2020년 사이버 위협 총정리, 늘어난 공격 표면 악용 사이버 공격 빈번
페이지 정보
작성자 가제트 댓글 0건 조회 1,772회 작성일 21-03-12 13:07본문
출처 :
포티넷코리아, 2020년 글로벌 위협 동향 보고서 발표
랜섬웨어 및 공급망 공격 활발...공격자는 재택근무 등으로 확장된 공격 표면 철저히 이용
임직원 보안 교육, 인공지능 기반 통합 대응 전략 등 필요해
[보안뉴스 이상우 기자] 최근 사이버 공격자는 기업의 디지털 전환 과정에서 과거보다 넓어진 공격 표면을 적극적으로 활용하고 있으며, 특히 기업 네트워크 외부에 있는 재택근무나자 원격학습자 등을 노린 뒤 기업의 주요 시스템이나 소프트웨어 공급망 등으로 침투하는 공격 역시 증가하고 있다.
포티넷코리아(대표 조원균)가 자사의 보안연구소 포티가드랩이 발표한 ‘2020년 하반기 글로벌 위협 동향 보고서(Disruption Key Threat Trend in 2020)’를 소개했다. 보고서에서는 사이버 공격자가 공격 표면을 극대화해 전 세계적으로 위협 활동을 확장하면서 전례없는 사이버 위협 환경이 만들어졌다고 강조했다. 또한, 사이버공격자는 매우 적응력이 뛰어나 파괴적이고 정교한 공격을 감행하고 있다. 특히, 엔터프라이즈 네트워크 외부에 있는 재택근무자나 원격학습자를 표적으로 삼고, 이를 통해 디지털 공급망 및 핵심 네트워크를 목표로 하는 공격을 시도한다.
포티가드랩 데릭 맨키(Derek Manky) 보안 인사이트 & 글로벌 위협 얼라이언스 총괄은 “2020년은 연중 내내 극적인 사이버 위협 환경이 만들어진 해다. 코로나19 대유행이 결정적인 역할을 했지만, 해를 거듭할수록 사이버 공격자도 점점 진화된 공격을 통해 더욱 파괴적인 결과를 낳고 있다. 공격자는 핵심 네트워크를 넘어 확장된 디지털 공격 표면을 공략하고 원격근무나 원격학습, 디지털 공급망을 대상으로 삼고 있다”고 말했다.
또한, “대규모 디지털 환경에서는 모든 것이 서로 연결돼 사이버 보안의 위험성도 더욱 커진다. 실행 가능한 위협 인텔리전스를 기반으로 하는 통합 인공지능 플랫폼 접근 방식은 모든 엣지를 보호하고 오늘날 조직이 직면한 위협을 실시간으로 식별 및 대응하는데 필수적”이라고 덧붙였다.
‘2020년 하반기 글로벌 위협 전망 보고서’의 주요 내용을 살펴보면 △랜섬웨어 공격은 향후에도 계속될 전망이다. 포티가드랩 데이터에 따르면 2020년 하반기는 상반기에 비해 전체 랜섬웨어 활동이 7배나 증가했다. 활동 증가의 원인은 여러 가지가 있으며, 서비스형 랜섬웨어(Ransomware as a Service, RaaS)가 대표적이다. 랜섬웨어 개발자와 유포자가 서로 분업하는 형태로 사이버 공격을 일으키고, 범죄 수익을 나누는 방식으로, 최근 국내에서도 갠드크랩 유포자가 검거되는 한편, 국제공조를 통해 개발자를 추적하고 있다.
▲2020년 활발히 활동한 랜섬웨어 변종[자료=포티넷]
또한, 공격자의 요구사항이 충족되지 않을 경우, 탈취한 데이터를 공개하겠다는 위협 속에 랜섬웨어의 활동이 크게 증가할 수 있는 여건이 마련된 것 역시 활동 증가의 원인이다. 과거보다 더 큰 범죄 수익을 기대할 수 있는 만큼 공격자는 이러한 방식에 집중하고 있다.
가장 활동적인 랜섬웨어 변종은 Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos/EKING, BazarLoader 등이며, 랜섬웨어 공격 대상이 된 분야는 의료, 전문 서비스 기업, 소비자 서비스 기업, 공공 조직 및 금융 서비스 기업 등으로 다양하다. 진화하는 랜섬웨어 위협에 효과적으로 대응하기 위해서는 기업이 안전한 오프라인 저장소에 데이터를 제대로 백업했는지 확인해야 한다. 또한, 위험을 최소화하기 위해 제로트러스트 모델 및 망 분리 전략을 고려해야 한다.
