2024-03-29 16:10 (금)
사이버 공격자들, 전세계 팬데믹 상황 악용해 엄청난 규모로 사이버 공격 실행
상태바
사이버 공격자들, 전세계 팬데믹 상황 악용해 엄청난 규모로 사이버 공격 실행
  • 길민권 기자
  • 승인 2020.09.14 15:59
이 기사를 공유합니다

포티넷, 2020년 상반기 ‘글로벌 보안 위협 전망 보고서’ 발표

포티넷코리아(대표 조원균)는 자사 보안연구소 포티가드랩이 발간한 ‘2020년 상반기 글로벌 위협 전망 보고서’를 발표했다.

이 보고서에 의하면 사이버 범죄자들과 국가-주도 공격자들이 글로벌 팬데믹 상황을 악용하여 전세계적으로 다양한 사이버 공격을 감행할 기회로 삼고 있는 것으로 나타났다. 또한, 사이버 공격자들은 기업 네트워크 외부에서 일하는 원격 근무자들의 증가로 디지털 공격면이 확대되는 상황을 악용하고, 글로벌 팬데믹으로 인한 불확실성과 공포를 틈타 대규모 사이버 공격을 실행하고 있는 것으로 조사되었다.

이 보고서는 많은 위협 트렌드가 팬데믹 상황과 연관되어 있지만, 일부 위협들은 여전히 고유한 목표를 가지고 있으며, 예를 들어 IoT 장치 및 OT(운영기술)을 타깃으로 하는 공격과 랜섬웨어는 감소하지 않고 더욱 정교한 공격으로 진화하고 있다고 강조했다.

아울러, 대부분의 위협은 전세계적으로 또한 산업 전반에서 나타나지만, 일부 지역적으로 또는 산업별로 차이를 보이기도 한다고 밝혔다. 코로나 19 팬데믹과 마찬가지로, 특정 위협은 한 지역에서 시작되었다가 결국 거의 전지역으로 확산되어 대부분의 조직에게 영향을 줄 수 있으나 보안 정책, 관행, 대응 등 여러 요인에 따라 감염률에 있어서는 지역별 차이가 있을 수 있다고 설명했다.

포티넷의 보안 인사이트 & 글로벌 위협 얼라이언스를 총괄하는 데릭 맨키(Derek Manky)는 “2020년 상반기에 우리는 전례 없는 사이버 위협 환경을 목격했다. 공격 방법의 빠른 진화와 대규모 확장은 사이버범죄자들이 전세계적인 코로나 팬데믹을 중심으로 현재의 사태를 이용하여 이익을 극대화하기 위한 전략을 얼마나 민첩하고 신속하게 구사하는지 잘 보여준다. 지금과 같은 상황에서 기업들은 재택근무로 인해 집으로 확장되는 네트워크 경계를 보호할 수 있는 방어 전략을 구축해야 한다. 즉, 장기적으로 원격 근무자들이 사용하고 있는 디바이스 및 홈 네트워크를 보호할 수 있는 방안을 마련해야 한다. 또한, 현재 운영 중인 사이버 바이러스 방지 전략과 동일한 대응 전략이 필요하다. 즉, 사이버 사회적 거리두기는 리스크를 인지하고 거리를 유지하는 방법이다”라고 말했다.

이번 ‘2020년 상반기 글로벌 위협 전망 보고서’의 핵심 내용은 다음과 같다.

포티넷 2020년 8월 글로벌 위협 보고서 내용중.
포티넷 2020년 8월 글로벌 위협 보고서 내용중.

◇글로벌 이벤트에서 기회 포착

이전에 공격자들은 사회공학적(시스템이 아닌 사람의 취약점을 공략해 원하는 정보를 얻는 기법) 접근 전술을 사용해왔으나 2020년 상반기에는 이 같은 움직임이 다음 단계로 이동했다.

기회주의적 피싱 공격자부터 계획적인 국가-주도 공격자까지 그들은 엄청난 규모로 이익을 얻기 위해 글로벌 팬데믹 상황을 악용할 수 있는 여러 방법을 찾아냈다. 이 방법에는 피싱 및 비즈니스 이메일 침해 계획, 국가 주도적 지원 캠페인 및 랜섬웨어 공격 등이 포함된다.

그들은 전세계 모든 이들에게 영향을 미치는 팬데믹의 글로벌 속성과 즉각적으로 확장된 디지털 공격면으로 인한 이점을 극대화하고자 노력하고 있다. 이러한 트렌드는 공격자들이 글로벌 차원에서 사회적으로 광범위하게 영향을 미치는 사안을 공격에 얼마나 잘 활용하는지 보여준다.

◇사용자의 집으로 네트워크 경계 확장

원격 근무의 확대로 거의 하룻밤만에 기업 네트워크에 극적인 변화가 발생할 수 있는데, 사이버 공격자들은 이를 즉시 기회로 활용하기 시작했다. 2020년 상반기에는 여러 소비자용 라우터 및 IoT 장치에 대한 익스플로잇 시도가 IPS 탐지 목록의 상단을 차지했다. 또한, IoT 제품의 오래된 취약점과 새로운 취약점을 타깃으로 삼는 공격자들이 증가하면서 봇넷 탐지와 관련해서는 미라이와 고스트의 활동이 가장 두드러졌다.

