분기별 보안 위협 동향 보고서

2018년 4분기

2

목차

서문 및 주요 정보...................................................................................................................... 3

2018년 4분기 헤드라인 하이라이트.................................................................................. 4

2018년 4분기 익스플로잇 동향 ........................................................................................... 5

미니 포커스: 오픈 소스 멀웨어 개발 ............................................................................. 9

2018년 4분기 멀웨어 동향..................................................................................................... 10

미니 포커스: 재미와 수익을 위한 스테가노그래피.................................................. 14

2018년 4분기 봇넷 동향......................................................................................................... 15

2018년 평가................................................................................................................................. 19

Meltdown과 Spectre ............................................................................................................ 20

제로데이 리서치..................................................................................................................... 21

랜섬웨어 및 파괴적 멀웨어 ............................................................................................... 21

크립토재킹의 대박 ................................................................................................................ 22

loT 위협의 진화...................................................................................................................... 22

더욱 민첩해진 멀웨어.......................................................................................................... 23

ICS 감시..................................................................................................................................... 23

출처 및 척도 ................................................................................................................................ 24

결론 및 권장 사항...................................................................................................................... 25

목차

3

2018년 4분기 서문 및 주요 정보

2018년 4분기 서문 및 주요 정보

봇넷

봇넷 지수 1.5% 하락

고유 봇넷 감지 261건(+2%)

기업당 활성 봇넷 11.69개(+15%)

기업당 일일 평균 규모 555건(+7%)

3%가 10개 이상 봇넷 감지(0%)

최근 7일 이상 봇넷 감염 4.3%(0%)

익스플로잇

익스플로잇 지수 소폭 하락(-0.3%)

고유 익스플로잇 감지 8,309건(+5%)

기업별 익스플로잇 감지 1,218건(+10%)

54%가 심각한 익스플로잇 보고(-11%)

IoT 익스플로잇 출현율 5% 하락

포티가드 랩에서 15개의 제로데이 발견

멀웨어

멀웨어 지수 4.3% 하락

고유 변종 33,653개(-1.5%)

멀웨어군 6,405개(0%)

기업당 변종 13.7개(+0.5%)

10% 이상의 기업에 6개 변종 확산

18%가 크립토재킹 멀웨어 보고(-1%)

그림 1: 포티넷 위협 동향 지수(전체)

990

1000

1010

1020

1030

1040

7월 8월 9월 10월 11월 12월 1월

지수

4분기란, 어떤 사람에게는 연간 매출 목표를 달성하기 위한 질주를 의미합니다. 어떤 사람에게는 질주하던 속도를 늦추고 가족 및 친구들과 시간을 보내는 것을 의미합니다. 또 다른 어떤 사람에게는 계절이나 시간의 변화에 흔들리지 않고 평소처럼 지내는 것을 의미합니다.

사이버 위협을 가하는 범죄자들은 어떨까요? 포티넷 위협 동향 지수에 따르면, 인터넷에서 발생하는 범죄 활동은 연말이 되면 잠잠해집니다. 그와 동시에 4분기 위협 동향 지수는 신기록을 경신했습니다. 즉, 사이버 위협 활동은 변동을 되풀이한다는 것을 의미합니다.

4분기에 이런 움직임을 보인 주된 원인은 무엇일까요? 아래는 전 세계 라이브 프로덕션 환경에서 포티넷 기기에서 관찰된 수십억 건의 위협 이벤트를 추린 통계를 요약한 것입니다. 보고서의 이후 내용부터는 이런 주요 정보에 살을 붙여 심층적으로 분석해보겠습니다.

숫자로 보는 2018년 4분기:

Twitter, Facebook 및 LinkedIn에서 여러분의 생각을 저희를 비롯한 다른 이들과 공유하십시오. @FortiGuardLabs과 연결하거나 #FortiResearch 해시태그로 포티가드 랩 팀을 만나보세요. @Fortinet과 @FortinetPartner에서 최신 비즈니스 및 사이버 보안 인사이트를 확인하실 수 있습니다.

4

2018년 4분기 헤드라인 하이라이트

2018년 4분기 헤드라인 하이라이트

10월 6일

10월 8일

10월 24일

11월 28일

12월 13일

12월 20일

11월 12일

11월 30일

12월 14일

이 보고서에서는 주로 인터넷 곳곳에 퍼져 있는 수백만 대의 포티넷 기기에서 수집한 위협 데이터를 분석한 결과를 제시합니다. 하지만 데이터 세트에서 확인된 정보는 뉴스 헤드라인에 오르내리는 사건과도 다소 연관이 있습니다. 포티넷에서 추적한 2018년 4분기 사건은 다음과 같습니다.

아이슬란드 정부에서는 국가 역사상 최대 규모의 사이버 공격을 받았다고 발표했습니다. 경찰 서비스를 흉내 낸 매우

정교한 피싱 캠페인이 시민들을 노렸습니다.

Google+ API에서 처음 발견된 버그 두 개로 인해 5,000만 명 이상의 사용자에게 피해를 입혀 서비스 중단 시기가 앞당겨졌다는 보도가 나왔습니다. 소셜 플랫폼들은 4분기를 어렵게 시작하게 되었습니다.

Google의 Cloud Platform으로 향해야 할 트래픽이 2시간 동안 러시아와 중국으로 흘러 들어갔습니다. 의도적 공격이 아니라 단순 실수라는 의견이 지배적이지만 이 사건은 인터넷이 얼마나 취약한지 한 번 더 알려주는 계기가 되었습니다.

Marriott은 대규모 데이터 유출이 있었고 여러 Starwood 숙박 시설에서 5억 명 이상의 고객이 피해를 보았다고 공개했습니다. 호텔에서 밝힌 데이터 유출 사건으로는 최대 규모이며, 역사상 두 번째로 큰 공격이었습니다.

Facebook은 개인 정보 보호 문제가 공개되어 몸살을 앓았던 한 해를 마무리하며, 소프트웨어 버그로 인해 사용자의 비공개 사진이 허가 없이 타사 앱 개발자에게 노출되는 사건을 겪었습니다.

Cathay Pacific Airways는 해커에게 1,000만 명이 넘는 승객의 개인 정보 및 결제 정보가 유출되었다고 발표했습니다.

항공사에서 밝힌 데이터 유출 사건으로는 최대 규모입니다.

미국 사법부에서 2018년에는 애틀랜타를 대상으로, 2016년에는 Hollywood Presbyterian Hospital을 대상으로 파괴적인

랜섬웨어 공격을 한 혐의로 이란인 두 명을 기소했습니다.

이탈리아 석유 및 가스 회사 Saipem이 새로운 버전의 Shamoon 멀웨어에 공격을 받아서 시스템에 저장된 데이터의 약 10%가

삭제되었습니다.

IBM과 HPE가 중국 방첩 캠페인 Cloud Hopper의 표적을 밝혔습니다. 미국과 영국 정부에서는 이 캠페인의 목적이 표적

및 다른 대규모 서비스 제공업체의 시스템을 감염시켜 호스팅된 클라이언트 데이터에 액세스하는 것이라고

보고했습니다.

익스플로잇 동향

6

그림 2: 2018년 4분기 포티넷 익스플로잇 지수

익스플로잇 동향

익스플로잇 동향

간단히 보는 통계 익스플로잇 지수 소폭 하락(-0.3%)

고유 익스플로잇 감지 8,309건(+5%)

기업별 익스플로잇 감지 1,218건(+10%)

54%가 심각한 익스플로잇 보고(-11%)

loT 익스플로잇 출현율 5% 하락

포티가드 랩에서 15개의 제로데이 발견

1,000

1,010

1,020

1,030

1,040

1,050

Oct 01 Oct 15 Oct 29 Nov 12 Nov 26 Dec 10 Dec 24

익스

플로

잇 지

수

PHP.CGI.Argument.Injection VACRON.CCTV.Board.CGI.cmd.Parameter.Command.Execution

Linksys.Routers.Administrative.Console.Authentication.Bypass Multiple.CCTV.DVR.Vendors.Remote.Code.Execution

Adobe.Acrobat.U3D.PIC.CVE-2018-15953.Memory.Corruption D-Link.Devices.HNAP.SOAPAction-Header.Command.Execution

Oct Nov Dec Oct Nov Dec

0.00%

2.00%

4.00%

6.00%

0.00%

2.00%

4.00%

6.00%

0.00%

2.00%

4.00%

6.00%

8.00%

0.00%

2.00%

4.00%

6.00%

0.0%

2.5%

5.0%

7.5%

10.0%

0.00%

2.00%

4.00%

6.00%

일일

출현

율

그림 3: 10월 22일이 있는 주간에 가장 출현을 많이 한 익스플로잇

익스플로잇 동향을 통해 적이 취약한 시스템을 찾아내고 악용하기 위해 무엇을 하는지 살펴볼 수 있습니다. 이번 분기에 감지된 여러 위협 중에서 하나가 트리거되더라도 공격이 성공했거나 취약성이 환경에 존재한다는 것을 의미하지는 않습니다. 익스플로잇 활동은 다소 잡음이 많기 때문에 이 섹션에서는 중요도와 심각도가 높은 감지 건에 분석을 집중했습니다.

