보안

"2017년의 랜섬웨어, 크리티컬 시스템으로 이동"…버라이즌 보고서

Maria Korolov  | CSO 2018.04.12
버라이즌(verizon)은 4월 10일 보안 연구원 및 법 집행기간을 비롯한 전세계 67개 기관 5만 3,000건의 보안 침해 사고를 기반으로 지난해 전반적이고 심층적인 분석인 DBIR(Data Breach Investigations Report)를 발표했다. 

보안 침해 사고 결과로 나타난 가장 일반적인 공격 유형은 도난당한 자격 증명 사용, RAM 스크래퍼(RAM scraper) 악성코드, 피싱, 그리고 권한 도용 등이었다. 그러나 공격은 기업에 피해를 주기 위해 굳이 데이터 유출을 할 필요가 없었다.

랜섬웨어, 크리티컬 비즈니스 시스템으로 이동
이 보고서의 주요 초점은 랜섬웨어였다. 지난해 보고서에서 랜섬웨어는 보안 사고와 관련한 악성코드 유형 가운데 5번째였다. 하지만 올해 보고서에서는 랜섬웨어가 첫번째였다. 버라이즌의 정보보안 데이터 과학자이자 연구원인 가브리엘 바셋은 "악성코드와 관련된 보안 사고는 전체의 39%를 차지했다"고 말했다.

특히 랜섬웨어는 더 이상 사용자 데스크톱을 표적으로 하지 않는다. 대신 공격자는 크리티컬한 비즈니스 시스템을 표적으로 삼아 좀더 많은 몸값 요구와 더 높은 수익을 창출한다.


Cerdit: verizon

랜섬웨어가 지난해 직면한 가장 큰 공격 유형이라고 말할 순 없다. DoS(Denial of Service) 공격은 27차례나 발생해 이보다 더 빈번했으며, 우발적인 손실과 실수는 피싱 공격과 마찬가지로 보안 사고의 일반적인 요인이었다.

바셋은 "랜섬웨어는 데이터 유출 사건의 원인은 아니었다. 일반적으로 랜섬웨어는 어떤 데이터 유출과도 관련이 없기 때문이다. DoS 공격 또한 데이터 유출 사건과는 관련이 없었다. 사실 공격자가 실제 데이터 유출 사실을 숨기기 위해 DoS 공격을 사용한다. 그러나 올해 DoS 공격과 관련된 데이터 유출 사건은 단 한차례만 있었다.

이 경우, DoS 공격이 데이터 유출 사건을 은폐하려는 용도로 사용된 것은 아니지만, 다른 방법으로 사용됐다. 해킹당한 자산은 공격자가 DDoS 공격을 실행하는데 사용됐다.

다소 긍정적인 점은 DDoS 공격의 경우, 시간이 지남에 따라 중간 규모의 공격이 점점 줄어들고 있으며, 대부분의 공격은 단 수분 정도로 짧아지고 있다는 것이다. 증가한 것은 증폭 공격(amplified attacks)의 비율이다. 이는 2013년 약 25%에서 현재 약 80%로 꾸준히 증가하고 있다.

증폭 공격에서 공격자는 취약한 시스템을 활용해 피해자에게 전송되는 메시지 수나 크기를 늘린다. 바셋은 "이런 경향은 IT 업계나 이 보고서를 보는 이들에게 특히 중요하다"며, "이 문제의 일부가 되서는 안된다"고 말했다.

예를 들어, 기업이 알려진 취약점이 있는 웹 애플리케이션을 노출하면 공격자는 이를 십분 활용할 수 있다. DDoS 공격자가 사용하는 다른 요소로는 DNS와 NTP 서비스가 있다. 바셋은 "공격자들은 기업의 인프라에 자신의 인프라를 만들어 장비를 사용해 다른 사람들을 공격한다. 이는 중요한 사항이며 해킹당한 자신의 시스템이 유일한 피해자가 아닐 수 있다"고 말했다.

외국 첩보 행위, 생각보다 많지 않다  
러시아 해커들은 지난해 많은 뉴스에 오르내렸지만, 국가 및 정부 관계자와 관련된 공격자는 14%에 불과했다. 공격자의 62%는 범죄 조직과 연루되어 있었고, 20%는 어떤 단체와도 관련이 없었다.

금전적 이익이 공격자의 가장 큰 동기 유발 요소였으며, 침해 사고 건수의 76%를 차지했다. 첩보 행위는 공격 동기의 2위를 차지해 침해 사고의 13%를 차지했다. 지난해 첩보 행위가 21%였던 점을 감안한다면 큰 폭으로 하락한 것이다.


Cerdit: verizon

바셋은 첩보 관련 침해 사건이 총 비율에서 내려갔지만, 절대적인 수치는 아니라고 말했다. 올해 보고서에서는 2016년 11월에서 2017년 10월까지 발생한 총 171건의 사건을 다뤘는데, 지난해 보고서에서는 292건이 발생했다.

바셋은 이 가운데 일부 오래된 사건은 최근에 발견된 것인데, 많은 침해 사건이 그 즉시 드러나는 것이 아니기 때문이다. 예를 들어, 첩보 관련 침해 사건은 다크웹 시장에 올라온 도난당한 신용카드 번호와 같이 즉각적인 영향을 주지 않는다.

첩보 행위로 인해 타격을 입은 주요 산업은 제조, 공공, 교육분야인데, 올해 침해 사건 수는 감소했다. 지난 보고서에서는 모든 수치가 상승한 바 있다.

