글로벌 보안 위협 동향 보고서 2018년 1분기 · 2019. 5. 28. · 3 2018년 1분기...
TRANSCRIPT
2018년 1분기
글로벌보안 위협동향 보고서
2
목차
하이라이트 및 주요 정보............................................................................ 3
익스플로잇 동향............................................................................................. 4
미니 포커스: 운영 기술 익스플로잇............................................... 8
멀웨어 동향...................................................................................................... 9
미니 포커스: 제로데이 시장의 성장............................................... 14
봇넷 동향.................................................................................................. 15
미니 포커스: 죽은 봇넷과의 교감................................................... 19
권장사항.................................................................................................... 20
출처 및 척도............................................................................................ 23
목차
3
2018년 1분기 하이라이트 및 주요 정보
2018년 1분기 하이라이트 및 주요 정보
숫자로 보는 2018년 1분기:익스플로잇
고유 익스플로잇 감지 6,623건(+11%)
기업당 익스플로잇 감지 238건(-13%)
73%가 심각한 익스플로잇 보고(+1%)
1% 미만이 ICS 관련 익스플로잇 보고
멀웨어
고유 변종 15,071개 (-15%)
멀웨어군 3,078개(-2%)
28%가 크립토재킹 멀웨어 보고(+15%)
봇넷
기업당 활성 봇넷 1.8개(0%)
2.8%가 10개 이상 봇넷 보고(-1%)
최근 1일간 봇넷 감염 58%
최근 7일 이상 봇넷 감염 5%
3개 멀웨어군이 10개 중 1개 이상 기업에 확산(-67%)
1918년 1분기에 위대한 마술사 해리 후디니(Harry Houdini)가 뉴욕 히포드롬에서 완전히
자란 코끼리 한 마리를 눈앞에서 사라지게 하여 관객을 깜짝 놀라게 했습니다. 이런 가벼운
흥밋거리 정보가 100년이 지난 2018년 1분기 사이버 위협 동향과 무슨 관련이 있느냐고요?
솔직히 말해, 별다른 관계는 없습니다. 하지만 후디니가 했던 것과 정반대의 일을 하고자
하는 보고서를 여는 말로는 제격입니다. 장님이 코끼리 만지는 격이라는 속담이 있습니다.
이들은 각자 다른 부분을 만지고 코끼리의 모습에 대해 완전히 다른 결론을 내립니다.
코끼리와 마찬가지로 방대한 사이버 위협 동향은 한 시점에서 완벽히 설명할 수 없습니다.
그래서 포티넷은 인터넷에서 수백 만개의 접점을 유지하며 다양한 각도에서 여러 가지
위험을 분석합니다. 간단히 말해, 여러분이 보안을 더욱 완벽하게 관리할 수 있도록
코끼리의 전체적인 모습을 보여주는 역할을 합니다.
OT를 향해서. OT란 “운영 기술(operational technology)”을 의미합니다. 하지만 최근에
범죄자들이 네트워크의 OT 측면에 닿기 위해 애쓰는 것을 보면 '오버타임(overtime)'이란
말에도 들어맞는 듯합니다. 가장 많은 표적이 되는 산업 제어 시스템은 어떤 유형이 있고,
이런 익스플로잇이 지역별로 어떻게 다른지 살펴보겠습니다.
수요와 공급의 결함. 제로데이 시장이 모든 “해커”에 대해 성장하고 성숙해지고 있습니다.
익스플로잇을 얻기 쉬워졌고, 이는 나름의 장단점이 있습니다.
멀웨어는 모두 어디로? 1분기에 멀웨어가 모조리 사라지지는 않았지만 멀웨어 종류와
출현율이 눈에 띄게 하락한 것이 센서에 탐지되었습니다. 그 모든 멀웨어는 어디로 갔고,
교활한 범죄자들은 대체 무엇을 꾸미고 있을까요? 조만간 알게 되겠죠.
완전히 미쳐가고 있습니다. 지난 보고서에서 위협 동향 전반에 크립토재킹(즉, 암호 화폐
채굴)이 폭발적으로 늘어난 현상을 다루었습니다. 거기서 상황이 더욱 악화하여 기업의
30%가 암호 화폐 채굴 멀웨어를 보고했습니다.
부정 출발. 2018년 평창 올림픽은 개막식에 Olympic Destroyer 멀웨어가 IT 시스템을
망가트리면서 첫발을 잘못 디뎠습니다. 사이버 범죄자들은 원래 기념식에는 나타나지
않는 법입니다. 하지만 이제 성지 따위는 사라진 걸까요?
좀 너무 오래 갑니다. 포티넷에서 조사한 결과, 봇넷 감염의 58%는 하루정도 지속된다는
것을 알아냈습니다. 약 5%만이 일주일 이상 지속됩니다. 생각보다 멀웨어가 너무 오래
살아남는 것 같다고요? 이 글을 읽어 보시는 것이 좋을 것 같습니다.
쓰러져도 죽지는 않았습니다. Andromeda 봇넷은 2017년 4분기에 완전히 무너졌지만
감염된 호스트 네트워크는 아직 살아 있습니다. 이 호스트들에게서 어떤 보안 위생에 대한
교훈을 얻을 수 있을까요? 자세한 내용은 글을 읽어보십시오.
익스플로잇 동향
5
익스플로잇 동향
그림 1: 2018년 1분기 일일 익스플로잇 활동
익스플로잇 동향
간단히 보는 통계
고유 익스플로잇 감지 6,623건(+11%)
기업당 익스플로잇 감지 238건(-13%)
73%가 심각한 익스플로잇 보고(+1%)
익스플로잇 표적 1위가 Microsoft
1% 미만이 ICS 관련 익스플로잇 보고
ICS 익스플로잇 표적 1위가 Siemens
0%
25%
50%
75%
100%
1월 2월 3월
탐지
비율
정보 낮음 중간 높음 중요
0%
1%
2%
3%
4%
1월 2월 3월
탐지
비율
높음 중요
그림 2: 2018년 1분기 일일 익스플로잇 활동(심각도가 높음 및 중요 수준인 것만 분류)
익스플로잇 동향을 통해 적이 어떤 시도를 하는지 살펴보고, 취약한
시스템을 찾아낼 수 있습니다. 이번 분기에 보고된 수십 억에 달하는
감지 건수 중에서 하나가 트리거되더라도 공격이 성공했거나 표적
취약성이 환경에 존재한다는 것을 의미하지는 않습니다.
익스플로잇 활동은 다소 잡음이 많기 때문에 이 섹션에서는 중요도
와 심각도가 높은 감지 건에 분석을 집중했습니다.
아래 그림 1의 다른 버전에서 높음과 중요 수준 탐지만 분리해서
잡음 대비 신호 비율을 개선할 수 있습니다. y축을 보면 그림 2에서
상위 5% 익스플로잇만 다루는 것을 알 수 있으나 적어도 기준선을
알아볼 정도는 됩니다. 이와 관련해서는 잠시 후 자세히 설명하겠
습니다.
익스플로잇 동향을 분석하는 것은 다른 유형의 위협보다 더욱 잡음
에서 신호를 뽑아내는 데 노력이 필요합니다. 그림 1은 이런 모습을
잘 나타냅니다. 거의 모든 익스플로잇 활동이 심각도가 낮은 수준
(”정보”에서 “중간”)에 속합니다. 그보다 심각도가 높은 수준 탐지
(”높음”과 “중요”)는 그림 하단에 겨우 보이는 정도입니다. 어떤
공격이든 상황이 맞으면 피해를 줄 수 있으나 경험상 대개는 가장
위험이 큰 요소부터 처리하는 편이 좋습니다.