익스플로잇 지수는 4분기를 극적으로 시작한 이후로 분기 후반으로 갈수록 놀라울 정도로 안정세를 보였습니다. 3분기 말과 비교해서 거의 차이가 없는 3p 하락한 수준으로 4분기를 마무리했으나

연 하반기를 시작할 무렵의 1,000p보다는 여전히 높은 수준입니다. 동시에 사건이 연속으로 발생해서 10월 22일이 있는 주에 1,036p로 최고치를 형성하였고 주된 원인은 그림 3에서 확인할 수 있습니다.

7

익스플로잇 동향

그림 4. 지역별 출현율이 가장 높은 익스플로잇 탐지

30.2%29.08% 28.5%26.28%

26.2%26.03%

28.96%

25.81%

25.72%

25.5%

25.4%

24.47%

24.4%

24.34%

24.06%

23.88%

23.5%

23.33%

23.29%

23.2%

23.2%

23.16%

23.09% 22.9%

22.91%

22.50%

22.44%

22.16%

21.9%

21.88%

21.83%

21.66%

21.6%

21.4%

21.38%

21.3%

21.2%

21.23%

21.0%

20.97%

20.8%

20.72%

20.7%

20.5%

20.49%

20.44%

20.38% 20.3%

20.16%

20.15%

20.05%

20.00%

19.98%

19.95%

19.89% 19.85%

19.83%

19.8%

19.77%

19.64%

19.57%

19.1%

18.98%

18.84%

18.5%

18.47% 18.09%

18.0%

17.81%

17.57%

17.54%

17.51%

17.50%

17.12%

16.99%

16.94%

16.78%

16.66%

15.89%

15.05%

14.65%

14.51%

14.14%

13.58%

유럽 북미 오세아니아 중남미 아프리카 아시아 중동

PHP.CGI.Argument.Injection

JAWS.DVR.CCTV.Shell.Unauthenticated.Command.Execution

Multiple.CCTV.DVR.Vendors.Remote.Code.Execution

PHPUnit.Eval-stdin.PHP.Remote.Code.Execution

VACRON.CCTV.Board.CGI.cmd.Parameter.Command.Execution

MS.IE.COM.Object.Instantiation.Buffer.Overflow

Oracle.WebLogic.Server.wls-wsat.Component.Code.Injection

D-Link.DSL-2750B.CLI.OS.Command.Injection

Linksys.Routers.Administrative.Console.Authentication.Bypass

Avtech.Devices.HTTP.Request.Parsing.Multiple.Vulnerabilities

MS.IIS.WebDAV.PROPFIND.ScStoragePathFromUrl.Buffer.Overflow

Apache.Struts.2.Jakarta.Multipart.Parser.Code.Execution

몇 가지 익스플로잇이 예상 밖의 행동을 보이기는 했지만 그림 3을 보면 알 수 있듯이 서명 사이에서 공통점을 쉽게 발견할 수 있습니 다. 6개 중 4개가 다양한 유형의 IoT 기기를 노렸습니다. 그러나 10월 한 주에만 이런 상황이 발생한 것은 아니었습니다. 이와 관련된 내용은 잠시 후에 자세히 설명하도록 하겠습니다.

분석 범위를 4분기 전체로 넓히고 전 지역에서 평균 출현율이 가장 높은 익스플로잇 12개를 그림 4에 나타냈습니다. 목록 최상단에는 누구나 알 만큼 유명하고 반복적으로 나타나는 익스플로잇이 자리 하고 있고, 지역별로는 다소 편차가 있습니다.

인터넷은 절대 잊지 않는다는 것을 입증하듯이 Apache Struts 익스플로잇(CVE-2017-5638 관련)이 2017년에 발생한 악명 높은 Equifax 해킹 사건 이후로 가장 많이 탐지되고 있습니다. 최근 들어서는 이 익스플로잇을 침투한 기기에서 크립토재킹을 구현하기

위한 수단으로 이용하는 사례가 생겼습니다. 그림 4에서 2위를 차지한 익스플로잇은 Microsoft ISS의 알려진 버퍼 오버플로 취약성 (CVE-2017-7269)을 악용합니다. 이 익스플로잇이 나타난 지는 꽤 되었지만 2018년 봄에 처음으로 출현율이 상승했습니다. 당시 이 익스플로잇은 Shadow Broker 유출 사건 이후에 발생한 대규모 공격에 활용되었습니다.

목록 아래로 내려가면 다양한 유형의 IoT 기기와 관련된 익스플로 잇이 여러 개 보입니다. 4분기에 IoT 탐지에 대한 전체 출현율이 5% 하락했다는 점을 고려하면 다소 흥미로운 결과입니다. 하지만 그림 4의 상위 12개 글로벌 익스플로잇 중 절반이 IoT 기기를 표적으로 한다는 것은 이러한 위협이 얼마나 널리 확산되고 집요한지 알 수 있는 증거입니다. 증거가 매우 명확해서 그림 5에서 이러한 익스플 로잇만을 집중적으로 다루게 되었습니다.

8

익스플로잇 동향

그림 5: 기기 유형별 IoT 익스플로잇 출현율 및 규모

3CX

Airlive

AMD

Android

Apple

ASUS Axis

Backdoor

Belkin

BHUCamtron

Cisco

Cisco

COMTREND

CTEK

D-Link

D-Link

Dahua

eCentrex

Eir

EmbedThis

Geutebruck

GoAhead

Grandstream

Hikvision

HP

HPLaserJet

Huawei Iomega

JAWS

Linksys

Linksys

MS

NAS4Free

Netcore

NETGEAR NETGEAR

NUUO

OCE

QNAP

Samsung

Samsung

Siemens SIP

Synology

TPLINK

Ubiquiti

VACRON

Western

WIFICAM

Xerox

Zavio

10

100

1k

10k

100k

1m

10m

100m

1b

1 in10k

1 in1k

1 in100

1 in10

출현율

규모

a

a

a

a

a

a

a

a

DVR/NVR

IP Camera

Mobile

NAS

Printer

Router

Telephony

TV

그림 4를 잠시만 더 살펴보겠습니다. AVTECH 서명은 AVTECH 벤더 카메라의 여러 가지 취약성을 표시합니다. AVTECH 벤더의 확인된 탐지 내역은 지금까지 중 최고 기록을 경신했고 10월 12일에는 모든 센서의 40%에서 확인되었습니다. 이 익스플로잇에 대해서는 앞서 Hide ‘N Seek 봇넷에서 다룬 바 있습니다. Linksys 라우터와 관련된 서명은 해당 기기의 인증 우회 취약성을 악용하는데,

주로 Moon 멀웨어를 확산하는 데 사용됩니다. Linksys는 이 취약성 을 완화하는 데 도움이 되는 상세한 절차를 안내한 문서(여기)를 제공합니다. 상위 5개 익스플로잇에 더해 D-Link 서명은 D-Link DSL-2750B 라우터에 존재하는 OS 명령 주입 취약성의 익스플로잇 을 탐지합니다. 이 취약성에 대한 알려진 패치는 없습니다.

이제 그림 5로 돌아가겠습니다. 그림 5는 개별 탐지보다는 탐지 정책 앞에 붙어 있는 공통의 IoT 기기의 제조사 이름에 초점을 맞춥 니다. 이렇게 하면 Netcore 기기를 노리는 익스플로잇이 가장 규모가 큰 익스플로잇과 얼마나 차이가 있는지 쉽게 확인할 수 있습 니다. Linksys, JAWS, VACRON및 Dahua는 기업에서 가장 높은 비율 로 탐지되었습니다. 그림 5에서는 어떤 벤더를 피해야 하는지가 아니라 인터넷과 연결된 모든 기기가 제조사와 무관하게 공격을 받을 것이라는 가정에 주목하고 그에 맞게 구현 및 운영해야 한다는 것입니다.

