변화하는 사이버 보안 환경: Cisco의 2017년 중간 보고서

랜섬웨어 공격은 상당한 이유가 있습니다. WannaCry 사건은 사이버 보안 문제가 얼마나 광범위하게 확산될 수 있는지를 완벽하게 보여줍니다. 겉보기에 무해해 보이는 이메일 하나는 매우 중요한 시스템과 네트워크를 거의 중단시키고 전 세계 주요 산업을 효과적으로 차단하기에 충분했습니다. 그러나 랜섬웨어의 위협이 우리가 집중해야 할 유일한 공격입니까?

일반적인 사이버 보안이 모든 비즈니스의 중요한 우선 순위여야 한다는 데 동의하는 것이 좋지만 위협이 어디에 있는지에 대한 강한 이해 없이는 적절한 방어를 활용하기 어려울 수 있습니다. 랜섬웨어는 정말 위협적인 존재지만, 육로를 통한 침공에 온 힘을 쏟는다면, 해상이나 항공으로 침공하면 어떻게 될까요?

Cisco가 2017년 사이버 보안 중기 보고서를 방금 발표한 이후로 우리는 SMB에서 대기업에 이르기까지 현재 기업이 직면한 가장 큰 위협을 살펴보고자 했습니다.

풍경의 변화

Cisco의 보고서는 다수의 주요 발견 사항에 초점을 맞추었지만 이해해야 할 전반적인 결론 중 하나는 사이버 공격의 환경은 매우 복잡하고 환경은 항상 변화하고 있다는 것입니다. 또는 더 중요한 것은 사이버 공격의 환경이 항상 변할 것이라는 점입니다. 이는 지속적으로 목표 지점을 이동하고 있다는 것입니다. 새로운 공격 전략이 드러남에 따라 이전에 "잠기지 않은 문"을 차단하기 위해 새로운 방어 전략이 나타납니다. 그리고 새로운 방어 수단이 등장하면 새롭거나 오래된 공격 전략이 개발되거나 재개발됩니다. 그리고 이러한 공격은 잠재적인 자본 손실과 함께 모든 비즈니스에 실질적인 위협이 됩니다.

기업 수준 조직의 취약한 보안 관행과 융통성 없는 특성은 전체 네트워크 방어에 막대한 격차를 남길 수 있습니다. 그러나 그렇다고 해서 IT 부서가 매년 전체 구조를 재구축해야 하는 것은 아닙니다.

오히려 정보와 보고서를 활용하여 주어진 시간에 가장 큰 위협을 제안하는 추세를 면밀히 주시하십시오. 동시에 우리는 우리의 기초와 우리가 방어를 구축하는 기초를 잊을 수 없습니다. 역사는 진정으로 반복되기 때문입니다. VoIP 공격이 증가하고 있으며 공격자는 Skype 통화를 듣는 것만으로도 사용자가 입력하는 내용을 알아낼 수 있습니다.

2017년 Cisco의 주요 결과

끊임없이 변화하는 환경의 토대를 마련했으므로 이제 Cisco의 조사 결과와 공격 환경이 정확히 어떻게 변화하기 시작했는지 살펴보겠습니다.

• 지난 1년 동안 사이버 공격의 빈도, 복잡성 및 규모가 급격히 증가한 것은 "해킹의 경제학이 새로운 방향을 틀었다"는 것을 시사합니다. 현대 해킹 커뮤니티는 유용하고 저렴한 다양한 리소스에 빠르고 쉽게 액세스할 수 있다는 이점을 누리고 있습니다.
• 클라우드는 주요 초점이지만 보안과 관련하여 일상적으로 무시됩니다. 권한이 부여된 단일 사용자 계정에 대한 공개 승인 위험과 부실한 관리는 공격자가 쉽게 악용할 수 있는 보안 허점을 생성할 수 있습니다. Cisco 보고서에 따르면 해커는 이미 클라우드로 이동했으며 기업 클라우드 환경을 침해하기 위해 노력하고 있습니다.
• 비즈니스 이메일 손상(BEC)은 이제 공격자에게 "매우 수익성이 높은" 위협 벡터입니다. 인터넷 범죄 신고 센터는 2013년 10월부터 2016년 12월 사이에 BEC로 인해 미화 53억 달러가 도난당했다고 보고했습니다. 비교를 위해 랜섬웨어는 2016년에 10억 달러를 훔쳤습니다.
• 사물 인터넷은 보안이 절대적으로 필요하며 이미 공격자에 의해 악용되고 있습니다. 방어자는 단순히 네트워크에서 연결된 IoT 장치를 인식하지 못하므로 무엇이 위험에 처해 있는지 인식하지 못합니다.
• Cisco는 2016년 중반 이후 스팸 양이 전반적으로 증가한 것을 관찰했으며, 이는 "같은 기간 동안 익스플로잇 킷 활동이 크게 감소한 것과 일치하는 것으로 보입니다." 이것은 익스플로잇 킷 방어가 증가했기 때문에 "익스플로잇 킷" 도구를 사용하는 공격자가 스팸 이메일의 이전 방법으로 되돌아가야 한다는 것을 의미합니다. 이러한 스팸 이메일에는 워드 문서와 같이 "매크로가 포함된 악성 문서"인 첨부 파일이 포함되어 있습니다.
• 자신을 PUA(Potentially Unwanted Application)로 위장하는 스파이웨어는 사실 일종의 맬웨어입니다. 이 소프트웨어는 보안 및 정보에 대한 위험을 제시하지만 일반적으로 무시되거나 최소한 과소 평가됩니다. 섀도우 IT는 PUA 사용량의 증가로 쉽게 이어질 수 있습니다.

