기업 표적 랜섬웨어 “인프라 취약점 개선, 위협탐지시간 단축이 해결책”
올해 가장 위협적인 악성코드로 부상한 ‘랜섬웨어’가 다양한 변종을 내놓으면서 진화하고 있다.
‘랜섬웨어’ 공격자는 개인(클라이언트)뿐 아니라 기업 서버로 표적을 확대하고 있다. 서버를 활용하는 것이 보다 간편하고 효과적으로 공격을 전파·확장해 더 높은 수익을 안겨다 준다는 점을 간파했기 때문이다. 더욱이 서버 애플리케이션의 경우엔 패치나 업데이트 속도가 빠르지 않아 악용할만한 시간을 확보할 수 있다.
시스코코리아(대표 조범구)는 사이버공격자들에게 높은 수익을 안겨주는 ‘랜섬웨어’를 집중 분석한 ‘시스코 2016 중기 사이버 보안 보고서(다운로드)’를 5일 발표했다.
이 보고서에서 시스코는 많은 기업이 증가하는 랜섬웨어 변종에 어려움을 겪고 있는 주된 이유로 랜섬웨어 공격 방법이 더욱 정교하게 진화되는 반면에 기업은 보안에 취약한 인프라를 운영하고 있으며 위협탐지 속도도 느리다는 점을 꼽았다.
공격표적 개인 클라이언트에서 기업 서버로 확대
올해 초 의료업계에 널리 확산된 한 ‘랜섬웨어(SamSam)’ 공격은 취약한 서버를 이용해 내부 네트워크로 침투한 후 여러 머신을 추가로 감염시켰다. 감염된 머신은 돈을 받아내기 위한 인질로 잡혔다. 피해기관은 패치가 적용돼 있지 않아 취약점이 있는 제이보스(JBoss) 서버를 운영하고 있었다. 제이보스는 자바 기반의 오픈소스 미들웨어다.
시스코는 인터넷에 연결된 전세계 제이보스 서버 중 10%가 감염된 것으로 분석했다. 제이보스 취약점 중 많은 부분은 5년 전 파악된 것으로 이는 기본적인 패치와 벤더 업데이트만 이뤄졌어도 쉽게 예방할 수 있다는 얘기다.
앞으로도 스스로를 복제·확산하고 네트워크 전체를 장악해 기업을 인질로 잡는 더욱 파괴적인 변종 랜섬웨어가 계속해 등장할 것으로 전망된다. 예를 들어 미래 랜섬웨어 공격은 중앙처리장치(CPU) 사용량을 제한해 탐지를 우회하거나 명령제어(C&C) 활동을 안할 수도 있다.
멀버타이징·익스플로잇키트 공격 기승
올해 상반기 랜섬웨어 공격은 여전히 어도비 플래시 취약점이 멀버타이징(Malvertising·부정광고)과 익스플로잇 키트(Exploit Kit) 공격에 가장 많이 악용됐다. 뉴클리어(Nuclear) 익스플로잇 키트의 경우 성공한 익스플로잇 시도의 80%를 차지한 것으로 나타났다.
랜섬웨어 변종은 빠르게 전술을 바꿔가며 공격 효율성을 극대화하고 있다. 특히 방어자들의 가시성 부족 상태를 기회로 삼아 공격 방법으로 진화시켰다.
상반기에는 윈도 바이너리 익스플로잇(Windows Binary exploits)은 최고의 웹 공격 방법으로 부상했다. 이 방법은 네트워크 인프라로 침입할 수 있는 강력한 기반을 제공하고 공격의 파악과 제거를 어렵게 한다.
페이스북을 통한 사회공학적(social engineering) 기법(스캠)은 2015년 1위 자리에서 2위로 한 단계 하락했다.
탐지 우회용 암호화 기술 적극 활용
공격자들은 암호화 기술을 사용해 탐지를 우회해 방어자의 가시성을 약화시키는 방법을 적극 활용하고 있다.
웹에서 익명으로 커뮤니케이션을 가능하게 하는 암호화폐(Cryptocurrency), TLS(Transport Layer Security), 토르(Tor, The Onion Routing) 등의 사용이 늘었다.
멀버타이징 수법에 사용된 HTTPS-암호화 멀웨어는 2015년 12월부터 2016년 3월까지 3배나 증가했다. 암호화된 멀웨어는 공격자들의 웹 활동을 숨기거나 공격 감행 시간을 벌어줬다.
기업 인프라 취약점 패치·업데이트 미흡…평균 5년 이상 알려진 취약점 방치
사이버공격은 점점 지능화되고 정교해지고 있지만 기업은 한정된 자원과 노후된 인프라로 공격자들의 속도를 따라잡기 위해 안간힘을 쓰고 있다. 패치와 버전 업데이트와 같은 기본적인 관리 상태도 부족한 것으로 나타났다.