연휴 쇼핑 시즌을 맞이하여 포티가드(FortiGuard) 연구자들은 세계에서 두 번째로 규모가 큰 전자상거래 플랫폼, Magento에 대한 익스플로잇을 면밀히 모니터링했습니다. 얼마 전에 Magento 플랫폼에서 크로스 사이트 스크립팅(XSS) 취약성을 발견하고 10월 초에 이에 대한 탐지 정책을 릴리스했습니다. 이 새로운 정책에 대한 활동은 제한적이었으나 오래된 2015년 원격 코드 실행 취약성 을 악용하려는 익스플로잇 시도가 상당히 상승했습니다.

미니 포커스: 오픈 소스 멀웨어 개발

미니 포커스: 오픈 소스 멀웨어 개발

9

사이버 보안에서 오픈 소스 움직임은 공격을 방어하는 측에 매우 유익한 도움이 되었고 앞으로도 그러할 것입니다. 코드를 공유할 수 있기

때문에 블루 팀은 방어 수단을 테스트하고, 연구자들은 익스플로잇을 분석하고, 강사들은 개념을 가르칠 때 실제적 예시를 활용할 수

있습니다. 오늘날 우리가 직면한 보안 문제를 해결하는 데 도움이 되도록 많은 보안 도구가 공개적으로 공유됩니다. GitHub에 나타난 멀웨어

공유 사이트의 좋은 예시는 다음과 같습니다.

이러한 장점에도 불구하고, 여기에는 어두운 면, 즉 나쁜 측면도 존재합니다. 이런 리소스는 누구에게나 제공되기 때문에 새로 생겨난

범죄자와 오래된 범죄자 모두 이 리소스를 악의적 활동에 사용하며 멀웨어 위협이 증가하는 데 일조하게 됩니다.

이렇게 자유롭게 제공되는 멀웨어 도구는 매우 쉽게 무기로 바꿀 수 있습니다. 사이버 범죄 영역에 들어가 컴퓨터를 인질로 잡고 싶은 새로운

범죄자가 이렇게 오픈소스로 확인된 랜섬웨어 중 하나를 사용할 수 있습니다. 결제 금액을 보낼 월렛 주소를 변경하는 등의 몇 가지

업데이트만 하면 쉽게 공격을 시작할 수 있습니다.

경험이 풍부한 범죄자는 오픈 소스 코드와 (마찬가지로 오픈 소스인) Veil-Framework를 결합하여 안티멀웨어를 우회하는 코드를 다시

패키징할 수 있고, 실제로도 그렇게 될 것입니다. 물론, 범죄자가 이런 악성 코드를 손에 넣으면 추가 기능을 넣은 새로운 버전으로 수정하고

테스트하기에도 유리해집니다. 2016년에 Mirai loT 봇넷 소스 코드가 릴리스 되었던 것이 좋은 예시입니다. 그 이후로 변종 및 관련 활동이

폭발적으로 늘어났습니다.

Windows Open Source Ransomware: 이 랜섬웨어

키트는 Tor 프로토콜에서의 통신을 보여줍니다.

이 사이트를 만든 사람은 절대 악의적 목적이 있지는

않았을 것입니다. 사실, 이 사이트를 만든 사람의 기여가

없었더라면 많은 보안 전문가가 얼마나 쉽게 랜섬웨어를

만들 수 있는지 이해하기 어려웠을 것입니다. 이 개념

증명은 많은 AV 프로그램에서 탐지되었지만, 악의적

의도를 가진 범죄자가 범죄를 시작할 계기가 될 수도

있습니다.

Hidden Tear Ransomware: Hidden Tear는 보안

전문가들이 사용할 수 있는 랜섬웨어 및 암호화 기술에

대한 좋은 개념 증명입니다. 프로젝트 자체에 모든

암호화 파일을 해제하기 위한 기술어(descriptor)가

포함됩니다. 이런 도구는 보안 전문가가 학습하는 과정에

필수적이지만 초급 스크립트 범죄자들이 피해자를

감염시키고 파일의 암호를 해제하는 대신 대가를

요구하는 데 사용됩니다.

Android Backdoor Malware: Android backdoor는

APK 파일에 백도어를 쉽게 추가할 수 있는 쉘 스크립트

입니다. 물론, 악의적 범죄자의 서명되지 않은 애플리케

이션이 잠재적 피해자에게 닿기까지는 많은 단계를 거쳐

야 하고 도구 자체는 Android의 취약성을 보여주는 개념

증명입니다.

Retired Malware Remote Admin Trojan—Quasar:

Quasar RAT을 상용 유료 제품 대신 합법적 관리 도구로

사용하는 개인이 있을 수도 있습니다. 그러나 이 원격

관리 도구를 은밀하게 배포한 사례를 보았고 최근 보안

조직들이 이 도구가 멀웨어 배포에 사용된 것을

발견했습니다.

멀웨어 동향

11

그림 6: 2018년 4분기 포티넷 멀웨어 지수

멀웨어 동향

멀웨어 동향

간단히 보는 통계 멀웨어 지수 4.3% 하락

고유 변종 33,653개(-1.5%)

멀웨어군 6,405개(0%)

기업당 변종 13.7개(+0.5%)

10% 이상의 기업에 6개 변종 확산

18%가 크립토재킹 멀웨어 보고(-1%)

1,000

1,010

1,020

1,030

1,040

1,050

Oct 01 Oct 15 Oct 29 Nov 12 Nov 26 Dec 10

멀웨

어 지

수

멀웨어는 범죄자의 의도와 능력이 반영되기 때문에 멀웨어 동향을 조사하면 유익합니다. 익스플로잇과 마찬가지로, 우리 센서에 감지된 멀웨어는 실제 감염이 아니라 코드를 무기화하고 표적과 시스템에 공격을 시도한 것입니다. 탐지는 다양한 장치에서 네트워크, 애플리케이션, 호스트 수준에서 나타납니다.

Dec 24

4분기 멀웨어 지수를 보면 전체 위협 동향 지수를 복합적 점수로 산정하는 이유를 확인할 수 있습니다. 이 방식을 따르면 다양한 위협의 행동을 독립적으로 살펴볼 수 있습니다. 멀웨어의 경우, 익스플로잇과는 매우 다른 행동을 보였습니다. 12월 중순에 활동이 급격히 감소하였고 하위 지수 중 유일하게 시작점인 1,000p보다 아래로 한 해를 마감했습니다.

멀웨어의 활동이 이렇게 감소한 이유는 무엇일까요? 묘하게도 '여러분' 때문입니다. 여러분 한 사람을 가리키는 것이 아니라 연말 연휴에 사무실에서 벗어나 친구 및 가족과의 시간을 즐기는 전 세계의 기업인을 말하는 것입니다. 기업에서의 휴가철이 멀웨어 출현율에 영향을 미친다니 이상하게 여겨지겠지만, 한 번 이렇게 생각해 보십시오. 유해한 첨부 파일을 클릭하고, 사기성 웹사이트를 방문하고, 악성 파일을 다운로드할 직원이 줄어든다면 어떻게 될까요? 심지어 사이버 범죄자조차도 연휴에는 휴식을 즐기기 마련입니다.

12

멀웨어 동향

그림 7: 웹 필터링 서비스가 탐지한 웹사이트 카테고리

Hacking

Malicious

Peer2Peer

Phishing

Spam

10m

100m

Oct Nov Dec

규모

포티넷 웹 필터링 팀에서 수집한 데이터가 이 설명에 대한 근거를 제공합니다. 그림 7은 카테고리별 4분기 웹 필터링 규모를 나타냅니다. 이 동향은 로그 기준을 사용해서 시각적으로는 큰 차이로 보이지 않을 수 있으나, 12월에 모든 카테고리에서 규모가 하락했습니다.

2018년 4분기에 전 세계적으로 가장 출현율이 높았던 변종을 살펴 보는 것으로 멀웨어 동향을 자세히 알아보겠습니다. 그림 8은 관련 통계치를 나타냅니다. 일반적 탐지 2가지(하나는 애드웨어, 하나는 암호화 화폐 채굴 서비스 Coinhive)가 가장 위쪽에 위치합니다.

지역적 차이는 그다지 크지 않으나 각 지역에서 최댓값이 최솟값 보다 약 2배인 것은 흥미롭습니다.