이러한 변화하는 환경은 이러한 주요 발견에서 볼 수 있습니다. 새로운 공격 방법이 널리 사용되고 있으며 BEC 사기를 포함하여 큰 피해를 입히고 있습니다. 동시에 클라우드 및 IoT와 같은 기타 신기술의 성장으로 인해 완전히 새로운 공격 경로가 열리고 있습니다. 그리고 새로운 기술이 전투의 새로운 전선을 열었지만 공격자는 여전히 구식 공격 방법을 사용하고 있으며 조직은 이러한 액세스 지점, 특히 이메일을 일상적으로 잊어버리고 있습니다.

Cisco가 지적했듯이 보안 관행은 시간이 지남에 따라 개선되었습니다. 예를 들어, 자동 보안 업데이트는 스마트폰에서도 최신 운영 체제의 거의 표준입니다. 우리 모두는 Microsoft가 Windows 10으로 업데이트하도록 강요하거나 Apple이 최신 iOS 버전으로 업데이트하도록 우리를 괴롭히는 것을 멈추지 않는다는 사실을 성가시게 생각할 수 있지만 이러한 업데이트는 단순히 우리를 보호하기 위한 것입니다.

그러나 업데이트가 빠른 속도로 진행됨에 따라 사이버 범죄자들은 ​​특히 이메일과 맬웨어로 초점을 돌리고 있습니다. 이들은 거의 항상 존재했지만 새로운 방식으로 사용되고 있는 "레거시" 위협으로 볼 수 있습니다.

오래된 것과 새로운 것을 만나다

정말 흥미로운 점은 기존 방식과 신규 방식이 교차한다는 점입니다. 기존 방식이 새로운 공격 형태와 결합되고 있습니다. 최신 랜섬웨어 공격은 악성 파일을 이메일에 삽입하는 오래된 방법을 사용하여 수행되고 있으며 누군가가 파일을 다운로드하여 열지 않기를 바랍니다. 보고서는 다음과 같이 설명했습니다.

“사이버 범죄자들은 ​​익스플로잇 킷 시장의 변화에 ​​대응하여 랜섬웨어 및 기타 맬웨어를 빠르고 비용 효율적으로 전달하기 위해 이메일로 눈을 돌리고 있습니다. 그들은 또한 탐지를 회피하는 방법으로 창의력을 발휘하고 있습니다. 예를 들어, Cisco 위협 연구원은 시스템을 감염시키고 페이로드를 전달하기 위해 사용자 상호 작용을 요구함으로써 많은 샌드박싱 기술을 무력화할 수 있는 Word 문서, Excel 파일 및 PDF를 비롯한 매크로가 많은 악성 문서를 포함하는 스팸의 증가를 관찰했습니다."

Cisco는 이러한 스팸 및 악성 이메일의 증가가 "익스플로잇 킷" 공격의 감소 또는 정체와 일치한다고 언급했습니다. 익스플로잇 킷은 기본적으로 해커가 알려진 익스플로잇을 통해 액세스할 수 있도록 하는 도구입니다. 인기 있는 웹 사이트용 Flash 플러그인은 보안 허점으로 유명하며 인터넷에 주의를 기울이면 이러한 주요 이유로 Flash가 모든 주요 웹 브라우저에서 단계적으로 중단되고 있음을 알 수 있습니다.