6
그림 3: 가장 자주 출현하는 익스플로잇 탐지 및 관련 CVE
익스플로잇 동향
1 CPU.Speculative.Execution.Timing.Information.Disclosure
Zpanel.pChart.Information.Disclosure (8.1%)
WordPress.WP.Symposium.Arbitrary.File.Upload (8.4%)
PHP.Malicious.Shell (9.2%)
MS.Office.RTF.File.OLE.autolink.Code.Execution (9.6%)
Java.Debug.Wire.Protocol.Insecure.Configuration (9.9%)
Apache.Struts.2.REST.Plugin.Remote.Code.Execution (10.8%)
Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass (11.0%)
Joomla.Core.Session.Remote.Code.Execution (13.1%)
Red.Hat.JBoss.AS.doFilter.Insecure.Deserialization (13.9%)
uTorrent.RPC.Server.Remote.Code.Execution (15.4%)
Apache.Struts.2.DefaultActionMapper.Remote.Command.Execution (15.6%)
OpenSSL.Heartbleed.Attack (16.8%)
Apache.Commons.Collection.InvokerTransformer.Code.Execution (18.6%)
MS.Windows.HTTP.sys.Request.Handling.Remote.Code.Execution (23.7%)
HTTP.URI.SQL.Injection (25.7%)
Oracle.WebLogic.Server.wls-wsat.Component.Code.Injection (27.3%)
Linksys.Routers.Administrative.Console.Authentication.Bypass (27.4%)
PHP.CGI.Argument.Injection (31.6%)
Bash.Function.Definitions.Remote.Code.Execution (32.1%)
Apache.Struts.2.Jakarta.Multipart.Parser.Code.Execution (41.3%)
2013-2097
2014-10021
No CVE
2017-0199,2017-8570
2017-6639
2017-1261,2016-4438
No CVE
2015-8562
2017-1214
No CVE
2013-2251
2014-0160
2016-4385,2016-0788,2015-4852,2016-3642,2015-6576,2015-6555,2016-8735,2016-3427
2015-1635
No CVE
2017-3506,2017-1027
No CVE
2012-2311,2012-1823
2014-6277,2014-7186,2014-7187,2014-6278,2014-7169,2014-6271
2017-5638
출현율 기준 상위 20개 익스플로잇
Spectre와 유사한 공격을 할 기회를 이용한 것에 주목해야 합니다.
예를 들어 독일 연방 정보 보안국(German Federal Office for
Information Security)에서 Meltdown 및 Spectre에 대한 공식 지침을
제공한다고 주장하는 한 웹사이트는 “패치” 대신 백도어 트로잔을
제공했습니다. 이러한 흐름은 앞으로도 이어질 것이 분명하지만,
Spectre의 유령에 시달릴 필요는 없습니다.
1분기에도 프로세서 문제가 지속되어 여러 가지 보안 취약성과
AMD Zen 아키텍처 칩셋에 영향을 미치는 제조사 백도어가 발표
되었습니다. RYZENFALL, FALLOUT, CHIMERA, MASTERKEY와 같이
이름도 불길한 이런 결함들을 이용하면 악성 코드를 프로세서
내부에 설치해 Microsoft의 Credential Guard 기술로 보호되는
네트워크 자격 증명을 훔쳐 횡적 이동을 하고, Secure Encrypted
Virtualization 등의 주요 보안 기능을 우회하고, 물리적 메모리에
액세스하여 악성 코드를 실행할 수 있습니다.
하지만 먼저 2018년 초에 신문 헤드라인을 뒤덮었던 spectre와 가장
강력한 방어벽까지 녹여버린 melt down 위협에 대해 살펴보겠
습니다. 물론, Meltdown과 Spectre라는 이름이 붙은 이중 사이드
채널 공격을 말하는 것입니다. 이들은 대부분 마이크로프로세서에서
발견되는 취약점을 악용해 악성 프로세스가 무단으로 커널 메모리를
읽을 수 있게 합니다. 이런 공격이 앞으로 어떤 곳에 악용될지 생각
하면 눈앞이 캄캄하지만 다행히도 지금은 “강력(potent)”하다기
보다는 “잠재력이 있는” 수준에 그치고 있습니다. 개념 증명 단계의
익스플로잇이 있기는 하지만 아직 영향력이 강한 익스플로잇은 발견
되지 않았습니다.
FortiGuard의 Meltdown/Spectre 탐지는 1월 30일에 정점을 찍었는데,
트리거 비율이 5,200개 조직 중 1개(0.02%)였습니다. 전반적으로
전체 기업의 0.07%에서 관련 활동이 관찰되었습니다. 범위를 좁힌
그림 2에서는 신호가 확인됩니다. 이런 공격은 모두 현재 개념을
증명하는 단계에 있습니다. 하지만 범죄자들이 다양한 Meltdown/
목록은 조직이 널리 사용되는 기회주의적 익스플로잇의 쉬운 먹잇
감이 되지 않도록 도움을 주는 일종의 우선순위 작업 목록이라고
생각하면 됩니다.
이제 다시 여러 가지 심각도 수준을 살펴보면서 그림 2에 기록된
높음 및 중요 수준 익스플로잇 활동을 폭넓게 분석하겠습니다. 그림
3에 1분기에서 가장 활발히 활동한 익스플로잇 20개와 관련 CVE를
표시했습니다. 그중 완전히 새로운 공격(또는 취약성)은 없지만 이
7
익스플로잇의 주요 표적
그림 3은 구체적이어서 편리하지만 간결해서 큰 그림을 놓칠 수도 있습니다. 중요한 전체적 상황을 파악할 수 있도록 그림 4에서는 1분기에 익스플로잇이 가장 많이 표적으로 삼은 기술을 나타냈습니다.
그림 4: 익스플로잇에 가장 많이 표적이 된 기술
익스플로잇 동향
Adobe
Apache
Apple
ASUS
AWStats
Backdoor
BashChina
DNS
EtherealHP
HTTP
IMAPISAPI
Java
Joomla
Linksys
MS
MySQL
Netcore
Ntpd
OpenSSL
Oracle PHP
POP3
Red
Robot
SMB
SSHSSL Telnet
uTorrent
Wordpress
모든 CPU 공격(Spectre/Meltdown)
Dlink
10
100
1k
10k
100k
1m
10m
100m
1b
10회 중100
10회 중10
출현율
규모
2 DLink.Devices.UPnP.SOAP.Command.Execution
10k회 중1회
1k회 중1회
이 취약성은 사용자 권한과 관계없이 누구나 Drupal 지원 웹사이트
에서 모든 데이터에 액세스하고 이를 수정, 삭제할 수 있기 때문에
보안에 엄청난 영향을 미칩니다.
Netcore는 총 공격 볼륨 측면에서 Microsoft의 뒤를 이어 2위를 차지
하였고 D-Link 장치2를 표적으로 하는 익스플로잇이 1분기 출현율
측면에서 다른 어떤 기술보다 강한 증가세를 보였습니다. 범죄자
들이 IoT 취약성을 탐색하는 범위를 더욱 넓고 멀리 확대하고
있다는 것을 나타냅니다. 전반적으로 그림 3과 4는 잡음 속에서
신호를 잃지 않도록 조심해야 한다는 것을 일깨워줬습니다. 신호를
잃는 것이야말로 정보 보안 전쟁 속에서 끊임없는 위협이 됩니다.
