2016년 4분기 보안 위협 동향 보고서 - fortinet€¦ · saas 앱 iaas 앱 스트리밍...
TRANSCRIPT
보안 위협 동향 보고서
2016년 4분기
2
목차
서문. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2016년 4분기 하이라이트 및 주요 정보. . . . . . . . . . . . . . . . . . . . . . . . . . . 4
출처 및 척도.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
인프라스트럭처 동향. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
글로벌 위협 동향 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 0
익스플로잇 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1
미니 포커스: 사물인터넷(IOT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 3
맬웨어 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 4
미니 포커스: 모바일 맬웨어. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 6
봇넷 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 7
미니 포커스: 랜섬웨어 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 9
지역별 위협 동향 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 0
업계 위협 동향. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 3
탐색적 분석: 휴가철 위협 동향 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 6
결론 및 권고 사항 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 8
목차
3
서문
가치가 있는 일이라면 무엇이든 어느 정도 위험 부담이 수반되게 마련입니다. 상업만큼 이러한 진리가 잘 적용되는 분야도 없습니다. 그 옛날 미개척된 오지를 탐험하던 시절부터 디지털 연결과 클릭으로 이루어진 최첨단 탐사까지, 부와 명성은 위험 요소를 파악하여 이를 잘 관리하는 자들에게 허락되었습니다. 그러나 미지의 세계에 직면하면 ‘이해’라는 것은 부족해지고, 대개는 공포감, 불확실성, 의심의 감정이 그 자리를 대신합니다. 이 세 가지 감정은 한데 얽혀 있어서 통칭, “FUD(Fear, Uncertainty, and Doubt)”라고 불립니다.
이러한 경향을 훌륭하게 형상화한 것이 옛날의 “괴물 지도”입니다. 여기에 있는 그 유명한 ‘해양지도(Carta Marina)’가 좋은 예입니다. 육지나 해상에서 겪은 실제 위험을 환상의 짐승으로 표현하여 동료 여행자들에게 일종의 경고를 보내는 것입니다. 이 지도는 FUD가 어떻게 타당한 위협 요소를 가공의 것으로 바꿀 수 있는지 보여주는 훌륭한 사례입니다. 이와 같은 경향을 옛 사람들의 무지에서 비롯된 것이라 일축하기 전에, 우리가 오늘날 사이버 위협 동향을 바라보는 관점도 사실보다는 FUD에 이끌려 가는 것은 아닌지 자문해볼 필요가 있습니다.
이 보고서에서는 포티가드 랩(FortiGuard Lab)의 방대한 자료와 전문성을 활용하여 2016년 4분기 사이버 위협 동향을 정확하게 알아보고자 합니다. 당사는 현존하는 위협과 이들의 발생 빈도,업종과 지역에 따른 차이점, 시간이 흐르면서 발생하는 변화 등에 대한 관점을 공유하고자 합니다. 이를 위해 사용하는 수단이나 표현은 옛날의 지도제작자들과 다를 수 있지만, 의도는 크게 다르지 않습니다. 당사는 때때로 가혹하고 무자비하기까지 한 환경에서 동료 여행객 여러분이 사업 활동을 안전하게 영위할 수 있도록 돕고자 합니다.
서문
4
2016년 4분기 하이라이트 및 주요 정보
2016년 4분기 하이라이트 및 주요 정보
2016년 마지막 두어 달은 폭풍우도 잦았거니와, 존재를 확인한 괴물도 여럿 만났습니다. 4분기에 발견한 정보 중 하이라이트만 모아보았습니다.
더블 다운 2016년 4분기에 진입하던 시점에 업계는 사상 최대 규모의 데이터 유출 사건과 최대 규모의 DDoS 공격이라는 연타 공격의 충격에서 채 벗어나지 못한 상태였습니다. 4분기가 채 절반도 지나기 전에 신기록을 세웠던 이 두 가지 사태는 해결은커녕 피해 규모가 두 배로 늘어났습니다.
미라이(MIRAI) 대충격 이처럼 기록적인 규모의 DDoS 공격이 일상적 기기를 사용하여 일어났다는 소식이 알려지자 사물인터넷(IoT) 보안과 관련한 논의가 돌연 열기를 띠었습니다. 이 공격의 배후에 있던 소스 코드가 공개되자마자 미라이 봇넷 활동량이 25배나 급증하였고, 이 주간 급등세는 4분기 중 가장 큰 규모였습니다. 2016년, 한 해가 다 저물기 전에 활동량은 이 수치의 5배에 달하는 규모까지 치솟았습니다.
러시아에서 생긴 일 미국 대통령 선거를 둘러싼 “대선 해킹” 사건은 4분기까지 떠들썩하게 이어졌습니다. 지난 11월에 선거운동을 테마로 한 맬웨어 분석 및 트롤에 관한 내용을 다룬 바 있으므로, 이 보고서에서는 그 주제에 대한 논의는 재개하지 않도록 하겠습니다.
대담한 익스플로잇의 출현 당사에서 추적한 바에 따르면, 조직당 평균 10.7건의 고유한 애플리케이션 익스플로잇이 발견되었습니다. 기업체 10곳 중 9곳에서 중요하거나 심각도가 높은 익스플로잇을 감지했습니다.
옛것이 새것 총 기업 수의 86%에 달하는 기업이 십 년 이상 된 오래된 취약점을 악용한 공격 시도를 신고했습니다. 그중 40% 가량은 20세기의 CVE를 대상으로 한 익스플로잇이었습니다.
맬웨어 마피아 Nemucod와 Agent라는 맬웨어 2종이 4분기에 특히 활발한 활동을 벌였습니다. 수집한 맬웨어 샘플 전체에서 무려 81.4%를 이 두 가지 맬웨어가 차지했습니다. Nemucod 패밀리는 랜섬웨어와 연계된 것으로 악명이 높습니다.
잠금 필수 최상위를 점한 이 두 가지 패밀리 외에 이번 분기에 가장 눈에 띄게 규모를 키운 맬웨어는 Locky 랜섬웨어였습니다.
랜섬웨어의 행방 당사 기록에 따르면 기업 조직의 36%가 랜섬웨어와 관련된 봇넷 활동을 감지했습니다. 랜섬웨어는 지역과 업종을 불문하고 어디에나 존재했지만, 특히 의료서비스 기관에 널리 퍼져 있는 것으로 밝혀졌습니다.
모바일 진출 모바일 맬웨어는 전체 맬웨어의 1.7%를 차지했으며 기업 조직 5곳 중 1곳에서 모바일 맬웨어를 신고했습니다. 이것은 이전에 관찰한 것에 비해 상당한 증가였습니다.
글로벌 모바일 모바일 맬웨어가 지역별로 상당한 차이점이 있다는 사실을 알아냈습니다. 모바일 맬웨어는 아프리카 조직의 36%에서 발견되었지만 유럽에서는 8%에 그쳤습니다.
무시할 수 없는 봇넷의 존재감 W당사에서는 조직당 평균 6.7종의 고유 활성 봇넷 패밀리를 감지하였습니다. 이러한 추이는 중동, 아프리카 및 라틴 아메리카에서 가장 두드러지게 나타났습니다.
공포감이냐 공동체냐 업종별 위협 동향 분석 내용을 살펴보면 업종보다는 위협 중심이며 동시에 위협보다는 업종 중심이기도 하다는 것을 알 수 있습니다. 이 패러독스를 이해하려면 관련 단원을 꼭 읽어보아야 합니다.
가는 해 오는 해 소매/숙박 및 교육 부문의 위법 익스플로잇 활동 태세가 평상시 4분기 특유의 위협 패턴과는 다른 흥미로운 색다른 양상을 보였습니다.
이외에도 앞으로 이어지는 내용에서는 2016년 4분기 위협에 관하여 세계, 지역, 업종 및 조직별로 관점을 달리해 다양한 태도로 알아보도록 하겠습니다.
출처 및 척도
6
출처 및 척도
옛날 옛적 바다를 누비던 선원들은 주변 환경의 여러 가지 징후와 도구를 사용하여 자신의 위치와 주변 상황을 파악했습니다. 그와 마찬가지로, 우리에게도 주변의 정황을 인식하는 태도를 유지하는 방법이 몇 가지 있습니다. 이 보고서에서 밝히는 여러 가지 정보는 프로덕션 환경에 포티넷(Fortinet)이 구축한 방대한 네트워크 기기/센서 제품군에서 얻어 낸 포티가드 랩(FortiGuard Labs)에서 취합한 내용입니다. 여기에는 2016년 10월 1일부터 12월 31일까지 세계 각지에서 활발하게 움직이는 프로덕션 환경에서 관찰된 수십억 개의 위협 이벤트와 사건사고 등이 포함됩니다. 데이터는 모두 익명 처리하며 샘플에 표시된 단체에는 신원을 식별할 수 있는 정보를 전혀 포함하지 않습니다.여러분도 익히 상상할 수 있겠지만, 이러한 정보는 다양한 관점에서 사이버 위협 동향을 살펴볼 수 있는 훌륭한 시각을 제공합니다. 이 보고서에서는 그와 같은 동향의 중심에서 서로 보완적인 관계에
익스플로잇이 보고서에서 설명하는 애플리케이션 익스플로잇은 주로 네트워크 IPS를 통해 수집하였습니다. 이 데이터세트에서 취약한 시스템을 파악하기 위한 공격자 정찰(reconnaissance) 활동과 그러한 취약점을 악용하려는 시도를 살펴볼 수 있습니다.
맬웨어이 보고서에서 설명하는 맬웨어 샘플은 경계 기기, 샌드박스 또는 엔드포인트 등에서 수집하였습니다. 이 데이터세트는 대체로 공격을 대상 시스템에 성공적으로 설치하는 단계가 아닌, 공격의 무기화나 전달 단계를 나타냅니다.