업데이트가 계속 푸시되고 Flash 사용이 감소함에 따라 해커가 Flash를 통해 액세스할 수 있도록 하는 "익스플로잇 키트"의 사용도 감소하고 있습니다. 이로 인해 해커는 사용자의 끝점에 직접 액세스할 수 있으므로 특히 이메일로 돌아가게 되었습니다.

몇 가지 기본적인 "사회 공학"을 통해 공격자는 순진한 피해자가 Word 문서를 열도록 할 수 있으며, 이는 가장 친한 친구가 보낸 문서라고 생각하고 자신의 전체 네트워크가 공격을 받고 있다는 것을 알게 됩니다. 이러한 공격은 모두 다른 친숙한 파일에서 발생할 수 있습니다.

그러나 보고서는 이메일이 악의적인 피싱 사기에 취약할 뿐만 아니라 경고합니다. 사실 BEC 사기는 랜섬웨어보다 더 큰 문제일 수 있습니다.

BEC 이해하기

물론 랜섬웨어는 현재 모든 주목을 받고 있지만 보고서는 Google 및 Facebook과 같은 가장 큰 기업조차도 수백만 달러를 희생시키는 훨씬 더 큰 위협을 지적하기를 희망합니다.

Cisco에서 이에 대해 설명하겠습니다.

“BEC 캠페인에는 은행 송금으로 자금을 보낼 수 있는 재무 직원에게 이메일이 전달됩니다. 공격자는 일반적으로 회사 계층 구조와 직원에 대한 조사를 수행했습니다. 예를 들어 소셜 네트워크 프로필을 사용하여 가능한 명령 사슬을 결합하는 것입니다. 이메일은 CEO나 다른 최고 경영자가 보낸 것처럼 보일 수 있으며 수신자에게 추정되는 비즈니스 동료에게 전신환을 보내거나 공급업체에 지불하도록 요청합니다.”

물론 여기에는 많은 노력과 계획이 필요하며 공격자는 일반적으로 이중 확인 없이 피해자를 속이는 데 시급함을 나타냅니다. Cisco는 이러한 공격이 Google 및 Facebook과 같은 큰 표적에 초점을 맞추고 있으며 이러한 유형의 사기에 대한 보호는 물론 성숙한 위협 방어를 운영 및 유지하고 있음에도 불구하고 이러한 표적은 실제로 공격에 실패했다고 밝혔습니다.

Cisco는 또한 이러한 이메일이 일반적으로 사회 공학에 의존하기 때문에 악성 코드나 첨부 파일이 포함되어 있지 않으므로 표준 위협 모니터링 도구를 우회할 수 있다고 말합니다. 위에서 언급했듯이 BEC의 위협은 너무 커서 인터넷 범죄 규정 준수 센터(Internet Crime Compliant Center)는 2013년 10월과 2016년 12월 사이에 BEC로 인해 53 억 달러 가 도난당했다고 보고했습니다. 이는 연간 평균 17억 달러입니다.

새로운 기술이 새로운 위협을 열다

이메일 자체는 이제 협업 도구 및 통합 커뮤니케이션에 대한 강력한 초점을 포함하여 최근 기술 개발과 비교할 때 할아버지가 되었습니다. 그리고 이메일이 꺼려지는 것이 있다면, 우리가 중대한 변화를 일으키지 않는 한 우리의 신기술은 앞으로도 계속해서 공격을 받을 수 있을 것입니다.

사물 인터넷은 이미 등장하고 있지만 알려진 결함이 있습니다. 보안은 두 번째 생각입니다. 이러한 도구의 대부분은 단순히 현관문을 잠그지 않은 채로 둡니다. IoT가 이제 막 본격화되기 시작했음에도 불구하고 Cisco는 "IoT 봇넷이 이미 존재한다"고 보고합니다. 실제로 보고서에 따르면 2016년에 "여러 연결된 장치에서 시작된 사이버 공격이 봇넷으로 변했습니다."

이러한 DDoS 공격은 연결된 장치(감염된 컴퓨터와 반대)를 활용하여 보안 블로거 Brian Krebs, 프랑스 호스팅 회사 OVH 및 인터넷 성능 관리 회사 DynDNS의 네트워크를 오버플로 및 종료했습니다. 실제로 Cisco는 보고서에서 Mirai, BrickerBot 및 Hajime의 세 가지 알려진 IoT 봇넷을 각각 심층 분석하여 강조했습니다.

