키사이트 익시아 솔루션 사업부는 세 번째 연례 보안 보고서를 발행했다. 익시아의 ATI Application and Threat Intelligence) 리서치 센터는 매년 가장 흥미롭고 주목을 끌었던 인터넷 보안 트렌드를 요약하여 발표한다. ATI 데이터 분석을 통하여 조직이 개선할 수 있는 부분의 이해를 도우며, 트렌드를 분석하여 가장 이슈가 될 사항을 예측한다. [편집자 주]
2019년 보안 감시 전망
트렌드 1: 가치가 낮은 엔드포인트 남용의 확대
기본적인 보안 위생이 개선될 때까지, 미라이(Mirai)나 클립토재킹(cryptojacking)과 같은 해킹은 계속될 것이다. 매일 인터넷에 연결되는 기기가 증가함에 따라, 대상의 수는 계속해서 증가하며 그에 따른 피해자도 늘어날 것이다.
트렌드 2: 공용 시스템 및 리소스에 대한 무차별 공격의 증가
이 공격 벡터는 20년 가까이 존재해 왔다. 이러한 공격 벡터를 제거하기 위한 솔루션이 존재하기는 하지만, 벤더와 IT 운영자가 반복적으로 범하는 동일한 실수를 계속해서 보게 된다. 사용자 이름이 “root”이고 암호가 “password”로 설정되어 있는 서버는 해커가 악용할 수 있는 대상이다.0
개인은 기본 자격 증명을 변경하여 시스템에 대한 공격을 방어할 수 있지만, 2단계 인증과 공개/개인 키 인증 채택만이 영구적인 솔루션을 제공할 수 있다. IoT 장치의 확산으로 기업 및 통신 사업자에게도 무차별 공격이 크게 증가할 것이다. 대부분의 사용자는 이러한 장치가 기본 자격 증명과 함께 제공된다는 사실을 잊거나 이해하지 못한다. 또한, 장치는 활발하게 브로드 캐스트 되므로 인터넷 라우터나 릴레이 데이터에 연결할 수 있다.
공격자는 이 메커니즘을 이용하여 IoT 장치에 연결하고. 공격할 수 있다.
트렌드 3: 클라우드 아키텍처가 표면 공격을 증가시키는 복잡성을 유발
온프레미스 아키텍처는 보안 담당자가 장치와 아키텍처를 완벽하게 제어할 수 있는 반면, 퍼블릭 클라우드 기반 솔루션은 서버와 네트워크 아키텍처를 제어하지 않는다.
Spectre(CVE-2017-5753)와 CVE-2019-6260과 같은 공격은 클라우드 사용자와 해당 데이터를 대상으로 하는 새로운 공격 유형의 시작일 뿐이다. 퍼블릭 클라우드의 속도와 동적 성능이 아쉽게도 새로운 공격 벡터, 즉 서비스 구성 오류를 노출했다. 잘못 구성된 서비스는 해커와 악의적 행위자가 통과할 수 있는 통로를 제공하며, 종종 비참한 결과를 초래한다
트렌드 4: 향후 2년간 더 집중될 피싱 공격
기업은 피싱 공격을 대비하기 위하여 직원 교육에 수천 명의 인원을 투입한다. 이에 대응하여 해커들은 피해자가 파악하기 어려운 더 치명적인 피싱을 만든다. Office 365와 Google G Suite의 채택이 증가하면 피싱 모멘텀이 저하될 것이다. 두 가지 툴 모두 피싱 인디케이터를 제공한다. 하지만, 잘 계획된 공격은 새로운 방어막도 통과할 것이다. 해커들은 더 큰 잠재적 보상을 제공하는 시스템을 끊임없이 공격할 것이다.
트렌드 5: 래터럴 무브먼트(lateral movement) 및 내부 트래픽을 사용하는 다중 단계 공격 증가
멀웨어는 100일 이상 머무를 수 있다. 명령과 제어 트래픽이 산발적이기 때문에, 건초 더미에 바늘처럼 숨겨져 있고, 정상적인 HTTPS 트래픽처럼 위장되어 있어서 악성 코드가 종종 탐지되지 않다. 대부분의 조직은 네트워크의 수신과 송신 지점만 모니터링한다. 공격이 보다 정교해지면서 탐지 시간도 계속 길어질 것으로 예상한다. 또, 공격자는 탐지를 피하기 위해 내부 트래픽의 신뢰를 이용해 LAN-to-LAN 공격을 더 많이 활용할 것으로 예상하고 있다.
마이크로 세그멘테이션(Micro-segmentation)은 가시성을 높여 래터럴 무브먼트를 감지하고 파악하는 데 도움이 된다.