봇넷이 보고서에서 설명한 봇넷 활동은 네트워크 기기를 통해 수집하였습니다. 이 데이터세트는 침입을 받은 내부 시스템과 악성 외부 호스트 사이를 오가는 C2(Command & Control, C&C) 트래픽을 의미합니다.
규모 전반적인 빈도 또는 비율의 척도입니다. 위협 이벤트로 관찰된 총 횟수 또는 백분율을 나타냅니다.
출현율 여러 그룹에 걸친 분포도 또는 침투성입니다. 위협 이벤트를 적어도 한 번 이상 발견하여 신고한 조직의 백분율1을 나타냅니다.
강도 일간 규모 또는 빈도를 말합니다. 조직 한 곳에서 한 가지 위협 이벤트가 관찰되는 일일 평균 횟수를 말합니다.
출처 및 척도
있는 주요 분야 세 가지, 즉 애플리케이션 익스플로잇, 악성 소프트웨어(맬웨어), 봇넷을 중점적으로 다루겠습니다.
당사에서는 이와 같은 다양한 위협 동향의 측면 외에 데이터의 의미를 설명하고 해석하는 데 세 가지 척도를 사용합니다. 이 보고서에서 규모, 출현율 및 강도라는 용어를 자주 접하게 될 것입니다. 이러한 용어는 항상 본문에서 제시한 정의를 준수하여 사용합니다.
이 보고서에 포함된 수치에는 수많은 위협이 포함되어 있습니다.몇 가지 위협에 대해서는 간략한 설명을 제공하지만, 분명 여러분은 더 자세한 정보를 원할 것입니다. 따라서 이 페이지를 살펴보실 때는 포티가드 랩 백과사전을 믿음직한 지도처럼 활용하면 유용할 것입니다.
1 “신고한 조직”이라는 표현에는 중요한 의미가 있습니다. 당사는 위협 활동을 신고한 조직에서만 출현율을 측정할 수 있기 때문입니다. 따라서 그림 5와 같이 Slammer 웜의 출현율이
49%라고 하면, 이는 전 세계 모든 기업의 절반을 뜻하지 않습니다. 맬웨어 이벤트를 신고해온 기업 중 49%에서 Slammer를 발견했다는 뜻입니다.
인프라스트럭처 동향
8
인프라스트럭처 동향
4분기 위협 동향을 상세하게 분석한 내용을 살펴보기 전에, 본문에서 거론하는 각종 익스플로잇, 맬웨어 및 봇넷은 독립적으로 발생하는 것이 아님을 염두에 두어야 합니다. 위협을 탐구하면 적에 대해 많은 것을 알 수 있지만, 같은 데이터에서 적들이 겨냥하는 대상을 알아볼 수도 있습니다. 위협은 시간이 흐르면서 진화합니다.
이러한 흐름은 애플리케이션, 기술, 구성, 제어 및 동작의 변화와도 맞물려 있습니다(역방향도 성립). 따라서 인프라스트럭처 동향과 위협 동향에 어떤 식으로 관련을 맺고 이를 형성하는지도 고려해야 합니다.
(중간값으로 나타냄) 2016년 1분기 2016년 2분기 2016년 3분기 2016년 4분기6.3G 7.7G 7.3G 8.5G
52.5% 49.8% 52.4% 50.8%
216 215 211 211
33 35 35 36
26 22 23 27
17 24 21 20
14 19 17 17
4 4 4 4
4 4 4 5
2 3 3 3
1 2 2 1
600 590 571 595
일일 대역폭 HTTPS 비율 총 앱 수SaaS 앱IaaS 앱스트리밍 앱 소셜 앱 RAS 앱프록시 앱게이밍 앱P2P 앱 일일 웹사이트 방문 수일일 악성 웹사이트 방문 수 3 3 3 3
그림 1. 분기별 인프라 동향 표시된 값은 조직별 중간값입니다.
그림 1의 데이터는 자발적인 위협 평가 프로그램에서 가져온 것으로, 이 프로그램은 약 일주일간 실행되는 것이 보통이며 감지된 앱 수와 같은 통계에 영향을 미친다는 사실에 의문의 여지가 없습니다. 예상한 바와 같이, 표시된 값은 참가한 여러 조직에 따라 대단히
광범위하게 나타나며 이를 좌우하는 요인도 인구통계, 비즈니스, 기타 요소 등으로 다양합니다. 그렇기는 하지만 이 데이터는 여전히 “전형적인” 조직의 형태나 시간이 흐르면서 변화하는 인프라스트럭처 동향의 양상 등에 대한 감을 잡기에는 어느 정도 유용합니다.
0%
2%
4%
6%
8%
10%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
HTTPS 사용량 백분율
조직
백분
율
그림 2. 기업별 HTTPS 트래필 점유율 분포도.
httpshttp
52.5% 49.8% 52.4% 50.8%
47.5% 50.2% 47.6% 49.2%
0%
20%
40%
60%
80%
100%
Quarter 1 Quarter 2 Quarter 3 Quarter 4
그림 3. 분기별 HTTPS - HTTP 트래픽 평균 비율
인프라스트럭처 동향
9
HTTPS 트래픽 사용량은 모니터링이 필요한 중요한 동향입니다. 개인정보 보호에는 유용하지만, 암호화된 통신문에 종종 숨어 있는 위협을 감지하기는 어렵다는 문제가 있기 때문입니다. 당사에서는 HTTPS로 꾸준한 이동을 예상했지만, 그림 1에서 보듯이 변동률은 약 50%였습니다. 그림 2는 그러한 비율이 기업별로 달리 나타나는 양상을 표시한 것입니다.이것을 보면 거의 모든 것을 암호화하는 트래픽도 있고 거의 아무것도 암호화하지 않는 트래픽도 있다는 사실을 다시 한 번 상기하게 됩니다. 이와 같은 움직임은 오랜 기간에 걸쳐 나타나는 경향이 있으므로, 앞으로도 계속해서 모니터링할 예정입니다.
이번 분기에 조직 한 곳당 감지된 고유 애플리케이션의 총 수는 215개 부근을 오르내렸습니다. 확인된 애플리케이션의 여러 유형을 분석한 내용이 그림 1에 표시되어 있습니다. 이 내용이 유용한 맥락을 더해줄 것으로 보입니다. 그림 4는 클라우드 애플리케이션(SaaS와 IaaS 앱)에 중점을 두었는데, 지난 한 해 동안 약간 늘어나는 추이를 보였습니다. 클라우드로의 이동이 사이버 보안에 순전히 부정적인 일인지, 긍정적인 일인지에 대해서는 양쪽 모두 정보로 뒷받침된 강력한 의견이 대립하고 있습니다. 이 양상이 앞으로 어떤 식으로 진행될지 지켜보는 것도 흥미로운 일이 될 것입니다.
SaaSIaaS
33 35 35 36
26 22 2327
0
10
20
30
40
50
60
Quarter 1 Quarter 2 Quarter 3 Quarter 4
그림 4. 조직당 클라우드 애플리케이션 수(중간값, 분기별)
소셜 미디어, 스트리밍 오디오/비디오와 P2P 앱이 좀 더 급증하지 않았다는 것이 특히 눈에 띕니다. 이 현상은 이러한 장르가 서로 통합되었거나, 기업 내규가 좀 더 엄격해졌거나 사용자가 자기 소유의 기기/연결을 사용하기로 선택하는 등이 원인일 수 있습니다. 어찌 됐건, 그러한 애플리케이션은 기업 환경 내부로 맬웨어와 소셜 엔지니어링 위협을 유입시키는 매개체로 알려졌으므로 여기에 이론은 제기하지 않겠습니다.
또 다른 잘 알려진 위협 매개체인 웹 브라우징도 추적할 만한 요소입니다. 기업체당 매일 방문한 웹사이트 수는 일 년간 비교적 변함없는 수준을 유지하였으며(그림 1 참조), 악성 사이트로 플래그가 지정된 사이트의 백분율도 큰 변화가 없었습니다. 0.5%라는 비율은 사소하게 보일 수 있겠지만, 하루에 방문하는 사이트 수가 수백 개라면(대기업의 경우 이보다 훨씬 많음) 숫자는 작아도 노출 위험은 클 수 있습니다.
인프라스트럭처 동향
글로벌 위협 동향
11
글로벌 위협 동향
익스플로잇애플리케이션 익스플로잇은 취약한 시스템을 파악하여 침해하려는 악의적인 해킹 시도입니다. 여기서 짚고 넘어가야 할 점이 있습니다. 이러한 익스플로잇 서명 중 하나를 트리거한다고 해도 공격이 성공했다는 의미는 아니며, 공격이 성공을 거두는 데 필요한 취약점이 해당 환경 내에 존재한다는 의미가 아닐 수 있습니다. 대부분의 경우 공격자는 굳이 그 표적을 노리고 그 익스플로잇을 의식적으로 선택하지 않습니다. 정찰과 익스플로잇 활동의 대부분은 인터넷 세계의 광범위한 면적을 체계적으로 훑어나가는 완전 자동화 툴을 통해 “문고리를 흔들어보는(wiggling doorknobs)” 방식에 지나지 않습니다.
그림 5. 2016년 4분기 심각도 등급 '높음' 또는 '중요'로 감지된 상위 익스플로잇
다시 말해 어쩌다 헛점이 얻어걸리기를 바라는 것입니다. 현대 사이버 범죄 생태계에서는 놀라운 속도와 엄청난 규모의 공격을 저렴한 비용으로 복제할 수 있는 역량이 핵심입니다.
