시스코(www.cisco.com/web/KR)는 최근 보안 위협 동향과 해결책을 담은 ‘2017 중기 사이버보안 보고서(Cisco 2017 Midyear Cybersecurity Report)’를 발표했다.

이 보고서는 빠르게 진화하는 사이버 위협을 분석하고, 기업의 백업 및 안전망(safety net)까지 파괴하는 ‘서비스 파괴(DeOS:Destruction of Service)’ 공격에 대해 경고했다. 또 사물인터넷(IoT) 등장으로 주요 산업에서 온라인 운영이 늘면서 공격 범위와 규모, 영향력 역시 커지고 있음을 지적했다.

특히 시스코는 이 보고서에서 “위협 탐지 시간(TTD: Time-To-Detection) 단축 및 부서 간 보안 격차 줄이는 것이 중요하다”라면서 “전세계에 구축된 시스코 보안 제품에서 수집한 정보를 토대로 조사한 결과 2015년 11월부터 2017년 5월까지 위협 탐지 시간이 39시간 이상에서 3.5시간으로 단축됐다”고 밝혔다.

이 보고서에 따르면 공격자는 피해자가 링크를 클릭하거나 파일을 열어 위협 요소를 활성화하도록 유도했다. 또 파일 없는(fileless) 멀웨어를 개발해 탐지나 조사를 더욱 어렵게 하고, 명령 제어(C&C) 활동을 숨기기 위해 토르(Tor) 프록시 서비스와 같은 익명의 분산 인프라를 이용한 것으로 나타났다.

시스코는 익스플로잇 키트(exploit kit)가 눈에 띄게 줄어든 반면 전통적 공격 방식이 부활하고 있음을 확인했다.

특히 스팸 발생량이 크게 증가하고 있는데 공격자가 이메일처럼 검증된 방법을 이용해 멀웨어를 배포하고 수익을 창출하는 것이 그 요인으로 분석됐다. 악성 첨부 파일을 동반한 스팸은 익스플로잇 키트 환경이 끊임없이 바뀌는 동안에도 계속 늘어날 것으로 시스코는 전망했다.

시스코가 4개월 동안 300개 기업을 조사한 결과 잘 알려진 3개 스파이웨어 군(family)이 표본 기업의 20%를 감염시킨 것으로 나타났다. 스파이웨어는 사용자와 기업 정보를 훔치고 기기에 대한 보안 태세를 약화시키며 멀웨어 감염을 증가시킨다.

기업을 속여 공격자에게 돈을 이체하도록 설계된 사회 공학적 송금 유도 이메일 사기(BEC: Business Email Compromise)는 매우 수익성이 높은 공격으로 등장,  인터넷범죄신고센터에 따르면 2013년 10월부터 2016년 12월까지 BEC 공격 피해액은 53억 달러에 달한 것으로 집계됐다.

정보 기술(IT)과 운영 기술(OT)이 IoT에서 융합되면서 기업은 가시성과 복잡성의 해결에 골머리를 앓고 있는 것으로 나타났다.

시스코가 ‘보안 역량 벤치마크 연구’의 하나로 13개국 3천명에 이르는 보안 책임자를 조사한 결과, 모든 산업의 보안 부서에서 공격 규모가 감당하기 힘든 수준이라 답했다. 이는 많은 기업의 보안 활동이 사후 대응(reactive)에 머무르는 결과를 가져오고 있다.

시스코 보안팀이 제시하는 보안 권고 사항은 다음과 같다.

▲인프라와 애플리케이션을 최신 상태로 유지해 공격자가 공개적으로 알려진 취약점을 이용할 수 없도록 한다.
▲통합적인 방어로 복잡성을 해결하고 폐쇄적인 투자를 제한한다.
▲위험∙보상∙예산 제약에 대해 완전히 파악할 수 있도록 회사 주요 임원을 초기 단계부터 참여시킨다.
▲명확한 지표를 설정하고 이를 활용해 보안 프랙티스를 검증 및 개선한다.
▲일반적인 방법과 역할 기반의 교육을 비교해 직원 보안 교육을 검토한다.
▲방어와 적극적인 대응 간 균형을 유지한다. 보안 통제나 프로세스를 ‘설정하고 잊지 않도록’ 한다.

<박시현 기자> pcsw@bikorea.net