Meltdown과 Spectre가 1분기 헤드라인을 장식하기는 했지만, 포티넷
센서에는 오래전부터 일반적 기술을 노리는 것으로 알려진 좀 더
평범한 익스플로잇이 주로 탐지되었습니다. 익스플로잇 동향에서
가장 많이 표적이 된 소프트웨어는 Microsoft지만 SSL, Telnet, SSH,
HTTP, Bash, PHP, Apache와 같이 웹 지향적 기술들도 많은 표적이
되었습니다. 가장 인기 있는 웹 콘텐츠 관리 시스템(CMS)인 Word-
Press와 Joomla도 명단에 올랐습니다. 마찬가지로 CMS인 Drupal은
그림 3에 표시되지는 않았지만 한 번 언급하고 지나갈 만한 가치가
있습니다. 지난 3월에 매우 치명적인 원격 코드 실행(RCE) 취약성
(CVE-2018-7600)이 공개되었기 때문입니다.
8
미니 포커스: 운영 기술 익스플로잇
미니 포커스: 운영 기술 익스플로잇
그림 5: 지역별 ICS 익스플로잇 활동 출현율
전체 조직의 1% 미만이 ICS에 대한 익스플로잇을
보고했습니다.
3
아프리카의 평균 출현율은 높지만 비교적 적은 기업이 보고해서 매우 넓은 신뢰 구간이 생겼습니다. 더 많을 수도 있지만, 마찬가지로 더 적을 수도 있습니다.
7-TechnologiesABB
Advantech
AzeoTech
GEInduSoft
MicrosysMoxa
Progea
SchneiderSearchBlox
Siemens
10
100
1k
10k
100k
10k회 중1회
1k회 중1회
출현율
규모
그림 6: 익스플로잇에 가장 많은 표적이 되는 ICS 제조사
그림 4는 위협 인자가 일반적으로 표적으로 삼는 정보 기술을 나타냅니다. 하지만 운영
기술(OT)이나 산업 제어 시스템(ICS)은 어떨까요?
IT와 OT 환경에서 익스플로잇 시도의 빈도와 표적은 어떤 차이가 있을까요?
출현율
전체 조직의 1% 미만이 ICS에 대한 익스플로잇을 보고했습니다. 이 통계를 그다지 중요하지 않은 것으로 치부하기 전에 기업의 일부만 표적이
되는 ICS를 보유한다는 것을 기억해야 합니다. 또한, 중요한 인프라가 공공 안전과 보안에 미치는 중대한 영향도 생각해야 합니다. 그림 5에
겹쳐지는 신뢰 구간은 지역 전체에서 해당 통계가 거의 변동이 없다는 것을 나타냅니다. 아시아만 유일하게 ICS 익스플로잇 시도가 다소
출현율이 높게 나타납니다.3
양적으로 대부분 익스플로잇 활동은 두 가지 일반적인 산업 통신 프로토콜인 Modbus와 ICCP를 향해 있습니다. Siemens와 Schneider는 출현
측면에서 상위에 위치해 있습니다. 즉, 이 제조사들에서 생산한 장비에 대해 익스플로잇이 탐지된 회사가 많습니다. 이 결과에서 Siemens와
Schneider 제품의 보안이 모자란다고 생각해서는 안 됩니다. 널리 배포되었기 때문에 공격도 많이 받는 것입니다.
US-CERT 자문(TA18-074A)은 OT가 중요한
이유를 구체적 예시로 설명합니다. 보고서에
따르면 러시아 위협 분자는 정부와 에너지,
핵, 상업 시설, 수자원, 항공을 포함한 OT에
대한 의존성이 높은 중요 인프라를 집중 공격
하고 있습니다.
전체중동유럽북미
중남미오세아니아
아프리카아시아
멀웨어 동향
10
그림 7: 2018년 1분기 일일 멀웨어 출현율
멀웨어 동향
간단히 보는 통계
고유 변종 15,071개(-15%)
멀웨어군 3,078개(-2%)
21%가 모바일 멀웨어 보고(+7%)
3개 멀웨어군이 10개 중 1개 이상 기업에 확산(-67%)
28%가 크립토재킹 멀웨어 보고(+15%)
0%
5%
10%
15%
1월 2월 3월 4월
일일
출현
율
멀웨어 동향
멀웨어는 범죄자의 의도와 능력이 반영되기 때문에 멀웨어 동향을
조사하면 유익합니다. 익스플로잇과 마찬가지로, 우리 센서에
감지된 멀웨어는 실제 감염이 아니라 코드를 무기화하고 표적과
시스템에 공격을 시도한 것입니다. 감지는 다양한 장치에서
네트워크, 애플리케이션, 호스트 수준에서 나타납니다.
1분기 데이터를 조사하는 동안 멀웨어가 이전 분기에 비해 매트
릭스의 위쪽 사분면에서 줄어들었다는 것이 가장 먼저 눈에 띄었
습니다. 그림 8은 2017년 4분기에 1%(출현율) 및 100,000(볼륨)
임계값을 넘은 변수를 나타내고 그림 9는 2018년 1분기에 대한 같은
변수를 나타냅니다. 지금은 잠시 이름은 잊고, 샘플에서 불과 3개의
멀웨어 종류만 기업의 10% 이상에 확산되었다는 것만 기억하십시오.
지난 분기에 뛰어난 성과를 달성한 덕분에 이번에는 그중 하나
(Riskware/Agent)가 나타났습니다. 갑자기 예전보다 멀웨어 종류가
줄어든 것을 보면 이게 무슨 일인가 싶을 것입니다. 간단히 말하면,
“크립토재킹” 때문입니다. 이제 설명을 해보겠습니다.
11
멀웨어 동향
그림 8. 2017년 4분기 상위 멀웨어 종류(그림 10과 비교)
그림 9: 2018년 1분기 상위 멀웨어 종류
Adware/MyWebSearch
JS/Agent.DVU!tr
JS/Agent.QUR!tr.dldr
JS/Nemucod.3218!tr
JS/Nemucod.405F!tr.dldr
JS/Nemucod.DSQ!tr.dldr
LNK/Agent.309!tr.dldr
LNK/Agent.7346!tr.dldr
LNK/Agent.AG!tr.dldr
LNK/Agent.EDF!tr.dldr
LNK/Agent.F6C8!tr.dldrLNK/Agent.IA!tr.dldr
Riskware/Agent
Riskware/Asparnet
Riskware/BitCoinMiner
Riskware/BitCoinMiner93EA
Riskware/FusionCore
VBA/Agent.9E9D!tr
VBA/Agent.FPV!tr
VBA/Agent.FRG!tr.dldr
VBA/Agent.FSY!tr.dldr
VBA/Agent.GNQ!tr.dldr
VBA/TrojanDownloader.FLP!tr
VBS/Agent.06D5!tr.dldr
VBS/Agent.7481!tr.dldr
VBS/Agent.PDB!tr.dldr
VBS/Agent.PEC!tr.dldr
VBS/Agent.PGB!tr
VBS/Agent.PGJ!tr
VBS/Agent.PKF!tr.dldr
VBS/Agent.PKK!tr.dldr
VBS/Agent.PLN!tr.dldr
VBS/Locky.D!tr.dldr
VBS/Nemucod.391C!tr.dldr
VBS/Nemucod.B02D!tr.dldr
W32/Autorun.GV!worm
W32/BackDoor.Prosiak.65
W32/Injector.DTAI!tr
W32/LdPinch.FBW!tr.pws
W32/PECompact!tr
W32/StartPage.NIK!tr
100k
1m
10m
10회 중100
10회 중10
출현율
규모
JS/Agent.DVU!tr
JS/Nemucod.DSQ!tr.dldrMalware_fam.gw
Riskware/Agent
Riskware/Asparnet
Riskware/BitCoinMiner
Riskware/CoinHive
Riskware/CoinMiner
Riskware/Mimikatz W32/BDoor.IY!tr.bdrW32/Coinminer.0759!tr
W32/Dx.CH!tr
W32/Injector.DVFA!tr
W32/PECompact!tr
W32/Regrun.RU!tr
W32/StartPage.NIK!tr
100k
1m
10m
출현율
규모
멀웨어가 컴퓨터를 탈취해 암호 화폐를 채굴하는 것(일반적으로 웹
브라우저에 로딩된 스크립트 사용)을 크립토재킹이라고 합니다.
