• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

멀웨어가 풍년이라고? 노이로제부터 걱정해도 될 듯 2014.11.07

벡트라 네트웍스 “유출사고 일으키는 멀웨어 드물어”

조급함 버리고 진짜 문제를 파악하고 분석해야


[보안뉴스 문가용] 지금 시스템에 멀웨어가 있는가? 높은 확률로 아마 그럴 것이다. 그러나 그렇다고 무서워할 필요는 없다. 대부분은 그저 스팸이나 클릭 사기 정도로 끝날 일일 것이다. 정보 유출이 일어나는 경우는 멀웨어 관련 사고 중 그리 큰 부분을 차지하지 않는다.

 


벡트라 네트웍스(Vectra Networks)에서 발표한 보고서에 따르면 특정 회사를 겨냥한 타깃형 공격은 보도되는 것과는 다르게 흔히 발생하는 범죄가 아니다. 대부분의 멀웨어 공격은 불특정 다수를 향한 ‘뭉텅이 공격’으로 인터넷에 아무렇게 흩뿌려지는 형태가 대부분이다. 전체 공격의 85% 정도는 이렇게 요행을 바라는, 될 대로 되라 유형이고 나머지 15% 정도만이 대상을 정해놓고 실행하는 유형이다.


“이번 연구 결과가 가지고 있는 의의 중 하나는 ‘일분 일초가 귀하다’는 식의 조급증을 조금 완화시켜줄 수 있다는 것에 있습니다. 세상 모든 멀웨어가 4천만개의 신용카드 정보를 훔쳐내는 기능을 가지고 있다면야 패닉 모드에 들어서도 괜찮겠습니다만, 지금은 좀 더 차분하게 대책을 세워도 될 때로 보입니다. 장기전에 돌입해야 할 때입니다.” 벡트라 네트웍스의 CTO인 올리버 타바콜리(Oliver Tavakoli)의 설명이다.


“우리가 평소에 마주치는 - 인식하거나 못하거나 - 멀웨어들은 사실 대부분 봇넷의 일종입니다. 모르고 지나친다고 해도 스팸 한 통이 더 오고, 비트코인이 들어오고, 클릭 광고가 들어올 뿐입니다. 일상 생활과는 전혀 상관이 없다고 해도 무방한 수준의 공격인 것이죠.” 이런 결과는 사건 대응 팀에게도 어느 정도 희소식이다. 조급함을 버리면 시간이 확보되고, 시간이 확보되면 진짜로 치명적인 멀웨어 수사나 연구를 더 깊이 할 수 있게 되기 때문이다.


벡트라는 이번 연구를 위해 지난 5개월 동안 10만개가 넘는 시스템을 조사 분석했으며, 여기에 참여한 기업은 금융, 법, 교육, 기술 산업 등 다양했다. 이중 1만 1천여개가 넘는 기기들에서 적어도 한 개 이상의 사이버 공격 흔적을 발견할 수 있었고 그중 10%는 두 번 이상의 공격을 받은 것으로 드러났다. 두 번 이상의 공격이라는 건 멀웨어의 공격 형태도 바뀌었다는 뜻으로 봇넷 혹은 C&C 서버와의 통신, 데이터 유출 등이 일어났다는 것이다.


랜콥(Lancope)의 CTO인 TK 키니니(Keanini)는 이번 보고서를 통해 사이버 범죄의 유행이 바뀌고 있음을 알 수 있다고 평했다. “공격의 모듈화가 심화되고 있습니다. 공격자들은 이제 인터넷을 뒤지지 않습니다. 구글이나 쇼단에서 그냥 검색해보면 됩니다. 그러면 취약한 시스템이 쭉 뜹니다. 로그인 정보를 조합하거나 우회할 필요도 없어요. 암시장에서 살 수 있거든요. 그러니 해커들이 공격을 하기에 훨씬 쉬워지는 시대가 된 것이고, 그러다보니 고급 공격이 상대적으로 줄어드는 것처럼 보이는 겁니다.”


하지만 그렇다고 안심하라는 뜻은 아니다. 어떤 멀웨어가 2, 3차 공격으로 이어질지 모르는 것이고, 그러므로 멀웨어의 위험도에 따라 우선순위를 정하는 것이 중요하다고 전문가들은 말한다. “물론 우선순위를 정하는 게 쉬운 일은 아니죠. 사업 방향에 따라 멀웨어의 기능이 위험하기도 하고 덜 위험하기도 하고요.”


요즘 같은 때, 멀웨어란 것이 이미 나의 시스템에 들어와 있다고 생각하는 편이 차라리 나아 보인다. “기업 시스템이라면 상당히 높은 확률로 멀웨어가 들어와 있다고 보면 됩니다.” 벡트라의 결론이다.


감염된 시스템 중 7%가 봇넷과 데이터 유출 가능성을 안고 있는 것으로 드러났다. 그러나 이는 단순 7%로 볼 것이 아닌 게, 한 번 유출된 정보는 다른 시스템 침입에 재활용되는 게 요즘 추세이기 때문이다. “멀웨어가 원격 시스템에 접속하기 시작한다는 건 그 멀웨어 말고 진짜 악성 소프트웨어가 어딘가에 있다는 것입니다. 그러니 멀웨어를 빨리 잡아내면 낼수록 멀웨어의 진짜 목적을 파악하는 데 도움이 됩니다. 게다가 나쁜 건 빨리 잡는 게 당연하기도 하고요.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>