| 1년 새 사용자 계정 공격 300% 뛰었다 | 2017.08.18 |
MS 보안 첩보 보고서(SIR), 2017년 1분기 실태 나와
사용자 계정 공격 300%↑, 악성 IP 로그인 시도 44↑ [보안뉴스 오다인 기자] 지난 1년간 공격당한 사용자 계정 수가 300%나 뛰었다고 마이크로소프트(MS) 연구진이 발표했다. 악성 IP 주소로부터의 계정 로그인 시도 수는 44% 증가했다.  [이미지=iclickart] 어제(17일) 공개된 MS의 보안 첩보 보고서(SIR: Security Intelligence Report)는 2017년 1분기 취약점, 익스플로잇, 멀웨어, 좋지 않은 소프트웨어 등에 대한 정보를 담고 있다. 이런 정보는 MS가 자사 고객과 기업으로부터 매월 처리한 수십억 건의 보안 신호를 종합한 것이다. 이번 보고서는 다른 SIR 보고서와 몇 가지 차이점이 있다. 전체 정보가 클라우드와 엔드포인트라는 두 가지 카테고리로 구분됐다는 점, 원래 6개월로 잡던 조사 기간을 3개월로 짧게 잡았다는 점 등이 다르다. MS는 더 자주, 더 정기적으로 정보를 공유할 계획이라고 밝혔다. MS의 신원 보안 및 보호 부서가 집필한 이번 보고서의 주요 발견은 다음과 같다. 계정 침해와 클라우드의 무기화 사용자 계정 공격이 어떻게 300%나 뛰게 됐는지 살펴보자. 대부분은 피싱 공격에 당하거나 서드파티 서비스가 침해된 뒤 약하고 추측하기 쉬운 비밀번호가 맞물려 벌어진 일이었다. 점점 더 많은 사이트가 침해되고 비밀번호가 도난당함에 따라 향후 더 많은 공격자가 피해자 크리덴셜을 다수의 웹사이트에서 재사용해볼 것으로 보인다. 이에 보고서는 “사용자가 자신을 보호하려면 사이트마다 고유한 비밀번호를 사용하고 여러 개의 사이트에서 동일한 비밀번호를 재사용하지 않는 것이 가장 중요하다”고 서술했다. 기업은 사용자에게 복잡한 비밀번호와 다중 인증, 크리덴셜 보호와 리스크 기반의 조건적 접근 솔루션을 사용하라고 권고함으로써 위험을 추가적으로 줄일 수 있다. 악성 IP 주소를 통한 로그인 시도 건수도 44%나 뛰었는데, 이는 리스크 기반의 조건적 접근에 집중한 보안 정책을 통해 감소시킬 수 있다. 연구자들은 로그인을 요청하는 기기의 IP 주소를 알려진 IP 주소나 신뢰하는 기기 목록과 비교해보라고 조언했다. 공격자들은 기업을 뚫기 위해 애저(Azure) 같은 클라우드 서비스를 공격하고 가상 기계를 무기화하는 일이 많은데, 이로써 스팸 캠페인, 무차별 대입 공격, 피싱, 포트 스캔(port scanning) 등의 공격을 펼칠 수 있게 된다. 클라우드 무기화를 감시하는 애저 보안 센터는 아웃바운드 공격의 51%가 악성 IP 주소 통신에 개입됐다는 사실을 발견했다. 23%는 원격 데스크톱 프로토콜(RDP)에 대한 무차별 대입 공격이었다. 19%는 스팸, 3.7%는 포트 스캔이나 스위핑(sweeping: 열린 포트 하나를 찾기 위해 여러 개의 호스트를 뒤지는 것), 1.7%는 시큐어셀(SSH: Secure Shell)에 대한 무차별 대입 공격으로 나타났다. 애저 서비스에 가해지는 공격의 3분의 2 이상이 중국과 미국 IP 주소에서 나온 것이었다. 각각 35.1%, 32.5%다. 침해된 애저 가상 기계에 접촉한 악성 IP 주소의 89% 이상은 중국에 위치한 것으로 나타났다. 미국은 4.2%에 불과했다. 기업이 클라우드 공격에서 스스로를 지키려면 클라우드 계정에 대한 승인되지 않은 접근을 줄이고, 공격자의 클라우드 사용을 막아 클라우드를 발판으로 활용하지 못하게 만드는 것이라고 MS는 설명했다. 랜섬웨어의 세계적인 확장 지역별로 볼 때, 랜섬웨어 공격은 세계에서도 유럽을 집중적으로 강타했다. 2017년 3월 기준, 체코(0.17%), 이탈리아(0.14%), 헝가리(0.14%), 스페인(0.14%), 루마니아(0.13%), 크로아티아(0.13%), 그리스(0.12%)가 공격당했는데 이달의 랜섬웨어 발생률 평균을 모두 웃돌았다. “공격자들은 목표 지역을 선택할 때 여러 가지 요소를 함께 고려합니다. 