그림 9에서 다른 멀웨어 종류 2개가 1/10 출현율 선을 넘은 것이
보이십니까? 맞습니다. 두 멀웨어 모두 이름에 “코인”이 들어가고
2018년 초반에 경이적인 성장을 보였던 위협을 대표합니다.
10회 중100
10회 중10
멀웨어가 센서에 탐지되었습니다. 지난 2분기 동안 크립토재킹이
보여준 것처럼 위협이 바로 전면에 등장하는 경우는 매우 드문
현상입니다.
이런 흐름에 통계적 수치를 입혀보겠습니다. 2017년 4분기에 기업의
13%가 암호 화폐 채굴 멀웨어를 보고했습니다. 2018년 1분기에는 그
숫자가 28%로 두 배 이상 급증했습니다. 그림 10을 보면, 전 세계
모든 지역에서 동일한 1분기(파란색) 대비 4분기(빨간색) 비율로
12
그림 10: 지역별 크립토재킹 출현율 증가
멀웨어 동향
지난 분기
이번 분기
전체오세아니아
유럽아시아
북미아프리카
중남미중동
0% 10% 20% 30% 40%
출현율
그림 11: 상위 암호 화폐 채굴 멀웨어
Adware/BitCoinMiner
Adware/CoinMiner
Android/Coinge
Android/Coinhive_JavaScript_cryptocoin_Miner
ELF/BitCoinMiner
HKTL64_COINMINER
JS/BitCoinMiner
JS/Coinhive
JS/CoinMine
JS/CoinMiner
JS/CryptoMiner
Linux/BitCoin
Linux/CoinMiner
LNK/VenusMiner
MSIL/CoinMiner
MSIL/CoinStealer
Riskware/Bitcoin_Miner
Riskware/BitCoinMiner
Riskware/BitCoinMinor
Riskware/BitMiner
Riskware/CoinHive
Riskware/CoinMiner
Riskware/LinuxBitCoinMiner Riskware/MoneroMiner
VBS/Agent
VBS/CoinMiner
W32/Bitcoin
W32/Bitcoin_Miner
W32/Bitcoin_Miner!tr
W32/BitcoinMiner
W32/BitCoinMinerW32/BitMiner
W32/CoinMin
W32/CoinMinder
W32/CoinMiner
W32/COINMINER_HB070025
W32/XMRig_Miner
W64/BitCoinMiner
W64/CoinMiner
10
100
1k
10k
100k
1m
규모
화폐 채굴 멀웨어는 여러 운영 체제뿐만 아니라 비트코인이나
모네로 같이 여러 종류의 암호화 화폐를 표적으로 삼습니다. 악성
JavaScript를 (정상적인) 웹페이지에 심어서 방문하는 호스트를 감염
시키는 파일 없는 “JS/” 종류도 새롭게 등장했습니다.
크립토재킹은 증가했을 뿐만 아니라 벡터와 전략도 다양해지고
있습니다. 그림 11은 암호 화폐 채굴 멀웨어에만 집중하여 그림 9를
바꾼 것입니다. 이 그림을 보면 암호 화폐 채굴 멀웨어가 새로운
위협인 것에 비해 놀라울 정도로 다양한 것을 알 수 있습니다. 암호
100회 중1회
10회 중1회
10k회 중1회
1k회 중1회
암호화 화폐 채굴자들은 전파 기술을 강화하는 한편, 사용한 CPU
용량을 속여 더욱 은밀하게 움직이고 있습니다. 초기 세대는 욕심을
내다가 눈에 띄게 움직임이 느려져 자주 탐지되었습니다. 이런
멀웨어는 CPU를 사용한 양과 시점을 변경해서 더 오랜 기간 시스템
에 머무를 수 있게 되었습니다.
크립토재킹의 폭증에 대해 할 이야기는 많지만, 핵심은 범죄자들이
돈을 따라가고 목표를 달성할 새로운 기회를 재빨리 포착한다는
것입니다. 이들은 시스템을 탈취해 암호 화폐를 채굴하면서 많은
이익을 얻을 수 있다는 것을 발견했고, 이 사업 모델에 대한 투자와
혁신이 지속해서 일어날 것입니다.
암호 화폐 채굴자들이 다른 성공한 위협에서 어떻게 전달 및 전파
수단을 가져왔는지는 그림 11에서 바로 알기는 어렵습니다. 절묘한
이름을 가진 WannaMine 멀웨어는 악명 높은 WannaCry 랜섬웨어가
익스플로잇한 ETERNAL BLUE 취약성을 활용합니다. 최근 크립토
재킹 캠페인에서 NotPetya가 Mimikatz(횡적 이동에 매우 널리 사용
되는 자격 증명 유출 도구)를 사용한 수법을 그대로 따라 하기도 했습
니다. 지난 가을에 Equifax를 등장시킨 Apache Struts 취약성은 어떻
게 되었을까요? 네, 암호 화폐 채굴자들이 사용하고 있습니다. 지난
섹션에서 언급한 새로운 Drupal 취약성도 벌써 크립토재킹에서 XMRig
를 통해 무기화되었습니다.
13
과감하고 파괴적인 맞춤형 공격
멀웨어 동향
SamSam은 2015년 말에 처음 등장했고 최근까지도 상당히 중요도
가 낮은 위협이었습니다. 하지만 개발자가 1분기에 존재감을 드러
내며 보건 의료, 교육 기관에서 지방 정부에 이르기까지 다양한 기관
을 표적으로 삼았습니다. 이런 집중적 대량 배포 전략은 매우 효과적
이었습니다. 3월에 SamSam은 애틀랜타 시에 대대적인 공격(방해
행위)을 해서 시장이 “인질극”이라고 말하기까지 했습니다. 이번
사건에서는 온라인 청구서 결제와 법원 예약 서비스만 표적으로
삼았지만, “엄청난 문제를 일으킬 수 있다”는 메시지는 정확히 전달
되었습니다.
