[아이티데일리] 새로운 형태의 ‘서비스 파괴(DeOS)’ 공격이 등장할 것이란 전망이 나왔다.

31일 시스코는 이같은 내용이 담긴 보안 위협 동향과 해결책을 담은 ‘2017 중기 사이버보안 보고서(Cisco 2017 Midyear Cybersecurity Report)’를 발표했다.

시스코는 빠르게 진화하는 시스템과 데이터 복구에 필수인 기업의 백업 및 안전망(safety net)까지 파괴하는 ‘서비스 파괴(Destruction of Service)’ 공격에 대해 경고했다. 또한 사물인터넷(IoT) 등장으로 주요 산업에서 온라인 운영이 늘면서 공격 범위와 규모, 영향력 역시 커지고 있음을 지적했다.

익스플로잇 줄어든 반면 전통적 공격 늘어나

시스코 보안 연구원들은 보고서를 통해 2017년 상반기 멀웨어(malware)의 진화를 관찰하는 한편, 공격자가 어떻게 전달(delivery)하고 난독화(obfuscation)하며 회피 기법을 조정하는지 등의 변화가 있었다고 지적했다.

공격자는 피해자가 링크를 클릭하거나 파일을 열어 위협 요소를 활성화하도록 유도했다. 또한 공격자는 파일 없는(fileless) 멀웨어를 개발하고 있다. 이는 메모리에 상주하고 기기가 재부팅될 때 삭제되므로 탐지나 조사가 더욱 어렵다. 이 밖에 명령 제어(C&C) 활동을 숨기기 위해 토르(Tor) 프록시 서비스와 같은 익명의 분산 인프라를 이용한다.

또한 익스플로잇 키트(exploit kit)가 눈에 띄게 줄어든 반면 전통적 공격 방식이 부활하고 있음을 확인됐다. 이에따라 스팸 발생량이 증가하고 스파이웨어나 애드웨어, 서비스형 랜섬웨어의 성장 등이 주요 화두로 떠올랐다.
 

침해 탐지 시간 단축 필요

시스코는 떠오르는 위협의 대응 방법으로 위협 침해와 탐지 사이의 시간을 나타내는 ‘위협 탐지 시간(Time-To-Detection, TTD)’ 단축을 강조했다. 탐지 시간 단축은 공격자의 활동 영역을 제한하고 침입 피해를 최소화하는 데 큰 역할을 한다.

이와 더불어 시스코는 기업들에게 ▲인프라와 애플리케이션을 최신 상태로 유지할 것 ▲통합적인 방어를 통해 복잡성을 해결할 것 ▲회사 주요 임원을 초기 단계부터 참여시킬 것 ▲명확한 지표를 설정하고 이를 활용해 보안 프랙티스를 검증 및 개선할 것 ▲직원 보안 교육을 검토할 것 ▲방어와 적극적인 대응 간 균형을 유지할 것 등을 조언했다.

배민 시스코 코리아 보안 솔루션 사업 총괄 상무는 “워너크라이, 네티야에서 보듯 최근 공격의 진행 방식은 점점 더 창의적으로 진화하고 있다. 보안 사고 이후 대다수 기업이 개선 조치를 취했지만 공격자와 경쟁은 끊임 없이 계속될 것”이라며 “복잡성은 보안을 방해하고 사용 제품이 많을수록 간과된 취약점과 보안 틈이 많아져 오히려 공격자에게 엄청난 기회를 준다. 탐지 시간을 줄이고 공격 영향을 최소화하기 위해 기업은 가시성과 관리 능력을 높인 통합적이고 구조적인 방식을 통해 부서 간 ‘보안 격차’를 좁혀야 한다”라고 말했다.