13

멀웨어 동향

그림 8: 지역별 출현율이 가장 높은 멀웨어 변종

27.5% 25.6%

25.3%

24.5%

21.3%

20.9%

19.7% 18.4%

18.3% 18.1%

18.1%

17.7%

17.6%17.2%

16.5%

16.1%

15.3%

15.1%

15.0%

14.8%

14.7%

14.6%

14.1%

14.0%13.9%

13.6%

12.9%

12.9%

12.6% 12.6%

12.5%

12.5%

11.2%

10.9%

10.8%

10.5% 10.4%

10.4%

10.4%

10.2%

10.2%

10.2%

10.0%

9.7%

9.6%

9.5%

9.5%

9.3%

8.9%

8.6%

8.2%

8.1%

7.9%

7.9%

7.9%

7.7%

7.6%

7.5%

7.3%

7.1%

7.0%

6.7%

6.7%

6.6%

6.0%

5.9%

5.8%

5.6%

5.4%

5.3%

5.3%

5.3%4.9%

4.9%

4.9%

4.6%

4.5%4.4%

3.9%

3.7%

3.6%

3.1%

3.0%

3.0%

유럽 북미 오세아니아 중남미 아프리카 아시아 중동

W32/DwnLdr.HQY!tr

Riskware/InstallCore_Gen

VBA/Agent.LWI!tr.dldr

MSOffice/CVE_2017_11882.B!exploit

VBA/Agent.IOV!tr.dldr

W32/Agent.HTL!tr.rkit

W32/Kryptik.GLZZ!tr

MSOffice/CVE_2017_11882.A!exploit

Android/Agent.FJ!tr

W32/Agent.AJFK!tr

Riskware/CoinHive

Adware/Agent

주요 멀웨어 탐지 2가지 외에도 지역적 변종은 더욱 뚜렷하게 증가했습니다. 변종은 기능이 다양해졌고 W32/Agent.AJFK!tr이 그러한 사례의 좋은 예시입니다. 키 로깅 수행 및 저장과 C2 기능을

시작하고 추가 파일을 다운로드/드롭하는 것으로 알려진 일반적 Trojan의 탐지 기록입니다.

Android/Agent.FJ!tr 변종은 2018년 6월에 발견된 멀웨어, FakeSpy와 관계가 있습니다. 4분기 초에 게시한 블로그 게시물에서 설명한 바와 같이, 포티가드 랩은 중국의 C2 서버로 가는 악성 트래픽을 발견했습니다. 이러한 연결은 일본의 유명한 속달 우편 서비스와 매우 유사한 도메인에서 설정했습니다. 포티넷 분석에 따르면, 이렇게 연결되는 웹사이트는 Android 멀웨어를 퍼뜨리는 배포지 입니다. 이 변종의 샘플 코드는 FakeSpy에 기초하지만 새로운 기능 이 포함되어 있습니다.

4분기에 5위를 기록한 MSOffice/CVE_2017_11882.A!exploit는 Microsoft Office의 원격 코드 실행 취약 성을 악용합니다. 이 포티가드 백과사전(Encyclopedia) 항목에서는 관련 악성 문서의 예시 스크린샷을 보여주고 이 블로그 게시물 에서는 이 멀웨어를 사용한 공격을 자세히 설명합니다. 또한, 이는

“Gorgon”이라는 이름의 국가 차원 위협 조직과 관련된 여러 악성 지표 중 하나입니다. 이 내용은 Cyber Threat Alliance의 회원을 통해 수집한 정보를 바탕으로 올해 초여름에 고객에게 공유한 Hot Bulletin에서 자세히 다루었습니다. B! 변종은 기능이 동일하지만, A! 변종에서 사용된 익스플로잇을 트리거하는 대신 악성 도메인을 호출합니다(알려진 도메인 목록은 백과사전 항목 참조).

"중요"한 변종이 반드시 "자주" 출현하지는 않듯이, GreyEnergy APT 그룹과 관련된 멀웨어는 폴란드와 우크라이나에서 소수의 기기에 서만 활동이 탐지되었습니다. 이 그룹은 데이터 파괴가 아니라 유출 에 초점을 맞추기 때문에 은밀하게 활동합니다. 이러한 모듈성 덕분에 범죄자는 표적에 따라 멀웨어를 다양하게 변종 시키며, 멀웨어는 스피어 피싱과 보안이 침해된 웹 서버를 통해 배포됩니다

미니 포커스: 재미와 수익을 위한 스테가노그래피

미니 포커스: 재미와 수익을 위한 스테가노그래피

그림 9: 일일 Vawtrak 멀웨어 보고 기업 수

0

2

4

6

8

10

12

Oct Nov Dec

기관

수

14

통신이 처음 생겨났을 때부터 인간은 이런 통신을 비밀로 유지하고

싶어 했습니다. 암호학은 가장 잘 알려진 고대의 비밀공작 기술이지만

스테가노그래피도 그 역사가 유구하고 다양합니다. 스테가노그래피

는 어떤 것, 특히 평범한 것 안에 무언가(예: 메시지, 사진, 콘텐츠)를

숨기는 기술입니다.

최근 사이버 보안 업계에서는 Capture the Flag(CTF) 대회에서

스테가노그래피를 포함하는 경우가 많습니다. 2018년 Hacktober.org

CTF 행사에서 이미지에 “TerrifyingKitty”를 포함한 것이 그 예입니다.

더 많은 예시를 보고 싶다면 그 행사에서 개발된 솔루션을 확인해보

십시오. 으스스한 스테가노그래피 스레드가 가득합니다.

하지만 스테가노그래피는 단순히 재미와 게임을 추구하는 것 이상으

로 활용할 수 있습니다. 지금까지 사이버 위협 범죄자는 이 기술을 자신의 계획과 도구에 여러 방법으로 활용했습니다. 예를 들어 Sundown

Exploit Kit, Vawtrak 및 Gatak/Stegoloader 멀웨어군이 있습니다. 스테가노그래피는 그 성격으로 인해 빈도가 높은 위협에는 일반적으로

사용되지 않지만, Vawtrak 봇넷이 2018년 4분기에 "폭발적으로 증가한" 봇넷 목록에 들었다는 것에 주목하는 것이 좋습니다(봇넷 동향 섹션의

그림 12 참조). Vawtrak 멀웨어의 일일 출현율을 나타낸 아래 표를 보면 보고한 기업이 12개를 넘어간 날이 단 하루도 없다는 것을 알 수

있습니다.

4분기에 외부 연구자들이 스테가노그래피를 사용해 소셜 미디어를 따라 전파되는 밈(meme)에 악성 페이로드를 숨긴 멀웨어 샘플을

발견했습니다. 밈(meme)을 이용한 변종이 흥미로워서 포티가드 랩에서는 코드를 분석해서 이 변종이 (농담이 아니라 실제로) 비밀리에

무엇을 하는지 알아보았습니다. 다른 멀웨어와 마찬가지로 이 멀웨어도 지금은 차단된 C2 호스트와 접속을 시도하는 것부터 시작됩니다.

하지만 바로 여기서부터 흥미로워집니다. 이 샘플은 관련된 Twitter 피드에서 이미지를 찾고, 이러한 이미지를 다운로드한 다음, 그 안에

숨겨진 명령을 찾습니다. /print(화면 캡처), /processes(프로세스 실행 목록 작성), /docs(다양한 위치의 파일 목록 작성)와 같은 명령이 포함된

수정 값을 포함한 이미지 태그를 검색하는 방법을 사용합니다. 교묘하죠?

봇넷 동향

16

봇넷 동향

그림 10: 2018년 4분기 포티넷 봇넷 지수

봇넷 동향

간단히 보는 통계 봇넷 지수 1.5% 하락

고유 봇넷 감지 261건(+2%)

기업당 활성 봇넷 11.69개(+15%)

기업당 일일 평균 규모 555건(+7%)

3%가 10개 이상 봇넷 감지(0%)

최근 7일 이상 봇넷 감염 59%(-1%)

최근 7일 이상 봇넷 감염 4.3%(0%)

1,000

1,010

1,020

1,030

1,040

1,050

Oct 01 Oct 15 Oct 29 Nov 12 Nov 26 Dec 10

봇넷

지수

일반적으로 익스플로잇과 멀웨어 동향이 공격 전의 모습을 나타낸다면 봇넷은 공격 후의 시점을 보여줍니다. 봇넷에 감염된 시스템은 대부분 원격 악성 호스트와 통신합니다. 기업 환경에서 이런 트래픽이 나타나면 무언가 잘못되었다는 뜻입니다. "실수에서 배울 수 있다"는 관점에서는 이런 데이터 세트가 유용합니다.

Dec 24

4분기 봇넷 지수는 익스플로잇 및 멀웨어 카테고리의 행태를 섞어 놓은 듯합니다. 10월에 봇넷은 익스플로잇과 똑같이 증감하였고 12월에는 멀웨어와 똑같이 하락했습니다. 전체적으로는 4분기 시작점보다 1.5% 하락해서 마감했습니다. 봇넷 지수에서 봇넷이 (다소) 정점을 찍은 원인 중 흥미로운 점이 있는지 데이터를 뒤졌지만 그다지 많은 것을 발견하지는 못했습니다. 각 정점에서 똑같은 봇넷이 통신 규모 기준으로 똑같은 순서를 기록했습니다. 즉, ZeroAccess, Andromeda, H-Worm, Emotet, Conficker입니다. 이런 봇넷은 새로운 것이 아니지만 우리가(및 다른 곳에서) 이미 광범위하게 다루었기 때문에 다음 내용으로 넘어가기로 하겠습니다.

