급증하는 사이버 공격, 탐지시간 단축이 중요

급증하는 사이버 공격, 탐지시간 단축이 중요

[미디어잇 유진상] 보다 정교해지는 사이버 공격에 대비하기 위해서는 탐지 시간(Time To Detection, TTD)의 단축이 중요하다는 주장이 제기됐다.

시스코는 3일 보안 위협 인텔리전스와 사이버 보안 동향을 분석한 ‘시스코 2015 중기 보안 보고서(Cisco 2015 Midyear Security Report)’를 발표했다.

업계에 따르면, 사이버 공격 탐지에 소요되는 시간은 100일에서 많게는 200일까지 걸리고 있다. 이와 대조적으로 기존 보안 체계를 통과했던 과거의 공격까지도 분석 가능한 시스코의 지능형 악성코드 차단(Advanced Malware Protection, AMP) 솔루션의 경우, 평균 공격 탐지 시간은 단 46시간에 불과하다.

특히 비즈니스의 디지털화와 만물인터넷(IoE) 시대가 도래함에 따라, 악성코드와 보안 위협이 여느 때보다도 크게 확산되고 있다.

우선 앵글러(Angler) 익스플로잇 킷은 현재 가장 정교하고 광범위하게 사용되고 있는 익스플로잇 킷(exploit kit) 중 하나다. 플래시, 자바, 인터넷 익스플로러, 실버라이트 등의 취약점을 활용하고 있다. 앵글러는 보안 탐지 회피를 위해 도메인 쉐도잉(domain shadowing) 기법을 능수능란하게 이용하는 것이 특징이며, 전체 도메인 쉐도잉 활동에서 가장 큰 부분을 차지하고 있다.

앵글러와 뉴클리어(Nuclear) 익스플로잇 킷에도 사용되는 등 최근 어도비 플래시 취약점의 이용이 증가하고 있다. 이러한 증가추세는 자동 패치가 안되거나 개인사용자들이 보안 업데이트를 즉각적으로 하지 않기 때문이다. 한편, 어도비 플래시 플레이어의 취약점 개수는 2015년 상반기에 CVE(Common Vulnerabilities and Exposure) 시스템 기준으로 2014년 전체 대비 66% 증가했다. 이 속도로 간다면 2015년 플래시 보안 취약점과 관련한 CVE 수는 사상 최고치를 기록할 전망이다.

랜섬웨어(Ransomware)도 진화하고 있다. 지속적으로 새로운 변종이 나오고 있는 랜섬웨어는 해커에게는 여전히 수익성이 높은 공격이다. 랜섬웨어 공격은 완전히 자동화되고 다크웹(dark web)을 통해 실행되는 수준까지 진화했다. 또한 법망을 피하기 위해 비트코인과 같은 암호 화폐(cryptocurrency)를 이용하고 있다.

빠르게 돌연변이를 만들어내는 드리덱스 악성코드의 개발자들은 보안 정책을 우회하는 방법을 잘 알고 있다. 공격자들은 우회 기술의 하나로 이메일 내용, 사용자 에이전트(user agent), 첨부 파일 또는 참조인(referrer) 등을 빠르게 바꾸고, 새로운 공격을 개시하기 때문에 전통적인 안티바이러스 시스템은 이러한 공격을 새로운 공격으로 탐지하게 된다.

이에 시스코는 기업들이 포인트 보안 제품 보다는 통합 보안 솔루션을 구축하고, 신뢰할 수 있는 벤더와 협력하며 보안 서비스 제공업체에 조언과 평가를 요청하는 것이 중요하다고 강조했다. 또한, 지정학적 전문가들은 경제 성장을 지속하기 위해 글로벌 사이버 거버넌스 프레임워크의 필요성을 강조했다.
 
존 N 스튜어트 시스코 수석 부사장 겸 최고 보안 책임자는 “보안침해가 기업에게 심각한 상황이라는 것을 인지해야 할 때”라며 “기업에게 가장 중요한 2가지 이슈는 비즈니스 전략과 보안 전략”이라고 강조했다.

유진상 기자 jinsang@it.co.kr