파이어아이, 2015 상반기 지능형 위협 보고서 발표

한국, CNC콜백 목적지, 취약점 공격 위협 노출, APT콜백 발생 3개 분야에서 1위 기록

  • 한국, 2015년 상반기 사이버 공격 관련 순위에 연이어 1위 기록
  • 산업 별로 통신 산업, 정부 기관, 첨단 기술 산업 등이 사이버 공격에 주요 타깃

2015년 10월 1일 – 지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.kr)는 2015년 상반기에 아시아 지역을 중심으로 일어난 사이버 공격들을 분석한 ‘2015 상반기 지능형 위협 보고서’를 발표했다.

보고서에 따르면, 한국은 CnC(Control&Command) 콜백(Callback) 목적지로 가장 많이 이용된 국가로 꼽혔다. 또한, 취약점 공격과 악성코드 감염 위협에 가장 많이 노출된 국가, CnC서버로의 APT 콜백이 가장 많이 발생한 국가 순위에서 연이어 1위에 올랐다.

산업 별로 살펴보면, 통신 산업과 정부 기관, 첨단 기술 기반 산업이 아시아 지역의 주요 사이버 공격 타깃인 것으로 밝혀졌다. 산업 별 APT 공격 노출률 순위에서는 통신 산업과 정부 기관이 각 1,2위를 기록한 한편, APT 콜백 최다 발생 산업 순위에서는 첨단 기술 산업과 정부 기관이 1,2위를 기록하였다.

파이어아이 2015 상반기 지능형 위협 보고서의 핵심 내용은 다음과 같다.

  • CnC 콜백 목적지로 가장 많이 이용된 국가: 한국은 CnC 인프라와 감염된 네트워크 사이에서 이루어지는 불법적인 커뮤니케이션, ‘콜백’ 목적지로 가장 많이 이용된 국가로 꼽혔는데, 이는 공격 그룹이 한국의 PC 혹은 인프라를 자신들의 사이버 공격에 가장 많이 이용했다는 것을 의미한다. 그 원인은 한국의 발달된 인터넷 인프라에서 찾을 수 있다. 공격 그룹이 공격에 필요한 인터넷 속도를 한국의 인프라에서 얻을 수 있기 때문이다. 또한, 국내 ISP(Internet Service Provider)의 보안이 취약한 서버를 사이버 공격의 CnC서버로 이용하는 등 공격 그룹은 검열되지 않은 국내 네트워크를 공격 루트로 사용한 것으로 추정된다. 한편, 1위를 차지한 한국에 이어 미국, 중국, 네덜란드, 독일 등이 상위 5위권을 차지했다.
  • APT 공격으로의 노출: 한국의 APT 노출률은 39%를 기록하여 아시아 평균(33%)을 웃돌았으며 글로벌 평균(20%) 수치의 두 배에 육박했다. 한국에 첨단 기술 산업, 모바일 업체, 특허 및 지적재산(IP) 기반 산업이 밀집되어 있는 것과 북한과의 정치적인 관계 그리고 지리적 위치 등을 그 원인으로 추측할 수 있다.
  • 공격 위협 최다 노출 및 CnC 콜백 최다 발생 국가: 한국은 취약점 공격과 악성 코드 감염 위협에 가장 노출된 국가 1위에 올랐다. 이는 국내 사용자를 타깃으로 한 워터링홀(Watering-Hole) 공격과 연관 지을 수 있다. 국내에서 포착된 워터링홀 공격은 사용자로 하여금 감염된 광고 사이트로 방문하게 하는 방식으로 대규모 공격 정황이 발견된 바 있다. 더불어, 한국은 CnC 콜백이 가장 많이 발생한 국가로 꼽혔는데 이는 국내에서 고스트랫(Gh0st Rat) 콜백 활동이 많이 발견된 것과 연관된다. 콜백 활동의 대부분은 대규모 봇넷(Botnet)을 만드는데 이용되었고, 몇몇은 타깃 공격을 위해 이용되었다.
  • 산업별 사이버 위협 노출 정도: 산업별 APT 노출률을 살펴보면, 통신 산업과 정부기관이 상위 2개국으로 APT 공격에 가장 많이 노출된 산업이었다. APT 콜백이 가장 많이 발생하는 산업 순위에서는 첨단 기술 산업과 정부 기관이 나란히 1, 2위를 차지하였으며, 금융 서비스업이 그 뒤를 이었다. 또한, 취약점 공격과 악성코드 감염 위협에 노출된 산업 순위에서 역시 첨단 기술 산업, 금융 서비스, 정부 기관이 나란히 상위 3위권을 차지하였다. 이를 통해, 통신산업, 첨단 기술 산업, 정부기관 그리고 금융 서비스업이 사이버 공격의 주요 타깃이 되는 것을 알 수 있다.