17

봇넷 동향

그림 11: 지역별 가장 출현율이 높은 봇넷

78.4%70.4%68.4% 44.2%43.5% 43.1% 41.0%

33.1%

32.3%

30.9% 29.0%

26.7% 24.5%

23.5%

21.4%

19.5%

17.4%

16.7%16.1% 15.9%

15.1%

14.1%

12.4%12.1%11.9%

11.5%

11.4%

11.3%11.3%

11.1%

10.8%

10.8%

9.6%

9.5%

9.5%

9.1%

9.1%

8.8%

8.7%

8.6%

8.0% 7.8%7.3%

7.2%

7.2%

7.1%

6.9%

6.8%6.7%

6.5%

6.5% 6.5%

6.2%6.0%

5.8%

5.6%

5.5%

5.5%5.4%

5.2%

4.7%

4.3%

4.2%4.0%

3.9%

3.9%

3.9%

3.8%3.8%

3.7%

3.7%

3.7%

3.7%

3.6%

3.6%

3.5%

3.3%

2.9%

2.7%

2.7%

2.7%

2.2%

1.8% 1.4%

Torpig

FinFisher

CryptoWall

Conficker

Mariposa

Necurs

Xtreme

Sality

Andromeda

Zeroaccess

Pushdo

Gh0st

유럽 북미 오세아니아 중남미 아프리카 아시아 중동

그림 11은 이전 섹션에서 보았던 유사한 도표들과 마찬가지로 4분기 봇넷 출현율을 전체적으로 조망했습니다. 그림 11에서는 악의적 위협의 새로운 라인업이 등장했습니다. 그중에 Gh0st chief가 있습 니다. 각 지역에서 많은 기관이 보고하였고, 그 편차가 매우 컸습니 다. 오세아니아에서는 2위와 4배나 차이가 벌어지기도 했습니다. 이 봇넷은 예전부터 존재했지만 새로운 기능이 끊임없이 갱신되어서 범죄자가 감염된 시스템을 완벽히 통제하고, 키 로깅을 수행하며, 라이브 웹캠과 마이크 피드를 엿보고, 파일을 다운로드/업로드할 수 있습니다.

Andromeda 봇넷은 북미보다 중동에서 출현율이 12배나 높아서 지역별로 큰 차이를 보입니다. 이를 처음 보았을 때는 다소 충격 적입니다. 하지만 2017년 말에 사법 기관의 대대적 단속을 벌였을 당시 표적이었던 것을 기억한다면 이해가 됩니다. 이러한 현상은 표적화된 캠페인이라기보다는 Andromeda가 널리 확산되었던 지역 에서 잊혀졌거나 방치된 호스트가 많기 때문인 듯합니다.

마지막으로 한번 더 시각적인 관점에서 4분기 봇넷 활동을 살펴보 겠습니다. 지난 분기에 봇넷의 "간헐성"을 측정하는 기술을 소개했 습니다. 간헐성이란 분기 중에 악성 캠페인을 의미할 수 있는 활동 이 급격히 변동되는 것을 의미합니다. 이 분석에서 사용된 기술을 자세히 알고 싶다면 여기를 확인하십시오. 그림 12에서는 더욱 급격 한 변화를 보이는 간헐성을 색조 변화로 나타냈습니다. 어떤 봇넷은 4분기 내내 꾸준히 유지되었고(밝은 선이 길게 이어지는 형태), 어떤 봇넷은 주기성을 보였고(반복적으로 깜빡이는 형태), 어떤 봇넷은 활활 타올랐다가 사라졌습니다(길고 강한 파선 형태). 이런 봇넷의 활동은 중요한 사건이나 특기할 만한 캠페인과 상관관계가 있는 것은 아니었으나 이 분석은 봇넷 활동을 지켜보는 데 유용한 수단입니다.

18

봇넷 동향

NetbotLetMeRule

DiamondFoxTeamspy

HsIdirBayrob

TroldeshnRatLatot

YoddosHawkeye

ApocalypseVawtrak

CryptXXXArchelausNovaLiteLostDoor

DridexLocky

ChanitorAlinaGozi

TorpigMariposa

Oct 01 Nov 01 Dec 01 Dec 15

그림 12: 2018년 4분기 상위 봇넷의 활동 간헐성

Oct 15 Nov 15

그림 12의 봇넷 중 간단히 언급할 만한 것이 있습니다. Gozi의 코드 베이스를 빌린 Ursnif banking Trojan의 변종과 관련하여 3분기에 Gozi 관련 보고서를 발행했습니다. Gozi는 이번 분기에 대부분 조용하고 큰 변화를 보이지 않았으나 11월 말과 12월 초에 몇 번 존재를 알렸습니다.

Alina는 POS(Point of Sale) 멀웨어로, 지난 분기에 유사한 행동 패턴을 보여 우리의 시선을 끌었습니다. 샘플을 분석한 결과, 몇 년 전에 유출되었던 원본 소스 코드와 대체로 비슷했습니다. 갑자기 활동이 급증한 이유를 꼬집어 설명할 수는 없으나 계속 지켜보도록 하겠습니다.

이전 섹션에서는 스테가노그래피를 사용하여 악의적 페이로드를 숨긴 위협과 관련하여 Vawtrak 멀웨어를 언급했습니다. 이 멀웨어와 관련된 봇넷은 4분기 내내 불규칙하지만 대체로 크지 않은 간헐성을 보였습니다. 우리가 판단한 바에 따르면, 이 활동은 특정 사건과 연관 관계가 없습니다.

Hawkeye도 패턴이 고착되었을 수 있습니다. 지난 두 분기 중반에 각각 한 차례 크게 활동이 증가한 적이 있습니다.

Hawkeye는 작년에 피해 회사가 공급업체에 보낸 대금을 가로채는 데 사용되었고 범죄자들은 8,000만 달러에 가까운 금액을 갈취했습니다. 최초의 공격은 자동 정보 수집과 결합한 대규모 이메일 뿌리기처럼 보였습니다. 이런 뿌리기는 포티넷 분석에서 확인되었습니다.

TrickBot은 도표에는 오르지 못했지만 4분기 "주요 변동 봇넷"에는 들어갔습니다. 처음에는 10건(이 숫자가 맞습니다)으로 변변찮게 시작했지만 350만 건까지 급증했습니다. TrickBot은 출현율이 많이 증가한 봇넷으로, 기업 1,000개 중 1개를 의미하는 “Mendoza 라인”을 넘어섰습니다. 이 봇넷이 '늙은 개'이기는 하지만(2016년에 심층 분석 발표), 새로운 재주를 배우지 못할 것도 없습니다(이런 말이 나올 줄 알고 계셨죠?). 새로운 재주란 우리가 수집한 TrickBot 멀웨어 샘플에 얼마 전 추가된 pwgrab 모듈입니다. 포티넷 분석에 따르면, 이 모듈은 자격 증명, 자동 작성 데이터, 다른 애플리케이션 브라우저의 기록을 훔치려고 시도합니다.

2018년 평가

20

2018년 평가

Meltdown과 Spectre

그림 13: 2018년 1분기 Spectre 및 Meltdown 취약성 공개 후 익스플로잇 표적의 규모와 출현율

2018년 평가

Adobe

Apache

Apple

ASUS

AWStats

Backdoor

BashChina

DNS

EtherealHP

HTTP

IMAPISAPI

Java

Joomla

Linksys

MS

MySQL

Netcore

Ntpd

OpenSSL

Oracle PHP

POP3

Red

Robot

SMB

SSHSSL Telnet

uTorrent

Wordpress

All CPU Attacks(Spectre/Meltdown)

Dlink

10

100

1k

10k

100k

1m

10m

100m

1b

1 in10k

1 in1k

1 in100

1 in10

출현율

규모

시간은 이상한 것이지만, 시간에 대한 우리의 인식은 더욱 이상합니다. 특히, 새해를 맞이하여 한 해를 되돌아보듯이 오랜 기간에 발생한 중요 사건을 반추하면 이러한 모습이 더욱 명확히 드러납니다. 보안 업계는 지나간 일을 되돌아보고 미래를 예측하는 것을 상당히 좋아합니다. 아마도 많은 보안 실패가 공개적으로 발생하고 향후 이를 예방할 필요가 있기 때문인지도 모르겠습니다.