이러한 트렌드는 원격 근무자들이 기업 네트워크와의 연결을 위해 사용하는 장치를 악용하여 기업 네트워크 공격을 위한 거점을 확보하려는 사이버 범죄자들의 의도를 보여주며, 이는 엔터프라이즈 네트워크 경계가 집까지 확장되어 더 주의 깊은 보안 조치가 필요하다는 점을 시사하고 있다.

◇브라우저도 표적

원격 근무 체재 전환으로 인해 공격자들이 여러 방법을 통해 개인 사용자를 타깃으로 삼을 수 있는 기회가 더욱 확대되었다. 예를 들어 올해 초, 피싱 캠페인 및 기타 스캠에 사용된 웹 기반 멀웨어가 기존의 이메일 전송 벡터보다 순위가 높았다. 실제로 웹 기반 피싱 미끼와 스캠의 모든 변종을 포함하는 멀웨어군은 1월과 2월 멀웨어에서 1위를 차지했으나 6월에는 Top 5 아래로 떨어졌다.

이는 가장 취약하고 공격에 노출되기 쉬운 개인 사용자들이 집에서 웹 브라우저를 사용할 때 사이버범죄자들이 공격을 시도했다는 사실을 보여준다. 사이버 범죄자들이 원격 근무자들을 계속 타깃으로 삼고 있어, 장치뿐만 아니라 웹 브라우저도 주요 타깃이 되고 있다.

◇랜섬웨어는 사라지지 않아

잘 알려진 랜섬웨어 위협은 지난 6개월간 감소하지 않았다. 코로나 19 관련 메시지와 첨부파일은 다양한 랜섬웨어 캠페인의 미끼로 사용되었다. 다른 랜섬웨어들은 데이터를 암호화하기 전에 컴퓨터의 MBR(master boot record)을 변조하는 것으로 나타났다. 또한, 공격자가 피해 조직의 데이터를 잠그고 데이터를 훔치며 광범위하게 사용되는 릴리스를 추가 수단으로 사용하여 몸값을 요구하는 랜섬웨어 사고가 증가했다.

이는 향후 랜섬웨어 공격으로 인해 기업들이 귀중한 정보나 민감한 데이터를 도난당할 위험도가 높아졌음을 의미한다. 전세계적으로 그 어떤 산업도 랜섬웨어 공격을 피할 수 없었으며, 최신 자료에 의하면 랜섬웨어 공격을 가장 많이 받은 산업은 통신, MSSP, 교육, 정부, 테크놀로지 분야였다. 서비스형 랜섬웨어(RaaS)의 증가와 특정 변종의 계속되는 진화는 랜섬웨어가 사라지지 않을 것이라는 점을 시사한다.

◇스턱스넷(Stuxnet) 이후의 OT 위협

6월은 OT(운영 기술) 위협 및 보안의 진화에 있어 중요한 역할을 한 스턱스넷이 10주년을 맞는 시기이다. 그 이후 몇 년이 지난 현재, OT 네트워크는 사이버 공격자들의 표적이 되고 있다. 올 초 등장한 EKANS 랜섬웨어는 공격자들이 랜섬웨어 공격 범위에 OT 환경을 포함시키고 공격의 초점을 지속적으로 확대하고 있다는 사실을 잘 보여준다.

또한, 에어-갭 또는 폐쇄망으로 제한된 네트워크 내에서 민감한 파일을 수집 및 유출하도록 설계된 램세이 프레임워크는 이러한 유형의 네트워크에 침투할 새로운 방법을 찾는 위협 행위자의 한 예라고 할 수 있다. SCADA(원격 감시제어와 데이터 수집 시스템) 시스템 및 기타 유형의 ICS(산업 제어 시스템)를 타깃으로 하는 위협의 확산은 IT를 위협하는 공격보다 양적인 면에서는 적지만, 중요성 측면에서는 결코 작다고 할 수 없다.

◇집으로 확장되는 네트워크 경계를 보호해야 하는 과제가 시급하다

원격 근무의 증가로 디지털 공격 범위가 확대되고 있다. 기업 네트워크 경계가 이제 집까지 확대됨에 따라 공격자들은 가장 취약한 링크와 새로운 공격 기회를 찾고 있다.

기업들은 기업 네트워크와 유사한 방식으로 그들의 직원, 장치 및 정보를 보호하기 위한 구체적인 조치를 마련하여 이와 같은 상황에 대비해야 한다. 위협 인텔리전스 및 연구 조직들은 위협 환경의 진화에 따라 폭넓은 통찰력을 제공하고 공격 방법, 행위자, 새로운 전술 등을 심도 있게 분석하여 기업 조직이 사이버 지식을 보완하도록 지원한다. 전체 인력의 원격 근무 요구사항 충족을 위해 원활한 시스템 확장이 가능하면서 중요 리소스에 대한 안전한 액세스를 지원하는 텔레워커 솔루션에 대한 필요성이 그 어느 때보다 높아지고 있다.

네트워크, 애플리케이션, 멀티-클라우드 또는 모바일 환경을 포함한 전체 디지털 공격면에 대한 포괄적인 가시성과 보호를 제공하도록 설계된 사이버 보안 플랫폼만이 오늘날의 빠르게 진화하는 네트워크를 보호할 수 있다.

포티넷 2020년 상반기 글로벌 위협 전망 보고서는 데일리시큐 자료실에서도 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★