이번 2015상반기 지능형 위협 보고서는 2015년 1월에서 6월까지 파이어아이의 동적 위협 인텔리전스(DTI, Dynamic Threat Intelligence) 클라우드에서 수집된 데이터를 기반으로, 사이버 위협에 노출된 산업, 공격에 사용된 악성코드 등에 대한 정보를 제공한다. 이를 통해, 아태지역의 사이버 위협 동향에 대한 최신 정보와 통찰력을 얻을 수 있다.

파이어아이의 전수홍 지사장은 “한국은 사이버 공격 위협에 치명적으로 노출됨과 동시에 사이버 공격에 이용되는 국가”라며, “발달된 인터넷 인프라에 걸 맞는 보안 노력이 필요한 시점”이라고 전했다. 이어, “이를 위해서는, 보안 툴을 지속적으로 업데이트하고, 적용 가능한 보안 모델을 실시하여 침해와 탐지 사이의 기간을 단축해야 한다”라며, “다른 기업 혹은 단체와 사이버 공격 위협 인텔리전스(Threat Intelligence)를 공유하는 것도 하나의 방법”이라고 덧붙였다.

아시아 지역의 지능형 위협에 대한 자세한 정보를 담고 있는 보고서 전문은 이곳에서 다운받을 수 있다.

참고자료

아시아 지역 APT 노출률: 한국을 포함한 아시아 지역 국가의 평균 APT 노출률(33%)은 글로벌 평균(20%)보다 높으며, 그 중에서도 태국은 지난 보고서에 글로벌 평균에 못 미치는 수치에서 이번 상반기에는 글로벌 평균의 두 배 이상으로 증가하는 주목할 만한 변화를 보여줬다.

CnC 콜백 목적지로 가장 많이 이용된 상위 10개국: 1위를 기록한 한국에 이어 상위 10개국을 차지한 국가는 아래와 같다. 세계 순위에서는 순위권에 들지 못했던 중국이 아시아 순위에 추가된 것이 주목할 만한 부분인데, 이는 중국 지역의 중국 정부 후원을 받는 공격 그룹들이 로컬 CnC 인프라를 쓰기 때문이라고 볼 수 있다.

  • 한국
  • 미국
  • 중국
  • 네덜란드
  • 독일
  • 러시아
  • 영국
  • 우크라이나
  • 프랑스
  • 일본

취약점 공격과 악성 코드 감염 위협에 가장 많이 노출된 상위 5개국: 한국에 이은 상위 5개국의 순위는 아래와 같다.

  • 한국
  • 일본
  • 대만
  • 호주
  • 태국

APT 콜백이 가장 많이 발생한 산업:

  • 첨단 기술 산업
  • 정부 중앙 기관
  • 금융 서비스
  • 제조업
  • 교육
  • 서비스 제공업
  • 통신
  • 서비스/컨설팅
  • 에너지/공공산업
  • 정부 지방 기관

콜백에 가장 많이 사용된 시그니처 종류:

  • Sality
  • Conficker
  • Kelihos
  • Zbot
  • Upatre
  • Rerdom
  • CryptoWall
  • Virut
  • ZeroAccess
  • Carberp

콜백에 가장 많이 사용된 APT멀웨어 종류:

  • Backdoor.APT.LV
  • Backdoor.APT.Kaba
  • Backdoor.APT.Gh0stRat
  • Backdoor.APT.Page
  • Backdoor.APT.XtremeRAT

###

 

파이어아이에 대하여

파이어아이는 사이버 공격 방어에 특화된 가상 머신(MVX) 기반의 보안 플랫폼을 개발한 보안솔루션 업체로, 지능형 지속위협(APT), 제로데이와 같이 기업과 정부 기관을 대상으로 발생하는 차세대 위협에 대응하는 실시간 위협 탐지 보안 솔루션을 제공하고 있다. 파이어아이의 보안 솔루션은 시그니처 기반의 방화벽, IPS, 안티바이러스 및 웹 게이트웨이가 탐지 할 수 없는 제로데이 공격이나 변종 공격을 행위 기반 분석을 통해 효율적으로 탐지하고 차단한다. 파이어아이의 위협 차단 플랫폼은 위협으로부터의 보호를 위해 시그니처 사용 없이 주요 위협 벡터 및 각기 다른 단계의 공격 실행 주기에 걸친 실시간의 역동적인 위협 방어 솔루션을 제공한다. 파이어아이 플랫폼의 핵심은 사이버 공격을 실시간으로 차단하기 위해 역동적인 위협 인텔리전스에 의해 보완된 가상 실행 엔진이다. 파이어아이의 솔루션은 전세계 67개 국가에 걸쳐 포춘 선정 글로벌 기업 200개 기업을 포함한 3,100개 기업에서 사용 중이다. 보다 자세한 사항은 www.fireeye.kr 에서 확인 할 수 있다.

자료 문의

파이어아이 코리아         이상도 이사  / 02-559-0730 / sangdo.lee@fireeye.com

민커뮤니케이션                     대표메일 fireeye@mincomm.com

정민아 실장 / 010-6282-0677 / mina@mincomm.com

민초롱 대리 / 010-2845-0625 / chorong@mincomm.com

정유림 A.E / 010-9914-5529 /yurim@mincomm.com