따라서 이번 2018년 4분기 평가에서 한 해를 돌아보고 보안 업계의 다른 전문가의 의견에 우리의 시각을 더하는 것이 좋겠다고 생각했습니다. 포티넷의 국제적 원격 측정을 통해 파악한 여러 가지 주요 동향을 되돌아보는 데 초점을 맞추기로 했고, 이는 다른 연례 요약과는 다소 다를 수 있습니다. 하지만 여러분께서는 다른 사람의 말을 앵무새처럼 따라 하는 것을 보려고 이 보고서를 읽는 건 아니지 않습니까?

기억을 반추하는 여정에서 첫 번째 정거장은 누구나 언급할 만한 것이기는 하지만 언급하지 않고 그냥 지나칠 수는 없었습니다. 2018년이 시작되기 무섭게 Meltdown과 Spectre라는 이름이 붙은 이중 사이드 채널 공격이 발표되었고, 이들은 대부분 마이크로프로세서에서 발견되는 취약점을 악용해 악성 프로세스가 무단으로 커널 메모리를 읽을 수 있게 합니다. 그것만으로도 이미 두려운 데 우리를 걱정스럽게 하는 CPU 취약성이 더 많이 발견되었습니다. 바로 RizenFall, MasterKey, Fallout, Chimera 등입니다.

그러나 우리를 두렵게 하는 것이 반드시 가장 큰 피해를 입히는 것은 아닙니다. 2018년에 나타난 Meltdown, Spectre 및 그 변종들도 마찬가지입니다. 이런 공격을 사용한 익스플로잇의 잠재적 피해는 엄청나지만, 우리 대부분은 생각보다 평범한 성격의 익스플로잇에 당할 가능성이 큽니다. 그림 13에서도 이를 확인할 수 있습니다. CPU 익스플로잇을 모두 합쳐도 3,000개 기관 중 1개꼴로 발견되었지만 Apache를 표적으로 한 공격은 6개 기관 중 1개꼴로 탐지되었습니다. 2019년에 다시 "Meltdown"으로 인해 보안 붕괴가 일어날 가능성을 무시할 수는 없지만 지금 가장 중요한 것에서 눈을 뗄 수는 없습니다.

21

제로데이 리서치

그림 14: 포티가드 랩에서 발견한 제로데이

2018년 평가

랜섬웨어 및 파괴적 멀웨어

4

0

19

7

15

886

97

6

2

J F M A M J J A S O N D

Meltdown과 Spectre가 이토록 주목을 받았던 데는 갑작스러운 공격도 기여했습니다. 보안 업계에서는 ‘갑작스러운 것’을 좋아하지 않습니다. 그래서 포티가드 랩 전문가들이 하드웨어와 소프트웨어에서 알려지지 않은 악용 가능한 취약성을 찾느라 수많은 시간을 보내는 것입니다. 포티가드 랩의 전문가들이 제로데이 취약성을 발견하면 제품 벤더와 협력하여 고객에게 제공할 보호 조치를 마련합니다.

우리는 이런 노력이 성공적이라는 것에 자부심이 있습니다. 포티넷은 5년이라는 짧은 기간 내에 제로데이 탐지 횟수가 증가하였고 우리 연구자들이 이를 도와 10배로 높였습니다. 모두 합쳐서 650개 이상의 취약성이 문제를 해결하기 전에 커뮤니티를 놀라게 하는 일이 없도록 도왔습니다.

FortiGuard의 제로데이 리서치에 대한 자세한 내용은 여기에서 참조할 수 있습니다. 해당 제품의 전체 목록과 취약성에 대한 설명도 포함되어 있습니다.

Meltdown과 Spectre가 등장하고 나서 약 1개월 후에 한국에서 개최되는 동계 올림픽으로 세계적 관심이 쏠렸습니다. 그러나 세계적 화합 정신은 오래가지 못했습니다. Olympic Destroyer 웜이 개막식 직전에 IT 시스템을 일시적으로 중단시켰습니다. 개막식은 중단 없이 진행되었지만 2018년에 파괴적 멀웨어의 행보는 멈추지 않았습니다.

March는 조지아주 애틀랜타에 봄비를 내렸고 SamSam 랜섬웨어는 시 운영을 방해해 많은 고통을 유발했습니다. 애틀랜타는 비상 대책 활동에 수백만 달러를 지출했고 시장은 이를 일컬어 "인질극"이라고 부르기에 이르렀습니다.

1분기 이후에 파괴적 멀웨어의 활동이 진정되었다고 말씀드리고 싶지만 안타깝게도 그렇지 못했습니다. 2018년에 파괴적 멀웨어에 피해를 입은 사례는 무수히 많습니다. 예를 들어 인디애나주의 어떤 병원은 랜섬웨어에 네트워크가 점령돼 수술을 취소해야 했습니다. 그런데 이상하게도 2018년에 랜섬웨어의 전체 출현율은 상당히 감소했습니다.

돈을 따라가면 범죄자를 찾을 수 있다는 말이 있습니다. 멀웨어도 범죄자가 만들고 사용하는 도구이기 때문에 예외가 아닙니다. 2018년에 나타난 주요 랜섬웨어 캠페인을 일으킨 범죄자 대부분은 파괴적인 목표 외에도 다른 수익 창출 멀웨어, 즉 크립토재킹을 적극적으로 받아들였습니다.

22

크립토재킹의 대박

그림 15: 2017년 4분기~2018년 4분기 크립토재킹 변종 및 출현율 증가

2018년 평가

loT 위협의 진화

Fourth Quarter, 2017

10

100

1k

10k

100k

1m

1 in100k

1 in10k

1 in1k

1 in100

1 in10

출현율

규모

Adware/CoinMinerJS/Coinhive.D!tr

JS/CoinMine.8B25!tr

JS/Miner.6F53!tr

JS/Miner.BF9C!tr

JS/Miner.BP!tr

Riskware/BitCoinMiner.SMBM4

Riskware/CoinHive

Riskware/CoinMiner

W32/Multi.MINER!tr

Riskware/BitMiner

Riskware/Miner

Riskware/Miner!Android

W32/CoinMiner.IA W32/CoinMiner.ZT!tr

W64/CoinMiner.DN!tr

Fourth Quarter, 2018

10

100

1k

10k

100k

1m

1 in100k

1 in10k

1 in1k

1 in100

1 in10

출현율

규모

그림 15를 보더라도 2018년에 크립토재킹(즉 암호화 화폐 채굴)이 가속화한 것을 간과하기 어렵습니다. 멀웨어가 (일반적으로 웹 브라우저에 로딩된 스크립트를 통해) 컴퓨터 리소스를 탈취해 암호 화폐를 채굴할 때 크립토재킹이 발생합니다. 2018년은 아마 인터넷의 역사책에 크립토재킹의 골드 러시로 기록될 것입니다.

1800년대 말에 있었던 위대한 미국의 골드 러시(Great American Gold Rush)와 마찬가지로, 크립토재킹을 중심으로 가내 공업이 등장한 모양입니다. 장사 수단이 발전하고 표적화된 플랫폼이 성장했으며, 새로운 변종이 다양하게 나타났고 하룻밤 새에 몇몇은 일확천금을 얻기도 했습니다. 새로운 크립토재킹 멀웨어 변종의 폭증, 그리고 변종이 발생하는 빈도를 측정할 수 있게 되었습니다. 그림 15에서 알 수 있듯이, Coinhive와 CoinMiner는 시장에 넘쳐 나는 잠재적 크립토재킹 무리를 앞장서 이끌었습니다.

하지만 "쉽게 얻은 것은 쉽게 사라진다"고들 합니다. 이 경우에는 맞는 이야기인 듯합니다. 올해 말에 암호화 화폐의 가치가 폭락하자 다시 한번 사이버 범죄 경제의 저울이 기울었습니다.

3분기 보고서에는 지난 몇 년간 IoT 봇넷의 진화를 상세히 설명하는 섹션이 있습니다. 2018년에 IoT 봇넷에서 중요한 변화가 있다고 한다면, 감염된 IoT 기기에 크립토재킹 멀웨어를 심는 능력이 생긴 것입니다. 암호화 화폐를 채굴하려면 높은 CPU 리소스가 필요하고 쉽게 침해되고 대체로 유휴 상태인 IoT 기기 무리는 규모를 통해 이러한 힘을 제공합니다. 그 외에도 IoT 봇넷에 파괴적 성향이 더해진 것이 눈에 띄었습니다. Bricker 봇에서 이런 조짐이 다소 보였습니다. 처음에는 그다지 무서워 보이지 않을 수 있으나, IoT 기기의 종류가 얼마나 많은지 생각해 보십시오. 인터넷에 연결된 커피 메이커가 벽돌이 되면 상당히 나쁜 일이 되겠지만, 병원 또는 발전소의 대규모 인프라 내에서 의료 기기나 구성 요소가 작동하지 않는다면 어떻게 될까요? VPNFilter를 생각해보십시오.

