포티넷코리아(지사장 조현제 www.fortinet.com/kr)는 보안연구소인 포티가드랩이 최근 발간한 ‘글로벌 위협 전망 보고서’를 발표했다.

이 보고서는 사이버 범죄자들이 이용하는 방법과 전략을 상세하게 밝히고, 디지털 경제에 미칠 수 있는 잠재적 영향을 설명하고 있다.

이번 보고서에 따르면, SSL을 사용한 암호화 트래픽은 약 50% 수준에 머물러 조직 내에 이동하는 웹 트래픽 전체의 약 절반 가량을 차지하는 것으로 나타났다.

조직당 감지된 모든 애플리케이션 중에서 클라우드 애플리케이션의 수는 63개로, 모든 애플리케이션의 1/3 가량을 차지했다. 웹 브라우징의 경우, 매일 방문하는 웹사이트의 수는 비교적 큰 변화가 없이 유지되었으며, 악성 사이트로 지정된 사이트의 백분율도 0.5% 수준에 머물렀다.

2016년 4분기, 보안 업계는 야후(Yahoo!)의 데이터 유출 사건과 딘(Dyn)의 디도스(DDoS) 공격의 충격에서 벗어나지 못했다. 분기가 절반도 채 지나기 전에 이 두 가지 사건이 세운 기록은 단순히 기록이 깨지기만 한 것이 아니라, 2배로 확장됐다.

미라이(Mirai) 봇넷에 의해 침해된 사물인터넷(IoT) 기기가 기록적인 수준의 DDoS 공격을 여러 차례 실행했다. 미라이의 소스 코드가 공개되자 일주일 이내에 봇넷 활동량이 25배나 늘었으며, 연말 무렵에는 125배나 증가했다.

여러 기기에 걸친 IoT 관련 익스플로잇 활동량을 보면 취약한 가정용 라우터와 프린터가 가장 많았으며, DVR/NVR이 6배 이상 엄청난 증가세를 보였다.

모바일 멀웨어가 멀웨어 전체 규모에서 차지하는 비중은 겨우 1.7%밖에 되지 않지만, 멀웨어를 신고한 조직 5곳 중 1곳에서 모바일 변종을 접한 적이 있는 것으로 밝혀졌다.

모바일 공격의 발생지는 아프리카 36%, 아시아 23%, 북미권 16%였으며, 유럽 8%였다.

감지된 익스플로잇 중에서 최고 순위를 차지한 것은 SQL 슬래머(SQL Slammer)로 나타났다. 마이크로소프트 RDP(Remote Desktop Protocol)에 무차별 대입 공격(brute force attack)을 시도한 익스플로잇이 출현율 면에서 2위를 차지했다.

봇넷 패밀리에서 출현율과 규모가 가장 큰 것은 H-Worm과 제로액세스(ZeroAccess)였다. 이 둘을 이용하면 사이버 범죄자가 피해 시스템을 통제해 데이터를 빼내거나 클릭 사기(Click Fraud) 및 비트코인 채굴이 가능하다. 기술 및 공공 기관은 이들 2가지 봇넷 패밀리에 의한 공격 시도를 가장 많이 받았다.

기업의 36%가 랜섬웨어와 관련된 봇넷 활동을 감지했다. 1위를 차지한 주인공은 토렌트락커(TorrentLocker)였으며 록키(Locky)가 3위에 올랐다.

멀웨어에 속한 네머코드(Nemucod)와 에이전트(Agent)도 특히 활발한 활동을 보였다. 수집한 멀웨어 샘플의 81.4%를 이 2가지 멀웨어가 차지했다.

사이버 범죄자들은 “취약점 하나도 남겨두지 않는다”는 전략을 취했다. 86%에 달하는 기업들이 10년 이상 오래된 취약점을 악용한 공격에 대해 신고했다. 조직당 평균 10.7건의 고유 애플리케이션 익스플로잇이 발견됐다. 10개 중 한 곳이 중요하거나 심각도가 높은 익스플로잇을 감지했다.

전반적으로 아프리카, 중동 및 라틴 아메리카 지역이 다른 세계 각지의 기업 에서 감지한 익스플로잇, 멀웨어 및 봇넷 패밀리의 평균 수보다 모든 위협 범주에서 훨씬 숫자도 많고 다양했다. 이러한 차이점은 봇넷에서 가장 두드러지게 나타났다.

<박시현 기자> pcsw@bikorea.net