브라우저에서 자동 업데이트를 지원하는 구글 크롬은 전체 사용자의 75~80%가 최신 버전 또는 바로 이전 버전의 브라우저를 사용하고 있다.
자바(Java)의 경우엔 검토한 시스템 가운데 3분의 1이 오라클에서 단계적으로 중단 중인 자바SE 6에서 구동되고 있다. 최신 버전은 SE 10이다.
마이크로소프트 오피스 2013 버전 15x의 경우 주요 버전 사용자의 10% 정도만 최신 서비스 팩 버전을 사용하고 있다.
기업 인프라 대부분이 제대로 된 지원이 없거나 취약점을 지닌 채 운영되고 있다. 이런 문제는 벤더(제조사)와 엔드포인트 전체에 영향을 준다. 시스코 연구원들은 인터넷에 연결된 10만대 이상의 시스코 기기를 조사한 결과, 각 기기 별로 평균 28개의 알려진 취약점을 구동시키고 있는 것으로 나타났다
또한 기기들은 평균 5.64년 동안 알려진 취약점을 활발히 구동시키고 있었다. 기기 중 9% 이상이 확인된 지 10년이 넘는 취약점을 지니고 있었다.
시스코는 비교를 위해 샘플로 300만곳에 설치된 소프트웨어 인프라를 분석했다. 아파치(Apache)와 오픈SSH가 대부분으로 평균 16개 알려진 취약점을 가진 상태로 5.05년을 운영하고 있었다.
브라우저 업데이트는 엔드포인트에서 쉽게 실행할 수 있다. 그러나 기업용 애플리케이션과 서버 인프라는 업데이트가 어렵고 때문에 사업 영속성 문제를 일으킬 수 있다. 기업 운영에 핵심적인 애플리케이션은 업데이트를 주기적으로 관리하기 어려워 공격자에게 침입의 기회를 제공한다.
가시성 확보로 피해 최소화해야, 위협탐지시간(TTD) 단축 중요
변종 랜섬웨어로부터 피해를 최소화하려면 네트워크와 엔드포인트 전역에 걸친 가시성 확보가 중요하다. 시스코는 변종 랜섬웨어의 해결 방안으로 ‘위협탐지시간(Time to detection, TTD)’ 단축을 강조했다.
위협탐지시간 단축은 공격자들의 활동 공간을 제약하고 침입 피해를 최소화한다. 기업이 현재 새로운 위협을 파악하는데 걸리는 평균 시간은 200일 정도다. 2015년 10월부터 2016년 4월까지 6개월간 시스코의 위협탐지시간 중앙값은 13시간으로 나타났다. 2015년 10월 측정된 17.5 시간보다 약 26% 단축됐다.
시스코 보안 인텔리전스 조직인 ‘탈로스(Talos)’ 연구원들은 보안 수준을 크게 개선시킬 수 있는 몇가지 조치를 권고했다.
첫째는 네트워크 상태 개선이다. 네트워크를 모니터링하고 정기적으로 패치를 설치하고 업그레이드해야 한다. 네트워크를 분리하고 이메일, 웹보안, 차세대 방화벽, 차세대 침입탐지시스템(IPS) 등 방어진지를 구축한다.
두 번째는 통합 방어체계다. 통합 보안을 위해 아키텍처 접근 방식을 활용하는 것이 좋다.
탐지시간 측정도 필요하다. 위협을 발견하기 위해 가장 빠른 탐지 시간을 유지하고 즉각적으로 위협을 완화시켜야 한다. 조직의 보안 정책을 개선하기 위한 메트릭스를 구축한다.
아울러 기업 네트워크에 접속해 있을 때는 물론 위치에 상관 없이 모든 시스템과 사용자를 보호해야 한다.
데이터를 백업하고 주기적으로 해당 데이터의 유효성을 검사해 공격에 취약한지 확인한다.
사이버공격은 최근 업종과 지역을 불문하고 표적대상이 광범위해지고 있다. 헬스케어, 자선단체, 비정부기구(NGO), IT기업 역시 공격 증가를 경험했다.
마티 로쉬(Marty Roesch) 시스코 보안사업그룹 부사장은 “디지털 전환에 따른 새로운 사업 기회를 잡기 위해 보안은 반드시 고려돼야 한다. 탐지를 피해 공격은 더욱 정교해지고 공격 진행 시간도 늘고 있다. 따라서 기업은 네트워크의 가시성을 개선하고 노후된 인프라 교체 등 보안 역량을 강화해야 한다”며 “시스코 보안 조직은 고객과 협업을 통해 정교화된 공격을 막고 뛰어난 제어와 가시성을 갖춘 보안 서비스를 제공하고 있다”고 말했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