VPNFilter의 정보는 Cyber Threat Alliance를 통해 공유되었습니다. 이 loT 멀웨어는 우크라이나에 있는 기기를 공격하는 데 사용한 BlackEnergy 멀웨어와 매우 흡사했습니다. VPNFilter 멀웨어는 주로 우크라이나에 있는 다양한 유형의 IT 기기를 표적으로 삼습니다. 이 멀웨어가 설치되면 SCADA 프로토콜을 모니터링하고 웹사이트 자격 증명을 훔칠 수 있습니다. 또한, IoT 기기를 파괴하는 "킬 스위치"도 있습니다. 게다가 기기를 감염시킨 멀웨어는 기본적으로 트래픽을 모니터링하기 때문에 네트워크 세션에 악성 코드를 심을 수 있어서 엔드포인트 기기가 교차 감염될 수 있습니다. 이크!

23

더욱 민첩해진 멀웨어

ICS 감시

2018년 평가

7-Technologies

Advantech

CitectSCADA

Delta

GE

InduSoft

Moxa

Progea

QNX

Schneider

SearchBlox

Siemens

TeeChart

VIPA

WellinTech

3S-Smart

Galil

RealFlex

Sunway

Triangle

10

100

1k

10k

100k

1m

1 in10k

1 in1k

출현율

규모

그림 16: ICS 익스플로잇 출현율 및 규모 변화, 2018년 Q1 > Q4

1 Christina Kubecka (2015-08-03). “How to Implement IT Security after a Cyber Meltdown”. Retrieved 2019-01-20.

2018년에 필요 없는 것이 있다면 바로 효율성을 높인 멀웨어 제작자와 빠른 릴리스 일정입니다. 네, 하지만 그 두 가지가 모두 나타났습니다.

멀웨어 제작자들은 오랜 시간 동안 변종을 만드는 방식으로 감지를 피해왔지만, 시간이 지나면서 시스템은 점점 우회하기 어렵게 개선되었습니다. 절대로 만족하는 법이 없는 멀웨어 제작자들은 안티 멀웨어 제품의 최선 전술을 빠르게 타개하기 위해 애자일 개발로 눈을 돌렸습니다. 이와 관련하여 좋은 예시가 있다면 GandCrab 랜섬웨어의 4.0 버전입니다. 이 랜섬웨어는 1년간 순위가 점차 상승해 이 유행 중에서는 가장 영향력이 큰 위협이 되었습니다.

이 랜섬웨어가 성공한 주요 원인은 혁신적인 개발, 수집, 배포 방법과 관련이 있습니다. GandCrab 배후의 액터는 Dash 암호화폐를 받아들인 최초의 그룹입니다. 또한 이들은 시장의 경쟁자들을 물리치고 발생하는 문제와 버그를 해결하기 위해 애자일 개발 방식을 사용하고 있는 것으로 보입니다. GandCrab의 또 다른 독특한 측면은 서비스형 랜섬웨어(RaaS) 모델이라는 것입니다. 즉, 개발자 그리고 서비스를 활용하고자 하는 범죄자들이 60/40으로 수익을 공유하는 모델이 기반입니다. 마지막으로, GandCrab은 ICANN에서 인식하지 못하는 최상위 도메인인 .BIT를 사용합니다. .BIT는 Namecoin 암호화폐 인프라를 통해 제공되며 다양한 이름 서버를 사용하여 DNS를 확인하고 트래픽을 리디렉션합니다.

12월 중에 중동에서 발생한 공격의 물결에서 Shamoon 멀웨어가 다시 등장한 것은 파괴적 공격이 다시 활개를 치기 시작했다는 신호입니다. Shamoon 멀웨어는 산업 제어 시스템(ICS)을 표적으로 삼지 않지만, 2012년에 국영 석유 회사 Saudi Aramco가 겪었던 사건이 가장 유명합니다. 일각에서는1 ICS에 과도하게 지출하고 IT에 대한 지출이 지나치게 적었던 것을 사건 규모와 피해가 더욱 커진 원인으로 꼽기도 합니다. 그러나 많은 기관의 경우 예산의 초점(특히 보안 예산)이 역전되어 있어서 ICS가 위협에 노출되어 있습니다.

이러한 경향으로 인해 올해 평가에 그림 16을 포함하고자 했습니다. 파란색 점은 다양한 ICS 제조사를 노리는 익스플로잇을 2018년 4분기 출현율 및 규모에 따라 그림으로 나타냈습니다. 상위 20개 익스플로잇에는 라벨을 붙였습니다. 빨간 선은 각 익스플로잇 세트가 2018년 1분기 좌표 평면 어디에 위치하는지 나타냅니다. 따라서 2018년에 발생한 이러한 공격의 출현율과 빈도의 상대적 변화를 확인할 수 있습니다. 대부분이 출현율과 규모가 동시에 증가했다는 점은 특기할 만합니다. 이 점을 기억하여 2019년 IT 및 OT 투자의 균형을 적절히 맞추시기 바랍니다.

24

출처 및 척도

익스플로잇 이 보고서에서 설명하는 애플리케이션 익스플로잇은 주로 네트워크 IPS를 통해 수집하였습니다. 이 데이터세트에서 취약한 시스템을 파악하기 위한 공격자 정찰(reconnaissance) 활동과 그러한 취약점을 악용하려는 시도를 살펴볼 수 있습니다.

멀웨어 이 보고서에서 설명하는 멀웨어 샘플은 경계 기기, 샌드박스 또는 엔드포인트 등에서 수집하였습니다. 이 데이터세트는 대체로 공격을 대상 시스템에 성공적으로 설치하는 단계가 아닌, 공격의 무기화나 전달 단계를 나타냅니다.

봇넷이 보고서에서 설명한 봇넷 활동은 네트워크 기기를 통해 수집하였습니다. 이 데이터세트는 침입을 받은 내부 시스템과 악성 외부 호스트 사이를 오가는 C2(Command & Control, C&C) 트래픽을 의미합니다.

규모 전반적인 빈도 또는 비율의 척도입니다. 위협 이벤트로 관찰된 총 횟수 또는 백분율을 나타냅니다.

출현율

강도일간 규모 또는 빈도를 말합니다. 조직 한 곳에서 한 가지 위협 이벤트가 관찰되는 일일 평균 횟수를 말합니다.

출처 및 척도

이 보고서에서 밝히는 포티가드 랩의 여러 가지 정보는 포티넷이 구축한 방대한 네트워크 기기/센서 제품군에서 얻은 것으로서 세계 각지에서 활발하게 움직이는 상용 서비스 시설에서 관찰된 수십억 개의 위협 이벤트와 사건 사고 등이 포함됩니다.독립적 조사 결과에 따르면2, 포티넷의 보안 장치 점유율이 가장 크기 때문에 업계에서 가장 대규모로 위협 데이터 샘플 추출이 가능합니다. 모든 데이터는 익명 처리하며 샘플에 표시된 단체에는

신원을 식별할 수 있는 정보를 전혀 포함하지 않습니다.

여러분도 쉽게 상상하시겠지만, 이러한 정보는 다양한 관점에서 사이버 위협 동향을 살펴볼 수 있는 훌륭한 시각을 제공합니다. 이 보고서에서는 그와 같은 동향의 중심에서 서로 보완적인 관계에 있는 주요 분야 세 가지, 즉 애플리케이션 익스플로잇, 악성 소프트 웨어(멀웨어), 봇넷을 중점적으로 다루겠습니다.

당사에서는 이와 같은 다양한 위협 동향의 측면 외에 데이터의 의미를 설명하고 해석하는 데 세 가지 척도를 사용합니다. 이 보고서에서 규모, 출현율 및 강도라는 용어를 자주 접하게 될 것입니다. 이러한 용어는 항상 본문에서 제시한 정의를 준수하여 사용합니다.

이 보고서에 포함된 수치에는 수많은 위협이 포함되어 있습니다. 몇 가지 위협에 대해서는 간략한 설명을 제공하지만, 분명 독자 여러분은 더 자세한 정보를 원할 것입니다. 이 보고서를 읽으면서 필요할 경우 포티가드 랩(FortiGuard Labs) 백과사전을 참조하십 시오.

여러 그룹에 걸친 분포도 또는 침투성입니다. 위협 이벤트를 적어도 한 번 이상 발견하여 신고한 조직의 백분율3을 나타냅니다.