△공급망 공격 증가 역시 눈에 띈다. 최근 솔라윈즈(SolarWinds) 해킹 사고는 공급망 공격을 새로운 차원으로 끌어올린 사건으로, 공격이 진행됨에 따라 침해를 당한 조직은 상당한 양의 정보가 노출됐다.
포티가드랩은 이 새로운 인텔리전스를 모니터링해 관련 활동을 탐지하는 IoC(침해사고지표) 생성에 활용했다. 2020년 12월 선버스트(SUNBURST)와 관련한 인터넷 인프라의 통신을 조사한 결과, 캠페인이 실제로 전세계적으로 진행되었다는 점을 알 수 있었다. 또한, 최신 공급망 공격의 상호 연결된 범위와 공급망 위험 관리의 중요성을 보여주는 여러 사례들이 확인됐다.
△공격자는 사용자의 온라인 활동을 대상으로 삼기도 했다. 가장 널리 확산된 멀웨어의 범주를 조사해보면 사이버 범죄자가 조직 내 발판을 마련하기 위해 가장 많이 사용하는 기법이 드러난다. 주요 공격 대상은 마이크로소프트(Microsoft) 플랫폼으로, 대부분의 직원이 일반적인 업무 시간에 사용하는 문서를 대상으로 공격을 시도하는 경우가 많았다.
웹 브라우저도 지속적인 공격 대상이다. 이러한 유형의 공격에서 쓰이는 멀웨어에는 피싱 사이트를 통한 코드 삽입이나 사용자를 악성 사이트로 리디렉션(링크강제변경)하는 스크립트 등이 포함됐다. 이러한 유형의 위협은 글로벌 이슈가 발생하거나, 연말 혹은 블랙 프라이데이 등 온라인 상거래가 활발히 이뤄지는 시기에 필연적으로 증가한다. 일반적으로 직원들이 회사 네트워크에서 브라우징을 사용할 때는 웹 필터링 서비스의 이점을 누릴 수 있으나, 보호 필터 없는 외부에서 사용 시에는 더 많은 위협에 노출되게 된다.
△홈 브랜치 오피스도 공격자의 대상이 됐다. 지난해 업무환경 변화의 가장 큰 특징은 재택근무 시행으로 집과 사무실 간의 경계가 모호해진 점이다. 즉, 공격자가 가정용 네트워크를 통해 기업 네트워크에 더 수월하게 접근할 수 있다.
2020년 하반기에는 사물인터넷(IoT) 장치를 대상으로 하는 익스플로잇이 위협 목록의 상단을 차지하기도 했다. 각 IoT 장치는 모든 장치에서 보안 모니터링 및 조치가 필요하며, 반드시 보호받아야 하는 새로운 네트워크 엣지가 됐다.
△APT(지능형 지속 위협) 공격 역시 그치지 않을 것으로 보인다. APT 공격 조직은 다양한 방식으로 코로나19 대유행을 지속적으로 악용하고 있다. 일반적인 공격은 개인정보를 대량으로 수집하는데 초점을 둔 공격, 지적 재산 탈취, APT 공격 조직의 국가 우선순위에 따른 인텔리전스 도난 등을 포함한다. 2020년 말에는 백신 연구 및 전염병 대유행에 대한 국내외 의료 정책 개발을 포함해 코로나19와 관련된 조직을 대상으로 삼은 APT 활동이 증가했다. 그 대상에는 정부기관, 제약회사, 대학 및 의료 연구 기업이 포함됐다.
사이버 공격자에 대응하기 위해서는 통합 전략과 폭넓은 인식 필요
기업은 전방위적으로 공격을 받는 위협 환경에 놓여 있다. 이러한 위협을 파악하고 진화하는 위협 벡터로부터 보호하는데 있어 위협 인텔리전스는 핵심적인 역할을 한다. 다수의 사용자가 일반적인 네트워크 시나리오를 넘어 존재하는 경우에는 특히 가시성이 중요하다. 모든 장치는 모니터링과 보호가 필요한 새로운 네트워크 엣지를 생성한다.
인공지능과 자동화 위협 탐지는 큰 규모의 엣지 영역에 대한 공격을 완화하고, 위협에 빠르게 대응하는 데 필수적이며, 기업이 공격에 즉시 대응할 수 있도록 해준다. 이제 사이버 위생(cyber hygiene)은 IT 및 보안팀만의 영역이 아닌 만큼 사이버 보안 사용자 인식 교육이 우선적으로 진행되어야 한다. 즉, 개개인의 직원과 조직이 안전을 유지하기 위해서는 모든 직원들이 매뉴얼을 숙지하고 정기적인 교육을 받아야할 필요성도 커진다. 이번 보고서에 대한 보다 자세한 사항은 포티가드랩 블로그에서 확인할 수 있다.