따라서 익스플로잇 감지의 단점은 노이즈가 심하다는 것입니다. 당사에서는 이 보고서를 작성하기 위해 신호 대 소음 비율(Signal-to-noise ratio)을 약간 개선해 보기로 했습니다. 이를 위해 분석 대상을 중요하고 심각도가 높은 이벤트로만 제한하였더니 서명의 약 삼 분의 일이 걸러지는 결과를 얻었습니다. 그림 5는 그 결과로 얻은 규모 또는 출현율(또는 둘 다) 면에서 상위 10위까지의 익스플로잇 감지 건수를 나타낸 것입니다.
30.1% [1]
22.4% [2]
12.9% [3]
7.1% [4]
3.2% [5]
2.3% [6]
2.2% [7]
2.0% [8]
1.9% [9]
1.6% [10]
1.0% [13]
0.4% [23]
0.2% [32]
49.2% [2]
2.9% [72]
54.2% [1]
4.7% [52]
30.1% [6]
5.0% [49]
27.5% [7]
31.0% [4]
30.5% [5]
24.6% [8]
22.8% [10]
23.3% [9]
35.9% [3]
규모 출현율
MS.Windows.File.Manager.Memory.Corruption
OpenSSL.Heartbleed.Attack
Openssl.ChaCha20.Poly1305.Heap.Buffer.Overflow
VxWorks.WDB.Agent.Debug.Service.Code.Execution
PHP.CGI.Argument.Injection
Zpanel.pChart.Information.Disclosure
Multiple.CCTV.DVR.Vendors.Remote.Code.Execution
SSH.Connection.Brute.Force
HTTP.URI.SQL.Injection
Telnet.Login.Brute.Force
Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass
MS.RDP.Connection.Brute.Force
Worm.Slammer
정신이 번쩍 드는 사실을 한 가지 짚고 넘어가보겠습니다. SQL Slammer는 현재 활약 중인 사이버 보안 전문가 대다수가 팀에 합류하기 전에 이미 전성기를 누렸습니다. 이 웜이 다시 목록 맨 위를 차지한 것을 보면 부끄럽기도 하고 일견 존경심까지 듭니다. “아니, 어쩌자고 아직도 이걸 처리하지 못했지?”와 “확실히 요즘 것들은 옛날만 못하다니까.”라는 느낌입니다. 기본적으로 인터넷의 배경 소음과 같은 것인데, 이번 분기에
유독 규모가 늘어난 이유가 무엇인지 궁금해집니다. Slammer 감지 건이 급증한 것은 12월 중순 ~ 하순 경이었으며, 이에 대응하여 SQL 주입(SQL Injection) 공격 건수도 늘어났습니다(HTTP.URI.SQL. Injection으로 통합). 이 공격의 대부분은 미국 교육 기관에 영향을 미쳤습니다. 당사의 예상에는 겨울 방학 중 인력의 손길이 닿지 않은 인프라 및/또는 레거시 인프라를 찾아내려던 기회주의자들의 소행으로 보입니다.
글로벌 위협 동향
12
규모 면에서는 2위를 차지했으나 출현율은 꼴찌를 기록한 사례가 있습니다. 바로 Microsoft RDP(Remote Desktop Protocol)를 대상으로 한 무차별 대입 공격(brute force attack) 익스플로잇입니다. 이것은 10초에 200회씩 RDP 요청을 실행하는 방식입니다. 따라서 대규모로 출현한 이유가 설명됩니다. 이 구조와는 반대로 출현율은 3위를 차지했으나 규모 면에서는 꼴찌였던 사례가 있는데, Windows File Manager의 메모리 손상(Memory Corruption) 취약성과 연계된 서명입니다. 이 서명은 꾸며낸 jpg 파일을 통해 취약한 애플리케이션 내에서 원격 공격자가 임의의 코드를 실행하게 해줍니다.
규모와 출현율 양쪽 모두 높은 순위를 기록해서 언급할 가치가 있는 사례로는 Netcore/Netis 기기의 보안 우회(Security Bypass) 취약성 감지 건이 있습니다. 이것은 라우터의 펌웨어에 하드 코딩된 비밀번호가 하나뿐인 데서 기인하는데, 공격자가 지정된 UDP 포트로 특수 요청을 전송하면 시스템에 침투할 수 있게 됩니다. 이 서명은 광범위하게 사용되는 여러 가지 취약성 검사기 내부에 포함되어 있습니다. 이 익스플로잇이 무수히 많이 트리거된 이유는 KerbsOnSecurity.com(9월) 및 Dyn(10월)에 대한 대규모 DDoS 공격과 관련이 있는 것으로 의심됩니다. 이 공격은 침해된 IoT 기기 및 기타 기기의 백그라운드에서 실행되었습니다. 공격자는 “사물”로 구성된 일종의 군대를 구성할 방법을 모색하고 있을 가능성이 높으며, 이러한 동향은 이후로도 한동안 속도를 늦출 기미가 없는 듯합니다. IoT라는 주제에 대한 자세한 내용은 아래 ‘미니 포커스’를 참조하시기 바랍니다.
본문에서 다루고자 하는 익스플로잇의 또 다른 측면은 이들이 표적으로 삼은 소프트웨어 취약성입니다. CVE(Common Vulnerability and Exposures, 정보보안 취약점 표준)에서 사용하는 용어에 따르면, 버그는 공개 연도와 시퀀스가 정해진 식별자에 따라 이름이 정해집니다. 규모 면에서 가장 자주 표적이 되는 CVE는 CVE-2009-0234, CVE-2013-5211 및 CVE-2002-0649입니다. 처음 두 개는 중간 정도의 심각성을 띤 DDoS 익스플로잇과 관련이 있고, 세 번째는 바로 그 악명 높은 Slammer 웜 취약성입니다.그림 6은 출현율을 중심으로 한 관점으로 나타냈는데, “한 가지 익스플로잇의 매년 기업체별 확인율은 얼마나 될까?”라는 질문에 대한 답을 얻을 수 있었습니다.
그림 6은 적들이 정찰과 취약점 공격(exploitation) 활동에서 “취약점 하나도 남겨두지 않는다”는 전략을 취한다는 냉혹한 현실을 상기하게 합니다. 기술이 빠르게 발달하는 요즘, 지난 세기의 CVE를 노린 익스플로잇 공격 시도를 신고한 기업 조직이 거의 40%에 육박한다는 것은 상당히 놀라운 일입니다. 1년간 발생율이 가장 높았던 해는 2002년이었습니다(혹시 잊으셨을까 노파심에 덧붙이자면, 15년 전입니다). 한 가지 재미있는 사실을 알려드리며 이 단원을 마무리하겠습니다. 무려 86%나 되는 조직이 10년 이상 오래된 CVE 익스플로잇의 존재를 알려왔답니다!
39.3%
10.8%
10.8%
65.6%
9.9%
29.1%
56.9%
37.6%
17.7%
23.2%
44.7%
46.2%
25.4%
42.3%
44.4%
61.5%
58.9%
60.9%
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
0% 10% 20% 30% 40% 50% 60%
그림 6. 2016년 4분기 익스플로잇의 표적이 된 CVE 출현율 (CVE 릴리스 연도별로 그룹 지정)
글로벌 위협 동향
13
미니 포커스: 사물인터넷(IoT)
미니 포커스: 사물인터넷(IoT)
TV 드라마 ‘배틀스타 갤럭티카(Battlestar Galactica)’에서 사일런 문명에 “토스터”라는 별명을 붙여줬을 때에는 일상적인 가전제품으로 구성된 군대가 현실 세계에서도 실현될 것이라고는 아무도 상상조차 하지 못했습니다. 사상 최초의 토스터 공격은 아직 일어나지 않았습니다. 그러나 가정용 DVR과 카메라, 프린터 및 라우터 등은 일명 사물 인터넷(Internet of Things, IoT)이라고 불리는 서로 연결된 여러 기기의 일부분으로서 인류에 맞서 행동하기 시작한 것이 사실입니다.
낯선 사람이 집안에 설치된 보안 카메라를 해킹한다는 것만으로도 충분히 마음이 불안한데, IoT 보안에는 개인과 집 밖의 조직에 영향을 미치는 측면이 또 한 가지 존재합니다. 해킹된 카메라를 수백만
10
100
1k
10k
100k
1m
10m
100m
1b
8월 9월 10월 11월 12월 1월
규모
NAS
이 개념을 완벽하게 나타낸 것이 그림 7입니다. 이 그림은 2016년 하반기 동안 여러 가지 기기 범주에 걸쳐 IoT 관련 익스플로잇 활동 양상을 시각표 형태로 나타낸 것입니다. 취약한 가정용 라우터 및 프린터 검사가 연중 대부분 최상위를 차지했습니다. 그러나 DVRs/NVRs가 6배 이상의 엄청난 규모로 잠시 라우터를 능가했습니다. 이처럼 놀라운 기록을 세운 대신, DNS 제공업체인 Dyn과 해당
Telephony DVR/NVR Printer Router IP Camera
그림 7. 기기 범주에 따라 나눈 5일간 평균 익스플로잇 감지 규모, 2016년 하반기
낯선 사람이 집안에 설치된 보안 카메라를 해킹한다는 것만으로도 충분히 마음이 불안한데,
IoT 보안에는 개인과 집 밖의 조직에 영향을 미치는 측면이 또 한 가지 존재합니다.
업체의 서비스를 이용하는 수많은 사이트(예: Amazon, Twitter 및 Netflix 등)가 피해를 입었습니다.
초현실적인 IoT 동향의 세계에 오신 것을 환영합니다. 이 분야에서는 집에서 사용하는 일반적인 기기(어쩌면 언젠가는 토스터기까지도!)가 전 세계 사이버 범죄자들이 노리는 상품이 될지도 모릅니다.