올림픽은 전 세계 사람들이 분쟁을 접어두고 속도, 힘, 기술 등을
겨루는 경기에 참여하는 행사여야 합니다. 하지만 Olympic Destroyer
를 배포한 범인들은 다른 계획을 세웠습니다. 이들이 가한 공격으로
2018년 평창 올림픽 개막식 직전에 IT 시스템이 일시적으로 중단
되는 사고가 있었습니다. 이륙은 불안했지만 올림픽팀은 무사히
착륙해서 성공리에 개막식을 마쳤습니다. 하지만 앞으로 얼마나 더
재해를 막을 수 있을까요?
앞서 설명하였듯이 멀웨어에 맞춤형 사양과 파괴적 성향이 결합한
것은 미래에 암운을 드리웁니다. 이상하게 들리겠지만, 지난 10년간
대부분 멀웨어가 추구하던 은밀하게 움직이고 명령 및 제어하는
전략으로 인해 많은 기업이 방어벽을 낮추게 되었습니다. 탐지와
대응이 큰 어려움으로 떠올랐습니다. 웜과 파괴적 멀웨어가 다시
전면에 나선 지금이야말로 가드를 올릴 때입니다.
그림 9에서 멀웨어 분포가 비교적 줄고 크립토재킹이 급증했지만, 1
분기에 사이버 범죄자들이 다른 장난을 멈췄다고 성급한 결론을
내린다면 오산입니다. 대량의 파괴적인 페이로드와 함께 종합적인
맞춤형 공격을 가한 사건도 상당수 있었습니다. 사실, 이번 섹션에서
는 그와 관련된 이야기를 해보려고 합니다.
지난 1월에 GandCrab이 나타났고 랜섬웨어로써 처음으로 Dash 암호
화폐를 결제 수단으로 사용해 두각을 드러냈습니다.
Europol에 따르면 1개월도 못 되어 피해자가 50,000명에 달했다고
합니다. GandCrab이 인질로 잡은 파일을 복호화하는 도구가 곧
공개되었으나 Agile 개발 방법을 사용한다고 알려진 개발자는 Gand-
Crab 2.0으로 신속히 대응했습니다. 개발자는 복호화 방지 메커니
즘을 강화하는 동시에, GandCrab 랜섬록 인터페이스를 업데이트
했습니다. 정말 굉장한 서비스 아닙니까?
BlackRuby도 2월에 나타났을 때 영리한 이익 창출 수단을 추가했
습니다. BlackRuby는 실행되는 즉시 freegeoip.com API를 이용해
피해자의 컴퓨터가 있는 위치를 알아내고(더 나은 복호화 가격 설정
이 목적) 앞서 언급한 XMRig 채굴 구성 요소를 실행해 피해자에게서
추가로 이익을 창출합니다. 여기저기서 이익을 얻으니 좋겠죠?
미국 정부 기관은 HIDDEN COBRA로 알려진 북한 정부 위협 집단의
멀웨어 변종을 조사한 합동 멀웨어 분석 보고서를 내놓았습니다. 이
변종은 HARDRAIN과 BADCALL로 알려졌는데, 프록시 서버(HARDRAIN/
BADCALL), 원격 액세스 도구(RATs), Android에서 실행되는 ELF ARM
바이너리(HARDRAIN), 네이티브 Android APK 바이너리(BADCALL)에
대한 혁신적 기능이 포함되어 있습니다.
14
Air France: 1
Asus: 1
Citrix: 2
D-Link: 1
F-Secure: 3
Google: 1
Huawei: 1
IDM Solutions: 1
Imagely: 2
Magento: 1
Microsoft: 2
Nitro Software: 1
Swisscom: 2
Tableau Software: 1
Yandex: 2
Zoho: 1
2018년 1분기에 포티넷이 공개한 제로데이 취약성과 관련된 공급업체 목록은 아래 표에서 확인할 수 있습니다. 여러분도 보다시피, 우리 모두
일상적으로 사용하는 제품에 영향을 미칩니다. FortiGuard Labs 조사팀이 분명 뛰어난 인재들입니다. 하지만 솔직히 말해서 요즘은 착한
해커든 나쁜 해커든 누구나 제로데이 취약성을 쉽게 찾아서 손에 넣을 수 있습니다.
FortiGuard Labs 조사팀은 끊임없이 변화하는 위협 동향을 앞서
나가면서도 고객이 시중의 여러 제품과 소프트웨어 애플리케이션
의 취약성을 파악하도록 돕습니다. 이러한 노력의 일환으로 제로
데이 취약성을 찾아서 해당 공급업체에 책임감 있게 공개하고
공개적으로 취약성을 발표하기 전에 패치 또는 복구 업데이트를
제공하도록 합니다.
미니 포커스: 제로데이 시장의 성장
미니 포커스: 제로데이 시장의 성장
간단히 보는 통계
2018년에 45개 제로데이 발견
2017년 4분기에 38개 제로데이 발표
2017년에 214개 제로데이 발견
2006년 이후로 556개 제로데이 발견
표 1. 2018년 1분기 포티넷이 공개한 제로데이 공급업체
화이트햇 시장: 포티넷과 같은 내부 조사 활동 외에도 독립적인 법인/정부 후원 버그 제보 프로그램이 늘어나고 있습니다. 어떤 프로그램은
특별히 좋은 익스플로잇을 찾아내면 20만 달러까지 포상금을 줍니다. 이 시장의 구매자는 연구 커뮤니티의 도움을 받아 취약성을 알아내
고치고자 하는 공급업체부터 의도를 숨긴 정부 기관까지 다양합니다.
그레이햇 시장: 공급업체 프로그램과 포상금을 지급하는 합법적 기업 외에도 고객을 대신해 버그를 구매해주는 “제로데이 브로커”도
있습니다. 일반적으로, 이 시장의 구매자와 판매자는 익명이며 나름의 장단점이 있습니다. 조용히 연구자에게 보상을 제공하고 싶은
공급업체도 있겠지만, 적대 국가, 사이버 범죄 기업, 기타 악의적 의도를 품은 사람이 구매자가 될 수도 있습니다. 판매자는 취약성이 상품을
안전하게 하는 데 사용되는지 다른 사람에게 피해를 주는 데 사용되는지 알 길이 없고 이를 통제할 수도 없습니다.
블랙햇 시장: 양심의 가책을 버리고 제로데이를 암시장에 판매할 수도 있습니다. 암시장이 성장하면서 모든 통념이 깨졌습니다. 어떤
취약성과 익스플로잇은 대중에게 노출되기도 할 것입니다. 그래서 위협 조사자들이 사이버 범죄자의 제로데이 개발과 배포가 늘어나고
있다는 것을 확인할 수 있었습니다.
암시장 내부에 속하지는 않아도 근처에 붙어서 활동하는 일부 전문 조직들은 제로데이를 발견하거나 구매하는 것보다 훔치는 것이 낫다고
생각하게 되었습니다. 최근에는 The Shadow Brokers라는 집단이 훔친 제로데이를 공개하고 NSA에서 사용하던 것이라고 주장했습니다. 그중
하나인 EternalBlue는 악명 높은 WannaCry 랜섬웨어 및 WannaMine 크립토재킹 캠페인에서 사용되었습니다.
