뉴스 본문

2017년 총 93억 2,000만 건의 멀웨어(malware) 공격 발생, 전년 대비 18.4% 증가

랜섬웨어 공격 2016년 6억 3,800만 건에서 2017년 1억 8,400만 건으로 71% 감소, 변종 랜섬웨어는 101.2% 증가

기업 평균 매년 SSL/TLS 암호화된 약 900 건의 파일 기반 공격을 경험…비즈니스 운영에의 가장 큰 위험으로 부상

보안 솔루션 전문 기업 소닉월(지사장 허남주)은 2017년 보안 산업 및 사이버 위협을 분석한 ‘2018 사이버 위협 보고서(2018 Cyber Threat Report)를 발표했다. 해당 보고서는 사이버 보안 전문가와 전세계 사이버 범죄자로 인해 만들어진 변화를 가공, 비교 및 대조한 데이터를 기반으로 작성됐다. 

보고서에 따르면, 2017년에는 전년 대비18.4% 증가한 93억 2,000만 건의 멀웨어(malware) 공격이 발생했고, 12,500건 이상의 정보보안 취약점 표준(Common Vulnerabilities and Exposures, CVE)이 발견됐다. 

랜섬웨어(ransomware) 공격은 2016년 6억3,800만건에서 2017년 1억 8,400만 건으로 급감했으나, 변종 랜섬웨어는 101.2 % 증가한 것으로 나타났다. SSL/TLS (Secure Sockets Layer/Transport Layer Security) 표준에 따라 암호화 된 트래픽은 24% 증가하여 전체 트래픽의 68%를 차지했고, SSL 복호화를 갖추지 못한 기업은 평균적으로 1년에 약 900건의SSL/TLS 암호화된 공격을 당한 것으로 나타났다. 소닉월은 2017년 기준 매일 약 500개의 새로운 악성파일 유형을 감지했다. 이러한 사이버 공격은 비즈니스, 브랜드, 운영 및 재무 전반의 가장 큰 위험요소로 자리잡았다.

빌 코너(Bill Conner) 소닉월 CEO는 "사이버 상의 군비 경쟁은 모든 정부, 기업, 조직 및 개인에게 영향을 미치는 것으로, 누구도 승자가 될 수 없다"며 "소닉월의 축적된 최신 데이터와 새롭게 발견된 정보들은 사이버 군비 경쟁이 계속 확대됨에 따른 전략적 공격과 대응책을 보여줄 수 있다. 자사는 이에 맞는 실행 가능한 정보를 공유함으로써 현재 가장 악의적인 위협과 사이버 범죄에 대항하는 비즈니스 및 보안 태세를 함께 개선하려 한다”고 말했다. 더불어, "비즈니스, 개인 정보 및 관련 데이터에 대한 위협은 날이 갈수록 증가하고 있으며, 사이버 보안 문제는 기존 비즈니스가 안고 있던 위험요소 보다 더 커지는 양상을 보이고 있기까지 하다”고 덧붙였다.

발전을 거듭하고 있는 보안 산업

랜섬웨어 공격량 감소

2017년 워너크라이(WannaCry), 페트야(Petya), 낫페트야(NotPetya) 및 배드래빗(Bad Rabbit) 랜섬웨어 공격에 대해 많은 미디어에서 언급했지만, 예상했던 것처럼 실제로 많은 랜섬웨어 공격이 일어나지는 않았다. 랜섬웨어 공격은 2016년 총 6억3,800만 건에서 2017년 1억 8,400만 건으로 71.2% 감소했으며, 2017년 일어난 공격의 46%가 미주 지역, 37%가 유럽에서 발생했다. 소닉월 캡쳐 ATP(SonicWall Capture Advanced Threat Protection)는 클라우드 기반의 다중 엔진 샌드박스(sandbox)로 250개의 밝혀지지 않은 히트(hit)마다 하나의 새로운 멀웨어 변종을 발견했다.

SSL/TLS(Secure Sockets Layer/Transport Layer Security) 사용 증가

2017년 SSL/TLS 표준에 따라 암호화된 웹 트래픽 사용이 24% 증가했으며, SSL/TLS 트래픽은 2017년 총 트래픽의 68%를 차지했다. 이러한 변화는 암호화된 트래픽에 더 많은 수의 악의적인 페이로드(payload)를 숨길 수 있는 빌미를 사이버 범죄자들에게 제공했다. 기업들은 SSL/TLS 트래픽의 심층 패킷 검사(DPI, Deep Packet Inspection) 등의 보안 컨트롤 기능을 도입해 암호화된 트래픽을 검사, 탐지하고 공격을 완화할 수 있다.