대의 다른 침투 기기와 결합한 다음, 통제권을 장악한 사람이 선택한 표적에 압도적인 양의 인터넷 트래픽을 쏟아붓는 데 이용할 수 있다는 점입니다.
14
맬웨어사이버 위협을 이해하려면 적의 의도와 역량을 파악하는 바로미터로 맬웨어만한 것이 없습니다. 좀 더 구체적으로 말하자면, 이 단원에서 공개하는 정보는 표적 시스템에 대한 맬웨어를 얼마나 성공적
그림 8. 2016년 4분기 대표 맬웨어 패밀리
으로 활용했는지보다는 공격 의도와 역량의 무기화(및 때로는 전달)에 대한 내용과 관련이 있습니다.
그림 8에 제시된 맬웨어 패밀리의 대다수는 지난 번 보고서에서도 소개한 바 있는데, 이들은 수명이 길고 계속해서 유용하게 사용된다는 특징이 있습니다. 이번 분기 초부터 JS/Nemucod를 변형한 맬웨어가당사 센서에서 넘쳐날 정도로 감지되었습니다. 다음 몇 달 동안은 약간 감소 추세에 접어들기는 했어도 여전히 전체 규모의 절반 이상을 차지했습니다. Nemucod는 구분이 애매한 트로이 다운로더(Trojan Downloader)의 일종으로, 2016년 TorrentLocker, CryptoWall 및 Locky를 비롯한 여타 Tojan과 같은 랜섬웨어 배포용으로 사용된 도구입니다. 랜섬웨어는 중요한 동향이며 이 보고서 뒷부분에서 특히 중점적으로 다룰 것이므로, 지금은 다음 주제로 넘어가겠습니다. VBS/Agent(임의의 파일을 다운로드하여 실행하는 스크립트)가 22%를 차지했습니다. 단순 셈법에 따르면, 관찰된 맬웨어 샘플 네 개 중
세 개는 이 두 가지 종류에 속하는 것으로 드러났습니다. 여기서부터는 점유율이 급격히 떨어지며, 상위 10위권 밖의 종류는 전체 규모의 1% 이상을 웃도는 것이 없었습니다.
여러 가지 형태의 Nemucod와 Agent가 출현율 면에서도 상위권을 차지했습니다. 이로 미루어보아 이들은 트래픽 흐름을 막는 데 그치지 않고 먼 거리까지 광범위하게 흘러간다는 사실을 알 수 있습니다. 가장 출현율이 높은 맬웨어 유형 10개 중 나머지를 훑어보면, 정도의 차이는 있겠지만 대부분 동일한 대규모 공격 프로그램입니다. 눈에 띄는 예외는 Android/Generic으로, 이들은 이 목록에서 오른 유일한 모바일 맬웨어입니다.
2.2% [7]
53.6% [1]
3.3% [4]
3.1% [5]
22.0% [2]
1.4% [8]
3.5% [3]
3.0% [6]
0.9% [9]
0.6% [12]
0.8% [10]
0.0% [405]
0.0% [460]
0.0% [101]
0.0% [131]
0.0% [66]
0.0% [261]
0.0% [194]
0.0% [367]
0.0% [294]
0.0% [73]
40.6% [1]
39.3% [2]
29.0% [3]
28.1% [4]
24.8% [5]
22.4% [6]
18.5% [7]
14.5% [8]
14.2% [9]
11.8% [10]
2.3% [40]
<0.1% [1210]
<0.1% [1312]
<0.1% [1312]
<0.1% [1312]
<0.1% [1312]
<0.1% [1754]
<0.1% [1754]
<0.1% [1754]
<0.1% [1754]
<0.1% [1754]
26 [157]
40 [96]
32 [124]
21 [215]
53 [65]
21 [210]
45 [80]
41 [90]
30 [137]
16 [302]
8 [738]
711 [9]
1.2k [5]
657 [10]
977 [7]
877 [8]
5.5k [2]
3.6k [3]
1.1k [6]
1.4k [4]
33k [1]
규모 출현율 강도
W32/Medfos_FAYM
W32/Lmir
W32/GAMARUE
Trojan_FDCD
Dual_GTM
W64/Agent
W32/TrojanClicker_Small
W32/Petr
W32/ANI
WM/Poseket
W32/LdPinch
Android/Generic
WM/Nemucod
WM/TrojanDldr
VBS/TrojanDldr
JS/Agent
VBS/Agent
WM/Agent
Riskware/Asparnet
JS/Nemucod
W32/Generic
맬웨어
15
그림 8에서 오른쪽으로 한 단계 더 진행하면 ‘강도’ 열이 나오는데, 여기에서는 확실히 다른 판도를 볼 수 있습니다. 가장 강력한 맬웨어 종류는 하위권으로 갈수록 많아지는데 그에 상응하는 규모와 출현율 순위는 각각 100위권과 1000위권을 훌쩍 벗어납니다. 강도는 조직당 일간 평균 규모에 불과하므로, 이런 척도가 상반되는 결과를 도출한다는 것은 직관에 반하는 것으로 보입니다. 그림 9를 보면 이와 같은 수수께끼를 이해하는 데 도움이 됩니다.
그림 9는 그림 8의 보편적인 맬웨어 샘플을 2차원 그래프로 나타낸 것입니다. X축에서 멀리 배치된 것일수록 강도가 높고 (”chattiness(통신 문제)”), Y축에서 위치가 높을수록 출현율이 증가합니다(영향을 입은 조직의 백분율). 오른쪽 위 사분면에 아무것도 없다는 사실은 그 자체로 중요한 의미가 있습니다. 특히 일일 규모가
눈에 띄게 큰 맬웨어라도 여러 조직에 걸쳐 널리 분포된 것은 아니라는 사실입니다. “모난 돌이 정 맞는다”는 옛말이 틀리지 않았다는 사실을 보여주는 실례라 하겠습니다. 물론 적을 돕거나 적에게 동조할 생각은 없지만, 맬웨어 작성자가 자신의 작품을 널리 퍼뜨리고자 한다면 통신 문제를 유발하는 특성은 조금 줄이는 편이 좋겠습니다.
그림 9에서 고강도 맬웨어의 기능과 페이로드(payload)를 조사해본 결과, 이들 중 대다수는 원격 액세스 연결을 설정하여 사용자 작업을 캡처하고 파일을 다운로드/업로드하며 DDoS 공격을 수행하는 것으로 드러났습니다. 이것만으로도 네트워크에서 무슨 일이 벌어지고 있는지 주시하는 담당자가 촉각을 곤두세우기에 충분할 정도로 불쾌한 성격인 것은 분명합니다.
Adware/AirPush!Android
Adware/DomaIQ
Android/Generic
Dual_GTM
HTML/Nemucod
JS/Agent
JS/Kryptik
JS/Moat
JS/Nemucod
JS/TrojanDldr
MSIL/Injector
PossibleThreat
Riskware/Agent
Riskware/Asparnet
Riskware/Morstars
Riskware/PUP_XAL Riskware/Toolbar_GadgetBox Trojan_FDCD
VBS/Agent
VBS/Dload
VBS/TrojanDldr
W32/ANI
W32/Cantix
W32/Generic
W32/Injector
W32/Kryptik
W32/LmirW32/Medfos_FAYM
W32/Petr
W32/RazyW32/Rootkit_BlackEnergy W32/TrojanClicker_Small
W64/Agent
W64/Egguard
WM/Agent
WM/Nemucod
WM/Poseket
WM/TrojanDldr
WM/TrojanDownloader�
�
�
�
�
�
�
�
�
�
�
�
�
�
�� � �
�
�
�
�� �
�
�
�
� ���� ���
�
�
�
�
�
W32/GAMARUE0%
10%
20%
30%
40%
10 100 1k 10k
출현
율
맬웨어
강도그림 9. 강도(X)와 출현율(Y) 그래프로 나타낸 보편적인 맬웨어 패밀리
16
미니 포커스: 모바일 맬웨어
2 http://www.pewglobal.org/2016/02/22/smartphone-ownership-and-internet-usage-continues-to-climb-in-emerging-economies/
미니 포커스: 모바일 맬웨어
모바일 맬웨어는 보안 공급업체나 실무자에게 새삼스러운 화제는 아닙니다. 이 주제는 몇 년간 다양한 “최대 우려 사항” 목록에 올랐으며, 덕분에 이 문제의 여러 가지 측면을 겨냥한 다양한 유형의 솔루션이 탄생하는 데 일조한 바 있습니다. 그러나 문제의 실제 중요성에 대해서는 논란의 여지가 있었고, 모바일 문제라기보다는 플랫폼 문제에 가깝지 않느냐는 의견에도 찬반이 갈립니다. 토론은 다른 이들에게 맡겨두고, 본문에서는 몇 가지 데이터를 공유하는 데만 집중하겠습니다.
1.7%. 이것이 총 맬웨어 규모에 대한 백분율로 나타낸 2016년 4분기의 모바일 맬웨어 문제의 점유율입니다. 의미가 있을지는 모르지만, 거의 대부분이 Android 운영 체제에서 감지된 것입니다. iOS 맬웨어는 애초에 주목의 대상도 아니었습니다.
출현율이라는 관점에서 보면, 맬웨어를 신고한 조직 다섯 곳 중 한 곳 미만이 모바일 변종을 접했습니다.
이러한 통계 수치를 통해 이것이 “큰” 문제인지 “작은” 문제인지 판단하는 것은 접어두겠습니다. 여기서 분명히 말할 수 있는 점이 있다면, 이 수치가 예전에 확인한 다른 수치에 비해 훨씬 크다는 사실뿐입니다.
