파이어아이, “기업들 3 분마다 진화된 사이버 공격 위협 받아”

- ‘2012년 하반기 보안 위협 동향 보고서’ 발표

- 기업을 대상으로 증가하고 있는 진화된 공격과 침입 위협에 대한 통찰력 제공

- 파이어아이 멀웨어 인텔리전스 연구소의 트렌드 분석과 연구 결과 기반

뉴스 제공

2013-04-04 11:35

가

가 가 가 가

서울--(뉴스와이어)--기업들이 평균 3분마다 진화된 사이버 공격 위협에 노출되는 것으로 밝혀졌다. 이와 같은 결과는, 지능형 사이버 공격 방어 기술 선도업체인 파이어아이(지사장 전수홍, www.fireeye.com)가 금일 발표한 ‘2012년 하반기 위협 동향 보고서(2H 2012 Advanced Threat Report)’에 따른 것이다.

파이어아이가 이번에 발표한 최신 위협 동향 보고서는 전 세계 파이어아이 고객사에 공급된 수 천여 개의 장비를 통해 취합된 8천 9백만 악성코드 보고서와 이에 대한 분석 인텔리전스를 기반으로 작성되었다. 파이어아이는 보고서를 통해 고도화된 악성코드 활동이 점차 증가하고 있다고 밝혔으며, 악성 이메일 첨부 파일이나 웹 링크 또는 멀웨어 등의 보안 위협이 기업의 기존 보안 시스템을 평균 3분마다 우회 및 위협하고 있다고 보고했다.

파이어아이는 본 보고서를 통해 방화벽, 차세대 방화벽, IPS, 안티바이러스 및 보안 게이트웨이와 같은 전통적인 방어 시스템을 우회하는 최근의 진화된 사이버 공격에 대한 글로벌 통찰력을 전달하고, 오늘날 기업 네트워크의 침입 수준, 진화된 APT 공격과 현재의 위협 동향에 대한 포괄적인 정보를 제공했다.

또한 특정 산업에서 일어나고 있는 보안 동향에 대한 세부 정보뿐 아니라, 2012년 한해 동안 발생한 정교화된 지속 공격에 대한 사례연구를 발표해, 기업을 대상으로 증가하고 있는 지능화된 위협에 대한 통찰력을 제공한다. 이번 2012년 하반기 파이어아이 위협 동향 보고서의 핵심 내용은 다음과 같다.

<2012년 하반기 위협 동향 보고서 핵심 내용>

평균 3분마다 기업에 대한 공격 발생

산업별 특성에 따라 악성코드 발생 비율은 상이하다. 기술 기업의 경우 1분당 1번의 보안 위협을 경험하는 등 높은 수치를 나타낸 산업 군이다. 이렇듯 주기적인 공격을 받는 업계가 있는 반면에, 일부 산업 군은 불규칙한 공격을 받는다.

지적재산권이 집중된 기술 기업에 공격 많아

지적재산권이 집중되어 있는 기술 기업은 공격에 가장 타깃화된 산업 군으로, 악성코드와 같은 보안 위협에 집중적인 공격을 받는다. 이러한 산업 군의 공격 빈도는 두 번째로 공격을 많이 받는 업종과 무려 2배나 높다.

주기적인 공격을 받는 산업 군이 있는 반면에, 불규칙한 공격을 받는 곳도 있음

핵심 이벤트나 공격자들은 특정 산업에 선택적으로 집중하기 때문에 기술 기업과 같은 특정 산업 군이 매우 일관성 있는 공격을 경험하는 반면, 헬스케어와 같은 업종은 불규칙한 공격을 받는다.

진화된 악성코드 캠페인을 시작하는 가장 일반적인 방식인 스피어 피싱(Spear Phishing)

공격자들은 스피어 피싱 이메일을 전달할 때, 예측하지 못한 사용자가 악성코드를 열어 공격이 개시되게 하기 위해 파일명을 흔한 비즈니스 용어로 선택한다. 이러한 용어들은 ‘선적 및 배달업’, ‘금융’, ‘일반적인 비즈니스’ 등의 세 가지 일반적인 카테고리로 분류된다. 가장 흔하게 악용되는 악성코드 파일명은 ‘UPS’다.

악성코드 전달 방식으로 Zip 파일 선호

전체 공격의 92%에 해당하는 악성코드가 Zip 파일 방식으로 전달된다.

탐지를 우회하기 위한 보다 진화된 공격 방식의 등장

사용자가 마우스를 움직일 때만 작동하는 악성코드 사례에서 볼 수 있듯이, 평상시에는 악성코드가 어떠한 활동을 발생시키지 않고 잠복해 있기 때문에 기존의 샌드박스 탐지 시스템을 우회할 수 있다. 또한 악성코드 작성자들은 샌드박싱을 우회하기 위해 가상 머신 탐지를 역 이용해왔다 .