2 출처: IDC 전 세계 보안 어플라이언스 추적기, 2018년 4월(연간 단위 출고량 기준)3 당사는 위협 활동을 신고한 조직에서만 출현율을 측정할 수 있기 때문입니다. 어떤 봇넷의 출현율이 50%에 달하더라도 전 세계 기업 절반에 영향을 미친 것으로 해석할 수 없습니다.

봇넷 데이터 세트에 있는 기업 중 절반이 해당 봇넷을 목격했다는 의미합니다. 일반적으로 분모는 수만 개의 기업으로 구성됩니다.

결론 및 권장 사항

26

결론 및 권장 사항

01

02

03

04

결론 및 권장 사항

시간은 매우 귀중하며 다시 사용할 수 없는 자원입니다. 2018년 4분기 사이버 위협 동향과 2018년의 주목할 만한 주요 사건을 요약하는 데 함께 해주셔서 감사합니다. 이 정보를 실제 행동에 적용하는 데 도움이 되도록 2018년 평가 섹션과 관련하여 권장 사항을 아래에 제시하였습니다.

Meltdown과 Spectre 같은 취약성은 보안과 개인 정보 보호에서 매우 큰 우려가 됩니다.

해당 칩이 이미 현재 가정이나 생산 환경에서 사용되는 수백만 대의 기기에

설치되었다는 것은 차치하고라도, 이 취약성을 해결하는 데 큰 어려움이 있다면 노출된

측 채널 문제를 해결하는 패치를 개발하기가 매우 복잡하다는 것입니다. 사실, Intel은

일부 기기에서 재부팅 문제를 일으켜 초기에 배포한 패치를 취소해야 했습니다. 그래서

공격적이고 선제적인 패치 및 교체 프로토콜을 수립하는 것 외에도 기관에서 악의적

활동과 멀웨어를 탐지하고 취약한 시스템을 보호하기 위한 보안을 겹겹이 세워야

합니다.

이는 모든 제로데이 취약성에 적용할 수 있는 이야기입니다. 패치가 나오면 테스트하고

배포하되, 여기에만 위협 방어를 의존해서는 안 됩니다. 외부에 노출되고 액세스 가능한

공격면을 미리 최소화하면 다음 제로데이 공격이 공개되었을 때 여유 시간을 벌 수

있다는 부수적 장점도 얻을 수 있습니다. 쉬운 표적을 찾아다닐 시기인 초기 정찰 시 첫

표적이 되는 일은 없을 것입니다.

2018년에 크립토재킹이 장악한 시스템을 점차 늘려갔다는 것을 보여주었습니다. 자신의

시스템이 크립토재킹에 당해서 범죄자의 주머니를 채워주고 있는 것이 아닌지

걱정스럽다면 먼저 작업 관리자(Windows), 활동 모니터(Mac)를 점검하거나 Linux

명령줄에서 "top"을 확인하십시오. 이 도구를 사용하면 컴퓨터에서 실행 중인 모든

프로세스 목록을 확인한 다음, 리소스를 소비하는 범인을 찾아서 차단할 수 있습니다.

또한, 직원들의 홈 네트워크가 VPN을 통해 기업 네트워크에 연결하는 머신과 분리하는

것도 좋습니다. 적어도 각각을 제대로 분리하는 방법을 가르치는 것을 보안 교육

프로그램에 포함시켜야 합니다.

올해 분석한 멀웨어에서 혁신과 파괴적 성향이 나타났습니다. 이는 크립토재킹의 상승세

와 더불어 사이버 범죄에서 지속적으로 혁신이 일어나고 있다는 것을 나타냅니다.

조직을 범죄보다 앞서 보호하려면 이 블로그 게시물에서 관련된 권고 사항을 확인해

보십시오.

27

06

07

08

결론 및 권장 사항

05이번 분기 및 올해에는 IoT 장치를 표적으로 하는 여러 익스플로잇이 차트에서 상위를

차지했습니다. 폭풍을 잠재우려면 학습, 분리 및 보호 전략을 사용하는 것이 좋습니다.

이 전략은 네트워크에 연결된 기기가 무엇이고, 어떻게 구성 및 인증되는지 배우는 데서

시작됩니다. 이를 완전히 파악하고 나면 기관에서는 맞춤형 정책에 따라 IoT 장치를

보안된 네트워크 영역으로 동적으로 ‘분리’합니다. 그런 다음에는 네트워크에서 통합된

선제적, 지능형 패브릭을 사용하여 분리한 지점을 서로 연결할 수 있습니다. 특히, 액세스

포인트, 세그먼트 간 네트워크 트래픽 위치, 다중 클라우드 환경에 적용하는 것이

좋습니다.

SCADA 장치에 대한 공격은 가장 흔한 것은 아니지만 가장 치명적일 수 있습니다.

조직에서 SCADA 또는 기타 ICS를 사용한다면 먼저 이런 기술과 관련된 사업적, 운영적

위험을 완벽히 평가하여 위험에 입각한 전략을 세우십시오. 영역, 통로, 경계, 보안 수준

정의하는 활동도 포함되어야 하며, 이는 OT와 OT 외 환경 간 통신을 제한하는 데 매우

중요합니다. OT 환경을 보호하는 방법은 이 블로그 게시물에서 확인할 수 있습니다.

IoT 봇넷을 방어하는 작업은 단순히 '어려운' 수준에 그치지 않습니다. 포티넷에서는

시스템 백업을 외부 저장소에 저장하고, 예비 시스템을 갖추고, 기기를 최신으로

업데이트하고, IoT 기기와 프로덕션 네트워크를 분리하고, 이러한 분리된 지점 간

트래픽을 모니터링하고 실시간 위협 정보를 활용할 것을 권장합니다.

포티가드에 가입하면 이 보고서에서 언급된 위협이 감지됩니다. 호객 행위나 자기

이익만을 챙기는 것처럼 들릴 수도 있지만 고객을 위해 이를 언급하지 않는다면 그것도

태만일 것입니다. 저희는 위협과 취약점을 연구하면서 배운 모든 것을 제품과 서비스에

포함하고 고객이 안심할 수 있도록 만드는 것을 사명으로 삼고 있습니다.

www.fortinet.com

Threat-Report-Q4-2018-021519-154pm356902-0-0-KO

Copyright © 2019 Fortinet, Inc. All rights reserved. Fortinet®, FortiGate®, FortiCare® 및 FortiGuard® 및 기타 상표는 Fortinet, Inc.의 등록상표입니다. 본문에 기재된 기타 포티넷 관련 상품명/상호 등 또한 포티넷의 등록 및/또는 관습법상 등재 상표일 수

있습니다. 다른 모든 제품 또는 회사명은 각각 해당되는 소유주의 등록상표일 수 있습니다. 본문에 기재된 성능 및 기타 지표는 이상적인 실험 조건 하에서 수행한 사내 연구소 테스트 결과로 획득한 것이며, 실제 성능 및 기타 결과는 다양하게 나타날 수

있습니다. 네트워크 변수, 서로 다른 네트워크 환경 및 기타 조건 등이 성능 결과에 영향을 미칠 수 있습니다. 본문의 어떤 내용도 포티넷에서 법적 구속력이 있는 약속을 한다는 의미는 아니며, 포티넷은 명시적으로나 묵시적으로나 모든 보증을 부인하는

바입니다. 다만 포티넷에서 법무 자문 위원의 서명 결재를 거친, 법적으로 유효한 서면 계약서를 체결하여 해당 계약서에 기재된 제품이 내용을 분명히 밝힌 특정 성능 지표에 따른 성능을 발휘할 것을 보증하는 경우는 예외입니다. 그러한 경우, 그와 같은

법적으로 유효한 서면 계약서에서 분명히 밝힌 특정 성능 지표만이 포티넷에 법적 구속력을 발휘합니다. 의미를 확실히 해두기 위하여, 그와 같은 보장은 포티넷의 사내 연구소 테스트를 실시한 조건과 동일한 이상적인 조건하에서의 성능에만 국한됩니다.

포티넷은 명시적으로든 묵시적으로든 본문에 따른 각종 약정, 대변 및 보장 등을 전체적으로 부인하는 바입니다. 포티넷에는 본 출판물의 내용을 변경, 수정, 전송 또는 여타의 형태로 개정할 권한이 있으며 본 출판물의 내용은 최신 버전을 적용하는 것으로

합니다. 포티넷은 명시적으로든 묵시적으로든 본문에 따른 각종 약정, 대변 및 보장 등을 전체적으로 부인하는 바입니다. 포티넷에는 본 출판물의 내용을 변경, 수정, 전송 또는 여타의 형태로 개정할 권한이 있으며 본 출판물의 내용은 최신 버전을 적용하는

것으로 합니다.