Android 맬웨어 출현율
그림 11. 세계 지역별 Android 맬웨어 출현율
그림 10. Android와 전체 맬웨어의 규모 비교
전체 맬웨어
Android맬웨어
오세아니아유럽
중동라틴아메리카
북미
아프리카 아시아
0% 10% 20% 30% 40%
이제 문제의 규모를 알았으니 누구 책임인지도 추리해낼 수 있을지 알아봅시다. 그림 11은 이 문제에 우리 모두가 조금씩 관련이 있다는 사실을 나타내지만, 그중에서 아프리카가 가장 큰 비중을 차지합니다. 당사 맬웨어 데이터세트에서 아프리카에 소재한 조직의 약 36%가 모바일 맬웨어와 접촉했습니다. 반면 유럽의 경우 출현율이 겨우 8% 수준입니다.
이와 같은 지역차는 확실히 궁금증을 자극하는 면이 있으며, 이러한 차이점이 존재하는 이유는 보다 심층적으로 조사해보아야 할 것입니다. 이 현상은 세계의 인터넷 및 스마트폰 사용량과는 별다른 상관관계가 없는 것으로 보입니다. 유럽은 양쪽 모두 최상위에 가까운 반면 아프리카 국가는 모두 세계 평균치에 훨씬 못 미치는 수준이기 때문입니다.2
더 자세한 내용을 알아보려면, 당사 블로그 포스트 가운데 모바일 맬웨어를 주제로 한 글을 참고하시기 바랍니다.
출현율이라는 관점에서 보면, 맬웨어를 신고한 조직 다섯 곳 중 한 곳 미만이
모바일 변종을 접한 것으로 드러났습니다.
17
봇넷맬웨어와 익스플로잇 데이터는 보통 위협 동향을 침투 전 관점에서 보여주는 데 반해, 봇넷 트래픽에서는 침투 후 영역을 살펴볼 수 있습니다. 침입 당한 호스트가 집에 전화를 걸든, 피기백(piggyback) 맬웨어를 다운로드하든, 아니면 소유주로부터 지침을 수령하든 기업 네트워크 환경에 활성 봇넷이 존재한다면 무언가 잘못되었다는 뜻입니다. 따라서 이 데이터세트는 공격이 성공하고 방어에 실패한 위협을 알아볼 수 있는 중대한 지표입니다.
그림 12. 2016년 4분기 대표 봇넷 패밀리
봇넷의 경우 규모 척도는 별로 흥미롭지 못하기 때문에(봇넷 코드의 특징), 그림 12는 출현율을 근거로 정렬해 보았습니다. 여기서 눈에 띄는 것은 Necurs 봇넷입니다. 이전에도 소개한 적이 있지만 여기 표시된 것만큼 출현율 수준이 높지는 않았습니다. Necurs는 전 세계의 스팸 규모의 상당량을 차지하며, Locky 랜섬웨어와 Dridex 뱅킹 Trojan 패밀리 양쪽 모두와 관련된 것으로 악명이 높습니다. Ramnit 뱅킹 Trojan의 봇넷은 2015년 유럽 주도의 퇴치(takedown) 작업이라는 치명적인 사건을 겪고 간신히 살아남았지만 4분기 초반 전에 없이 건강한 상태로 돌아왔습니다.
13.5% [3]
6.5% [5]
3.5% [8]
5.6% [6]
16.0% [2]
5.5% [7]
3.1% [9]
1.5% [12]
1.1% [15]
0.8% [18]
9.1% [4]
16.7% [1]
0.1% [42]
0.0% [60]
1.6% [10]
0.0% [61]
0.0% [63]
0.3% [25]
0.0% [107]
0.0% [164]
0.1% [51]
81.3% [1]
64.2% [2]
64.2% [3]
57.8% [4]
51.6% [5]
49.8% [6]
45.5% [7]
39.3% [8]
37.3% [9]
33.8% [10]
33.6% [11]
28.7% [15]
2.1% [57]
1.7% [63]
1.2% [73]
0.6% [95]
0.4% [106]
0.3% [109]
0.1% [133]
<0.1% [202]
<0.1% [202]
121 [25]
93 [46]
70 [73]
102 [39]
183 [10]
73 [69]
111 [34]
87 [51]
76 [63]
67 [78]
182 [11]
114 [29]
195 [8]
261 [6]
329 [3]
190 [9]
222 [7]
1.1k [2]
269 [5]
291 [4]
29k [1]
규모 출현율 강도
Smoke
Mikey
Zaccess
AAEH
Gamut
Gatak
IMDDOS
Cerber
Expiro
Zeroaccess
Andromeda
Neurevt
Bedep
njRAT
Conficker
Pushdo
Sality
Tepfer
Ramnit
Necurs
H-Worm과 ZeroAccess 봇넷은 출현율과 규모가 모두 높다는 복합적인 특성이 있습니다. 두 가지 모두 생겨난 지는 꽤 되었지만 여기서 언급할 가치가 있습니다. 이 두 가지는 모두 사이버 범죄자에게 영향을 받은 시스템을 통제할 권한을 부여하지만, 전자의 경우 데이터를 빼내는 데 주력하고 후자는 클릭 사기와 비트코인 채굴을 통한 수익 창출에 중점을 둔다는 것에 차이가 있습니다.
또한 H-Worm이 개중 유일하게 “3중 위협(triple threat)”이라는 사실도 주목할 만합니다. 이 봇넷은 세 가지 척도 모두를 통틀어 상위 10위권에 올랐습니다. 맬웨어와 마찬가지로, 강도 면에서 살펴보면 이 양상의 또 다른 면을 발견할 수 있습니다. 여기서는 Smoke가 가장 눈에 띄며, 가장 가까운 라이벌에 비해서도 강도가 세 배나 높습니다.
미니 포커스: 봇넷
18
그림 13. 주간 규모 변동폭이 가장 큰 봇넷
“상위 10위권” 외에 봇넷 중에서 “주된 시동자(major movers)”를 알아볼 수 있도록 그림 13으로 표시하였습니다. 처음 그래프가 치솟은 부분은 Mirai 봇넷입니다.이 봇넷이 바로 KrebsOnSecurity.com에 엄청난 규모의 DDoS 공격을 감행한 주역입니다. 그래프는 소스 코드가 공개된 직후 시점입니다. IoT의 (보안) 상태를 확인하고자 하는 사람들이 아주 많았던
모양입니다. 표에서 두 번째로 Mirai 수치가 상승한 것은 DNS 제공업체인 Dyn을 상대로 벌어진, 전보다도 더 큰 규모의 공격이 발생한지 얼마 안 된 시점입니다. 크리스마스 전 주에는 PoSeidon 수치가 급상승하여 관계자들을 놀라게 했습니다. POS(point-of-sale) 맬웨어 캠페인과도 연계되어 있었기 때문입니다. 어쩌면 명절이 임박해서 마음이 급해진 좀도둑들이 몰렸던 게 아닐까요?
GaniwGaniw
Ganiw
Lethic
Mirai
Mirai
Mirai
NeutrinoNymaim
PoSeidon
Waledac
Waledac XorDDOS
0%
1,000%
2,000%
10월 3
10월10
10월17
10월24
10월31
11월 7
11월14
11월21
11월28
12월 5
12월12
12월19
12월26
백분
율 변
동
미니 포커스: 봇넷
19
미니 포커스: 랜섬웨어
3 Locky 랜섬웨어 패밀리만의 뚜렷한 특성은 초창기에는 스칸디나비아 신화에서, 나중에는 이집트 신화에서 따온 파일 이름 확장자(예: aesir)를 사용한다는 것입니다.
4 https://media.scmagazine.com/documents/258/bitsight_insights_-_the_rising_64469.pdf
미니 포커스: 랜섬웨어
2016년 4분기에 랜섬웨어가 어디선가 실행되었다는 사실은 비밀이 아니지만, 혹시 정확히 어디에서 실행되었는지는 궁금하지 않으신가요? 미니 포커스로 최신 정보를 확인하십시오.
당사 기록에 따르면 조사 기간 중 활성 봇넷의 활동을 신고한 조직 중 36%가 랜섬웨어와 관련된 활동을 감지했습니다. TorrentLocker가 명실상부한 1위였으며 Locky가 큰 차이를 두고 3위를 차지했습니다. 고대의 여러 신들이 도왔음에도 역부족이었던 모양입니다3.
랜섬웨어는 업종을 가리지 않지만, 최근 세간의 이목이 집중되었던 여러 사건 사고 때문인지 의료 서비스 업계와 관련된 경우가 많았습니다. 그렇다고 랜섬웨어가 다른 분야에 비해 유독 의료 서비스 업계에서만 날뛰고 있다는 의미는 아닙니다. 사실, 적어도 한 건의 연구 조사에서는4 랜섬웨어 출현율에서 의료 서비스 업계는 중간 수준이라고 평가한 바 있습니다.
데이터의 변동성이 상당히 크기는 하지만(평균값 주변의 음영 영역이 넓은 것은 그 때문입니다), 그림 15를 보면 랜섬웨어 공격에서 1위를 차지한 것은 (적어도 이 데이터세트 내에서는) 의료 서비스 부문이라는 사실을 제법 확신할 수 있습니다. 제조업의 경우 리스트의 맨 마지막에 올라 있기는 하지만, 제조업에서도 랜섬웨어가 세력을 키워가고 있다는 것은 2016년 초반에 당사에서 실시한 연구 조사를 보면 알 수 있습니다. 다른 업종의 그다지 언급할 만한 것이 별로 없습니다. 이는
그림 15. 업종별 랜섬웨어 봇넷 출현율
그림 14. 대표적인 랜섬웨어 패밀리
31%
6.97%
3.8%
1.67%
1.07%VirLock
Cerber
Locky
CryptoWall
TorrentLocker
의료 서비스소매업/숙박
기술금융/보험공공 교육
전문가 서비스제조
0% 10% 20% 30% 40% 50%
랜섬웨어 출현율
신뢰구간(confidence interval)이 중첩되기 때문입니다. 이 때문에 2017년 한 해 동안 랜섬웨어의 진전 양상을 지켜보는 데 긴장감이 더해질 것으로 예상됩니다. 지금으로서는 독자가 어떤 업종에 몸담고 있든지 랜섬웨어에 주목할 필요가 있다는 것만 언급하고 넘어가겠습니다. 우선은 이러한 10단계부터 알아보는 것부터 시작하면 좋습니다.