트렌드 6: 클립토 마이닝/클립토재킹 공격 증가
수십 년 동안, 해커들은 시스템을 손상시키고, 데이터를 훔치고, 최근에는 컴퓨터의 몸값을 요구하기도 했다. 시스템 자체를 대상으로 하는 새로운 공격의 전환이 발생했다. 공격자는 사용되지 않는 데이터를 훔치는 대신, 클립토 마이닝을 위해 손상된 시스템을 사용한다. 이전에 랜섬웨어나 DDoS 네트워크에서 사용되었던 패치되지 않은 취약점이 클립토 마이닝 소프트웨어를 전달하는 데 쉽게 악용된다. 최신의 클립토 마이너는 전형적인 명령 및 제어 아키텍처에 의존하지 않는다. 따라서, 변화하는 암호화 화폐 값을 탐지하고 방지하는 것을 더 어렵게 만듦으로 네트워크 마이닝을 늦출 수 있지만, 마이닝은 빠른 이득을 취하려고 하는 해커들에게 여전히 매력적인 대상이 될 것이다.
결론
2018년에는 위협 환경의 중요한 변화가 있었다. 새로운 멀웨어 변종과 새 버전의 잘 알려진 레거시 악용 사례를 관찰했다. 잘못된 구성 오류로 인해 많은 보안 침해가 발생했으며, 이러한 추세가 클라우드 호스팅 소프트웨어 및 서비스로 확대되었다. 클라우드 서비스는 다양한 환경에 거의 즉각적인 액세스를 제공하지만, 속도가 빨라지면서 공격 영역이 급속히 확장되고, 사용자 오류가 발생할 가능성이 높아진다.
네트워크는 점점 더 복잡해지고 있으며, 공격의 복잡성은 이러한 네트워크 환경을 반영하고, 일부 공격은 사라지는 반면, 다른 일부는 매년 새로운 변형으로 재탄생한다. 끊임없이 변화하는 환경에 보안 팀의 경계성과 신속한 대응이 필요하다.
당사는 연구를 통하여 향후 1-2년간 다음 6가지 항목이 기업에 가장 큰 위협이 될 수 있음을 알 수 있었다.
1. 올해에는 가치가 낮은 엔드 포인트의 남용이 증가할 것
2. 공용 자산에 대한 공격력이 증가할 것
3. 클라우드 네트워크의 복잡성의 증가로 인해 공격 표면이 증가할 것
4. 향후 2년 동안 피싱 공격은 더욱 집중될 것
5. 래터럴 무브먼트 및 내부 트래픽을 사용하는 다중 공격이 증가할 것
6. 클립토 마이닝 공격이 증가할 것
IT 부서는 보안 아키텍처를 향상시키기 위해 많은 개선 작업을 할 수 있다. 지금 다음 활동을 구현하도록 하자.
* 보안 제어 보호와 비교하여 보안 패치 분석 수행
* 퍼블릭 클라우드 보안 아키텍처 분석 및 애플리케이션 액세스 정책을 감사
* IT 시스템 및 장비의 암호 보안 관행 검토
당사의 연구는 기본적인 보안 위생 관행이 많은 침해의 영향력을 최소화하거나 예방할 수 있다는 것을 보여준다. 이러한 관행을 무시하는 보안 팀은 피해를 입을 가능성이 높다.
패치 분석이 단순한 작업으로 인식되어 한 명의 엔지니어가 애플리케이션이나 장비의 패치 유지 관리 모두를 담당하는 경우가 너무 많다. 따라서 해당 엔지니어가 퇴사를 하는 경우, 패치 유지 보수에 심각한 문제가 발생할 수도 있다. 당사의 데이터에 따르면, 1년 전에 패치되지 않은 취약성이 악용되는 경우가 많았다.
또 다른 기본적인 위생 관행은 디폴트 암호 보안이다. IT 전문가는 장치를 배포하기 전에 공장 기본 값이나 잘 알려진 암호를 제거해야 한다. 이를 통해 대부분의 무차별 공격과 악용을 완화할 수 있습니다. IT 부서가 디폴트 암호로 장비를 계속 배포하기 때문에 무차별 공격이 끊이지 않다. 이러한 암호를 제거하면 공격 벡터가 제거된다.
클라우드 아키텍처는 지속적으로 인기를 얻고 있다. 그러나, 보안 담당자가 클라우드 구현 전반에 관여하지 않는 경우가 많다. 기업들은 이미 오래 전에 stateful inspection 방화벽과 로그가 애플리케이션 수준 공격을 방어하기에 부족하다는 것을 알았지만, 다수의 클라우드 제공 업체가 이러한 기능을 표준 방어 기능으로 제공하고 있다.