봇넷 동향
16
봇넷 동향
그림 12: 2018년 1분기 일일 봇넷 출현율
봇넷 동향
간단히 보는 통계
고유 봇넷 감지 268건(+3%)
기업당 활성 봇넷 6.6개(-37%)
기업당 활성 봇넷 1.8개(0%)
2.8%가 봇넷을 10개 이상 보고(-1%)
최근 1일간 봇넷 감염 58%
최근 7일간 봇넷 감염 5%
0%
5%
10%
15%
20%
25%
1월 2월 3월 4월
일일
출현
율
출현율10k 100k 1m 10m 100m
규모
그림 13: 큰 움직임을 보인 봇넷
일반적으로 익스플로잇과 멀웨어 동향이 공격 전의 모습을 나타낸
다면 봇넷은 공격 후의 시점을 보여줍니다. 봇넷에 감염되면 시스템
은 대개 원격 악성 호스트와 통신합니다. 기업 환경에서 이런 트래픽
이 나타나면 무언가 잘못되었다는 뜻입니다. “실수에서 배울 수 있다”
는 관점에서는 이런 데이터 세트가 유용합니다.
봇넷은 절대 “조용”해지지 않지만 봇넷 데이터가 익스플로잇과 멀웨어에 뒤처친 시기가 있다면 2018년 1분기라고 할 수 있습니다. 그렇다고
배우거나 분석할 점이 없다는 의미는 아닙니다. 이야기를 풀어놓는 동안 잘 따라와 주시기 바랍니다. 먼저 아래 표에 있는 봇넷 중 이번 분기에
“이동이 가장 큰 것”부터 시작하려고 합니다.
100회 중1회
10회 중1회
1k회 중1회
CerberToopuVortex
MumblehardAlina
MaganiaDyzapDridex
POSRAMTofsee
MazbenChanitorNeutrino
NSISJeefo
GaniwTorpigXtreme
SalityAndromeda
VortexDridexQuasarTofsee
POSRAMDyre
TeslacryptAlina
MazbenVirut
AndroidCridexJeefo
XtremeCerber
NeutrinoRamnit
SalityAndromedaZeroaccess
17
그림 14: 지역별 출현율 기준 봇넷
봇넷 동향
1.1%
6.5%
3.1%
2.7%
0.6%
3.9%
5.2%
27.3%
20.4%
3.5%
17.1%
21.3%
11.8%
9%
12.7%
15%
8.5%
17.1%
14%
10.4%
6.4%
4.2%
7%
3.2%
4.2%
4.2%
3.3%
3.9%
37.4%
37.2%
64.6%
36.2%
35.9%
48%
59.9%
19.9%
7.8%
2.8%
15.6%
8.9%
7.2%
3.6%
4.4%
4.3%
2.4%
6%
2.8%
2.9%
3%
19.2%
19.1%
4.4%
18.3%
18.5%
11.7%
9.4%
6.1%
3.8%
1.2%
4.5%
4.4%
2.4%
3%
2.3%
4.5%
2.5%
1.1%
1.4%
1.9%
4.4%
26.8%
24.5%
37.3%
26.2%
22.4%
34.2%
31.8%
16.9%
11.3%
2.6%
4.5%
11.7%
4.9%
6.2%
19.5%
14.3%
5.6%
11%
17.1%
10.3%
6.7%
5.3%
5.7%
8.4%
6.3%
6.3%
6.6%
5.9%
7.6%
8.4%
10%
9.3%
6.8%
8.4%
8.7%
4.8%14.5% 12.7% 4.9%50.4% 7.9% 3.8%14.1% 3.2% 3%34.3% 7.3%12.1% 7.6%9.8%
Gh0st
Pushdo
Androm
eda
Necurs
Confick
er
Sality
Zeroac
cess
H-wormRam
nitXtr
eme
FinFish
er
Android
Mariposa
njRAT
Nymaim
이 정도 규모로 공격면이 넓으면 봇넷이 광범위한 혼란을 일으킬
가능성이 있습니다. 포티넷 조사 결과에 따르면, Okiru는 한동안
ARC 프로세서를 겨냥하다가 다른 아키텍처로 더욱 표적을 좁혀,
Mirai 기반 봇넷으로 익스플로잇을 더욱 강화했습니다. 따라서
Okiru에 대한 경계를 늦추지 말아야 합니다.
Okiru는 위의 그림에 들어갈 정도는 아니었지만 1분기 봇넷 섹션에서
언급할 만한 가치가 있습니다. 1월에 발견된 새로운 종류의 Okiru
봇넷은 Argonaut RISC Core(ARC) 프로세서를 표적으로 삼습니다. 이
프로세서는 190개국 이상에서 허가를 받은 10억 개가 넘는 IoT 장치의
SoC(System on Chip)에 널리 사용되기 때문에 매우 중요합니다.
그림 13에서 “증가” 측면을 살펴보겠습니다. Xtreme의 출현율이 두
배나 뛰어 오른 것은 얼핏 보아도 놀라울 정도입니다. 하지만
Xtreme이 생긴 지 벌써 몇 년 되었고 다수의 캠페인을 거친 것을
알면 그 놀라움이 다소 반감됩니다. Gh0st(모든 지역에서 출현율 1
위)와 ZeroAccess(출현율 7위, 볼륨 2위)는 몇 주째 센서에서 탐지가
눈에 띄게 증가했지만 이미 “평소 수준”이 지나치게 올라버려서
이번 분기에 가장 많은 움직임을 보인 봇넷으로 보기는 무리가
있습니다. 그 외에는 그림 12와 그림 13에 많은 봇넷이 중복되고
판도에 큰 변화는 없습니다. 그렇다면 우리가 직접 재미있게 게임을
바꾸어 보겠습니다.
그림 13에서 1분기에 대부분 봇넷이 음의 방향으로 움직였습니다.
Andromeda가 그 목록의 제일 윗자리를 차지하게 된 이유를 간단히
설명하겠습니다. 2017년 4분기에 주요 법 집행기관에서 대대적인
단속에 나섰습니다. 엄청난 타격을 받았음에도 불구하고 Androm-
eda가 전 세계적으로 탐지되는 봇넷 3위를 벗어나지 않았다는 사실
(그림 14 참조)은 아직 이빨이 빠지지 않은 히드라의 머리가 많이
남아 있다는 것을 의미합니다. 미니 포커스 하나를 Andromeda의
사후 생활에 할애했기 때문에, 지금은 살아 있는 봇넷의 세계로
돌아오도록 하겠습니다.
아프리카
아시아
유럽
중남미
중동
북미
오세아니아
전체
18
봇넷 동향
58.5%
17.6%
7.3%4.2% 3.8% 2.7% 0.9% 0.7% 0.5%
0%
20%
40%
60%
1 2 3 4 5 6 7 8 9
연속 탐지 일수
탐지
비율
그림 15: 봇넷 감염 지속성
0 1 2 3 4 5
평균 일수
그림 16: 상위 봇넷의 감염 지속성 비교
하지만 이런 감염을 신속하게 발견해 복구 업데이트를 하고,
환경에서 위협을 제거하는 것(및 재감염을 예방하는 것)은 성공적
사이버 보안 프로그램의 특징입니다.
그림 15는 지속적 통신이 연속 며칠간 탐지되었는지를 기준으로
봇넷 감염이 얼마나 지속되는지 알아보았습니다. 표를 보면, 봇넷
감염의 58.5%가 같은 날에 탐지되어 삭제됩니다(기업은 해당
일에만 봇넷 보고). 봇넷의 17.6%가 연속 2일간 존속되었고 7.3%가 3
일간 지속되었습니다. 약 5%가 일주일 이상 지속되었습니다.