더 자세한 내용을 알아보려면, 랜섬웨어 동향 매핑에 관한 당사의 가이드를 참조하십시오.
당사 기록에 따르면 조사 기간 중 활성 봇넷의 활동을 신고한 조직 중 36%가
랜섬웨어와 관련된 활동을 감지한 것으로 나타났습니다.
지역별 위협 동향
21
지역별 위협 동향
지금까지는 세계적인 관점에서 2016년 4분기의 사이버 위협 동향을 살펴보았습니다. 이 시점에서는 주어진 기간 동안 발생한 위협의 전반적인 양태를 정확히 확인할 수는 있지만, 전 세계 곳곳의 전략적 지점에서 실제로 관찰된 내용은 서로 다른 양상을 보입니다. 이 단원에서는 그런 점을 시정하기 위하여 몇 가지 지역별로 비교한 데이터를 제시하겠습니다. 우선 크게 세 가지로 나눈 주요 지역별 그룹에서 출현율 기준으로 상위 50대 봇넷이 무엇인지부터 살펴보겠습니다다. 그림 16은 일반적인 가로 막대형 차트와 비슷하게 판독하면 됩니다. 서로 다른 색상의 짧은 대시(-)가 원래 막대 그래프가 X축을 따라 길게 이어지는 위치를
그림 16. 세계 지역별 그룹에 따른 대표 봇넷 패밀리 출현율
표시한 것입니다. 평균적으로 Necurs 봇넷이 영향을 미친 조직은 미국 내에서 봇넷을 신고한 조직의 80% 이상을 차지했지만, 유럽, 중동 및 아프리카(EMEA) 지역에서는 70% 이상 수준이었습니다. 대시 너비는 평균값 주변의 신뢰구간을 포함한 것으로, 기본적으로 “정확한 평균값은 아마 여기 어디쯤일 것이라고 거의 확신한다”는 의미로 보면 됩니다. 샘플 크기가 작고 변동성이 높은 탓에 데이터에 발생한 불확실성을 감안해야 하기 때문입니다. 두 그룹의 신뢰구간이 중첩되는 경우, 눈에 보이는 차이점에 중요한 의미가 있는지 확신할 수 없습니다.
그림 16에서 눈에 띄는 사실은 두 가지입니다. 첫 번째로 지역별 그룹에 따라 차이가 있는 것은 사실이지만 전반적인 패턴이나 흐름은 놀랄 만큼 비슷하다는 것입니다. 한 지역에서 유달리 출현율이 높은 봇넷은 다른 지역에서도 비슷한 수준으로 분포되어 있습니다. 상위 50위권 내에 든 항목이 X축 양쪽 끝의 지역에서 큰 차이가 없이 나타납니다. 두 번째로 알 수 있는 사실은 유럽, 중동 및 아프리카 지역은 봇넷 목록에서 비율이 가장 낮은 편에 속하며 그 뒤를 주로 미주 지역과 아태 지역이 잇는다는 것입니다. 중첩되는 대시도 몇 개 있어 간극이 대단치 않게 보이지만, 전반적인 패턴은 한결같습니다.
이러한 사실을 설명할 수 있는 가능한 원인이 몇 가지 있습니다. 하나는 유럽, 중동 및 아프리카 지역 기업체의 사이버 보안 태세가 다른 지역에 비해 전반적으로 나을 수 있다는 점입니다. 봇넷(적어도 가장 만연한 종류만큼은)은 자신이 통제하는 시스템의 물리적 위치와 관계없이 활동한다는 뜻일 수도 있습니다. 또는, 여기 설명된 지역별 그룹이 각자에 속한 하위 지역 또는 국가의 개별성을 약화시키고 있는 것이 원인이라는 설명도 가능합니다.
CitadelNetSyst81CryptoWall
Gh0stKelihos
PhotoMinerBunitu
BladabindiXcodeGhost
MiraiVirut
JenxcusGozi
NanoCoreTorpig
NitolTinba
XorDDOSNymaimMazben
MariposaNeutrinoDorkbot
LethicTofsee
ZeroaccessTorrentLocker
ZeusNeurevt
JeefoAndromeda
BedepnjRAT
ConfickerPushdo
SalityTepfer
RamnitNecurs
0% 10% 20% 30% 40% 50% 60% 70% 80%
출현율
미주
아태
유럽
지역별 위협 동향
22
그림 17은 보다 구체적인 지역(예: EMEA로 묶었던 지역을 유럽, 중동, 그리고 아프리카로 세분함)으로 나누어 맬웨어 및 익스플로잇에 대한 정보를 추가한 데이터입니다. 이 그림을 보면 각 지역의 조직에서 감지한 고유 봇넷 패밀리의 평균 수를 알 수 있습니다. 이러한 표의 형식은 위에 표시한 것들과 유사합니다. 점이 평균값이고 대시가 신뢰구간을 나타냅니다.
아프리카 라틴 아메리카
중동아시아
유럽북미
오세아니아0 3 6 9 12
조직당 감지된 익스플로잇 평균 수
아프리카중동
아시아유럽
라틴 아메리카오세아니아
북미0 1 2 3 4
조직당 감지된 맬웨어 평균 수
중동아프리카
라틴 아메리카아시아
북미오세아니아
유럽0 2 4 6 8
조직당 평균 봇넷 패밀리
그림 17. 세계 각 지역별 조직에서 감지한 고유 익스플로잇, 맬웨어 및 봇넷 패밀리의 평균 수
대체로 아프리카, 중동 및 라틴 아메리카 지역이 각 위협 범주에 대하여 위협을 접한 횟수/종류가 더 많은 경향이 있고 오세아니아, 북미 및 유럽은 비율이 낮은 것이 보통입니다. 이러한 차이점은 봇넷에서 가장 두드러지게 나타납니다. 이는 이 분야가 대개 침투 후의 활동을 반영하고, 인터넷 전체에서 발생하는 기회를 엿보는 취약점 검사 또는 맬웨어 배포 등에 중점을 둔 것이 아니라는 데서 발생한 특징일 수 있습니다.
지역별 위협 동향
업계 위협 동향
24
업계 위협 동향
업종별 라운드테이블. 동종업계 비교. 정보 공유 컨소시엄. 업종기반 규정. 사이버 보안은 대부분 각 업종마다 위협 특성이 다르므로 이에 따라 서로 다른(또는 적어도 ‘맞춤형’ 형태의) 방어 전략을 구사해야 한다는 믿음을 근거로 중점 분야를 정하고 예상 전망을 내놓습니다. 이러한 차이점이 실제로 존재한다는 주장을 뒷받침할 만한 입증 자료도 꽤 많은 것이 사실입니다. 그러나 이러한 차이점이 무엇인지 열거하고 위협이 존재 이유를 파악하며 그에 따라 정책과 실무를 조정할 방법을 결정하는 것은 여전히 보안 분야의 중요한 난제입니다.
업종별 위협 동향을 분석할 때 당사가 취할 수 있는 관점은 족히 백 가지는 되고, 이들 각각에 백 가지쯤 되는 선택 항목이 수반됩니다. 지금은 그 중 두 가지만 골라서 몇 가지 유용한 정보를 제공하고,
그림 18. 업종 부문별 대표 맬웨어, 익스플로잇 및 봇넷 위협 출현율
향후 보고서에서 여러분의 구미가 당기는 정보를 자세히 제공하겠습니다. 첫 번째 관점에서는 모든 위협이 사실상 같다는 점을 보여드립니다. 두 번째 관점에서는 모든 것이 제각각 다르다는 점을 보여드리겠습니다. 헷갈리죠? 좀 더 읽어나가다 보면 (바라건대) 어떤 의미인지 아실 것입니다.
“중요한 것은 업종이 아니라 위협”그림 18에서 왼쪽 면은 기업 조직 수가 가장 많은 8대 업종을 나열한 것입니다. 하단에는 5대 맬웨어 패밀리, 익스플로잇 감지 사례 및 봇넷을 출현율에 따라 순위를 매겨 기재하였습니다. 업종과 위협이 교차하는 지점에 표시된 값이 해당 위협을 신고한 해당 업종 내 조직의 백분율을 나타낸 것입니다. 따라서 표의 왼쪽 위 구석을 보면 기술 업종 부문의 기업 조직 52%에서 W32/Generic 맬웨어를 발견하여 신고했다는 사실을 알 수 있습니다.
그림 18을 대충 훑어보기만 해도 패턴은 수평 방향이 아닌 수직 방향으로 흐른다는 것을 가늠할 수 있습니다. 바꿔 말하면, 눈에 띄는 차이점은 업종이 아니라 위협의 기능에 가깝습니다. Necurs 봇넷이 가장 출현율이 높은 위협이며 VBS/Agent 맬웨어 패밀리가 출현율이 가장 낮고 이는 업종을 불문하고 동일하게 나타나는 양상입니다.물론 업종에 따라 다소 변동률이 있는 위협도 몇 가지
있지만(예: PHP.CGI.Argument.Injection 익스플로잇), 그림 18에서 전달하는 메시지는 대체로 “중요한 것은 업종이 아니라 위협”이라고 보면 됩니다. 이 결론을 따른 사이버 보안 정책 및 실무는 “최소 신장 제한”과 같은 방식을 택할 수 있습니다. 모두가 같은 놀이기구를 타고 비슷한 위협에 직면하기 때문입니다.