해당 국가의 GDP라든지, 컴퓨터 사용자의 평균 연령이라든지, 비트코인이나 다른 결제 수단에는 어떤 것들이 있는지 등을 평가하죠.” MS 대변인의 설명이다. “해당 지역의 언어 역시 중요한 요소입니다. 사용자가 악성 파일을 클릭하거나 실행하게 만들려면 공격자가 맞춤형 메시지를 만들 수 있어야 하기 때문입니다.” 랜섬웨어는 전반적으로 확장하고 있는 중이다. 정보보안 전문매체 다크리딩(Dark Reading)이 진행한 전략적 보안 설문조사에 따르면, 23%의 응답자가 랜섬웨어 공격에 당한 것으로 나타났다. 작년 20%에 비해 조금 증가한 수치다. “랜섬웨어 공격이 만연하기 때문에 모든 기업은 각본을 써둘 필요가 있습니다. 생산 및 기업 환경 전체에 랜섬웨어 사고가 발생한 경우, 보안 부서가 이를 어떻게 식별하고 대응할 것인지에 대해 세세하게 서술한 각본 말입니다.” 전자결제 회사 뷰포스트(Viewpost)의 CSO 크리스 피어슨(Chris Pierson)은 기업이 계획을 세우고 실행하는 것이 얼마나 중요한지 설명하며 이렇게 말했다. “랜섬웨어 대응에 있어서 사람들은 백신 그 이상의 조치를 취해야 합니다. 다종의 기기와 서버를 통째로 암호화하는 것을 막고, 이런 공격을 식별해낼 고도의 비정상행위 기반 제어 기술을 사용할 필요가 있습니다. 또한, 기업 내 횡적 움직임(lateral movement)을 멈출 만한 능력이 있는지도 확실하게 파악해둘 필요가 있습니다.” 피어슨은 마이크로 세그멘테이션(micro-segmentation)을 활용하면 피해 확산을 막을 수 있다고 설명했다. 피싱도 무섭게 커지는 중이다 2017년 1분기 동안 피싱 URL 수가 가장 많이 나타난 곳은 온라인 서비스를 겨냥한 사이트들이었다. 금융 기관을 겨냥한 피싱은 1분기 두 번째로 많은 공격이었으며, 2월과 3월 양월 모두 가장 큰 노출 빈도를 기록했다. 지리적인 차원에서 보면, 피싱 웹사이트를 평균 이상으로 호스팅한 국가들은 우크라이나(3월 기준 1,000개 호스트 당 13.2개), 남아프리카공화국(10.3), 인도네시아(9.6), 덴마크(9.7)로 나타났다. 반면, 중국(0.6), 대만(0.6), 한국(0.7), 멕시코(1.2) 등은 피싱이 상대적으로 적게 호스팅된 국가로 나타났다. 보안 업체 임퍼바(Imperva)의 피싱 연구팀은 대부분의 공격자가 링크를 클릭하거나 문서를 여는 데 주저함이 없다는 사실을 발견했다. 이 공격자들은 자신의 꼬리를 감추기 위해 샌드박스를 사용하거나 익명 서비스를 사용하는 것도 그냥 무시했다. 즉, 외부인이 그들을 추적할 수 있게 해준다는 거다. “피해자 본인이나 피해자의 조직이 크리덴셜 도둑을 시기적절하게 탐지해내고, 예전에 쓰던 비밀번호를 폐기하는 등 계정 보호 조치를 취하는 것은 실제 계정이 해킹될 확률을 크게 낮출 것입니다.” 임퍼바의 사이버 위협 연구자 루다 라자르(Luda Lazar)의 조언이다. 지난 1분기 동안 멀웨어는 피싱보다 더 자주 성공한 것으로 나타났다. 3월, 100만 페이지뷰 당 381건의 멀웨어 노출이 있었는데, 피싱 노출은 13건에 그쳤다. 멀웨어는 헝가리, 이집트, 인도네시아를 주로 타격했다. 중국은 피싱 사이트 집중률이 상대적으로 낮은 국가인데, 멀웨어 호스트 수준은 최고를 기록했다. 1,000개 호스트 당 45.9개의 멀웨어 호스팅 웹사이트가 나타났다. 멀웨어 호스팅이 빈번한 다른 곳으로는 싱가포르(21.6), 우크라이나(19), 홍콩(18.9) 등으로 나타났다. [국제부 오다인 기자(boan2@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
