올해 클라우드 서비스 이용한 지능적인 멀웨어 공격 증가

시스코, ‘2018 연례 사이버 보안 보고서’ 발표
자동화·머신 러닝·AI 기반 툴에 대한 투자 증가 전망

[보안뉴스 오다인 기자] 시스코 코리아(대표 조범구)가 ‘2018 연례 사이버 보안 보고서(2018 Annual Cybersecurity Report)’를 발표했다. 시스코는 전 세계 사이버 보안 동향과 이슈를 분석해 매년 보고서를 발표하고 있으며 이번이 11번째다.

▲2016년 11월부터 2017년 10월 사이 암호화된 웹 트래픽의 증가 비율[이미지=시스코]

이번 보고서에서 시스코는 공격자들이 명령 및 제어(C&C)를 숨기기 위해 클라우드 암호화를 이용하는 등 멀웨어 공격이 더욱 정교해지고 있다고 경고했다. 보안 전문가들은 이 같은 공격에 대응하기 위해 인공지능(AI) 및 머신 러닝 기술에 대한 투자가 확대될 것이라고 전망했다.

암호화는 보안 강화를 위해 고안된 기술이지만 전체 웹 트래픽 중 암호화된 웹 트래픽 비중이 증가하면서(2017년 10월 기준, 50%) 잠재적 위협을 식별하거나 감시하는 것이 어려워졌다. 시스코 연구진에 따르면, 암호화된 네트워크 통신을 사용하는 멀웨어 비율이 지난 12개월간 3배 이상 증가한 것으로 나타났다.

머신 러닝은 네트워크 보안을 강화하는 기술로 주목된다. 머신 러닝은 암호화된 웹 트래픽, 클라우드, 사물인터넷(IoT) 환경 내에서 비정상적 패턴을 자동 감지하도록 스스로 학습한다.

시스코의 ‘2018 보안역량 벤치마크 조사(2018 Security Capabilities Benchmark Study)’에 따르면, 보안 전문가들은 머신 러닝과 AI를 적극적으로 사용하려고 하는 동시에 긍정오류(false positive)로 인해 일부 불만을 갖고 있는 것으로 나타났다. 그러나 이 기술들이 아직 초기 단계라는 점을 감안하면, 향후 발전 가능성이 크다고 시스코는 설명했다.

시스코의 존 스튜어트(John N. Stewart) 부사장은 “작년 한 해 동안 멀웨어 진화 양상을 보면 공격자들이 지속적으로 학습하고 있다는 것을 알 수 있다”며 “기업은 리더십, 비즈니스 주도성, 기술 투자, 보안 효율성 측면에서 기준을 높여야 한다”고 말했다.

2018 연례 사이버 보안 보고서의 주요 내용은 다음과 같다.

공격으로 인한 경제적 손실 가시화
전체 공격의 절반 이상이 매출, 고객, 기회, 직접 비용 등 총 50만 달러(USD) 이상의 재정적 피해를 끼친 것으로 나타났다.

공급망 공격 속도 및 복잡성 증가
공급망 공격은 컴퓨터에 엄청난 영향을 끼치며 수개월에서 수년까지 지속된다. 소프트웨어 및 하드웨어 사용 시, 이를 제공하는 조직이 얼마나 책임 있게 보안을 준비하고 대처하는지 확인해야 하며 보안수준에 따라 발생할 수 있는 잠재적 위험을 인지해야 한다.

2017년 낫페트야(NotPetya) 및 씨클리너(CCleaner) 공격은 신뢰받는 소프트웨어를 공격해 사용자를 감염시켰다.

방어자는 공급망 공격 위험을 줄이기 위해 보안기술에 대한 서드파티 효능 테스트(efficacy testing)를 검토해야 한다.

보안 복잡성 증가 및 침해 확대
방어자는 보안업체 수십 곳의 제품으로 보안을 복잡하게 구성하고 구현한다. 이 같은 복잡성은 자산 침해와 손실 위험을 증가시키는 등 기업 방어 역량에 부정적인 영향을 미친다.

2017년 보안 전문가의 25%가 11~20개 업체 제품을 이용하고 있다고 응답했는데 이는 2016년 대비 18% 증가한 수치다. 또한, 동년에 보안 전문가들은 보안 침해의 32%가 절반이 넘는 자사 시스템에 영향을 미쳤다고 답했는데, 이는 전년대비 15% 증가한 수준이다.

네트워크 내 공격자 위치 파악 시 행동 분석 툴의 가치
보안 전문가의 92%가 행동 분석(behavior analytics) 툴이 큰 효과가 있다고 응답했으며, 특히 헬스케어 분야와 금융 서비스 분야에서 행동 분석 툴이 공격자를 식별하는 데 매우 효과적이라고 답했다.

클라우드 사용의 증가: 고급 보안이 부재한 환경 악용
보안 전문가의 27%가 오프-프레미스(off-premise) 프라이빗 클라우드를 사용하고 있다고 응답했다. 2016년 대비 20% 증가한 수치다.

이 중 클라우드 상에서 네트워크를 호스팅하는 이유로 ‘더 나은 데이터 보안’을 꼽은 응답자는 57%이며, 48%는 확장성을, 46%는 사용 편의성을 꼽았다.

공격자는 진화 및 확장하는 클라우드 환경에서 보안 부서가 어려움을 겪고 있다는 사실을 이용한다. 모범 사례, 머신 러닝과 같은 고급 보안 기술, 클라우드 보안 플랫폼과 같은 1차 방어 툴의 조합은 클라우드 환경을 보호하도록 지원한다.

위협 탐지 시간(TTD: Time to Detection)
2016년 11월부터 2017년 10월까지 시스코 TTD 중앙값은 약 4.6시간으로 나타났다. 2015년 11월 보고된 39시간과 2017 연례 사이버 보안 보고서에서 발표된 14시간(2015년 11월~2016년 10월)에 비해 크게 낮아진 수준이다. 시스코는 클라우드 기반 보안으로 TTD 중앙값을 낮게 유지한다고 설명했다.

보안담당자를 위한 시스코 권고 사항
1) 애플리케이션, 시스템 및 어플라이언스 패치에 대한 기업 정책과 관례를 준수하고 있는지 확인한다.
2) 적시에 정확한 위협 인텔리전스 데이터와 프로세스에 접근해 해당 데이터를 보안 모니터링에 사용한다.
3) 보다 깊이 있고 수준 높은 분석을 수행한다.
4) 빠르게 움직이는 네트워크 기반 랜섬웨어 웜과 치명적인 사이버 위협에 대비해 자주 데이터를 백업하고 중요한 복원 절차 및 프로세스를 테스트한다.
5) 마이크로서비스, 클라우드 서비스 및 애플리케이션 관리 시스템의 보안 검사를 실시한다.
[오다인 기자(boan2@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)