[이상우 기자(boan@boannews.com)]
포티넷코리아, 2020년 글로벌 위협 동향 보고서 발표
랜섬웨어 및 공급망 공격 활발...공격자는 재택근무 등으로 확장된 공격 표면 철저히 이용
임직원 보안 교육, 인공지능 기반 통합 대응 전략 등 필요해
[보안뉴스 이상우 기자] 최근 사이버 공격자는 기업의 디지털 전환 과정에서 과거보다 넓어진 공격 표면을 적극적으로 활용하고 있으며, 특히 기업 네트워크 외부에 있는 재택근무나자 원격학습자 등을 노린 뒤 기업의 주요 시스템이나 소프트웨어 공급망 등으로 침투하는 공격 역시 증가하고 있다.
포티넷코리아(대표 조원균)가 자사의 보안연구소 포티가드랩이 발표한 ‘2020년 하반기 글로벌 위협 동향 보고서(Disruption Key Threat Trend in 2020)’를 소개했다. 보고서에서는 사이버 공격자가 공격 표면을 극대화해 전 세계적으로 위협 활동을 확장하면서 전례없는 사이버 위협 환경이 만들어졌다고 강조했다. 또한, 사이버공격자는 매우 적응력이 뛰어나 파괴적이고 정교한 공격을 감행하고 있다. 특히, 엔터프라이즈 네트워크 외부에 있는 재택근무자나 원격학습자를 표적으로 삼고, 이를 통해 디지털 공급망 및 핵심 네트워크를 목표로 하는 공격을 시도한다.
포티가드랩 데릭 맨키(Derek Manky) 보안 인사이트 & 글로벌 위협 얼라이언스 총괄은 “2020년은 연중 내내 극적인 사이버 위협 환경이 만들어진 해다. 코로나19 대유행이 결정적인 역할을 했지만, 해를 거듭할수록 사이버 공격자도 점점 진화된 공격을 통해 더욱 파괴적인 결과를 낳고 있다. 공격자는 핵심 네트워크를 넘어 확장된 디지털 공격 표면을 공략하고 원격근무나 원격학습, 디지털 공급망을 대상으로 삼고 있다”고 말했다.
또한, “대규모 디지털 환경에서는 모든 것이 서로 연결돼 사이버 보안의 위험성도 더욱 커진다. 실행 가능한 위협 인텔리전스를 기반으로 하는 통합 인공지능 플랫폼 접근 방식은 모든 엣지를 보호하고 오늘날 조직이 직면한 위협을 실시간으로 식별 및 대응하는데 필수적”이라고 덧붙였다.
‘2020년 하반기 글로벌 위협 전망 보고서’의 주요 내용을 살펴보면 △랜섬웨어 공격은 향후에도 계속될 전망이다. 포티가드랩 데이터에 따르면 2020년 하반기는 상반기에 비해 전체 랜섬웨어 활동이 7배나 증가했다. 활동 증가의 원인은 여러 가지가 있으며, 서비스형 랜섬웨어(Ransomware as a Service, RaaS)가 대표적이다. 랜섬웨어 개발자와 유포자가 서로 분업하는 형태로 사이버 공격을 일으키고, 범죄 수익을 나누는 방식으로, 최근 국내에서도 갠드크랩 유포자가 검거되는 한편, 국제공조를 통해 개발자를 추적하고 있다.
▲2020년 활발히 활동한 랜섬웨어 변종[자료=포티넷]
또한, 공격자의 요구사항이 충족되지 않을 경우, 탈취한 데이터를 공개하겠다는 위협 속에 랜섬웨어의 활동이 크게 증가할 수 있는 여건이 마련된 것 역시 활동 증가의 원인이다. 과거보다 더 큰 범죄 수익을 기대할 수 있는 만큼 공격자는 이러한 방식에 집중하고 있다.
가장 활동적인 랜섬웨어 변종은 Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos/EKING, BazarLoader 등이며, 랜섬웨어 공격 대상이 된 분야는 의료, 전문 서비스 기업, 소비자 서비스 기업, 공공 조직 및 금융 서비스 기업 등으로 다양하다. 진화하는 랜섬웨어 위협에 효과적으로 대응하기 위해서는 기업이 안전한 오프라인 저장소에 데이터를 제대로 백업했는지 확인해야 한다. 또한, 위험을 최소화하기 위해 제로트러스트 모델 및 망 분리 전략을 고려해야 한다.
△공급망 공격 증가 역시 눈에 띈다. 최근 솔라윈즈(SolarWinds) 해킹 사고는 공급망 공격을 새로운 차원으로 끌어올린 사건으로, 공격이 진행됨에 따라 침해를 당한 조직은 상당한 양의 정보가 노출됐다.
