Home > 전체기사
1600억 개의 이메일 수집해 현 공격 트렌드 분석했더니
  |  입력 : 2019-08-07 17:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
4월부터 6월까지 수집된 이메일, 최근 공격자들의 분위기 반영해
누군가를 사칭하는 사기성 공격이 가장 막기 어려워...피해도 가장 높아


[보안뉴스 문가용 기자] 마임캐스트(Mimecast)가 보안과 관련된 새로운 보고서를 발표했다. 사이버 공격자들이 오래된 익스플로잇을 새롭게 조작하거나 유명 클라우드 플랫폼을 공격에 활용함으로써 공격 행위를 감추기 시작했다는 내용이다.

[이미지 = iclickart]


블랙햇 행사를 위해 작성된 이 보고서는, 2019년 4월부터 6월까지 수집된 이메일 1600억 통을 분석한 것의 결과물이다. 이 기간 동안 마임캐스트는 스팸, 표적 공격, 무작위 공격, 사칭 공격으로 탐지된 670억 통의 이메일을 통과시키지 않았다고 한다.

“수많은 이메일을 분석한 결과 멀웨어 링크가 눈에 띄게 증가했다는 사실을 파악할 수 있었습니다.” 마임캐스트의 부회장인 조시 더글라스(Josh Douglas)의 설명이다. “또한 누군가를 사칭한 후 실시하는 공격의 경우 30%가 표적 공격이었습니다. 주로 관리자, 컨설턴트, 생명공학 분야에 표적 공격이 집중되어 있었습니다.”

가트너의 부회장 중 하나인 피터 퍼스트브룩(Peter Firstbrook)은 “첨부 파일이나 악성 링크에 대해서는 크게 걱정하지 않는다”고 말한다. 대부분의 기업들이 이런 부분에 대해서는 꽤나 잘 방비하고 있기 때문이라고 한다. “엔드포인트 보안과 웹 게이트웨이 보안은 튼튼한 편입니다. 이런 솔루션들을 통해 이메일을 보호하기 때문에 첨부 파일과 링크는 잘 걸러지는 편입니다. 하지만 누군가를 사칭하는 공격은 염려스럽습니다. BEC 공격이 대표적이지요.”

퍼스트브룩은 “현재는 BEC와 같은 유형의 공격들이 가장 탐지가 어렵다”고 말한다. “그런 공격은 URL이나 페이로드를 포함하고 있지 않아 탐지의 근거가 희박합니다. 정상적인 이메일 계정으로부터 본문 내용만 덩그러니 있으니, 기술적으로는 ‘악성’이라고 분류하기가 어렵습니다. 사용자들도 아는 계정에서 온 메일을 의심할 이유가 없죠. BEC 공격이 일으키는 피해액만 봐도 이런 유형의 공격이 가장 경계해야 할 거라는 걸 알 수 있습니다.”

마임캐스트의 더글라스는 “교묘한 이메일 공격의 경우 심층 방어와 고급 위협 탐지 기술, 보다 강력한 사용자 교육으로 대응해야 한다”고 설명한다. 즉 기본기를 강화하고 최신 솔루션을 사용해야 한다는 뜻이다.

마임캐스트의 보고서를 통해서 또 하나 드러난 건 교육 산업이 표적 공격에 가장 많이 노출되어 있다는 것이다. 여기에는 사설 교육 기관, 대학, 훈련 코스 제공 기관 등이 포함된다. “교육 기관은 꽤나 중요한 가치관 충돌이 존재하는 곳입니다. 특히 대학 기관은 더 그런데요, 교육 콘텐츠를 모든 사람에게 열어두고 제공하는 것이 꽤나 중요하게 인식되고 있죠. 교육의 기회를 열어두는 게 사회적 책임이라고 보는 의견도 있고, 이에 따라 대학은 생각보다 열린 곳으로서 남아있게 됩니다.” 마임캐스트의 설명이다.

또한 대학 기관 등은 국가 차원의 연구 과제를 의뢰 및 청탁받아 중요한 연구를 진행하는 곳이기도 하다. “정부가 주도하는 연구 프로젝트가 진행되는 경우 교육 기관은 여러 사람이 드나드는 곳이 됩니다. 중요한 데이터가 쌓이기도 하고요. 중요하면서도 침투 통로가 많아지는 현장이 되는 곳이죠. 심지어 학생들과 임직원도 많아 개인정보도 풍부해요.”

그 다음으로 표적 공격을 많이 받는 곳은 소프트웨어 산업이었다. 올해 2사분기 동안 소프트웨어 산업을 가장 많이 괴롭힌 건 애드윈드(Adwind)와 큐랫(QRat)이라는 멀웨어였다. 애드윈드와 큐랫은 일종의 트로이목마로, 자바를 기반으로 한 플랫폼들을 공략하며, 자바 아카이브(.jar) 형태의 첨부파일로 퍼진다. IT 장비를 판매하는 업자들도 이 두 가지 멀웨어의 공격을 많이 받았다.

이 보고서에서 중요하게 언급된 멀웨어로는 이모텟(Emotet)이 있다. 2014년 뱅킹 트로이목마로 출발했던 멀웨어인 이모텟은 여러 번의 업그레이드와 변경을 거쳐 현재는 1단계 드로퍼로서 활용되고 있다 두 번째 페이로드를 다운로드 받는 데에 활용된다는 것이다. 마임캐스트는 보고서를 통해 “이모텟을 만든 자들이 사업 모델을 바꿔간 것으로 보인다”고 추정했다.

3줄 요약
1. 마임캐스트, 1600억 건의 이메일을 분석했더니 670억 통이 공격 이메일.
2. 악성 URL이나 첨부 파일은 탐지가 쉬우나 BEC와 같은 ‘사기성’ 공격은 탐지 어려움.
3. 표적 공격에 가장 많이 노출되어 있는 곳은 교육 기관과 소프트웨어 관련 조직들.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)