앞서 언급한 바와 같이, 2018년에는 잘못 구성된 클라우드 애플리케이션과 리소스로 인한 사고가 더 많이 발생하여 데이터 유출 사고가 증가했다. 일부 일반적인 클라우드 보안 오류에는 개인 식별 가능 데이터 암호화 실패, 데이터 액세스 권한 오류, 애플리케이션 스택에 취약성을 생성하는 패치되지 않은 코드가 포함된다. 클라우드 기술은 다르지만, 데이터 유출 법률과 벌금은 동일하게 적용된다. 저희 익시아 및 ATI팀은 이러한 복잡성을 이해하고, 끊임없이 진화하는 사이버 세계를 안전하게 탐색할 수 있도록 끊임없는 노력을 기울이고 있다.©
추가정보: www.ixiacom.com/kr
[kaya_qrcode ecclevel=”L” align=”alignleft”]
결론
2018년에는 위협 환경의 중요한 변화가 있었다. 새로운 멀웨어 변종과 새 버전의 잘 알려진 레거시 악용 사례를 관찰했다. 잘못된 구성 오류로 인해 많은 보안 침해가 발생했으며, 이러한 추세가 클라우드 호스팅 소프트웨어 및 서비스로 확대되었다. 클라우드 서비스는 다양한 환경에 거의 즉각적인 액세스를 제공하지만, 속도가 빨라지면서 공격 영역이 급속히 확장되고, 사용자 오류가 발생할 가능성이 높아진다.
네트워크는 점점 더 복잡해지고 있으며, 공격의 복잡성은 이러한 네트워크 환경을 반영하고, 일부 공격은 사라지는 반면, 다른 일부는 매년 새로운 변형으로 재탄생한다. 끊임없이 변화하는 환경에 보안 팀의 경계성과 신속한 대응이 필요하다.
당사는 연구를 통하여 향후 1-2년간 다음 6가지 항목이 기업에 가장 큰 위협이 될 수 있음을 알 수 있었다.
1. 올해에는 가치가 낮은 엔드 포인트의 남용이 증가할 것
2. 공용 자산에 대한 공격력이 증가할 것
3. 클라우드 네트워크의 복잡성의 증가로 인해 공격 표면이 증가할 것
4. 향후 2년 동안 피싱 공격은 더욱 집중될 것
5. 래터럴 무브먼트 및 내부 트래픽을 사용하는 다중 공격이 증가할 것
6. 클립토 마이닝 공격이 증가할 것
IT 부서는 보안 아키텍처를 향상시키기 위해 많은 개선 작업을 할 수 있다. 지금 다음 활동을 구현하도록 하자.
* 보안 제어 보호와 비교하여 보안 패치 분석 수행
* 퍼블릭 클라우드 보안 아키텍처 분석 및 애플리케이션 액세스 정책을 감사
* IT 시스템 및 장비의 암호 보안 관행 검토
당사의 연구는 기본적인 보안 위생 관행이 많은 침해의 영향력을 최소화하거나 예방할 수 있다는 것을 보여준다. 이러한 관행을 무시하는 보안 팀은 피해를 입을 가능성이 높다.
패치 분석이 단순한 작업으로 인식되어 한 명의 엔지니어가 애플리케이션이나 장비의 패치 유지 관리 모두를 담당하는 경우가 너무 많다. 따라서 해당 엔지니어가 퇴사를 하는 경우, 패치 유지 보수에 심각한 문제가 발생할 수도 있다. 당사의 데이터에 따르면, 1년 전에 패치되지 않은 취약성이 악용되는 경우가 많았다.
또 다른 기본적인 위생 관행은 디폴트 암호 보안이다. IT 전문가는 장치를 배포하기 전에 공장 기본 값이나 잘 알려진 암호를 제거해야 한다. 이를 통해 대부분의 무차별 공격과 악용을 완화할 수 있습니다. IT 부서가 디폴트 암호로 장비를 계속 배포하기 때문에 무차별 공격이 끊이지 않다. 이러한 암호를 제거하면 공격 벡터가 제거된다.
클라우드 아키텍처는 지속적으로 인기를 얻고 있다. 그러나, 보안 담당자가 클라우드 구현 전반에 관여하지 않는 경우가 많다. 기업들은 이미 오래 전에 stateful inspection 방화벽과 로그가 애플리케이션 수준 공격을 방어하기에 부족하다는 것을 알았지만, 다수의 클라우드 제공 업체가 이러한 기능을 표준 방어 기능으로 제공하고 있다.
앞서 언급한 바와 같이, 2018년에는 잘못 구성된 클라우드 애플리케이션과 리소스로 인한 사고가 더 많이 발생하여 데이터 유출 사고가 증가했다. 일부 일반적인 클라우드 보안 오류에는 개인 식별 가능 데이터 암호화 실패, 데이터 액세스 권한 오류, 애플리케이션 스택에 취약성을 생성하는 패치되지 않은 코드가 포함된다. 클라우드 기술은 다르지만, 데이터 유출 법률과 벌금은 동일하게 적용된다. 저희 익시아 및 ATI팀은 이러한 복잡성을 이해하고, 끊임없이 진화하는 사이버 세계를 안전하게 탐색할 수 있도록 끊임없는 노력을 기울이고 있다.©
추가정보: www.ixiacom.com/kr
[kaya_qrcode ecclevel=”L” align=”alignleft”]
