세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
워너크라이에 가려졌던 2분기...익스플로잇 심각성은 역대 최고
  |  입력 : 2017-11-13 17:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2017년 2분기, 기업의 2/3 이상이 치명적 익스플로잇 경험
포티넷 발표한 ‘글로벌 보안 위협 동향 보고서’ 살펴보니


[보안뉴스 원병철 기자] 2017년 2분기는 워너크라이와 낫페트야에 가려 잘 알려지지 않았지만, 무려 1,840억 건의 익스플로잇과 6,200만 건의 멀웨어, 그리고 29억 건의 봇넷이 감지됐다. 글로벌 보안기업 포티넷(Fortinet)은 ‘글로벌 보안 위협 동향 보고서(2017년 2분기)’를 통해 이와 같이 설명했다.

▲ 15년 이상 지난 취약성을 대상으로 한 익스플로잇 공격을 받은 기업들[자료=포티넷]


2017년 4월부터 6월까지 포티넷이 감지한 익스플로잇은 모두 1,840억 건으로, 일평균 18억 건이 공격했으며, 기업당 평균 익스플로잇 감지도 무료 250만 건에 달한다. 특히, 기업의 69%에서 심각한 공격이 발견됐다.

포티넷은 모든 익스플로잇이 공격에 성공했거나 표적이 된 취약성이 환경에 존재한다는 뜻은 아니라면서도, 그 심각성에 대해서는 주목해야 한다고 강조했다. 특히, 2017년 2분기에 기업의 2/3 이상이 높은 수준 혹은 치명적인 익스플로잇을 경험했으며, 기업의 90%에서 3년 이상 된 취약성에 대한 익스플로잇이 발견됐다고 지적했다. CVE(공개적으로 알려진 소프트웨어의 보안 취약점)가 공개된 지 10년이 넘었지만, 여전히 대부분의 기업이 CVE 관련 공격을 경험하고 있다는 것이다.

▲ 요일별 익스플로잇 볼륨[자료=포티넷]


한편, 보고서는 요일별 익스플로잇 볼륨을 보면 주로 토, 일 등 주말에 공격횟수가 늘어난 다고 지적했다.

멀웨어의 창궐...워너크라이도 랜섬웨어 웜의 일종
2분기에 6,200만 건이 감지됐던 멀웨어는 일일 평균 볼륨이 67만 7,000건이며, 총 멀웨어 변종이 1만 6,584개, 그리고 멀웨어군의 종류가 2,534개였다. 또한, 기업의 18%에서 모바일 멀웨어가 발견됐다. 멀웨어 역시 익스플로잇과 마찬가지로 실제 감염이 아닌, 코드를 무기화하고 표적과 시스템에 공격을 시도한 횟수를 나타낸다.

▲ 분기별 멀웨어 감지량[자료=포티넷]


악명을 떨친 워너크라이와 낫페트야는 ‘랜섬웨어 웜’이라고 하는데, 기존 랜섬웨어와 웜과 유사한 동작을 결합해 속도와 범위를 극대화한다. 이 랜섬웨어 웜은 쉐도우 브로커스(Shadow Brokers) 해킹그룹이 유출한 3가지 익스플로잇 기술(EternalBlue, EternalRomance, DoublePulsar)을 이용한다.

대부분의 기업들이 1~2개의 봇넷에 감염되어 있어
일반적으로 익스플로잇과 멀웨어 동향은 공격이 침입하기 전의 모습을 나타내지만, 봇넷은 침입된 상태를 나타낸다. 봇넷에 감염되면 시스템은 대개 원격 악성 호스트와 통신하기 때문에 기업 환경에서 이런 트래픽이 나타나면 무언가 잘못되었다는 뜻이다.

▲ 분기별 봇넷 감지 볼륨[자료=포티넷]


29억 건이 감지됐던 봇넷은 일평균 볼륨 3,200만 건에 기업당 일일 봇넷 통신 993건, 그리고 고유 봇넷 감지 243건이 발견됐다. 또한, 기업당 고유 활성 봇넷도 2.7개에 달한다. 2분기에 두각을 나타낸 봇넷에는 ‘Andromeda’와 ‘Necurs’, 그리고 ‘Conficker’ 등이 있다.

이 봇넷들은 10개 중 1개 이상의 기업에서 감지됐으며, 볼륨 측면에서도 1억 건이 넘는다. Andromeda는 1분기에 그 어떤 봇넷보다 빠른 속도로 확산됐으며, 2분기에도 그 기세를 멈추지 않았다. Andromeda는 모듈식 봇넷으로 Windows 컴퓨터에 필요에 따라 구성 요소를 설치하고 신뢰할 수 있는 프로세스에 자신을 끼워 넣는다. 이후 휴면 상태로 있다가 원격 서버 연결이 필요하면 활동한다.

▲ 업종별 봇넷 습격[자료=포티넷]


Necurs는 봇넷에서 만능 칼과 같은 존재다. 록키(Locky) 랜섬웨어와 드리덱스(Dridex) 트로이잔의 주요 배포 봇넷으로 이름을 떨쳤고, 여전히 가끔씩 이런 활동을 한다. 하지만 최근 들어 금융사기에 초점을 맞춘 대규모 스팸 캠페인을 지원하고 있다. Conficker는 봇으로 치면 노익장인데, 2008년에 발견되었지만 여전히 기세가 등등하다.

보고서는 오늘날 보안업계에서 가장 간과되는 요소로 ‘네트워크 및 장치 상태 관리’라면서, 워너크라이는 MS가 2개월 전에 패치한 취약성을 표적으로 삼았으며, 워너크라이가 전 세계를 강타했음에도 불구하고 낫페트야 역시 똑같은 취약성을 악용했다고 설명했다. 이 때문에 사용자들은 중요한 패치나 업데이트에 관심을 갖고, 공격 전 정찰 징후나 익스플로잇 동향에 대한 정보를 모니터링 할 것을 권유했다.

또한, 보고서는 샘플에 포함된 기업 대다수가 항상 1~2개의 봇넷이 활동하고 있다면서, 이런 기업 대다수가 외부 호스트와 자주 통신한다고 설명했다. 때문에 지능적 도구와 좋은 정보를 조합해 네트워크의 주요 길목에서 이러한 통신을 감지하고 차단할 수 있는 역량을 키우는 것이야말로 확실한 보안 투자라고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술