2024-03-29 21:25 (금)
APT 공격 89%, 중국 공격 툴 활용되고 있다!
상태바
APT 공격 89%, 중국 공격 툴 활용되고 있다!
  • 길민권
  • 승인 2013.05.08 01:00
이 기사를 공유합니다

파이어아이, 지능형 사이버 공격 동향 보고서 발표
지능형 사이버 공격 방어 기술 전문기업 파이어아이(지사장 전수홍 www.fireeye.com)는 7일 ‘지능형 사이버 공격 동향 보고서(Advanced Cyber Attack Landscape)’와 ‘인터랙티브 맵’을 발표했다고 밝혔다. 이를 통해 정교화된 사이버 공격과 연관된 멀웨어 커뮤니케이션 활동에 대해 상세 정보와 글로벌 인사이트를 제공한다는 계획이다.
 
파이어아이가 이번에 발표한 ‘지능형 사이버 공격 동향 보고서’는 2012년 한 해 동안, 전 세계 네트워크에 설치된 수천 대의 파이어아이 엔드-유저 어플라이언스에 의해 수집된 데이터에 기반한다. 전 세계 184개 국에서 차단된 1천 200만 개의 콜백 이벤트가 파이어아이 플랫폼에 의해 기록되었고 보고서는 이를 바탕으로 작성되었다.

 
이번 파이어아이의 주요 연구 결과를 보면, 대부분의 공격 활동이 이루어지는 아시아와 동유럽 국가를 비롯, 커뮤니케이션 허브 혹은 중간명령제어서버가 호스팅된 184개국을 대상으로 조사한 내용이다. 기술 기업은 공격에 가장 빈번하게 노출되는 조직인 것으로 나타났으며 전체 지능형지속위협(APT) 중 89%의 공격이 중국 해커 그룹에 의해 개발, 전파된 툴과 연관된 것으로 조사됐다.
 
CnC 서버는 공격의 수명 주기 동안 감염된 호스트가 접속을 시도하는 콜백 신호 생성에 빈번하게 이용된다. 이는 공격자가 타깃 조직 내에서 공격을 확장하거나 데이터를 추출하고 탐지를 회피하기 위해 악성 코드를 다운로드하고 변종하도록 한다.
 
파이어아이의 위협 방어 플랫폼은 방화벽, 차세대 방화벽, 침입 방지 시스템(IPS), 안티바이러스(AV), 보안 게이트웨이 등의 기존 솔루션이 방어하지 못하는 위협을 빠르고 정확하게 탐지한다. 이로써 전통적인 시그니처 방식의 보안 인프라를 우회하는 진화된 공격에 대응하는 최후의 보안 솔루션을 제공한다.
 
다음은 이번 지능형 사이버 공격 동향 보고서의 핵심 내용들이다.
 
◇사이버 공격은 전 세계적으로 확대되고 있음=지난 한 해 동안 콜백은 184여개 국에서 발생했다. 파이어아이는 CnC 서버가 184개 국에 호스팅된 것으로 조사하였으며, 이는 파이어아이가 2010년에 130개 국에서 찾아낸 수치와 비교했을 때 무려 41% 증가한 수치다.
 
◇아시아 및 동유럽의 높은 공격 발생 빈도=국가 별로 기업 당 평균 콜백 수에 있어, 중국, 한국, 인도, 일본, 홍콩의 아시아 국가들은 전체 글로벌 콜백의 24 %를 차지했다. 러시아, 폴란드, 루마니아, 우크라이나, 카자흐스탄, 라트비아의 동부 유럽 국가는 22 %를 차지해 적은 격차를 보였다.
 
◇기술기업이 가장 높은 타깃 대상으로 밝혀져=기술기업은 차세대 사이버 공격과 관련된 콜백 활동을 가장 높은 비율로 경험하는 것으로 밝혀졌다. 기술 기업은 지적 재산권의 도난, 파괴, 또는 추가 범죄 활동의 개시를 지원하는 소스 코드의 변종에 주 타깃이 되고 있다.
 
◇대부분의 APT 콜백 활동은 중국에서 만들어지거나 중국 해커 그룹에서 비롯된 APT 툴과 연관=파이어아이는 콜백에 대해 알려진 APT 악성코드 집단의 DNA 맵핑을 통해, 89%에 달하는 APT 콜백 활동이 중국에서 만들어지거나 중국 해커 그룹에서 비롯된 APT 툴과 연관이 있음을 밝혀냈다. 주요 툴은 ‘Gh0st RAT’이다.
 
파이어아이 코리아 전수홍 지사장은 “전 세계에 걸쳐 진화하고 있는 오늘날의 사이버 위협은 기존의 탐지 솔루션을 쉽게 우회하고 주요 조직의 내부 침입을 시도하면서 안티바이러스와 같은 전통적인 시그니처 기반의 보안 솔루션을 이미 넘어서고 있다”라며, “이번 파이어아이의 연구 결과는 진화된 사이버 공격의 새로운 흐름으로 등장해 전 세계에 유행처럼 번지고 있는 오늘날 보안 위협에 통찰을 제공할 것”이라고 말했다.
 
이번 보고서 한글버전 전문은 데일리시큐 자료실에서도 다운로드 할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★