[아이티비즈] 사이버 공격에 대한 침해 탐지까지 걸리는 시간이 감소되고 있는 것으로 분석됐다.
파이어아이(지사장 전수홍)가 20일 최신 사이버 공격에 대한 맨디언트의 조사 내용을 담은 여덟 번째 ‘2017 M-트렌드 보고서’를 발표했다.
지능형 사이버 위협에 대한 맨디언트의 보안 컨설턴트들의 조사 내용을 기반으로 작성한 2017 M-트렌드 보고서는 사이버 공격자들의 최근 동향과 금융기관을 타깃으로 한 공격 및 이메일 해킹 및 유출을 위해 사용하는 전술에 대해 다뤘다. 맨디언트는 지난 2014년 파이어아이가 인수한 포렌식 전문 기업이다.
◇침해 탐지까지 걸리는 시간 감소: 피해 기업들이 침해 사실을 발견하는 데까지 소요되는 시간은 계속해서 감소하고 있다. 피해사실이 발견되기 전까지 공격자들이 피해자의 네트워크에 머문 시간은 2015년에는 평균 146일이던 것이 2016년에는 평균 99일로 감소했는데, 이는 처음 조사를 시작했던 2012년의 평균 416일에 비하면 현저하게 감소한 것이다. 특히 EMEA와 APAC 지역에서 공격자들의 평균 (네트워크) 체류 시간에 뚜렷한 감소가 있었는데 이에 대해 파이어아이는 많은 조직들이 보안 태세를 이해하기 위하여 멘디언트 레드팀(Red Team)의 조사나 대응 준비도 평가(Response Readiness Assessments)와 같은 더 발전된 테스트 방식을 도입한 것도 하나의 원인이지만, 공격 자체의 성격 변화가 상당한 영향을 미쳤다고 분석했다.
◇금융기관을 타깃으로 한 공격의 증가 및 고도화: 국가의 지원을 받는 공격 그룹이 지속적으로 고도화된 기법을 보여주며 사이버 공격 수준을 높여가고 있다. 일부 금융기관을 타깃으로 한 공격 그룹 역시 진화를 거듭해 탐지는 물론 조사, 대응 및 해결도 어렵게 만들고 있다. 2016년에는 다양한 종류의 악성코드를 이용한 ATM 공격 및 ATM 네트워크에 대한 공격이 눈에 띄게 증가했다. 금융기관을 타깃으로 한 사이버 공격그룹들은 각각의 침해된 시스템에 대해 각기 독특한 설정을 보유한 커스텀 백도어를 사용하기 시작했고, CnC 인프라의 회복력을 더욱 강화했으며, 개선된 카운터-포렌식 기법을 사용하기 시작했다. 특히, 이 그룹들은 더 이상 단순한 스매시 엔드 그랩 공격자로 분류할 수 없다. 탐지, 조사 및 복구가 더 어려워진 공격은 미션을 완수하기 위해 환경에 계속 남아있을 가능성이 본질적으로 더 높고, 이는 더 막대한 양의 금융 정보가 탈취되고 있음을 의미한다.
◇기업 이메일 유출을 위해 다중 인증 우회: 2016년 미 대선은 이메일 해킹 및 유출을 사이버 보안의 주요 이슈로 부각시켰다. 지난 몇 년간 유출된 이메일 양은 이제까지 유출된 다른 종류의 전자 데이터를 모두 합친 양보다 더 많다. 지난해 트렌드 중 가장 주목할만한 것은 공격자가 피해자에게 직접 전화를 걸어 피싱 문서의 매크로 기능을 켜도록 시키거나 기업 이메일의 보안 기능을 우회하기 위해 피싱 문서를 보낼 수 있는 개인 이메일 주소를 알아내는 것이었다. 피싱 이메일만으로 타깃 환경에 접근하는 것이 어려운 경우, 공격자는 직접 대화를 하는 방법까지 동원해서 보안을 피해 나갈 방법을 찾으려고 노력하는 등 공격자 그룹들은 권한을 확대하고 지속성을 유지하는 면에서도 더욱 고도화된 모습을 보였다.
◇타깃 뱅킹 네트워크: 전세계적으로 퍼져 나가는 뱅킹 네트워크 사기 사건은 은행에게 1억 달러 이상의 손실을 입히는 등 아시아 지역 은행의 위험성을 잘 보여준다. 이 은행들은 거래, 내부 뱅킹 문서 및 모바일 뱅킹 앱 등의 주요 시스템을 보호하는 데 있어 서구 지역의 은행만큼 강력한 보안 조치를 갖추고 있지 못할 가능성이 있다. 게다가 중국 기반 사이버 공격그룹들은 중국계 기업이 수익성 좋은 계약 성사를 돕기 위하여 아시아 지역의 경제 발전에 많은 관심을 가지고 있다. 파이어아이는 광범위하게 벌어지는 뱅킹 네트워크 사건들을 통해 금융 범죄자들이 뱅킹 네트워크가 조작에 적합하다고 생각하고 있음을 알 수 있다고 해석했다.
파이어아이코리아 전수홍 지사장은 “사이버 공격의 경우 공격성 및 양 측면에서 가속화된 양상을 보여주었지만 여전히 방어 역량의 진화화 대응은 느린데 한국도 예외가 아니다”며 “방어적인 탐지와 대응 기능을 강화하는 것에 더하여, 위협 인텔리전스는 진정한 의미의 선제적인 보안과 위협 헌팅 기능을 가능케 하는 중요한 요소”라고 밝혔다.
