사이버 공격자들, 팬데믹 상황 악용..."방어전략 구축해야"
사이버 공격자들, 팬데믹 상황 악용..."방어전략 구축해야"
  • 정성훈 기자
  • 승인 2020.09.14 11:59
  • 댓글 0
이 기사를 공유합니다

포티넷, 2020년 상반기 '글로벌 보안 위협 전망 보고서' 발표
기업 네트워크 및 중요 데이터 접속 정보 탈취를 위해서 원격 근무자들을 타겟팅

사이버 범죄자들과 국가-주도 공격자(nation-state actors)들이 글로벌 팬데믹 상황을 악용하여 전세계적으로 다양한 사이버 공격을 감행할 기회로 삼고 있는 것으로 나타났다.

또한, 사이버공격자들은 기업 네트워크 외부에서 일하는 원격 근무자들의 증가로 디지털 공격 면이 확대되는 상황을 악용하고, 글로벌 팬데믹으로 인한 불확실성과 공포를 틈타 대규모 사이버 공격을 실행하고 있는 것으로 조사됐다.

포티넷코리아는 자사의 보안연구소인 포티가드랩이 발간한 ‘2020년 상반기 글로벌 위협 전망 보고서’에서 14일 이같이 밝혔다.

사진=포티넷 홈페이지 캡처
사진=포티넷 홈페이지 캡처

보고서는 많은 위협 트렌드가 팬데믹 상황과 연관되어 있지만, 일부 위협들은 여전히 고유한 목표를 가지고 있다고 밝혔다. 예를 들어 IoT 장치 및 OT(운영기술)을 타깃으로 하는 공격과 랜섬웨어는 감소하지 않고 더욱 정교한 공격으로 진화하고 있다고 강조했다.

아울러, 대부분의 위협은 전세계적으로 또한 산업 전반에서 나타나지만, 일부 지역적으로 또는 산업별로 차이를 보이기도 한다고 밝혔다. 코로나 19 팬데믹과 마찬가지로, 특정 위협은 한 지역에서 시작되었다가 결국 거의 전 지역으로 확산되어 대부분의 조직에게 영향을 줄 수 있으나, 보안 정책, 관행, 대응 등 여러 요인에 따라 감염률에 있어서는 지역별 차이가 있을 수 있다고 설명했다.

포티넷의 보안 인사이트 & 글로벌 위협 얼라이언스를 총괄하는 데릭 맨키(Derek Manky)는 "2020년 상반기에 우리는 전례 없는 사이버 위협 환경을 목격했다"며 "공격 방법의 빠른 진화와 대규모 확장은 사이버범죄자들이 전세계적인 코로나 팬데믹을 중심으로 현재의 사태를 이용하여 이익을 극대화하기 위한 전략을 얼마나 민첩하고 신속하게 구사하는지 잘 보여준다"고 말했다.

이어 "지금과 같은 상황에서 기업들은 재택근무로 인해 집으로 확장되는 네트워크 경계를 보호할 수 있는 방어 전략을 구축해야 한다"며 "장기적으로 원격 근무자들이 사용하고 있는 디바이스 및 홈 네트워크를 보호할 수 있는 방안을 마련해야 한다"고 밝혔다.

또한 "현재 운영중인 사이버 바이러스 방지 전략과 동일한 대응 전략이 필요하다"며 "사이버 사회적 거리두기는 리스크를 인지하고 거리를 유지하는 방법"이라고 말했다.

보고서에 따르면, 이전에 공격자들은 사회공학적(시스템이 아닌 사람의 취약점을 공략해 원하는 정보를 얻는 기법) 접근 전술을 사용해왔으나, 2020년 상반기에는 이 같은 움직임이 다음 단계로 이동했다.

기회주의적(opportunistic) 피싱 공격자부터 계획적인 국가-주도 공격자(nation-state actors)까지 그들은 엄청난 규모로 이익을 얻기 위해 글로벌 팬데믹 상황을 악용할 수 있는 여러 방법을 찾아낸 것이다. 

이 방법에는 피싱 및 비즈니스 이메일 침해 계획, 국가 주도적 지원 캠페인 및 랜섬웨어 공격 등이 포함된다. 그들은 전세계 모든 이들에게 영향을 미치는 팬데믹의 글로벌 속성과 즉각적으로 확장된 디지털 공격 면으로 인한 이점을 극대화하고자 노력하고 있다. 이러한 트렌드는 공격자들이 글로벌 차원에서 사회적으로 광범위하게 영향을 미치는 사안을 공격에 얼마나 잘 활용하는지 보여준다.

또 원격 근무 확대를 사이버 공격자들은 이를 즉시 기회로 활용하기 시작했다. 2020년 상반기에는 여러 소비자용 라우터 및 IoT 장치에 대한 익스플로잇 시도가 IPS 탐지 목록의 상단을 차지한 것이 대표적인 예다. 

