포티넷, 2017년 4분기 ‘글로벌 보안 위협 전망 보고서’ 발표

스웜(Swarm) 사이버공격, 점차 강도를 높여가며 IoT를 타깃 삼아

Seoul, Korea - Mar 16, 2018


광범위하고 자동화된 통합 사이버보안 분야의 글로벌 리더인 포티넷코리아(www.fortinet.com/kr)는 오늘, 자사의 보안연구소인 포티가드랩이 발간한 ‘2017년 4분기 글로벌 위협 전망 보고서’를 발표했다.

이 보고서는 기업당 공격이 전 분기 대비 증가했으며, 자동화되고 정교한 스웜(swarm) 공격으로 인해 조직에서 사용자, 애플리케이션, 장치를 보호하는 것이 점점 더 어려워지고 있다고 설명했다.

포티넷의 CISO(정보보호최고책임자) 필 쿼드(Phil Quade)는 “"글로벌 경제의 디지털 전환으로 인해 사이버 위협의 용량, 다양성, 정교함이 가속화되고 있다. 사이버 범죄자들도 유사한 전환을 경험하면서 더욱 대담한 공격을 감행하고 있고, 그들의 도구는 대중화되고 있다. 이에 전통적인 보안 전략과 아키텍처는 현존하는 IT 조직에게 충분한 보안 기능을 제공하지 못한다. 디지털 전환(Digital Transformation) 노력만큼 시큐리티 전환(Security Transformation)으로 오늘날의 최신 공격에 대처하는 인식 전환이 매우 시급하다. 개별적으로 동작하는 과거의 포인트 솔루션으로는 충분히 대응할 수 없다. 포인트 제품 및 정적 방어 시스템은 빠른 속도와 대용량 규모를 모두 포괄할 수 있는 자동화된 통합 보안 솔루션으로 전환되어야 한다"”라고 말했다.

보고서의 핵심 내용은 다음과 같다.

스웜(Swarm) 사이버 공격은 용량, 다양성, 속도 면에서 점차 진화

조직을 겨냥한 공격은 점차 빠른 속도로 정교해지고 있다. 디지털 전환(Digital Transformation)은 비즈니스 구성에 변화를 가져오는 것뿐만 아니라, 사이버 범죄자들이 공격 범위를 확대해 새로운 공격 기회를 확보하는데 영향을 준다. 사이버 범죄자들은 여러 취약성, 장치, 액세스 포인트(AP)를 동시에 타깃으로 삼으면서, 보다 새로운 스웜 기능을 실행한다. 위협이 빠르게 개발되고, 새로운 변종이 신속하게 확산되면서 많은 조직들이 이에 대응하기가 점차 어려워지고 있다

  • 위협 양(볼륨)이 크게 급증: 기업당 평균 274 건의 익스플로잇이 탐지되었으며, 이는 전 분기 대비 82 % 증가한 수치이다. 멀웨어 변종군의 수는 25 % 증가했으며, 고유 변종군은 19 % 증가했다. 이 데이터는 용량 증가뿐만 아니라, 멀웨어의 진화도 함께 나타낸다. 또한, HTTPS 및 SSL을 사용하는 암호화된 트래픽은 전체 네트워크 트래픽에서 평균 약 60 % 증가했다. 암호화는 코어, 클라우드, 엔드포인트 환경에서 이동 중인 데이터를 보호하는데 확실한 효과가 있으나, 전통적인 보안 솔루션에는 실제적인 과제가 되기도 한다.
  • IoT 공격 강도: 상위 20 개 공격 중 3 개가 대상화된 IoT 장치를 식별했으며, 익스플로잇 활동은 Wi-Fi 카메라와 같은 장치에서 4 배 증가했다. 또한 단일 취약점을 이용하던 이전 공격과 달리, 리퍼(Reaper) 및 하지메(Hajime)와 같은 새로운 IoT 봇넷은 동시에 여러 취약점을 타깃으로 삼을 수 있다. 이 같은 다중 벡터 방식은 대응하기가 훨씬 어렵다. 리퍼(Reaper)의 유연한 프레임워크는 새롭고 더욱 악의적인 공격을 위해 코드를 보다 쉽고 빠르게 업데이트할 수 있다. 스웜(swarm)의 영향력을 보여줄 수 있는 실례로, 리퍼(Reaper)와 관련된 익스플로잇 양이 5만에서 270만 건으로 크게 급증했다는 점을 들 수 있다.
  • 랜섬웨어의 지속적인 공격: 이번 보고서에서 여러 종류의 랜섬웨어가 멀웨어 변종의 목록 상당 부분을 차지했다. 록키(Locky)는 가장 널리 퍼진 멀웨어 변종이었고, 글로브임포스터(GlobeImposter)가 그 뒤를 이었다. 새롭게 등장한 록키(Locky)는 몸값을 요청하기 전에 스팸을 통해 수신인을 속인다. 또한, 다크넷(darknet)에서는 비트코인만 사용되었으나, 모네로(Monero)와 같은 다른 형태의 디지털 통화도 사용되고 있다. 아태지역에서는 새로운 멀웨어 변종과 랜섬웨어 드롭퍼(ransomware droppers)가 가장 많이 유포된 멀웨어로 꼽힌다.
  • 증가하는 암호화폐 채굴: 크립토마이닝(Cryptomining) 멀웨어는 전세계적으로 그리고 아태지역에서도 증가했다. 이는 수시로 변하는 비트코인 가격과 관련이 있다. 사이버 범죄자들은 디지털 통화의 성장세를 인식하고, 사용자가 인식하지 못하는 사이, CPU 리소스를 사용하는 컴퓨터에서 암호화폐를 채굴하는 이른바 ‘크립토재킹(Cryptojacking)’을 감행한다.
  • 정교한 산업 멀웨어: 산업 제어 시스템(ICS)과 안전 설비 시스템(SIS)에 대한 익스플로잇 활동이 증가하고 있다. 예를 들어 ‘트리톤(Triton)’으로 명명된 멀웨어가 있다. 이는 본질적으로 포렌식 분석을 막기 위해 멀웨어 자체를 가비지 데이터로 덮어씀으로써 추척을 피하는 기능을 가지고 있다. 이러한 플랫폼은 중요한 핵심 인프라에 영향을 미치기 때문에 공격자들에게 매력적인 타겟이 된다. 공격이 성공하면 광범위한 악영향을 미치며 심각한 피해를 입힐 수 있다.
  • 공격 다양성: ‘스테가노그래피(Steganography)’는 이미지에 악성 코드를 숨기는 공격이다. 지난 몇 년 동안은 주목을 받지 못한 공격 벡터였으나, 최근 재기에 성공한 것으로 보인다. 선다운(Sundown) 익스플로잇 킷은 스테가노그래피(Steganography)를 사용하여 정보를 탈취하는데 최근 일정 기간 동안 많은 조직들이 다른 어떤 익스플로잇 킷보다 이를 더 많이 사용한 것으로 보고된 바 있다.