포티가드랩은 이 새로운 인텔리전스를 모니터링해 관련 활동을 탐지하는 IoC(침해사고지표) 생성에 활용했다. 2020년 12월 선버스트(SUNBURST)와 관련한 인터넷 인프라의 통신을 조사한 결과, 캠페인이 실제로 전세계적으로 진행되었다는 점을 알 수 있었다. 또한, 최신 공급망 공격의 상호 연결된 범위와 공급망 위험 관리의 중요성을 보여주는 여러 사례들이 확인됐다.
△공격자는 사용자의 온라인 활동을 대상으로 삼기도 했다. 가장 널리 확산된 멀웨어의 범주를 조사해보면 사이버 범죄자가 조직 내 발판을 마련하기 위해 가장 많이 사용하는 기법이 드러난다. 주요 공격 대상은 마이크로소프트(Microsoft) 플랫폼으로, 대부분의 직원이 일반적인 업무 시간에 사용하는 문서를 대상으로 공격을 시도하는 경우가 많았다.
웹 브라우저도 지속적인 공격 대상이다. 이러한 유형의 공격에서 쓰이는 멀웨어에는 피싱 사이트를 통한 코드 삽입이나 사용자를 악성 사이트로 리디렉션(링크강제변경)하는 스크립트 등이 포함됐다. 이러한 유형의 위협은 글로벌 이슈가 발생하거나, 연말 혹은 블랙 프라이데이 등 온라인 상거래가 활발히 이뤄지는 시기에 필연적으로 증가한다. 일반적으로 직원들이 회사 네트워크에서 브라우징을 사용할 때는 웹 필터링 서비스의 이점을 누릴 수 있으나, 보호 필터 없는 외부에서 사용 시에는 더 많은 위협에 노출되게 된다.
△홈 브랜치 오피스도 공격자의 대상이 됐다. 지난해 업무환경 변화의 가장 큰 특징은 재택근무 시행으로 집과 사무실 간의 경계가 모호해진 점이다. 즉, 공격자가 가정용 네트워크를 통해 기업 네트워크에 더 수월하게 접근할 수 있다.
2020년 하반기에는 사물인터넷(IoT) 장치를 대상으로 하는 익스플로잇이 위협 목록의 상단을 차지하기도 했다. 각 IoT 장치는 모든 장치에서 보안 모니터링 및 조치가 필요하며, 반드시 보호받아야 하는 새로운 네트워크 엣지가 됐다.
△APT(지능형 지속 위협) 공격 역시 그치지 않을 것으로 보인다. APT 공격 조직은 다양한 방식으로 코로나19 대유행을 지속적으로 악용하고 있다. 일반적인 공격은 개인정보를 대량으로 수집하는데 초점을 둔 공격, 지적 재산 탈취, APT 공격 조직의 국가 우선순위에 따른 인텔리전스 도난 등을 포함한다. 2020년 말에는 백신 연구 및 전염병 대유행에 대한 국내외 의료 정책 개발을 포함해 코로나19와 관련된 조직을 대상으로 삼은 APT 활동이 증가했다. 그 대상에는 정부기관, 제약회사, 대학 및 의료 연구 기업이 포함됐다.
사이버 공격자에 대응하기 위해서는 통합 전략과 폭넓은 인식 필요
기업은 전방위적으로 공격을 받는 위협 환경에 놓여 있다. 이러한 위협을 파악하고 진화하는 위협 벡터로부터 보호하는데 있어 위협 인텔리전스는 핵심적인 역할을 한다. 다수의 사용자가 일반적인 네트워크 시나리오를 넘어 존재하는 경우에는 특히 가시성이 중요하다. 모든 장치는 모니터링과 보호가 필요한 새로운 네트워크 엣지를 생성한다.
인공지능과 자동화 위협 탐지는 큰 규모의 엣지 영역에 대한 공격을 완화하고, 위협에 빠르게 대응하는 데 필수적이며, 기업이 공격에 즉시 대응할 수 있도록 해준다. 이제 사이버 위생(cyber hygiene)은 IT 및 보안팀만의 영역이 아닌 만큼 사이버 보안 사용자 인식 교육이 우선적으로 진행되어야 한다. 즉, 개개인의 직원과 조직이 안전을 유지하기 위해서는 모든 직원들이 매뉴얼을 숙지하고 정기적인 교육을 받아야할 필요성도 커진다. 이번 보고서에 대한 보다 자세한 사항은 포티가드랩 블로그에서 확인할 수 있다.
[이상우 기자(boan@boannews.com)]