포티넷, ‘2020년 상반기 글로벌 위협 전망 보고서’ 발표
포티넷, ‘2020년 상반기 글로벌 위협 전망 보고서’ 발표
  • 박시현 기자
  • 승인 2020.09.14 12:01
  • 댓글 0
이 기사를 공유합니다

글로벌 팬데믹 상황 악용해 전 세계적으로 다양한 사이버 공격 감행, 원격 근무자들의 증가로 디지털 공격 면 확대

[디지털경제뉴스 박시현 기자] 포티넷이 ‘2020년 상반기 글로벌 위협 전망 보고서’를 발표했다.

보안연구소인 포티가드랩이 발간한 이 보고서에 따르면 사이버 공격자들은 글로벌 팬데믹 상황을 악용해 전세계적으로 다양한 사이버 공격을 감행했다. 또한 원격 근무자들의 증가로 디지털 공격 면이 확대되는 상황을 악용하고, 글로벌 팬데믹으로 인한 불확실성과 공포를 틈타 대규모 사이버 공격을 실행하고 있다.

이 보고서는 많은 위협 트렌드가 팬데믹 상황과 연관되어 있지만, 일부 위협들은 여전히 고유한 목표를 가지고 있으며, 예를 들어 IoT 장치 및 OT을 타깃으로 하는 공격과 랜섬웨어는 감소하지 않고 더욱 정교한 공격으로 진화하고 있다고 강조했다.

‘2020년 상반기 글로벌 위협 전망 보고서’의 주요 내용은 다음과 같다.

◆글로벌 이벤트에서 기회 포착 = 이전에 공격자들은 사회공학적(시스템이 아닌 사람의 취약점을 공략해 원하는 정보를 얻는 기법) 접근 전술을 사용해왔으나, 2020년 상반기에는 이 같은 움직임이 다음 단계로 이동했다. 기회주의적(opportunistic) 피싱 공격자부터 계획적인 국가-주도 공격자(nation-state actors)까지 그들은 엄청난 규모로 이익을 얻기 위해 글로벌 팬데믹 상황을 악용할 수 있는 여러 방법을 찾아냈다. 이 방법에는 피싱 및 비즈니스 이메일 침해 계획, 국가 주도적 지원 캠페인 및 랜섬웨어 공격 등이 포함된다.

그들은 전세계 모든 이들에게 영향을 미치는 팬데믹의 글로벌 속성과 즉각적으로 확장된 디지털 공격 면으로 인한 이점을 극대화하고자 노력하고 있다. 이러한 트렌드는 공격자들이 글로벌 차원에서 사회적으로 광범위하게 영향을 미치는 사안을 공격에 얼마나 잘 활용하는지 보여준다.

사용자의 집으로 네트워크 경계 확장 = 원격 근무의 확대로 거의 하룻밤만에 기업 네트워크에 극적인 변화가 발생할 수 있는데, 사이버 공격자들은 이를 즉시 기회로 활용하기 시작했다.

2020년 상반기에는 여러 소비자용 라우터 및 IoT 장치에 대한 익스플로잇 시도가 IPS 탐지 목록의 상단을 차지했다. 또한, IoT 제품의 오래된 취약점과 새로운 취약점을 타깃으로 삼는 공격자들이 증가하면서 봇넷 탐지와 관련해서는 미라이(Mirai)와 고스트(Gh0st)의 활동이 가장 두드러졌다.

이러한 트렌드는 원격 근무자들이 기업 네트워크와의 연결을 위해 사용하는 장치를 악용해 기업 네트워크 공격을 위한 거점을 확보하려는 사이버 범죄자들의 의도를 보여주며, 이는 엔터프라이즈 네트워크 경계가 집까지 확장되어 더 주의 깊은 보안 조치가 필요하다는 점을 시사하고 있다.

브라우저도 표적 = 원격 근무 체재 전환으로 인해 공격자들이 여러 방법을 통해 개인 사용자를 타깃으로 삼을 수 있는 기회가 더욱 확대됐다. 예를 들어 올해 초, 피싱 캠페인 및 기타 스캠에 사용된 웹 기반 멀웨어가 기존의 이메일 전송 벡터보다 순위가 높았다.