익스플로잇 킷(exploit kit)이 가져온 영향

마이크로소프트 엣지(Microsoft Edge) 공격은 2016년 대비 13% 증가했고, 아크로뱃(Acrobat), 아크로뱃DC(Acrobat DC), 리더DC(Reader DC) 및 리더(Reader)등 자주 사용되는 어도비(Adobe) 제품에 대한 공격은 전반적으로 감소된 양상을 보였다. 2017년에는 대부분의 브라우저가 어도비 플래시(Adobe Flash)에 대한 지원을 중단하여 플래시의 치명적인 취약점이 발견되지 않았고, 애플 TV(Apple TV)와 마이크로소프트 오피스 등이 새로운 공격 대상 프로그램으로 꼽히며, 소닉월이 선정한 10대 공격 대상에 처음으로 포함됐다. 한편 소닉월은 마이크로소프트 엣지 및 대부분의 어도비 제품에 대한 보안 솔루션을 제공하고 있다.

사이버 공격의 판도를 바꾸는 법 집행

사법기관은 멀웨어의 개발과 배포에 관련된 사이버 범죄자들을 체포하여 멀웨어 공급망 붕괴에 영향을 끼치고 있고, 최근에는 국내뿐 아니라 해외 사법기관과의 다각적인 협력이 이루어져 전세계 사이버 위협에 대한 방어가 보다 공고해지고 있다. 이에 따라 사이버 범죄자들은 암호화폐 지갑(cryptocurrency wallets)이나 외환거래와 관련된 범죄를 저지를 때 한층 교묘한 방법을 택하고 있다.

진화된 사이버 범죄

새롭게 발견된 변종 랜섬웨어

랜섬웨어 공격의 총량이 해마다 크게 감소한 반면, 변종의 수는 2015 년 이후 지속으로 증가해 2017년에는 101.2% 증가세를 보였다. 이처럼 변종 수의 증가와 약 1억 8,400만건의 랜섬웨어 공격으로 인해 랜섬웨어는 여전히 만연한 사이버 위협 요소로 자리매김 했다. 소닉월 캡쳐 랩(SonicWall Capture Labs)은 2017년 전년 대비 2배 가량 많은 2,855개의 새로운 랜섬웨어 서명을 만들었다. 한편, 2018년에는 사물인터넷 및 모바일 장치를 타깃으로 한 랜섬웨어가 증가할 것으로 예상된다.

SSL 암호화에 숨겨진 사이버 공격

해커와 사이버 범죄자는 멀웨어 페이로드를 암호화하여 기존 보안 통제를 우회해 왔다. 2017년에 암호화는 합법적인 트래픽과 악의적인 페이로드 모두에 최근 몇 년 대비 더 많이 사용됐다. SSL 암호 해독 기능을 갖추지 않은 조직은 일반적으로 연간 약 900 건의 TLS/SSL 암호화에 의해 숨겨진 파일 기반의 공격을 경험한다. 소닉월은 암호화 된 트래픽에 숨겨진 멀웨어 및 기타 익스플로잇을 포함한 실제 데이터를 보유하고 있으며 소닉월 캡쳐 랩은 매일 평균 60건의 파일 기반 멀웨어 확산 시도를 발견했다.

다른 악성코드와 결합되어 변종하는 멀웨어

2017년의 익스플로잇은 2016년의 앵글러(Angler)나 뉴트리노(Neutrino)만큼 위험하지는 않았지만, 많은 멀웨어 개발자가 다른 멀웨어의 코드를 혼합해 새로운 멀웨어가 만들어지면서 서명으로만 이루어지는 보안 체계에 큰 위험이 되었다.

소닉월 캡쳐 랩은 머신러닝(machine-learning) 기술을 사용하여 멀웨어를 검사하고 분류한다. 2017년 소닉월은 2016년에 비해 6.7% 감소한 5,600만개의 멀웨어 샘플을 수집했으며, 2017년의 새로운 멀웨어 샘플 수는 2014년의 그것보다 51.4% 증가했다.

새로운 공격 대상으로 떠오른 칩 프로세서와 IoT

메모리 영역은 사이버 범죄자들이 향후 집중적으로 노릴 영역으로 꼽히고 있다. 최신 멀웨어는 메모리에 숨겨진 상태로 유지되도록 사용자 지정 암호화, 난독화, 패킹 및 샌드박스 환경 적합화 등의 발전된 기술이 활용된다. 이에 따라 앞으로 많은 기업들이 악의적인 암호화를 통해 숨겨져 있는 멀웨어를 탐지하고 차단할 수 있도록 더 고도화된 기술을 사용해야 할 것이다.

존 그뮌더(John Gmuender) 소닉월 CTO 는 "최신 멀웨어 분석에는 샌드박스 기술이 종종 효과가 없는 경우가 있다"며 “실시간 딥 메모리 검사는 매우 빠르고 정확해 100나노초 미만 동안 노출되는 정교한 멀웨어 공격의 여파도 완화 할 수 있다"고 말했다.

올해의 우수 사례 및 보안 예측이 담겨있는 2018년 소닉월 사이버 위협 보고서의 더 자세한 내용은 소닉월 영문 홈페이지를 통해 확인 가능하다. 최신 사이버 공격 트렌드, 유형 및 볼륨은 소닉월 보안 센터(SonicWall Security Center)에서 확인할 수 있다.