그림 9에서
몇 분기 전에 봇넷 감염과 “습격”에 대한 개념을 연구했습니다.
“습격”은 10개 이상의 활성화된 봇넷과 통신하는 네트워크를 의미
합니다. 환경이 더럽다는 것을 나타내는 흥미로운 지표이기 때문에
그 이후로 습격 비율을 꾸준히 추적했습니다. 현재 전체 기업의 2.8%
수준입니다.
이 보고서에서는 봇넷 감염의 양면, 즉 지속성을 살펴보겠습니다.
아무리 방어력이 강한 네트워크라도 어느 시점에서는 감염이 될
수밖에 없다는 것은 다들 알고 있습니다.
가장 짧습니다. 다른 봇넷은 그 순서를 따르지 않는 것으로 보면
봇넷마다 퇴치의 용이함이 다르다는 것이 흥미롭습니다.
각 봇넷군의 지속성은 그림 16과 같습니다. 흥미롭게도 그림 14에서
가장 출현율이 높은 봇넷 2개가 그림 16에서 복구 업데이트 기간이
Gh0stLethic
PushdoZeroaccess
DorkbotBunitunjRAT
ConfickerAndromeda
MariposaNecurs
H-wormRamnit
SalityMirai
19
미니 포커스: 죽은 봇넷과의 교감
미니 포커스: 죽은 봇넷과의 교감
그림 17: ANDROMEDA에 감염된 기업은 봇넷에 더욱 잘 감염될까?
그림 18: 지역별 출현율 기준 Andromeda 봇넷
유럽오세아니아
북미중남미아시아
중동아프리카
0% 10% 20% 30%
출현율
앞서 설명한 바와 같이 Andromeda 봇넷은 2017년 4분기에 법 집행 기관의 대대적인 단속이 있었는데도 불구하고 센서 곳곳에서 자주
탐지되고 있습니다. 볼륨과 출현율 측면에서도 2018년 1분기에 봇넷 상위 3개에 들었습니다. 언뜻 보면 단속이 성공하지 못한 것처럼
보입니다. 하지만 자세히 분석한 결과, 보안 위생이 형편없기 때문으로 밝혀졌습니다.
Andromeda에 감염되지 않은 조직은다른 봇넷의 수도 적었음
조직
감염
률
고유 봇 수
Andromeda에 감염된 조직은 봇넷 보고율이 더 높은 경향이 있음
위의 봇넷 지속성에 대한 분석을 더욱 확대해 여전히 (죽은) Andromeda 봇넷과 통신하는 조직을 비교하고 다른 위협에도 감염되었는지
확인했습니다. 예상이 맞았습니다. 1분기에 Andromeda에 감염된 기업은 환경에서 활동 중인 봇넷이 3배 가까이 많았습니다.
Andromeda 감염을 형편없는 보안 위생 및/또는 느린 사고 대응 관행의 지표로 사용할 수 있는 것이 사실이라면, 그림 18은 어떤 문제가 가장
시급한지 나타냅니다. Andromeda의 유령이 사후에 어떤 삶을 살아갈지 관심을 가지고 모니터링하겠습니다.
권장사항
21
결론 및 권장 사항
01
02
03
04
결론 및 권장 사항
저희와 이 보고서를 함께 하면서 사이버 코끼리가 어떤 모습인지 알아내셨나요? 알아내셨기를 바랍니다. 이제 지금까지 보신
내용을 응용한 데이터 중심적 팁을 몇 가지 드리고자 합니다. 아래에서 그 팁을 확인하시거나, 이 보고서에서 다룬 자료에 대해
궁금한 점이 있으시면 포티넷에 문의해 주시기 바랍니다.
공격 전 정찰(익스플로잇)에서 무기화(멀웨어), 감염 후 명령 및 제어 단계(봇넷)까지 킬
체인 전체에 걸쳐 위협을 살펴보았습니다. 이를 통해 강력한 방어 구조를 모든 체인에 적용
해야 하는 이유를 알 수 있습니다. 여러분의 상황은 어떠십니까?
그림 3의 익스플로잇과 CVE는 “어떤 알림/취약성이 존재하는지” 확인하는 데 도움이 될
것입니다. 그림 4에 있는 가장 흔한 익스플로잇 표적도 정확한 서명 매칭을 넘어서 시야를
확대할 수 있기 때문에 참고하시면 좋습니다. 네트워크마다 고쳐야 할 것이 많기 때문에
방향성만 알아도 큰 도움이 됩니다.
이번 분기에 IoT 장치를 표적으로 하는 여러 익스플로잇이 차트에서 상위를 차지했습니다.
현재 다가오고 있는 폭풍을 잠재우려면 학습, 분리 및 보호 전략을 사용하시기 바랍니다.
먼저 ‘학습’은 네트워크에 연결된 장치, 구성 방식, 인증 방법을 아는 것이 중요합니다. 이를
완전히 파악하고 나면 기관에서는 맞춤형 정책에 따라 IoT 장치를 보안된 네트워크
영역으로 동적으로 ‘분리’합니다. 그 이후 네트워크 전체에서 통합된 지능적 보호
패브릭으로 분리된 부분을 서로 연결합니다. 특히, 액세스 포인트, 교차 세그먼트 네트워크
트래픽 위치, 다중 클라우드 환경에서의 연결이 중요합니다.
여러분의 기관이 ICS를 사용한다면 먼저 이런 기술과 관련된 사업적, 운영적 위험을
완벽히 평가하고 위험에 입각한 전략을 세우십시오. 영역, 통로, 경계, 보안 수준 정의하는
활동도 포함되며, 이는 OT와 OT 외 환경 간 통신을 제한하는 데 매우 중요합니다. 증가하는
공격으로부터 OT 환경을 보호하는 방법은 블로그 게시물에서 확인할 수 있습니다.
22
06
07
08
09
결론 및 권장 사항
05크립토재킹이 점점 더 기승을 부리고 사이버 범죄자들은 아주 만족스러운 표정을 짓고
있는 듯합니다. 시스템이 크립토재킹에 당해서 범죄자의 주머니를 채워주고 있는 것이
아닌지 걱정스럽다면 먼저 작업 관리자(Windows), 활동 모니터(Mac)를 점검하거나 Linux
명령줄에서 “top”을 확인하십시오. 이 도구를 사용하면 컴퓨터에서 실행 중인 모든 프로
세스 목록을 확인한 다음, 리소스를 소비하는 범인을 찾아서 차단할 수 있습니다.
죽은 말을 때려 봐야 무슨 소용이 있겠습니까만, 조직에서 비활성화된 봇넷이 여전히
통신하도록 남겨두는 것은 절대 용납해서는 안 됩니다. 사건이 일어난 후에 모든 엔드
포인트를 추적하기보다는 스마트 도구와 양질의 정보를 조합해 네트워크의 주요 지점에서
(죽었든 살았든) 봇넷의 통신을 탐지하고 근절하기 위한 능력을 키우십시오.
기본적인 사이버 보안 위생은 현실 어디에 있든 적용됩니다. 그러나 탐색적 분석에서 특정
위협 유형에서 지역적 차이가 존재한다는 것을 발견했습니다. 그에 따라 보안 전략이나
제어를 변경해야 하는지 평가하는 것은 점차 상호 연결되는 세상에서 현명한 대처가 될
것입니다.