34% 42% 13.5%54.2% 17%
33.5% 26.3% 21.8%36.3% 22.3%
36% 37.5% 17.5%49.5% 23.3%
44.8% 38.2% 28.3%48.7% 32.5%
31.3% 30.9% 18.9%40.7% 23.6%
30.7% 25.2% 22.1%39.9% 27%
32.3% 36.2% 20.8%50% 20.8%
33.6% 33.6% 22.6%52.1% 26.6%
58.2%79.7% 52.4%76.2% 54.3%
50.2%64.1% 38.1%63.2% 39.5%
45.6%70.7% 42.2%70% 44.8%
53.5%73.9% 47.4%74.6% 48.3%
42%57.1% 29%58.5% 29%
40.3%52.8% 23.9%57.2% 30.2%
43.4%64.2% 34.9%65.1% 33%
44.3%63.6% 36.6%64.1% 40.5%
56.5%85.1% 68.1% 64.5%69.4%
50.6%78.3% 61.4% 57.8%63.9%
53.4%82.6% 69.1% 63.5%69.1%
65.1%90.2% 77.6% 71.4%77.2%
51.8%86.3% 65.5% 61.2%68.6%
42.9%80.5% 57.1% 51.9%49.4%
60.7%90.5% 75% 61.9%65.5%
51.4%82.5% 67.1% 63.7%64.3%
교육
금융/보험
정부 기관
의료 서비스
제조
전문가 서비스
소매업/숙박
기술
W32/Generic
JS/Nemucod
Riskware/Asparnet
WM/Agent
VBS/Agent
Worm.Slammer
Netcore.Netis.Hardcoded.PW
MS.Windows.FMgr.Mem.Corruption
Zpanel.pChart.Information.Disclosure
PHP.CGI.Argument.Injection
NecursRamnit
TepferSality
30%
50%
70%
90%
업계 위협 동향
25
“중요한 것은 위협이 아니라 업종”
그림 19는 앞서와는 사뭇 다른, 사실 정반대되는 메시지를 담고 있습니다. 배경은 그림 18과 비슷합니다. 즉. 측면은 업종을 하단은 위협을 나타낸 표라는 사실은 같습니다. 하지만 이 경우에는 지역별 동향 단원에서 제시한 것과 비슷한 이유로 봇넷에만 집중하여 데이터 범위를 좁혀보았습니다. 이제 교차점에 표시된 값은 해당 업종의 한 기업 조직에서 일일 발생할 것으로 예상되는 이벤트 (평균) 수를 나타냅니다.
그림 19. 각 업종별로 조직에서 감지할 것으로 예상되는 일일 봇넷 수
이 그림에서는 전처럼 패턴이 눈에 잘 띄지 않으며, 일각에서는 무작위 데이터를 이어붙인 조각보 같은 모양새라 지적할 수도 있습니다. 그러나 이 그림을 좀 더 면밀히 살펴보면 기술 업종이 유달리 빨간색이 많고, 반면 전문가 서비스 업종은 파란색이 많아 보이는 것을 알 수 있습니다. 연구를 계속하면 각 업종에 따라 뚜렷하게 구분되는 위협이 나타나며, 이를 통해 마침내 궁극적인 메시지인 “중요한 것은 위협이 아니라 업종”이라는 사실이 드러납니다.
기술 업종이 문제를 겪는 데는 여러 가지 이유가 있겠지만, 당사에서 세운 가설은 이 업종이 유달리 크고 접근하기 쉬운 공격 면으로 여겨진다는 것입니다. 전문가 서비스 업종이 비교적 한산한 것도 공격 면과 연관이 있다고 봅니다. 이 업계 인력의 대부분은 “노트북 소지, 출장 환영”에 해당하므로 웹 지원 서비스 이용률이 비교적 낮은 편입니다. 가볍게 짚고 넘어가자면, 기술 업종이 주된 표적이 아닌 유일한 위협은 Jenxcus 봇넷뿐이었으며 전문가 서비스 부문 중 강도 범위에서 상위에 위치한 공격은 Pushdo가 유일했습니다.
그림 19의 내용을 논하는 데만도 앞으로 몇 페이지를 할애할 수 있겠지만, 여기서는 두 가지 사실만 추가로 알리고 넘어가겠습니다. 특히 눈에 띄는 위협이 나타난 업종으로 제조(Jenxcus)와 교육(Mirai)이 있습니다. 후자는 특히 주목이 필요합니다.표에서 가장 높은 감지율을 기록한 항목이기도 하고 1, 2위 자리를 다툰 업종 중에서도 가장 넓은 범위를 차지했기 때문입니다. 봇넷 군대는 최소한 교육은 잘 받을 모양입니다.
그림 19는 여러분이 각자 천천히 자유롭게 둘러보시기 바랍니다. 각자의 업종에서 눈여겨보아야 할 핫스팟은 당사가 제공하는 편리한 백과사전을 안내 삼아 참조하십시오.
이 글을 읽은 후에 “뭐, 잘 알겠다고. 하지만 데이터를 다른 방식으로 취합했으면 결과적으로 완전히 다른 메시지가 나왔겠네”라고 생각하실 수도 있습니다. 옳으신 생각입니다. 바로 그렇습니다. 내용에 제대로 주의를 기울여주셔서 감사합니다. 이 글에서 당사의 목표는 가능한 내러티브 수백 가지 중 두 가지를 억지로 주입하는 것이 아닙니다. 그보다는 “내게 가장 중대한 위협은 무엇일까?”라는 일견 단순해 보이는 의문에 단순한 해답이란 없다는 점을 설득시키는 데 있습니다. 그렇지 않다고 주장하는 사람이나 분석 내용이 있다면 그게 누구/무엇이든 이의를 제기하십시오. 이 질문은 답하기 까다롭지만 극히 기초적인 의문입니다. 당사에서는 그저 향후 보고서를 통해 탄탄한 답을 모색하기 위한 노력을 계속해 나가고자 합니다.
248
235
319
107
47
108
82
111
128
87
100
100
69
48
59
138
125
62
354
101
170
32
54
401
67
278
223
146
512
146
124
88
82
16
67
108
44
25
65
84
735
78
67
71
118
28
40
223
107
90
170
126
93
47
70
142
25
50
85
68
32
15
43
80
67
23
78
79
54
46
50
110
56
47
50
60
36
63
40
77
84
47
85
90
78
51
48
79
99
51
95
85
77
40
84
113
42
42
55
54
56
19
58
54
130
52
140
64
95
45
18
130
26
45
51
73
44
39
16
79기술
소매업/숙박
전문가 서비스 Manuf
제조
의료 서비스
정부 기관
금융/보험
교육
Andromeda
ConfickerJenxcus
MariposaMirai
NecursNeurevt
njRATPushdo
RamnitSality
Tepfer
ZeroaccessZeus
Min
Max
업계 위협 동향
탐색적 분석: 휴가철 위협 동향
27
탐색적 분석: 휴가철 위협 동향
‘탐색적 분석’ 단원은 애널리스트가 사이버 위협 데이터의 세상 속을 자유자재로 누비며 여러 가지 잡다한 흥미로운 이야깃거리를 공유합니다. 보고서 본문의 주제 또는 흐름과는 맞지 않을 수도 있습니다.
연말에는 명절 연휴가 있습니다. 대다수의 사람들에게 이 시기는 한 해를 기념하고 성찰하며 가족과 시간을 보내는 시간이고, 일부는 그 동안 미뤄두었던 휴식을 만끽하기도 합니다. 다만 이처럼 공사다망한 와중에 사람들은 평소보다 많은 돈을 지출하는 경향이 있습니다. 이 사실은 착한 편에서도 나쁜 편에서도 똑같이 주목합니다. 위협 동향이 철따라 바뀐다는 사실은 종종 듣게 되지만, 이 이론에 근거가 있을까요? 있다면 어떤 양상을 띠고 전개되는 것일까요? 바로 이 부분을 ‘탐색적 분석’ 단원에서 간략히 살펴보고자 합니다.아래의 두 가지 캘린더 표는 소매/숙박 업계와 교육 업계라는 두 가지 서로 다른 부문에서 나타난 익스플로잇 규모를 히트맵 형태로 나타낸 것입니다. 이 두 부문을 비교 대상으로 택한 것은 둘 다 철에 따른 동향에 영향을 받지만, 영향을 받는 방식이 서로 다르기 때문입니다. 소매업체의 대부분이 이 시기에 수익의 대부분을 거두는 반면 교육 기관은 여러 차례에 걸쳐 장기간의 휴식기를 가집니다. 당사에서는 이러한 철에 따른 동향이 위협 활동과 상관관계가 있는지 알아보고 싶었습니다.
그림 20. 소매업/숙박 업종 내 익스플로잇 규모의 변동 추이를 나타낸 월별 히트맵
그림 20의 소매업체 데이터를 보면, 익스플로잇 시도라는 면에서 가장 눈에 띄는 날짜는 11월 19일, 11월 23일과 12월 17일입니다. 마지막 날짜의 경우 어느 정도 중요한 의의가 있을 수 있지만(추수감사절 전날) 블랙 프라이데이나 사이버 먼데이와 같은 주요 쇼핑 대목은 익스플로잇 활동량이 과도하게 많이 나타나지는 않습니다. 하지만 범죄자 입장에서 보면 이것은 별로 놀랄 일도 아닐지 모릅니다. 즉, 취약점 공격은 그러한 날짜보다 앞선 시점에 발생하게 된다는 뜻입니다. 전반적으로 4분기 내내 위협 활동이 증가하는 패턴이 눈에 띄는 것은 사실입니다. 12월이 10월보다 지도에서 훨씬 “뜨겁게” 나타납니다.