또한, IoT 제품의 오래된 취약점과 새로운 취약점을 타깃으로 삼는 공격자들이 증가하면서 봇넷 탐지와 관련해서는 미라이(Mirai)와 고스트(Gh0st)의 활동이 가장 두드러졌다.

이러한 트렌드는 원격 근무자들이 기업 네트워크와의 연결을 위해 사용하는 장치를 악용하여 기업 네트워크 공격을 위한 거점을 확보하려는 사이버 범죄자들의 의도를 보여주며, 이는 엔터프라이즈 네트워크 경계가 집까지 확장되어 더 주의 깊은 보안 조치가 필요하다는 점을 시사하고 있다.

다음으로 브라우저도 표적이 되고 있다. 원격 근무 체재 전환으로 인해 공격자들이 여러 방법을 통해 개인 사용자를 타깃으로 삼을 수 있는 기회가 더욱 확대된 것이다.

보고서는 랜섬웨어 위협은 지난 6개월간 감소하지 않았다고 했다. 코로나 19 관련 메시지와 첨부파일은 다양한 랜섬웨어 캠페인의 미끼로 사용되었다. 다른 랜섬웨어들은 데이터를 암호화하기 전에 컴퓨터의 MBR(master boot record)을 변조하는 것으로 나타났다.

또한, 공격자가 피해 조직의 데이터를 잠그고 데이터를 훔치며 광범위하게 사용되는 릴리스를 추가 수단으로 사용하여 몸값을 요구하는 랜섬웨어 사고가 증가했다. 이는 향후 랜섬웨어 공격으로 인해 기업들이 귀중한 정보나 민감한 데이터를 도난당할 위험도가 높아졌음을 의미한다.

전세계적으로 그 어떤 산업도 랜섬웨어 공격을 피할 수 없었으며, 최신 자료에 의하면 랜섬웨어 공격을 가장 많이 받은 산업은 통신, MSSP, 교육, 정부, 테크놀로지 분야였다. 서비스형 랜섬웨어(RaaS)의 증가와 특정 변종의 계속되는 진화는 랜섬웨어가 사라지지 않을 것이라는 점을 시사한다.

또한 OT 네트워크는 사이버 공격자들의 표적이 되고 있다고 했다. 올 초 등장한 EKANS 랜섬웨어는 공격자들이 랜섬웨어 공격 범위에 OT 환경을 포함시키고 공격의 초점을 지속적으로 확대하고 있다는 사실을 잘 보여준다.

또한, 에어-갭(air-gapped) 또는 폐쇄망으로 제한된 네트워크 내에서 민감한 파일을 수집 및 유출하도록 설계된 램세이(Ramsay) 프레임워크는 이러한 유형의 네트워크에 침투할 새로운 방법을 찾는 위협 행위자(threat actors)의 한 예라고 할 수 있다.

SCADA(Supervisory Control And Data Acquisition, 원격 감시제어와 데이터 수집 시스템) 시스템 및 기타 유형의 ICS(industrial control systems, 산업 제어 시스템)를 타깃으로 하는 위협의 확산은 IT를 위협하는 공격보다 양적인 면에서는 적지만, 중요성 측면에서는 결코 작다고 할 수 없다.

보고서는 집으로 확장되는 네트워크 경계를 보호해야 하는 과제도 시급하다고 했다. 코로나19로 원격 근무가 증가하고 있음에 따라 디지털 공격 범위도 확대됐다. 기업 네트워크 경계가 이제 집까지 확대됨에 따라 공격자들은 가장 취약한 링크와 새로운 공격 기회를 찾고 있다.

이에 보고서는 기업들은 기업 네트워크와 유사한 방식으로 그들의 직원, 장치 및 정보를 보호하기 위한 구체적인 조치를 마련하여 이와 같은 상황에 대비해야 한다고 조언했다. [파이낸셜신문=정성훈 기자 ]

 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • 서울특별시 마포구 합정동 386-12 금성빌딩 2층
  • 대표전화 : 02-333-0807
  • 팩스 : 02-333-0817
  • 법인명 : (주)파이낸셜신문
  • 제호 : 파이낸셜신문
  • 주간신문   
  • 등록번호 : 서울 다 08228호
  • 등록일자 : 2009-04-10
  • 간별 : 주간  
  • /  인터넷신문
  •   등록번호 : 서울 아 00825
  • 등록일자 : 2009-03-25
  • 간별 : 인터넷신문
  • 발행 · 편집인 : 박광원
  • 편집국장 : 임권택
  • 전략기획마케팅 국장 : 심용섭
  • 청소년보호책임자 : 임권택
  • Email : news@efnews.co.kr
  • 편집위원 : 신성대
  • 파이낸셜신문 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2020 파이낸셜신문. All rights reserved.
인터넷신문위원회 ND소프트