스웜(Swarm) 공격에 대응하기 위한 통합 보안이 필요

이번 분기 보고서의 위협 데이터는 2018 년 포티넷 포티가드랩의 글로벌 조사팀이 발표한 많은 전망들을 뒷받침하고 있으며, 자가 학습(self-learning) 특징을 가진 하이브넷(hivenet) 및 스웜봇(swarmbots) 증가를 예고하고 있다. 향후 2 년간 공격 범위는 계속 확대될 것이나, 인프라에 대한 가시성과 제어 능력은 줄어들 것이다. 공격자들의 빠른 속도 및 규모와 관련된 문제를 해결하기 위해 조직들은 자동화와 통합을 기반으로 한 보안 전략을 수립해야 한다. 시큐리티 전환을 위한 최신 보안 플랫폼은 이벤트에 자동적으로 대응하고 위협 인텔리전스 및 자가 학습을 적용하여 디지털 속도로 운영되어야 하며, 이를 통해 효과적이고 자율적인 네트워크 보안 의사 결정을 내릴 수 있어야 한다.

포티넷 (www.fortinet.com/kr)

포티넷은 전세계 정부 조직, 서비스 제공업체, 대기업들의 보안을 책임지고 있다. 포티넷은 확장되고 있는 공격 면을 지능적인 방식으로 원활히 보호하며 현재는 물론, 미래의 경계 없는 네트워크에 대한 점차 커져가는 성능 요구사항을 충족시킬 수 있다. 오직 포티넷 보안 패브릭(Fortinet Security Fabric) 아키텍처만이 네트워크 어느 곳이든, 애플리케이션, 클라우드, 모바일 환경에 상관없이 ‘허점 없는 보안’을 제공함으로써 가장 중요한 보안 과제를 충족시킨다. 또한, 포티넷은 가장 많은 보안 어플라이언스를 출하한 전세계 출하량 1위 업체로 선정된 바 있다. 전세계 330,000개 이상의 고객들이 비즈니스 보안을 위해 포티넷을 신뢰하고 있으며, 보다 자세한 사항은 www.fortinet.com 및 www.fortinet.com/kr, 포티넷 블로그, 포티가드랩에서 확인할 수 있다.

Copyright © 2018 Fortinet, Inc. All rights reserved. The symbols ® and ™ denote respectively federally registered trademarks and common law trademarks of Fortinet, Inc., its subsidiaries and affiliates. Fortinet's trademarks include, but are not limited to, the following: Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiASIC, FortiMail, FortiClient, FortiSIEM, FortiSandbox, FortiWiFi, FortiAP, FortiSwitch, FortiWeb, FortiADC, FortiWAN, and FortiCloud. Other trademarks belong to their respective owners. Fortinet has not independently verified statements or certifications herein attributed to third parties and Fortinet does not independently endorse such statements. Notwithstanding anything to the contrary herein, nothing herein constitutes a warranty, guarantee, contract, binding specification or other binding commitment by Fortinet or any indication of intent related to a binding commitment, and performance and other specification information herein may be unique to certain environments. This news release may contain forward-looking statements that involve uncertainties and assumptions, such as statements regarding technology releases among others. Changes of circumstances, product release delays, or other risks as stated in our filings with the Securities and Exchange Commission, located at www.sec.gov, may cause results to differ materially from those expressed or implied in this press release. If the uncertainties materialize or the assumptions prove incorrect, results may differ materially from those expressed or implied by such forward-looking statements and assumptions. All statements other than statements of historical fact are statements that could be deemed forward-looking statements. Fortinet assumes no obligation to update any forward-looking statements, and expressly disclaims any obligation to update these forward-looking statements.