교육 업계의 경우 다른 양상이 나타납니다. 그림 21을 보면 마지막 두 달 동안 익스플로잇 집중 수준이 (소매업계에 비해) 훨씬 떨어집니다. 사실 12월의 대부분은 소매업계에 비해 비교적 저온 상태를 유지하고 있습니다. 강도가 높은 날의 대다수와 주요 발화점(flashpoint) 온도 데이터는 전부 주말에 발생했다는 점이 매우 흥미롭습니다. 11월 중순과 12월 말에 활동량이 약간 늘어난 것으로 보이는데, 학교의 방학 기간과 시기가 겹치는 것으로 짐작할 수 있습니다. 이런 현상의 원인이 공격자들이 지켜보는 눈이 없을 때 몰래 침입을 시도하기 때문인지, 아니면 학생들이 수업 시간에 배운 내용을 실생활에서 시험해보려 하는 탓인지는 독자의 판단에 맡깁니다.
10월 11월 12월S M T W T F S S M T W T F S S M T W T F S
1.1k
28k
612k
10월 11월 12월S M T W T F S S M T W T F S S M T W T F S
7.9m
28m
132m
그림 21. 교육 업종 내 익스플로잇 규모의 변동 추이를 나타낸 월별 히트맵
탐색적 분석: 휴가철 위협 동향
결론 및 권고 사항
29
결론 및 권고 사항
2016년 4분기 사이버 위협 동향이라는 들판을 둘러본 이 짧은 여정에 함께해 주신 여러분께 감사드립니다. 당사의 분석이 실제로 존재하는 위험에 대해 이해하는 데 도움이 되었기를 바랍니다. 또한, 각자의 조직에서 이러한 위험 요소를 안전하게 탐색하기 위해 어떻게 경로를 수정해야 할지 유용한 아이디어를 얻으셔기 바랍니다. 아래에는 당사 나름으로 생각해본 내용 몇 가지와, 그에 따른 권고 사항을 소개해 놓았습니다.
01본문에서는 공격 전 정찰부터 침투 후 C & C에 이르는 킬 체인(Kill Chain)을아우르는 위협을 바라보는 여러 가지 관점을 제시하였습니다. 이것은 방어 전략을 그러한 체인을 따라 고르게 분포시켜야 한다는 사실을 상기시키는 것과 같습니다. 그런 면에서 독자의 현재 보안 상태를 점검하고, 단계별 역량을 솔직하게 평가해볼 가치가 있습니다.
02표적을 노린 공격이 대개 헤드라인을 장식하지만, 이 보고서의 내용을 보면대부분의 조직에서 직면하는 위협은 대부분 기회주의적인 성격을 띤다는 것을 알 수 있습니다. 외부적으로 눈에 잘 띄고 접근하기 쉬운 공격 면을 최소화하면 많은 위험에 노출되지 않고 지나치는 데 도움이 될 것입니다.
03원치 않는 가시성과 접근성을 줄이는 것 외에도 노출된 취약점을 최소한의 수준으로 줄이는 것도 중요합니다. 이 전략은 오래전부터 일반 상식 겸 실무 원칙으로 자리 잡았지만, 때로는 일상적인 습관이 긴장감을 늦추기도 합니다. 공격자는 늘 기회를 엿보고 있습니다. 지난 번 조직 변경 시 잊어버린 레거시 시스템에 있는 15년 이상 묵은 취약점이라고 해도 한 순간의 망설임도 없이 공격할 것입니다.
04AV 소프트웨어가 맬웨어에 맞선 유일하거나 주된 방어 계층 역할을 하던시절은 이제 지나갔습니다. 당사에서 알아낸 사실을 보면 알 수 있듯이, 최첨단 맬웨어의 다양성, 규모와 속도는 레거시 AV를 한참 능가하고도 남습니다. 경계(그나마 남아 있는 부분), 네트워크 전체, 모든 엔드포인트에서 고급 맬웨어 방어 전략을 구축해서 알려진 위협과 알려지지 않은 위협을 모두 감지할 수있게 해야 합니다.
결론 및 권고 사항
30
06랜섬웨어 출현율은 기업에 따라 각기 다르지만, 어느 정도까지는 모든 업종과 지역에 똑같이 영향을 미친다는 점을 본문에서 확인하였습니다. 이것은 복잡한 위협이며 단순한 접근 방식으로는 없앨 수 없습니다. 랜섬웨어에 맞서 조직을 보호하는 방법에 대한 포티넷의 관점은 당사의 10단계 프로그램을 참조하시기 바랍니다.
07봇넷에 관해 당사에서 알아낸 내용에 따르면, 네트워크에 무엇이 유입되는지는 물론이고 네트워크 밖으로 무엇이 나가는지 모니터링하는 것이 중요합니다(어쩌면 더 중요할 수도 있습니다). 모든 호스트와 사용자를 네트워크에 유입되는 위협 전체에서 보호한다는 것은 불가능하지만, 네트워크 내 주요 체크포인트에서 여러 가지 스마트 툴과 우수한 정보력을 바탕으로 C2 통신을 차단하는 것은 그보다 훨씬 실현 가능성이 높습니다.
08조직의 위협 동향을 파악하려면 두 가지를 염두에 두는 것이 좋습니다. 첫째, 내가 처한 상황은 생각보다 다른 기업체가 처한 상황과 비슷합니다. 둘째, 내가 처한 상황은 예상치 못한 측면에서 남들과 다른 양상을 띱니다. 남들에게서 빌려올 수 있는 전략, 전술과 정보가 무엇인지 파악하고 차치해도 좋은 것은 무엇인지 숙지해두면 여러분의 귀중한 지식이 되어 유용하게 활용할 수 있을 것입니다.
09이 보고서의 향후 버전을 주목해주십시오. 보고서는 분기별로 발간하고 있으며, 여러분과 공유하고자 하는 데이터가 아주 많습니다. 분기 중 위협 동향에 대한 최신 정보를 접하고자 하는 경우, 매주 발행되는 포티가드 정보 보고서(intel briefs)를 구독하고 당사 블로그를 즐겨찾기하시기 바랍니다.
05모바일 맬웨어에 맞선 보호 수단을 확보하기는 특히 어렵습니다. 모바일 기기는 사내 네트워크의 보호를 받지도 않고, 공용 네트워크에 액세스하는 경우가 많으며, 기업 소유권이나 통제권하에 있지 않은 때가 많기 때문입니다. 모바일 보안 전략을 세울 때에는 이러한 점을 사실로 가정하되, 모바일 애플리케이션 제어를 통해 맬웨어를 차단하고 네트워크 내에 통합된 맬웨어 보호 수단도 확보해야 합니다.
결론 및 권고 사항
Copyright © 2017 Fortinet, Inc. All rights reserved. Fortinet®, FortiGate®, FortiCare® 및 FortiGuard® 및 기타 상표는 Fortinet, Inc.의 등록상표입니다. 본문에 기재된 기타 포티넷 관련 상품명/상호 등 또한 포티넷(Fortinet)의 등록 및/또는 관습법상 등재 상표일 수 있습니다. 다른 모든 제품 또는 회사명은 각각 해당되는 소유주의 등록상표일 수 있습니다. 본문에 기재된 성능 및 기타 지표는 이상적인 실험 조건 하에서 수행한 사내 연구소 테스트 결과로 얻은 것이며, 실제 성능 및 기타 결과는 다양하게 나타날 수 있습니다. 네트워크 변수, 서로 다른 네트워크 환경 및 기타 조건 등이 성능 결과에 영향을 미칠 수 있습니다. 본문에 기재된 어떠한 내용도 포티넷에서 법적인 효력이 있는 약속을 한다는 의미가 아니며, 포티넷은 명시적이든 묵시적이든 모든 보장에 대한 책임을 부인하는 바입니다. 다만 포티넷에서 법적 구속력이 있는 서면 계약을 체결하여 포티넷 법무 자문위원(General Counsel)이 서명하고, 계약서에 기재된 제품이 분명하게 명시된 특정 성능 지표대로 성능을 발휘할 것이라고 구매자에게 분명히 보장한 경우는 예외입니다. 이러한 경우, 그와 같이 법적 구속력이 있는 서면 계약서에 분명히 기재된 특정 성능 지표만이 포티넷에 법적 효력을 발휘합니다. 의미를 확실히 해두기 위하여, 그와 같은 보장은 포티넷의 사내 연구소 테스트를 실시한 조건과 동일한 이상적인 조건하에서의 성능에만 국한됩니다. 포티넷은 명시적이든 묵시적이든 본문에서 거론한 각종 약속, 대변 및 보장 등에 대한 책임을 전면 부인하는 바입니다. 포티넷에는 본 출판물의 내용을 변경, 수정, 전송 또는 기타 다른 형태로 개정할 권한이 있으며 본 출판물의 내용은 최신 버전을 적용하는 것으로 합니다. 포티넷은 명시적이든 묵시적이든 본문에서 거론한 각종 약속, 대변 및 보장 등에 대한 책임을 전면 부인하는 바입니다. 포티넷에는 본 출판물의 내용을 변경, 수정, 전송 또는 기타 다른 형태로 개정할 권한이 있으며 본 출판물의 내용은 최신 버전을 적용하는 것으로 합니다.
발행일 2017. 05. 10
포티넷 코리아 서울특별시 강남구 영동대로 325 (대치동, 해암빌딩 15층) 전화 : 080-559-8989 메일 : [email protected] 홈페이지 : www.fortinet.com/kr 페이스북 : www.facebook.com/fortinetkorea
본사 Fortinet Inc.899 Kifer Road Sunnyvale, CA 94086 United StatesTel: +1.408.235.7700 www.fortinet.com/sales