시스코가 ‘2017 중기 사이버보안 보고서(Cisco 2017 Midyear Cybersecurity Report)’를 발표했다. 보고서에 따르면 시스템과 데이터 복구에 필수인 기업의 백업 및 안전망(safety net)까지 파괴하는 ‘서비스 파괴(DeOS∙Destruction of Service)’ 공격이 증가하고 있다고 했다. 또한 사물인터넷(IoT)에 대한 공격 범위와 규모도 증가하고 있다고 했다.

‘시스코 2017 중기 사이버 보안 보고서’는 시스코 컬렉티브 시큐리티 인텔리전스(Cisco Collective Security Intelligence)가 수집한 최신 보안 위협 정보를 기반으로 했다. 보고서는 매일 400억개가 넘는 원격측정 지점에서 수집한 방대한 패턴의 데이터를 기반으로 했다.

사이버 공격의 전통적인 방식의 부활과 새로운 공격과 새로운 형태
시스코에 따르면 2017년 상반기 멀웨어(malware)는 링크를 클릭하거나 파일을 열어 위협 요소를 활성화하도록 유도했다. 또한 파일 없는(fileless) 멀웨어가 개발되고 있다. 이는 메모리에 상주하고 기기가 재부팅될 때 삭제되므로 탐지나 조사가 더욱 어렵다. 이 밖에 명령 제어(C&C) 활동을 숨기기 위해 토르(Tor) 프록시 서비스와 같은 익명의 분산 인프라를 이용한다.

익스플로잇 키트(exploit kit)가 눈에 띄게 줄어든 전통적 공격 방식이 부활하고 있다. 우선 스팸 발생량이 크게 증가하고 있는데 공격자가 이메일처럼 검증된 방법으로 멀웨어를 배포하고 수익을 창출하고 있기 때문이다. 시스코는 악성 첨부 파일을 동반한 스팸은 익스플로잇 키트 환경이 끊임 없이 바뀌는 동안에도 계속 늘어날 것으로 전망했다.

스파이웨어(spyware)와 애드웨어(adware)는 여전히 기업을 위협하고 있다. 시스코가 4개월 동안 300개 기업을 조사한 결과 잘 알려진 3개 스파이웨어 군(family)이 표본 기업의 20%를 감염시킨 것으로 나타났다. 스파이웨어는 사용자와 기업 정보를 훔치고 기기에 대한 보안 태세를 약화시키며 멀웨어 감염을 증가시킨다.

서비스형 랜섬웨어의 성장과 진화로 공격자는 더욱 쉽게 공격할 수 있다. 기업을 속여 공격자에게 돈을 이체하도록 설계된 사회 공학적 송금 유도 이메일 사기(BEC∙Business Email Compromise)는 수익성이 높은 공격이다. 인터넷범죄신고센터에 따르면 2013년 10월부터 2016년 12월까지 BEC 공격 피해액은 53억 달러에 달한다.

기업해야 할 보안 문제
사이버 공격의 강도가 높고 정교해지고 있지만 공격을 대비할 수 있는 여력이 기업들은 부족하다. 게다가 정보 기술(IT)과 운영 기술(OT)이 IoT에서 융합되면서 기업은 더 복잡한 환경에 처해있다. 시스코의 ‘보안 역량 벤치마크 연구’에 따르면 13개국 3천명에 이르는 보안 책임자를 대상으로 조사한 결과, 모든 산업의 보안 부서에서 공격 규모가 감당하기 힘든 수준이라 답했다. 이는 많은 기업들이 보안 사고 이후 대응(reactive)하는 것에 그친다는 결과다.

조사에 따르면 기업의 3분의 2만이 보안 경고(security alert)를 조사하고 있고 의료∙운송과 같은 산업은 그 비율이 50%에 불과하다. 심지어 금융∙의료와 같은 보안이 가장 잘되어 있다는 산업 분야에서도 알고 있는 정상적(legitimate)이라고 인지하는 공격의 50% 미만의 수준으로 줄이고 있다.

보안사고가 일어날 때마다 대다수 기업의 90%가 일반적인 수준에서 보안을 강화하지만 운송과 같은 일부 산업은 그 대응력이 떨어져 80% 정도의 수준에 머물고 있다.

산업별로 볼 때 공공분야는 조사 대상 위협 중 32%가 정상적 위협으로 확인됐지만 이 가운데 단 47%만이 복구됐다. 리테일 분야는 작년 한 해 32%가 공격으로 매출이 줄고 약 4분의 1은 고객 또는 비즈니스 기회가 감소했다. 제조 보안 전문가의 40%는 공식적 보안 전략이 없거나 ISO 27001, NIST 800-53과 같은 표준화된 정보 보안 정책을 따르지 않는다고 밝혔다. 유틸리티면에서 보안 전문가는 자사에 가장 중대한 보안 위험으로 표적 공격(42%), 지능형 지속 위협(APT)(40%)을 꼽았다. 의료 기관의 37 %가 표적 공격이 자사에 높은 보안 위험 요소라고 답했다.

점차 정교해지는 공격에 대응하려면 기업들은 인프라와 애플리케이션을 최신 상태로 유지해 공격자가 공개적으로 알려진 취약점을 이용할 수 없도록 한다. 통합적인 방어를 통해 복잡성을 해결하고 폐쇄적인 투자를 제한한다. 위험∙보상∙예산 제약에 대해 완전히 파악할 수 있도록 회사 주요 임원을 초기 단계부터 참여시킨다. 명확한 지표를 설정하고 이를 활용해 보안 프랙티스를 검증 및 개선한다. 일반적인 방법과 역할 기반의 교육을 비교해 직원 보안 교육을 검토한다. 방어와 적극적인 대응 간 균형을 유지한다. 보안 통제나 프로세스를 ‘설정하고 잊지 않도록’ 한다.

시스코 코리아 보안 솔루션 사업 총괄 배민 상무는 “워너크라이, 네티야에서 보듯 최근 공격의 진행 방식은 점점 더 창의적으로 진화하고 있다. 보안 사고 이후 대다수 기업이 개선 조치를 취했지만 공격자와 경쟁은 끊임 없이 계속될 것”이라며 “복잡성은 보안을 방해하고 사용 제품이 많을수록 간과된 취약점과 보안 틈이 많아져 오히려 공격자에게는 기회가 된다. 청난 기회를 준다. 탐지 시간을 줄이고 공격 영향을 최소화하기 위해 기업은 가시성과 관리 능력을 높인 통합적이고 구조적인 방식을 통해 부서 간 ‘보안 격차’를 좁혀야 한다”라고 말했다.

이향선기자 hslee@nextdaily.co.kr

저작권자 © 넥스트데일리 무단전재 및 재배포 금지