전체 멀웨어 로그 99%가 공격자 신분 감추기 쉬운 UDP 이용

팔로알토 네트웍스, ‘애플리케이션 사용 및 위협 실태 보고서 발표
업무용 애플리케이션의 사이버 보안 위협 노출 현황 분석

[보안뉴스 김태형] 글로벌 네트워크 보안 전문 기업인 팔로알토 네트웍스(지사장 박희범, Palo Alto Networks, www.paloaltonetworks.com)는 3일, 우리나라를 포함해 전 세계 네트워크 상에서 사용되고 있는 업무용 애플리케이션의 사이버 보안 위협 노출 현황을 분석한 ‘팔로알토 네트웍스 애플리케이션 사용 및 위협 실태 보고서(Palo Alto Networks Application Usage and Threat Report, 이하 팔로알토 네트웍스 AUTR 보고서, http://www.paloaltonetworks.com/autr )’를 발표했다.

팔로알토 네트웍스 AUTR 보고서는 지난 2013년 3월부터 2014년 3월까지 1년 동안 전 세계 5,500여 네트워크 장비에서 발생하는 수십억 건의 로그(log)를 수집해 트래픽 데이터간의 상관관계를 조사한 정보이다.

특히 팔로알토 네트웍스는 최신 사이버 보안 위협과 기업용 애플리케이션들의 상관관계에 초점을 맞춰 업계에서 가장 구체적이고 광범위하게 분석하여 업계 관계자들에게 연간 보고서로 제공해왔다.

팔로알토 네트웍스의 AUTR 보고서의 주요 내용은 다음과 같다.

△ 이메일과 소셜 미디어, 영상 등 일반인들이 흔히 사용하는 공유 애플리케이션들이 주요 공격 경로로 이용된다. 하지만 이러한 애플리케이션들은 본격적인 공격 활동 보다는 다단계 전면적 공격을 위한 시발점으로 이용되는 경우가 많았다. 실제로 공유 애플리케이션들은 공격이 발견된 전체 애플리케이션의 27%에 해당하고, 전체 대역폭의 26%를 차지했다. 특히 공유 애플리케이션은 발견된 모든 보안 위협의 32%(익스플로잇 및 멀웨어)를 침투시키는 통로로 사용되었다.

△ 전체 멀웨어 로그의 99%가 공격자들의 신분을 감추기 쉬운 UDP 프로토콜을 이용하여 진행되었다. 공격자들은 또한, 공격 행위가 노출되지 않도록 숨기기 위해 일반적인 네트워크 전송 프로토콜인 FTP와 RDP, SSL, NetBIOS 기반의 애플리케이션들을 사용했다.

△ 조사된 전체 애플리케이션 중에 34%가 SSL 암호화를 사용할 수 있는 애플리케이션이었다. SSL 암호화는 인터넷을 통해 전송되는 데이터가 보여지지 않도록 보호하는 역할을 하지만 이미 암호화된 각종 위협 및 멀웨어를 탐지하지 못하는 사각지대를 생성하며 큰 보안 위협 요인으로 부각되고 있다. 또한 네트워크 관리자들은 암호화 기술인 ‘오픈SSL’의 보안 취약점인 ‘하트블리드’로 인해 개인정보들이 유출되지 않도록 최신 보안 패치를 적용했는지 여부를 정확히 알지 못하고 있는 것으로 나타났다.

팔로알토 네트웍스 코리아 박희범 대표는 “팔로알토 네트웍스의 AUTR 보고서에 따르면 심각한 네트워크 보안침해 사고의 상당수가 이메일과 같이 취약점 공격의 침투경로가 되는 아주 일반적인 애플리케이션으로부터 시작된 것으로 나타났다. 이런 방식으로 일단 네트워크 상에 침투하면 공격자는 또 다른 애플리케이션이나 서비스를 이용해 은닉한 채 악의적 활동을 지속적으로 진행하여 종국에는 IT 인프라 전체가 보안 위협에 노출될 수 있다”라고 말했다.

또한 박희범 대표는 “이제 기업이 조직 전체를 안전하게 보호하기 위해서는 사이버 위협 요소들이 어떠한 애플리케이션을 통해 침투하고 시스템을 위험에 빠뜨리는지 정확히 인지하는 것이 중요하다”며 “팔로알토 네트웍스의 AUTR 보고서를 통해, 보편적으로 널리 사용되는 기업용 애플리케이션들의 사용 실태를 정확히 파악하고 이를 통해 유입되는 최신 위협들의 현황을 살펴봄으로써 사이버 위협으로부터 기업을 보다 안전하게 보호할 수 있는 방법론을 제시할 수 있게 됐다”고 강조했다.

이번에 발표된 AUTR 보고서는 기업의 보안 팀이 자사 네트워크 보안을 강화하는데 도움이 될 수 있는 관리 팁도 함께 소개했다.

△ 일반적으로 많이 사용되는 공유 애플리케이션 관리를 위한 보안 운영 정책을 수립하라

일반적인 공유 애플리케이션이 지속적으로 빠르게 증가하고 있는 상황에서 기업 인프라를 보안위협으로부터 안전하게 관리하기 위해서는 자체적인 보안 정책을 수립하여 문서화하고 사용자 교육, 정기적으로 상황 변화를 예의 주시하여 정책을 지속적으로 업데이트해야 한다.

△ 알려지지 않은 트래픽을 효과적으로 제어하라

모든 네트워크에는 알려지지 않은 트래픽(unknown traffic)이 존재한다. 알려지지 않은 트래픽은 양적으로 봤을 때 평균적으로 전체 대역폭의 10% 정도에 불과하지만, 위험성은 매우 높다. 이러한 알려지지 않은 UDP/TCP프로토콜을 제어하는 것만으로도 대부분의 멀웨어를 신속히 제거할 수 있다.

△ SSL을 사용하는 애플리케이션들을 선택적으로 복호화해 잠재된 보안 위협을 최소화하라

사용자가 개인 PC나 단말기 등으로 웹사이트에 접속해 정보를 주고받을 때 해당 통신내용을 암호화하는 보안인증체계인 SSL을 적용한 애플리케이션들을 선택적으로 복호화함으로써 암호화된 사이버 위협이 발생할 수 있는 잠재적 은신처들을 파악하고 제거할 수 있다.

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)