DLL 파일을 이용하는 공격자 증가

공격자는 감염을 지속하기 위해 보다 일반적인 .exe 파일 형식을 피하고 DLL 파일을 활용한다.

파이어아이 코리아 전수홍 지사장은 “이번 2012년 하반기 위협 동향 보고서는 산업에 관계없이 기업의 네트워크를 관통하고 있는 최근의 진화된 공격 방식에 대한 포괄적인 분석을 제공한다”라며, “오늘날 사이버범죄가 탐지를 우회하기 위해 악성코드를 진화시키고 있는 가운데, 새로운 보안 계층을 통해 기존의 보안 시스템을 강화하고, 기업의 보안 인프라를 재편하는 기업만이 알려지지 않은 동적 위협으로부터 안전할 수 있을 것”라고 말했다.

그는 이어 “오늘날 악성코드 작성자는 기존의 보안 시스템을 우회하는 회피 기술을 개발하는데 집중하고 있기 때문에, 보안 전략을 업데이트하기 위한 조치를 취하지 않는다면 대부분의 기업이 공격의 위협에 무방비로 노출될 수 밖에 없을 것”이라며, “이에 급증하는 사이버 공격 속에서 치명적인 악성 코드를 빠르고 정확하게 탐지해내는 보안 솔루션에 대한 시장의 요구는 점차 증가할 것으로 전망된다”라고 강조했다.

참고자료

2012년 2분기 위협 동향 보고서에 대하여

진화된 타깃 공격에 대한 고유의 탐지 기술을 보유하고 있는 파이어아이의 위협 방어 플랫폼은 위협에 대한 정보를 자동으로 취합해 동적 위협 분석(DTI) 클라우드로 전달하는 어플라이언스가 특징이다. 파이어아이 멀웨어 인텔리전스 연구소는 산업별로 특화된 데이터를 모으고 고객에 따라 표준화하여 업종 별로 위협 동향과 공격 활동을 비교할 수 있는 정확하고 일관성있는 기준을 제시한다. 또한 이러한 데이터를 동적 위협 분석 클라우드로 전달해 새로운 위협에 대한 결과가 포함될 수 있도록 지원한다.

기업은 방화벽, 차세대 방화벽, IPS, 그리고 여타의 보안 게이트웨이 등 기존의 방어 기술에 매년 30조원을 투자하고 있지만 진화된 위협에 대한 차단에는 실패하고 있다. 보고서 상에서 추적 및 보고된 진화된 공격들은 이러한 초기 단계의 방어를 이미 우회했다는 것을 의미한다. 파이어아이의 플랫폼은 이러한 기존의 시스템 가운데 기업을 방어하는 최후의 보안 솔루션으로 작용하고 있으며, 시그니처나 평판 기반, 혹은 행위 기반의 기술을 지능적으로 우회하는 진화된 공격 정보에 대한 높은 가시성을 확보한다.

이번 파이어아이의 2012년 2분기 위협동향 보고서는 일정 산업 부문에 대한 보안 동향을 전달하며, 감염에서 콜백에 대한 페이로드까지 공격의 세부 구조를 파악하는 감염 프로세스에 대한 정보를 다루는 섹션을 포함한다. 또한 Beebus 작업으로 알려진 주요 악성 코드 캠페인에 대한 세부정보를 제공한다.

위협 동향 보고서에 대한 전문은 아래에서 확인할 수 있다:

보고서 전문 보기(http://www2.fireeye.com/WEB2012ATR2H_advanced-threat-report-2h2012.html)

파이어아이 코리아 개요
파이어아이는 인텔리전스 기반 보안업체이다. 파이어아이는 혁신적인 보안 기술, 국가 수준의 위협 인텔리전스, 전 세계적으로 유명한 맨디언트 컨설팅 서비스가 모두 통합된 단일 플랫폼을 제공하고 있으며, 고객들의 보안 시스템이 보다 원활하고 확장 가능하도록 운영되고 있다. 이러한 접근 방식으로 파이어아이는 사이버 공격을 대비하고, 방어하고, 대응하는데 어려움을 겪고 있는 조직들의 사이버 보안의 복잡성과 부담을 없애준다. 파이어아이의 솔루션은 전 세계 67개 국가에 걸쳐 포브스 선정 2000대 기업 중의 50%를 포함한 7700개 기업에서 사용 중이다. 보다 자세한 사항은 홈페이지에서 확인할 수 있다.

웹사이트: http://www.fireeye.com