소닉월(지사장 허남주 www.sonicwall.com)은 2017년 보안 산업 및 사이버 위협을 분석한 ‘2018 사이버 위협 보고서(2018 Cyber Threat Report)를 발표했다.

이 보고서에 따르면, 2017년에는 전년 대비 18.4% 증가한 93억 2,000만 건의 멀웨어(malware) 공격이 발생했고, 12,500건 이상의 정보보안 취약점 표준(Common Vulnerabilities and Exposures, CVE)이 발견됐다.

◆랜섬웨어 공격량 감소 = 랜섬웨어(ransomware) 공격은 2016년 6억3,800만건에서 2017년 1억 8,400만 건으로 급감했으나, 변종 랜섬웨어는 101.2% 증가한 것으로 나타났다.

2017년 워너크라이(WannaCry), 페트야(Petya), 낫페트야(NotPetya) 및 배드래빗(Bad Rabbit) 랜섬웨어 공격에 대해 많은 미디어에서 언급했지만, 예상했던 것처럼 실제로 많은 랜섬웨어 공격이 일어나지는 않았다.

2017년 랜섬웨어 공격은 2016년에 비해 71.2% 감소했으며, 발생 지역은 미주 지역이 46%, 유럽이 37%를 차지했다.

이처럼 변종 수의 증가와 약 1억 8,400만건의 랜섬웨어 공격으로 인해 랜섬웨어는 여전히 만연한 사이버 위협 요소로 자리를 잡았다.

소닉월 캡쳐 랩(SonicWall Capture Labs)은 2017년에 전년 대비 2배 가량 많은 2,855개의 새로운 랜섬웨어 서명을 만들었다. 2018년에는 사물인터넷 및 모바일 장치를 타깃으로 한 랜섬웨어가 증가할 것으로 예상된다.

소닉월 캡쳐 ATP(SonicWall Capture Advanced Threat Protection)는 클라우드 기반의 다중 엔진 샌드박스(sandbox)로 250개의 밝혀지지 않은 히트(hit)마다 하나의 새로운 멀웨어 변종을 발견했다.

◆SSL/TLS 사용 증가 = 2017년 SSL/TLS(Secure Sockets Layer/Transport Layer Security) 표준에 따라 암호화 된 트래픽은 24% 증가해 전체 트래픽의 68%를 차지했고, SSL 복호화를 갖추지 못한 기업은 평균적으로 1년에 약 900건의 SSL/TLS 암호화된 공격을 당한 것으로 나타났다.

이러한 변화는 암호화된 트래픽에 더 많은 수의 악의적인 페이로드(payload)를 숨길 수 있는 빌미를 사이버 범죄자들에게 제공했다. 기업들은 SSL/TLS 트래픽의 심층 패킷 검사(DPI, Deep Packet Inspection) 등의 보안 컨트롤 기능을 도입해 암호화된 트래픽을 검사, 탐지하고 공격을 완화할 수 있다.

마이크로소프트 엣지(Microsoft Edge) 공격은 2016년 대비 13% 증가했고, 아크로뱃(Acrobat), 아크로뱃DC(Acrobat DC), 리더DC(Reader DC) 및 리더(Reader) 등 자주 사용되는 어도비(Adobe) 제품에 대한 공격은 전반적으로 감소된 양상을 보였다.

2017년에는 대부분의 브라우저가 어도비 플래시(Adobe Flash)에 대한 지원을 중단해 플래시의 치명적인 취약점이 발견되지 않았고, 애플 TV(Apple TV)와 마이크로소프트 오피스 등이 새로운 공격 대상 프로그램으로 꼽히며, 소닉월이 선정한 10대 공격 대상에 처음으로 포함됐다.

사법기관은 멀웨어의 개발과 배포에 관련된 사이버 범죄자들을 체포해 멀웨어 공급망 붕괴에 영향을 끼치고 있고, 최근에는 국내뿐 아니라 해외 사법기관과의 다각적인 협력이 이뤄져 전세계 사이버 위협에 대한 방어가 보다 공고해지고 있다.

이에 따라 사이버 범죄자들은 ​​암호화폐 지갑(cryptocurrency wallets)이나 외환거래와 관련된 범죄를 저지를 때 한층 교묘한 방법을 택하고 있다.

◆SSL 암호화에 숨겨진 사이버 공격 = 해커와 사이버 범죄자는 멀웨어 페이로드를 암호화해 기존 보안 통제를 우회해왔다. 2017년에 암호화는 합법적인 트래픽과 악의적인 페이로드 모두에 최근 몇 년 대비 더 많이 사용됐다.

SSL 암호 해독 기능을 갖추지 않은 조직은 일반적으로 연간 약 900 건의 TLS/SSL 암호화에 의해 숨겨진 파일 기반의 공격을 경험하고 있다.

소닉월은 암호화 된 트래픽에 숨겨진 멀웨어 및 기타 익스플로잇을 포함한 실제 데이터를 보유하고 있으며, 소닉월 캡쳐 랩은 매일 평균 60건의 파일 기반 멀웨어 확산 시도를 발견했다.

2017년 익스플로잇은 2016년의 앵글러(Angler)나 뉴트리노(Neutrino)만큼 위험하지는 않았지만, 많은 멀웨어 개발자가 다른 멀웨어의 코드를 혼합해 새로운 멀웨어가 만들어지면서 서명으로만 이루어지는 보안 체계에 큰 위험이 됐다.

소닉월 캡쳐 랩은 머신러닝 기술을 사용해 멀웨어를 검사하고 분류한다. 2017년 소닉월은 2016년에 비해 6.7% 감소한 5,600만개의 멀웨어 샘플을 수집했다. 2017년 새로운 멀웨어 샘플 수는 2014년보다 51.4% 증가했다.

​​메모리 영역은 사이버 범죄자들이 향후 집중적으로 노릴 영역으로 꼽히고 있다. 최신 멀웨어는 메모리에 숨겨진 상태로 유지되도록 사용자 지정 암호화, 난독화, 패킹 및 샌드박스 환경 적합화 등의 발전된 기술이 활용된다.

소닉월은 “앞으로 많은 기업들이 악의적인 암호화를 통해 숨겨져 있는 멀웨어를 탐지하고 차단할 수 있도록 더 고도화된 기술을 사용해야 할 것”이라고 권고했다.

<박시현 기자> pcsw@bikorea.net