IoT가 기업에 잠재력을 보여주기 시작했지만 네트워크는 이미 사이버 공격에 활용되고 있습니다. 이는 보안이 모든 솔루션에 얼마나 중요한지 분명히 보여줍니다.

UC는 귀하의 비즈니스가 안전하게 유지되도록 도울 수 있습니다.

아마도 가장 중요한 질문은 지속적으로 변화하는 위협에서 비즈니스를 안전하게 유지할 수 있는 방법일 것입니다. 새로운 공격 방법이 뜨는 듯 하다. 이메일, 암호화 및 전반적인 보안의 모든 발전에도 불구하고 회계의 Jim이 귀하에게 보낸 문서는 여전히 지겹습니다. 하루가 끝나면 가장 큰 방어자조차도 약간의 사회 공학의 희생자가 될 수 있습니다.

통합 커뮤니케이션이 급습하여 하루를 절약할 수 있다고 주장하는 것은 근시안적일 수 있지만 UC 플랫폼이 제공하는 이점은 일부 팀이 위협에 대응할 수 없게 만드는 경직성을 완화하는 데 도움이 될 수 있다고 생각합니다. UC가 팀에 필요한 유일한 방어 수단이라는 말은 아닙니다. 사실 모든 비즈니스는 사용 가능한 최고 수준의 보안을 보장하기 위해 보안 전문가와 협력해야 합니다. 방화벽과 세션 경계 컨트롤러 사이에는 막대한 자본 투자가 필요하지 않은 널리 사용 가능한 필수 도구 목록이 많이 있습니다.

반면 Cisco는 SMB가 대기업보다 공격에 더 취약하다는 몇 가지 이유를 언급했지만 대기업은 "공식적인 전략을 수립"할 가능성이 가장 높다고 강조했습니다. SMB는 단순히 정책과 절차를 모두 개선하여 방어를 개선할 수 있습니다.

• UC 플랫폼을 활용하면 이메일 및 이메일 첨부 파일의 필요성을 제거할 수 있습니다. 이는 Google 드라이브 또는 Dropbox와 같은 모든 파일 공유 서비스로 확장될 수 있습니다. 그러나 암호화된 플랫폼을 통해 파일을 직접 보낼 수 있는 기능 또는 이러한 파일 공유 서비스에 대한 통합으로 인해 이메일을 UC로 교체하는 것이 가장 합리적입니다. 파일을 안전한 플랫폼으로 끌어다 놓는 기능과 팀의 누구에게나 즉시 메시지를 보낼 수 있는 기능은 사용자가 즉시 연락을 유지할 수 있음을 의미합니다. 해당 파일을 여는 대신 수신자에게 해당 파일의 합법성을 확인하기 위해 빠른 메시지를 보낼 수 있습니다.
• Shadow IT를 한 번에 완전히 물리치십시오. 이는 팀에 적합한 적절한 UC 플랫폼을 찾으면 가능합니다. 팀이 솔루션에 만족하면 자체 도구를 가져올 필요가 없어 섀도우 IT가 발생합니다. 웹 사이트 및 도구를 차단하면 팀이 차단 문제를 해결하게 되지만 허용된 사용 정책을 수립하면 섀도우 IT의 확산을 방지하고 PUA 및 맬웨어의 확산을 방지하는 데 도움이 될 수 있습니다.
• 잠재적인 위협에 대해 경고하도록 인식을 확산하고 팀을 교육합니다. 모든 직원이 웹사이트를 방문하거나 파일을 공유하는 것을 차단하는 것이 아니라 잠재적 위협을 식별하기 위한 정책을 수립하십시오. 팀이 고유한 이메일 사기 시도를 인지하고 있다면 피해자가 되는 대신 이러한 형태의 소셜 엔지니어링을 방지할 수 있습니다. Cisco는 직원들이 요청의 정당성을 확인하기 위해 단순히 전화를 걸도록 요구하지만 이것이 UC가 인스턴트 메시징과 현재 상태 표시 모두에서 정말 빛나는 부분이라고 생각합니다.
• 클라우드 보안에 대한 공동 책임 수용: Cisco는 사용자의 60%가 클라우드 도구의 활성 세션에서 로그아웃하지 않는다고 언급했습니다. 별 것 아닌 것처럼 보일 수도 있지만, 이와 같은 개방형 엔드포인트는 현관문을 활짝 열어두는 것과 같습니다. 비즈니스가 on-0remesis 환경에서 수행할 수 있는 것과 동일한 "모범 사례"를 적용하면 플랫폼에 대한 무단 액세스를 방지하는 데 효과적인 방법이 될 수 있습니다.