바셋은 "지난해 공격 수는 DNC(Democratic National Committee) 침해 사건 및 2016년 다른 유명한 공격과 관련이 없다"고 말했다. 단일 조직에 대한 공격은 아무리 많은 영향을 미치더라도 하나의 침해 사고로 간주된다. 바셋은 "그러나 단일 PoS(Point of Sale) 공급업체를 공격하면 많은 수의 소매업체에서 침해 사건이 발생할 수 있다"고 말했다.

한편, 모든 산업에 대한 첩보 관련 공격의 평균 수는 개별 산업 분야의 그것보다 유용성이 낮다. 바셋은 "종종 우리는 숲의 나무를 보지 못할 때가 있다"며, "전반적으로 첩보 행위는 분명히 금전 획득보다 덜 중요한 동기지만, 소매업종은 첩보행위와 관련이 있을 확률이 12배나 낮고, 제조 및 정부에서의 첩보 행위는 모든 침해 사고의 절반에 해당한다"고 말했다.

예를 들어, 공공 부문에서 침해 사건은 다른 공격 유형보다 첩보 행위와 연관이 있다. 또한 첩보 행위는 제조업계의 침해 사건의 공통 요인이었다.

공격자들은 산업 분야에 특화해 해당 공격이 잘 먹히는 산업 분야에 집중했다. 바셋은 호텔 산업을 사례로 꼽았다. 바셋은 "숙박 시설에서는 PoS 해킹에 대한 추세를 볼 수 있다. 공격자는 가장 적은 노력으로 최고의 수익을 올리고 있다"고 설명했다.

해킹 경로, 생각하는 것보다 짧다
버라이즌은 올해 처음으로 공격자가 초기 해킹에서 최종 데이터 유출로 이어지는 경로를 매핑하기 시작했다. 바셋은 "이를 위해 사건의 전반적인 데이터를 수집해야 하는데, 산업계 또는 공격자 유형별로 자세한 분석을 하기에는 데이터가 충분하지 않았다"고 말했다.

지금까지 대부분의 공격이 전통적으로 알려진 정찰, 최초 침입, 권한 상승, 측면 이동, 데이터 수집, C&C(command and control), 데이터 유출의 다단계 라이프 사이클을 따르지 않는다는 것이다. 바셋은 "실제 대부분의 공격 경로는 매우 짧다. 대다수 공격은 단 한두 단계에 불과하다"고 설명했다.


Cerdit: verizon

이런 사실은 침해 사고가 길고 복잡하다는 것에 반한다. 바셋은 골프 코스에 비유하면서 "골프 코스 디자이너는 길을 따라 물과, 모래 함정과 같은 장애물을 많이 설치해 선수가 이 코스에서 멀리 돌아가길 바란다. 그러나 선수가 '홀인원'을 한다면 해당 장애물은 아무런 효과가 없는 것이다"고 설명했다.

이메일, 가장 약한 부문
피싱이나 CEO 사기 등 이와 유사한 공격을 포함한 소셜 공격은 2010년 10% 미만에서 2017년 보고서에서는 40%에 이를 정도로 증가일로에 있다.

하지만 올해는 하락했다. 최신 보고서에 분석된 사고의 17%만이 소셜 공격을 포함하고 있다. 이 보고서에 따르면, 대부분의 사람은 절대 피싱 이메일을 클릭하지 않는다. 피싱 시뮬레이션 결과를 분석한 바에 따르면, 78%의 사람이 1년 내내 하나의 피싱 이메일도 클릭하지 않지만 공격자의 침입을 허용하는 데에는 단 한명만으로 충분하다.

그러나 재정적인 프리텍스팅(Pretexting)은 HR 직원을 대상으로 한 공격이 83% 증가해 지난해 보고서 61건에서 170건으로 증가했다. 또한 이메일은 악성코드에 대한 가장 일반적인 전달 방법이었다. 이 보고서에 따르면, 악성코드의 92%가 이메일을 통해 들어왔으며, 웹 브라우저는 6% 정도다. 바셋은 "한 조직에서 악성코드를 찾는다면 어디를 봐야할 지 알 수 있다"고 설명했다.

이 보고서의 목적은 보안 전문가에게 실용적인 정보를 제공하는 것이다. 그 일환으로 버라이즌은 악성코드와 가장 공통적인 파일 유형을 발견했다. 가장 흔한 것으로 자바스크립트(JavaScript) 37%, 비주얼 베이직(Visual Basic) 21%, 윈도우 실행 파일 15%, 마이크로소프트 오피스 파일 14% 순이었다.

지난해 버라이즌은 패치를 최신으로 유지하고 민감한 데이터를 암호화하며 이중 인증을 사용토록 권장했다. 패치되지 않은 취약점은 지난해 발생한 침입의 6%에 불과했지만, 이 가운데 하나가 가장 큰 침해 사고였던 에퀴팍스(Equifax) 데이터 유출 사건으로 약 1억 5,000만 개 기록이 유출됐다.

비교해 보면, 훔친 자격 증명으로 인한 유출 사고가 전체의 22%를 차지해 주요 유형이 됐다. 버라이즌 보고서에 따르면, 비밀번호의 길이 또는 복잡성에 관계없이 비밀번호 하나만으로는 충분하지 않다. 기본 비밀번호와 쉽게 추측할 수 있는 비밀번호는 '라자냐(lasagna) 스펠링에서 G만큼이나 쓸모없다'. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.