시스코 ‘Cisco 2016 중기 사이버 보안 보고서’ 살펴보니...

[보안뉴스 원병철 기자] 2016년 상반기 사이버 범죄 트렌드는 ‘랜섬웨어’이며, 하반기 역시 기세를 떨칠 것으로 분석됐다. 시스코는 ‘Cisco 2016 중기 사이버 보안 보고서’를 통해 이렇게 주장했다.

랜섬웨어가 등장한 것이 어제오늘일은 아니지만, 2016년 들어서면서 기업과 개인 모두에게 랜섬웨어 공격이 증가한 것은 물론 위력도 강해졌다. 특히 유례없는 수익성을 보이는 악성코드로 진화하는데다 의료기관을 비롯해 여러 기업을 대상으로 공격이 늘어나고 성공하면서 향후 유사한 공격을 계획할 가능성이 높아졌다는 것이 보고서의 설명이다.

보고서에 따르면 랜섬웨어는 수십 가지 변종과 수많은 언어 버전이 있으며 모두 복원력이 강하다. 이 분야의 선구자라고도 불리는 ‘크립토락커(CryptoLocker)’ 및 ‘크립토월(CryptoWall)’ 같은 유명한 랜섬웨어 브랜드를 만든 장본인들은 강력한 파일 암호화를 사용하기 시작하면서 악성코드의 효력을 완전히 새로운 차원으로 끌어올렸다.

현재까지 알려진 주요 랜섬웨어는 암호를 쉽게 해독할 수 없으며, 대부분의 경우 피해자는 그들이 요구한 가격을 지불해야 한다. 일반적으로 공격자는 비트코인으로 돈을 받는데, 이는 비트코인 주소의 사용자가 익명을 사용할 수 있기 때문이다. 또한, 비트코인을 여러 조각으로 나눌 수 있기 때문에 공격자는 간편하면서도 추적할 수 없도록 한 비트코인을 받을 수 있다. 게다가 랜섬웨어는 공격자의 마음먹기에 따라 암호화된 파일을 안 풀어주거나 손상시킬 수도 있으며, 심지어 재감염으로 두 번 이상의 공격을 할 수도 있다.

이처럼 랜섬웨어는 매우 효과적이면서도 수익성도 높기 때문에 더 많은 공격자가 이를 이용할 것이라고 보고서는 설명하고 있다. 그리고 이러한 경향에 힘입어 랜섬웨어는 앞으로 더 광범위하고 복원력이 클 것이라고 강조한다.

방어에 걸리는 시간을 단축하라
시스코는 이번 보고서에서 ‘방어자는 공격자가 공격을 준비할 시간을 줄여야 한다’고 설명했다. 특히, 최근 경향을 보면 취약점을 발견한 벤더들은 패치를 개발하고 발표하는 데 시간을 단축하고 있지만, 사용자가 패치를 업데이트 하는 시간은 지체되고 있다면서 이런 시간의 갭이 보안 허점을 만들고 있다고 언급했다.

2015년 시스코는 조직이 노후화된 인프라를 제대로 유지보수하지 않거나 취약한 운영체제에 패치를 적용하지 않을 때 발생하는 보안 리스크에 대한 경각심을 일깨우기 위해 인터넷 및 고객 환경 전체에서 115,000개의 Cisco 디바이스를 분석했다. 그 결과, 115,000개의 Cisco 디바이스 중 106,000개, 즉 92%에 달하는 디바이스에서 실행 중인 소프트웨어에 알려진 취약점이 있는 것으로 확인됐다고 밝혔다.

이 보고서에서는 Cisco 디바이스의 샘플을 검토하여 기본 인프라(라우터 및 스위치)에서 알려진 취약점이 실행되기 시작한 시기를 확인했다. 샘플은 인터넷상의 시스코 디바이스 103,121개로 구성됐다(2002~2016년까지 알려진 CVE가 포함된 관찰 가능한 설치 사례). 각 디바이스에서는 평균적으로 28개의 알려진 취약점이 실행되고 있었다. 이 샘플의 디바이스에서는 평균 5.6년 동안 알려진 취약점이 존재했다.

이러한 디바이스 중 23% 이상이 2011년부터 취약점이 있었던 것으로 나타났다. 약 16%는 2009년에 처음 게시되었을 때부터 취약점이 있었던 것으로 밝혀졌다. 그리고 약 10%가 10년 넘게 알려진 취약점이 있었던 것으로 나타났다.


공격을 무력화할 수 있는 방법은
악성코드는 전 세계의 다양한 위치에서 생성되며, 공격자들은 필요에 따라 각 지역으로 활동 거점을 재빠르게 옮긴다. ‘우리 조직은 공격자의 표적이 아니다’라고 생각하는 조직이 분명히 알아야 할 한 가지 사실은, 그 어떤 업종도 공격으로부터 안전하지 않다는 것이다. 그리고 제대로 된 위협 인텔리전스가 아닌 IOC에 의존해 위협 탐지 및 사고 대응을 개선하려는 조직은 보안 상태의 개선 효과를 보기가 거의 어렵다고 보고서는 설명한다.

특히, 오늘날의 공격 수준은 현재 방어자가 대응할 수 있는 역량을 뛰어넘었으며, 공격자가 공격을 준비하고 새로운 기법을 개발할 수 있는 시간이 무제한으로 허용되는 한, 모든 공격의 성공이 보장된다. 하지만 공격의 토대를 마련하고 공격을 실행할 시간과 기회를 조직에서 제한할 수 있게 되면 공격자가 여유롭게 결정을 내릴 여지를 주지 않게 되며, 이 경우 공격자의 정체가 발각될 위험이 커지고 공격의 기세가 한풀 꺾이게 된다.

공격자가 위협의 형태를 지속적으로 바꾸도록 압력을 가해 형세를 역전하는 것은 공격 준비 시간을 줄일 수 있는 한 가지 전략이며, 공격자가 수정 작업을 많이 해야 할수록 흔적이 남을 가능성이 커지고 결국 공격자의 정체를 식별할 수 있게 된다는 것이다.

무엇보다 보고서는 지금이 기업의 보안 방식을 개선하기에 가장 적절하고 절실한 시기라면서 노후화된 인프라와 시스템을 업그레이드하고 알려진 취약점에 패치를 적용하면 이러한 자산을 이용하여 공격을 실행하는 사이버 범죄자의 기세를 꺾을 수 있을 것이라고 강조한다. 많은 조직이 인터넷 인프라의 변화를 꾀해야 하는 중요한 시기인 지금, 조직의 보안을 강화하고, 네트워크 전반에서 가시성을 확보해 공격 준비 시간을 줄일 수 있는 시기라는 것이다.

한편, 시스코가 발표한 시스코 2016 중기 사이버 보안 보고서는 시스코 홈페이지(http://www.cisco.com/c/m/ko_kr/offers/sc04/2016-midyear-cybersecurity-report/index.html?keycode=001390740)에서 받을 수 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>