통신사들에 대한 공격 더 많아지고 수준도 높아지고
결론 내리기에 이르다는 반론도 있지만, 공격자 수준 높아진 것은 분명한 듯

[보안뉴스 문가용 기자] 원거리 통신 사업자들이 현재 사이버 공격자들의 집중을 받고 있다는 보고가 나왔다. 공격의 빈도수와 수준 모두가 높아지고 있는 중이라고 한다. 보안 업체 라스트라인(Lastline)의 조사에 의하면 통신 분야에서 제출한 파일은 370개 중 하나 꼴로 악성이었다고 한다. 그 외 분야에서는 500개 중 하나 꼴로 악성 파일이 나타났다.


라스트라인의 위협 첩보 책임자인 앤디 노턴(Andy Norton)은 이 370이라는 숫자에 설명을 추가한다. “그 370개 파일의 경우 10개당 1개꼴로 악성 파일의 네 가지 특성이 모두 들어있었습니다. 다른 산업은 12개당 1개꼴로 이러한 특징이 나타났고요.”

여기서 말하는 네 가지 특성이란 1) 패커를 이용한 정적 분석 우회, 2) 동적 분석 우회, 3) 신뢰받는 시스템 파일을 주입하거나 신뢰받는 시스템 파일인척 해서 호스트 내에 걸리지 않고 오래 머물러 있기, 4) 크리덴셜을 탈취해 횡적으로 움직이기다.

노턴은 통신 산업에서 더 많은 악성 파일이 발견되는 이유에 대해 “다른 산업에 비해 악의적인 활동이 더 많이 이뤄지는 공간이기 때문”이라고 설명했다. “혹은 통신 산업의 보안 수준이 더 높아서 좀 더 정상적인 파일을 거른 채로 파일들을 라스트라인에 제출한 것일 수도 있습니다.”

또한 노턴은 “370:1이나 500:1이나 크게 달라 보이지 않을 수도 있다”고 말을 이었다. “그러나 실제 이러한 업체들로 들어오는 이메일과 첨부파일의 양을 생각해보세요. 또한 통신사업체 직원들이 하루에 방문하는 웹 페이지들의 수를 생각해보세요. 그러면 370:1이라는 비율이 결코 낮지 않다는 걸 알 수 있을 겁니다.”

그러나 포레스터 리서치(Forrester Research)의 분석가 조시 젤로니스(Josh Zelonis)는 이번 보고서를 보고 “통신업체들이 더 많은 공격을 받고 있다고 결론 내리기에는 불충분하다”는 의견을 피력했다. “어떤 파일이 어떤 절차로 제출됐는지, 어떤 조직들이 참여했는지에 대해 더 많은 정보를 알고 나서 그런 결론을 내려야 합니다. 370:1과 같은 숫자만 보고는 그 의미를 제대로 알기 힘들죠.”

그러면서 노턴과 비슷한 가능성을 제시했다. “통신 업체의 보안 수준이 높아 라스트라인에 파일을 제출하기 전에 정상 파일을 더 잘 걸러낸 것을 수도 있습니다.”

노턴은 젤로니스의 의견에 대해 “동의가 되는 부분도 있지만, 설사 통신 분야의 보안 수준이 다른 산업의 그것보다 높다고 하더라도 이런 비율로 악성 행위가 발견됐다는 건 공격자들의 수준 또한 비슷하게 높다는 뜻”이라며 “통신 산업을 노리는 공격자의 수준은 어느 정도 가늠할 수 있는 자료”라고 주장했다.

3줄 요약
1. 통신 업체들이 제출한 파일들 속에서 370:1 비율로 악성 행위 발견됨. 다른 산업은 500:1.
2. 이에 대한 두 가지 가능성 : 통신업 노리는 공격 심하거나, 통신업 보안 수준 높거나.
3. 후자이더라도 공격자들의 수준이 높아졌다는 뜻 될 수 있다는 의견도 나옴.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>