[데이터넷] 사이버 공격자들은 악성코드 탐지 솔루션을 우회하는 파일리스 방식을 활용하거나 정상 프로세스를 활용해 공격 목표를 달성하는데 더욱 더 지능적으로 움직이고 있다. 트렌드마이크로 ‘2019 중간 보안 위협 보고서’에 따르면 상반기 탐지된 파일리스 공격은 전년 동기 대비 265% 증가한 것으로 나타났다.
보고서에서는 파일리스 공격 뿐 아니라 기존 보안 필터로는 탐지할 수 없는 고위험 공격이 더 많이 감행됐으며, 레지스트리에서 시스템 메모리를 대상으로 이뤄지고, 적법한 툴을 악용한다. 이 중 하나인 익스플로잇 킷 공격은 전년 상반기 대비 136% 늘어난 것으로 분석됐다.
상반기, 크립토마이닝 가장 많아
지난 상반기 중 가장 많이 탐지된 공격은 크립토마이닝 멀웨어로, 공격자들은 서버와 클라우드 환경에서 해당 공격을 지속적으로 감행했다. 트렌드마이크로가 지난해 전망한 바와 같이 내부로 들어오는 공격과 연계된 라우터 수도 전년 동기 대비 64% 증가했다. 해당 공격에는 노출된 기기를 탐색하는 미라이 변종도 더 많이 내포된 것으로 나타났다.
해커가 갈취한 자산으로 공격 대상을 협박하는 행위를 일컫는 ‘디지털 익스토션(Digital Extortion)’이 지난해 하반기 대비 319%나 증가했다. 비즈니스 이메일 침해 역시 주요한 위협으로 지난 하반기에 비해 52% 늘어났다. 랜섬웨어에 감염된 파일, 이메일 및 URL도 77% 더 많이 탐지됐다.
▲파일없는 공격 증가 추세(좌), URL 액세스 차단 건수(우) |
데브옵스·컨테이너 환경의 취약점 증가
상반기에는 데브옵스(DevOps) 환경에서 사용되는 컨테이너 플랫폼 및 도구에 대한 취약점도 전년 동기 대비 더 많이 보고됐다. 이는 데브옵스 소프트웨어 사용이 늘어나면서 예견된 결과이며, 동시에 워크플로우나 개발 체계에 최대한 보안을 빨리 적용하는 것이 중요하다는 것을 입증하고 있따.
가장 두드러지는 취약점은 도커, 쿠버네티스 등 컨테이너 플랫폼의 런타임을 구성하는 runC의 취약점인 CVE-2019-5736였다. 공격자들이 해당 취약점을 효과적으로 공격하면 컨테이너를 운영하는 호스트를 완벽하게 장악할 수 있으며 생산 환경에 악성 컨테이너를 배포할 수 있게 된다.
또 다른 주요 취약점으로는 쿠버네티스의 명령과 리소스 관리를 실행하는 커맨드 라인 인터페이스 취약점인 CVE-2019-1002101가 있다. 해커들은 해당 취약점을 공격하면서 또 다른 취약점과 연계해 불법적으로 컨테이너에 접근하고 유저들이 악성 컨테이너 이미지를 다운로드 받도록 유도한다.
공격 91%, 이메일 통해 유입
한편 트렌드마이크로는 2019년 상반기동안 268억 건이 넘는 위협을 차단했으며 이는 전년 동기 대비 60억 건 더 많은 수치다. 이 중 91%는 이메일을 통해 기업의 네트워크에 침입한 것으로 밝혀졌다. 이처럼 고도화된 위협을 완화하기 위해서는 데이터를 게이트웨이, 네트워크, 서버, 엔드포인트에 걸쳐 연계하고 공격 식별 및 차단 역량을 최대화 할 수 있는 지능적인 심층방어 체계를 갖추는 것이 필수적이다.
김진광 트렌드마이크로 한국 지사장은 “오늘날 기업들의 기술과 범죄자들의 공격이 지능적으로 변하면서 사이버 보안은 더욱 고도화되고 눈에 띄지 않게 되었다. 공격자들은 의도적이면서도 목표가 확실히 설정된 교묘한 공격을 감행해 사람들과 비즈니스 프로세스 및 기술로부터 교묘하게 이득을 취하고 있다”며 “하지만 기업의 경우 디지털 트렌스포메이션과 클라우드 마이그레이션이 도래하며 노출되는 공격 지점이 확대되고 있는 상황이다. 기업들이 이에 대응하기 위해선, 전문성을 갖춘 인력과 고도화된 보안 기술을 결합해 위협을 감지 및 대응하고 완화할 수 있는 기술 파트너가 필요하다”고 강조했다.