이번 분기에 분석한 멀웨어에서 혁신과 파괴적 성향이 나타났습니다. 이는 크립토재킹의
상승세와 더불어 사이버 범죄에서 지속적으로 혁신이 일어나고 있다는 것을 나타냅니다.
조직을 범죄보다 앞서 보호하려면 블로그 게시물에서 관련된 권고 사항을 확인해보십시오.
봇넷 지속성 분석에서 대부분 감염이 하루 이내에 해결되지만 일부는 더 오래 지속된다는
것이 밝혀졌습니다. 사고 대응 계획과 절차 외에도 우수한 네트워크 분할 전략을 사용하면
감염이 내부에 확산되는 것을 제한해 감염 탐지와 퇴치에 걸리는 시간을 단축할 수 있을
것입니다.
23
출처 및 척도
규모 전반적인 빈도 또는 비율의 척도입니다. 위협 이벤트로 관찰된 총 횟수 또는 백분율을 나타냅니다.
출현율여러 그룹에 걸친 분포도 또는 침투성입니다. 위협 이벤트를 적어도 한 번 이상 발견하여 신고한
조직의 백분율5을 나타냅니다.
강도일간 규모 또는 빈도를 말합니다. 조직 한 곳에서 한 가지 위협 이벤트가 관찰되는 일일 평균
횟수를 말합니다.
출처 및 척도
4 출처: IDC 전 세계 보안 어플라이언스 추적기, 2017년 4월(연간 단위 출고량 기준)
5 당사는 위협 활동을 신고한 조직에서만 출현율을 측정할 수 있기 때문입니다. 어떤 봇넷의 출현율이 50%에 달하더라도 전 세계 기업 절반에 영향을 미친 것으로 해석할 수 없습니다. 봇넷 데이터 세트에 있는 기업 중 절반이 해당 봇넷을 목격했다는 의미합니다. 일반적으로 분모는 수만 개의 기업으로 구성됩니다.
표시된 단체에는 신원을 식별할 수 있는 정보를 전혀 포함하지
않습니다.
여러분도 쉽게 상상하시겠지만, 이러한 정보는 다양한 관점에서
사이버 위협 동향을 살펴볼 수 있는 훌륭한 시각을 제공합니다. 이
보고서에서는 그와 같은 동향의 중심에서 서로 보완적인 관계에
있는 주요 분야 세 가지, 즉 애플리케이션 익스플로잇, 악성
소프트웨어(멀웨어), 봇넷을 중점적으로 다루겠습니다.
이 보고서에서 밝히는 여러 가지 정보는 상용 서비스 시설에
포티넷이 구축한 방대한 네트워크 기기/센서 제품군에서 얻어서
포티가드 랩(FortiGuard Labs)에서 취합한 내용입니다. 여기에는
2018년 1월 1일부터 3월 31일까지 세계 각지에서 활발하게 움직이는
상용 서비스 시설에서 관찰된 수십억 개의 위협 이벤트와 사건 사고
등이 포함됩니다. 독립적 조사 결과에 따르면4, 포티넷의 보안 장치
점유율이 가장 크기 때문에 업계에서 가장 대규모로 위협 데이터
샘플 추출이 가능합니다. 데이터는 모두 익명 처리하며 샘플에
익스플로잇이 보고서에서 설명하는 애플리케이션 익스플로잇은 주로 네트워크 IPS를 통해 수집하였습니다. 이 데이터세트에서 취약한 시스템을 파악하기 위한 공격자 정찰(reconnaissance) 활동과 그러한 취약점을 악용하려는 시도를 살펴볼 수 있습니다.
멀웨어이 보고서에서 설명하는 멀웨어 샘플은 경계 기기, 샌드박스 또는 엔드포인트 등에서 수집 하였습니다. 이 데이터세트는 대체로 공격을 대상 시스템에 성공적으로 설치하는 단계가 아닌, 공격의 무기화나 전달 단계를 나타냅니다.
봇넷이 보고서에서 설명한 봇넷 활동은 네트워크 기기를 통해 수집하였습니다. 이 데이터세트는 침입을 받은 내부 시스템과 악성 외부 호스트 사이를 오가는 C2(Command & Control, C&C) 트래픽 을 의미합니다.
이 보고서에 포함된 수치에는 수많은 위협이 포함되어 있습니다. 몇
가지 위협에 대해서는 간략한 설명을 제공하지만, 분명 독자 여러분은
더 자세한 정보를 원할 것입니다. 이 보고서를 읽으면서 필요할 경우
포티가드 랩(FortiGuard Labs) 백과사전을 참조하십시오.
당사에서는 이와 같은 다양한 위협 동향의 측면 외에 데이터의
의미를 설명하고 해석하는 데 세 가지 척도를 사용합니다. 이 보고서
에서 규모, 출현율 및 강도라는 용어를 자주 접하게 될 것입니다.
이러한 용어는 항상 본문에서 제시한 정의를 준수하여 사용합니다.
Copyright © 2018 Fortinet, Inc. All rights reserved. Fortinet®, FortiGate®, FortiCare® 및 FortiGuard® 및 기타 상표는 Fortinet, Inc.의 등록상표입니다. 본문에 기재된 기타 Fortinet 관련 상품명/상호 등 또한 Fortinet의 등록 및/또는 관습법상 등재 상표일 수 있습니다.
다른 모든 제품 또는 회사명은 각각 해당되는 소유주의 등록상표일 수 있습니다. 본문에 기재된 성능 및 기타 지표는 이상적인 실험 조건 하에서 수행한 사내 연구소 테스트 결과로 획득한 것이며, 실제 성능 및 기타 결과는 다양하게 나타날 수 있습니다. 네트워크
변수, 서로 다른 네트워크 환경 및 기타 조건 등이 성능 결과에 영향을 미칠 수 있습니다. 본문의 어떤 내용도 Fortinet에서 법적 구속력이 있는 약속을 한다는 의미는 아니며, Fortinet은 명시적으로나 묵시적으로나 모든 보증을 부인하는 바입니다. 다만 Fortinet에서
법무 자문 위원의 서명 결재를 거친, 법적으로 유효한 서면 계약서를 체결하여 해당 계약서에 기재된 제품이 내용을 분명히 밝힌 특정 성능 지표에 따른 성능을 발휘할 것을 보증하는 경우는 예외입니다. 그러한 경우, 그와 같은 법적으로 유효한 서면 계약서에서
분명히 밝힌 특정 성능 지표만이 Fortinet에 법적 구속력을 발휘합니다. 의미를 확실히 해두기 위하여, 그와 같은 보장은 Fortinet의 사내 연구소 테스트를 실시한 조건과 동일한 이상적인 조건하에서의 성능에만 국한됩니다. Fortinet은 명시적으로든 묵시적으로든
본문에 따른 각종 약정, 대변 및 보장 등을 전체적으로 부인하는 바입니다. Fortinet에는 본 출판물의 내용을 변경, 수정, 전송 또는 여타의 형태로 개정할 권한이 있으며 본 출판물의 내용은 최신 버전을 적용하는 것으로 합니다.
2018년 5월 14일 월요일
본사Fortinet Inc899 Kifer RoadSunnyvale, CA 94086United States
408 235 7700전화 : +1www fortinet com/sales
포티넷 코리아서울특별시 강남구 영동대로 325 (대치동, 해암빌딩 15층)전화: 080-559-8989메일: kr-callcenter@fortinet com홈페이지: www fortinet com/kr페이스북: www facebook com/fortinetkorea