크로는 44.7%에 달한다.
 
3. 여전히 보안이 우려되는 클라우드로의 이행
클라우드 컴퓨팅의 비용, 확장성과 접근 가능성은 여러 기업에서 보안 우려를 상쇄하고 있지만, 클라우드 공급자와 자체 환경 간의 보안 일관성 없는 문제가 데이터 보호에 미치는 악영향에 대해서는 여전히 많은 클라우드 전문가들이 고심하고 있다. 역설적이게도 CIO와 CISO조차도 클라우드 채택을 주저하지만 그런데도 직원 개개인이 자신의 생산성과 편의를 위해 클라우드 앱을 사용하는 결과에 대해 고민이 많다. 설문 조사에 참여한 의사결정권자의 80% 이상이 "섀도(shadow)" IT가 심각한 결과를 초래할 수 있다고 느끼고 있었다.
 
또 보고서는 “IT의 규모와 복잡성이 급증하면서 지능형 위협에 대한 전통적 관점이 급속히 퇴색하고 있다. 전통적인 경계가 무너지고 데이터가 엔드 포인트, 네트워크, 모바일, 클라우드로 확산함에 따라, 조직은 그 역량이 증대된 종합적인 위협에 직면하고 있다. 이렇게 새로운 복잡성에는 참신한 접근 방법이 필요하며, 위협 정보를 공유하고 위협의 체류 시간을 줄일 수 있는 통합 솔루션의 중요성이 부각된다”며 “체류 시간은 공격자가 네트워크에 진입한 때부터 네트워크를 떠나거나 네트워크에서 강제로 퇴출당할 때까지의 시간이다. 체류 시간을 최소화하면 공격자의 확산 동향으로 인한 중요 데이터를 제거할 기회를 줄일 수 있다”고 강조했다.

 
한편 JAKU라는 글로벌 봇넷 활동에 대한 분석도 소개했다. JAKU는 인프라 구조와 TTP의 재활용을 시사하며 이중적인 특성을 나타낸다. JAKU는 피해자를 대량으로 집단화한 후 동시 작동 활동을 실행함으로써 특정 피해자를 대상으로 하는 고도의 표적 공격을 수행한다. 시스템 정보의 데이터 유출, 최종 사용자 프로파일링, 더 큰 규모의 공격 데이터 세트로의 통합 등의 결과가 초래된다고 밝혔다.
 
포스포인트 보안 연구소는 6개월간의 조사를 수행해 명령 및 제어(C&C) 서버의 위치와피해자를 세계적으로 정확하게 파악했다. 정적과 행위 분석을 통해 이 보안 연구소는 공격의 구성 요소를 이해하고 이 봇넷에서 사용하는 추적 메커니즘을 파악한 것이다. 이 연구 과정에서 조사 전반적으로 다양한 사법기관과 협력했으며 현재는 관련 정보를 공개적으로 공유하는 위치에 있다.
 
특히 JAKU 연구에서 주목할 부분은 JAKU 피해국 상위 5개국에 한국이 포함돼 있다. 한국, 일본, 중국, 대만, 미국이 상위 5개 피해국이며 평균 체류 시간은 93일로 조사됐다. 최대 348일까지도 나타났다. 명령제어 서버 위치는 주로 말레이시아와 태국, 싱가포르 등이다. JAKU 피해자가 위치한 총 국가 수는 134개국에 달한다.
 
또한 랜섬웨어 제작자들에게 지급된 전세계 피해금액이 3억2천5백만달러(약 3천812억2천5백만원)에 달하는 것으로 조사됐다.
 
그리고 지능형 회피 기법은 모든 조직의 데이터 보안에 중대한 위협이 되고 있다. 지능형 회피 기술에서는 기존의 여러 회피 방법을 결합해 알려지지 않은 새롭고 더 성공적인 회피 방법을 만들어낸다. 멀웨어와 취약점 공격 도구 제작자는 모든 회피 기법을 활용해 프로토콜 수준 스트림을 조작해서 탐지를 회피하는 것으로 관찰되었다고 밝혔다.
 
한편 신규 사업 인수 및 합병 활동이 부상하고 있지만, 회사의 병합은 조직의 중요 데이터 보호의 복잡성을 증대시킨다고 우려했다. S&P 500 총 가치의 84%가 지적 재산(IP)과 기타 무형자산으로 이루어지게 되었음을 감안하면, 적합한 대상에게 데이터 접근을 제공하는 동시에 손실, 절도 및 오용으로부터 데이터를 보호하는 것이 필수적이다.
 
민감한 데이터를 보호하고 경쟁 우위를 유지하는 데 필요한 기술과 비즈니스 프로세스는 합병, 인수 및 다양한 비즈니스 거래의 고유한 부분이다. IP 또는 다양한 데이터의 유출은 평판에 즉각적인 영향을 미치고, 법적 및 규제적 행위를 초래할 수 있으며, 경쟁 입지, 주가, 주주가치 등에 부정적인 영향을 줄 수 있다. 공식적으로 독립된 조직을 성공적으로 통합하기 위해서는 중요 데이터의 안전한 통합 및 관리를 위한 청사진을 만드는 것이 필요다고 강조했다.
 
이번 포스포인트 ‘2016 글로벌 위협 보고서’ 내용은 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com