실제로 웹 기반 피싱 미끼와 스캠의 모든 변종을 포함하는 멀웨어군은 1월과 2월 멀웨어에서 1위를 차지했으나, 6월에는 톱5 아래로 떨어졌다. 이는 가장 취약하고 공격에 노출되기 쉬운 개인 사용자들이 집에서 웹 브라우저를 사용할 때 사이버범죄자들이 공격을 시도했다는 사실을 보여준다.

사이버 범죄자들이 원격 근무자들을 계속 타깃으로 삼고 있어, 장치 뿐만 아니라 웹 브라우저도 주요 타깃이 되고 있다.

랜섬웨어는 사라지지 않아 = 잘 알려진 랜섬웨어 위협은 지난 6개월간 감소하지 않았다. 코로나 19 관련 메시지와 첨부파일은 다양한 랜섬웨어 캠페인의 미끼로 사용됐다. 다른 랜섬웨어들은 데이터를 암호화하기 전에 컴퓨터의 MBR(master boot record)을 변조하는 것으로 나타났다.

또한, 공격자가 피해 조직의 데이터를 잠그고 데이터를 훔치며 광범위하게 사용되는 릴리스를 추가 수단으로 사용해 몸값을 요구하는 랜섬웨어 사고가 증가했다. 이는 향후 랜섬웨어 공격으로 인해 기업들이 귀중한 정보나 민감한 데이터를 도난당할 위험도가 높아졌음을 의미한다.

전세계적으로 그 어떤 산업도 랜섬웨어 공격을 피할 수 없었으며, 최신 자료에 의하면 랜섬웨어 공격을 가장 많이 받은 산업은 통신, MSSP, 교육, 정부, 테크놀로지 분야였다. 서비스형 랜섬웨어(RaaS)의 증가와 특정 변종의 계속되는 진화는 랜섬웨어가 사라지지 않을 것이라는 점을 시사한다.

스턱스넷(Stuxnet) 이후의 OT 위협 = 6월은 OT 위협 및 보안의 진화에 있어 중요한 역할을 한 스턱스넷(Stuxnet)이 10주년을 맞는 시기이다. 그 이후 몇 년이 지난 현재, OT 네트워크는 사이버 공격자들의 표적이 되고 있다.

올해 초 등장한 EKANS 랜섬웨어는 공격자들이 랜섬웨어 공격 범위에 OT 환경을 포함시키고 공격의 초점을 지속적으로 확대하고 있다는 사실을 잘 보여준다. 또한, 에어갭(air-gapped) 또는 폐쇄망으로 제한된 네트워크 내에서 민감한 파일을 수집 및 유출하도록 설계된 램세이(Ramsay) 프레임워크는 이러한 유형의 네트워크에 침투할 새로운 방법을 찾는 위협 행위자(threat actors)의 한 예라고 할 수 있다.

SCADA(Supervisory Control And Data Acquisition, 원격 감시제어와 데이터 수집 시스템) 시스템 및 기타 유형의 ICS(industrial control systems, 산업 제어 시스템)를 타깃으로 하는 위협의 확산은 IT를 위협하는 공격보다 양적인 면에서는 적지만, 중요성 측면에서는 결코 작다고 할 수 없다.

◆원격 근무의 증가로 디지털 공격 범위 확대 = 원격 근무의 증가로 디지털 공격 범위가 확대되고 있다. 기업 네트워크 경계가 이제 집까지 확대됨에 따라 공격자들은 가장 취약한 링크와 새로운 공격 기회를 찾고 있다. 기업들은 기업 네트워크와 유사한 방식으로 직원, 장치 및 정보를 보호하기 위한 구체적인 조치를 마련해 이 같은 상황에 대비해야 한다.

위협 인텔리전스 및 연구 조직들은 위협 환경의 진화에 따라 폭넓은 통찰력을 제공하고 공격 방법, 행위자, 새로운 전술 등을 심도있게 분석해 기업 조직이 사이버 지식을 보완하도록 지원한다.

전체 인력의 원격 근무 요구사항 충족을 위해 원활한 시스템 확장이 가능하면서 중요 리소스에 대한 안전한 액세스를 지원하는 텔레워커 솔루션에 대한 필요성이 그 어느 때보다 높아지고 있다.

네트워크, 애플리케이션, 멀티클라우드 또는 모바일 환경을 포함한 전체 디지털 공격 면에 대한 포괄적인 가시성과 보호를 제공하도록 설계된 사이버 보안 플랫폼만이 빠르게 진화하는 네트워크를 보호할 수 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.