보안 위협 인텔리전스와 사이버 보안 동향을 분석한 ‘시스코 2015 중기 보안 보고서’를 통해 정교한 사이버 공격에 대비하기 위해서는 탐지 시간(Time To Detection · TTD)의 단축이 중요하다고 강조했다. 

보안 업계에 따르면 사이버 공격 탐지에 소요되는 시간은 100일에서 많게는 200일까지 걸리고 있는 실정이다. 이와 대조적으로 기존 보안 체계를 통과했던 과거의 공격까지도 분석 가능한 시스코의 지능형 악성코드 차단(Advanced Malware Protection · AMP) 솔루션의 경우, 평균 공격 탐지 시간은 단 46시간에 불과하다. 

비즈니스의 디지털화와 만물인터넷(IoE) 시대가 도래함에 따라, 악성코드와 보안 위협이 여느 때보다도 크게 확산되고 있다. 시스코는 이번 보고서에서 조직을 위협하는 전형적인 공격 유형을 보여주는 앵글러 익스플로잇 킷(Angler Exploit Kit)을 비롯해 플래시의 새로운 위험, 진화하는 랜섬웨어, 드리덱스(Dridex) 변종 악성코드 공격 등 사이버 위협의 최근 동향을 소개했다. 

이번 시스코 보고서에 따르면 기업은 포인트 보안 제품 보다는 통합 보안 솔루션을 구축하고, 신뢰할 수 있는 벤더와 협력하며 보안 서비스 제공업체에 조언과 평가를 요청하는 것이 중요하다. 또한, 지정학적 전문가들은 경제 성장을 지속하기 위해 글로벌 사이버 거버넌스 프레임워크의 필요성을 강조했다. 

그 밖에 시스코 보안 보고서의 주요 내용은 살펴보면 

- 앵글러(Angler) 익스플로잇 킷: 앵글러는 현재 가장 정교하고 광범위하게 사용되고 있는 익스플로잇 킷(exploit kit) 중 하나로, 플래시, 자바, 인터넷 익스플로러, 실버라이트 등의 취약점을 활용하고 있다. 앵글러는 보안 탐지 회피를 위해 도메인 쉐도잉(domain shadowing) 기법을 능수능란하게 이용하는 것이 특징이며, 전체 도메인 쉐도잉 활동에서 가장 큰 부분을 차지하고 있다. 

- 플래시(Flash)의 부활: 앵글러와 뉴클리어(Nuclear) 익스플로잇 킷에도 사용되는 등 최근 어도비 플래시 취약점의 이용이 증가하고 있다. 이러한 증가추세는 자동 패치가 안되거나 개인사용자들이 보안 업데이트를 즉각적으로 하지 않기 때문이다. 한편, 어도비 플래시 플레이어의 취약점 개수는 2015년 상반기에 CVE(Common Vulnerabilities and Exposure) 시스템 기준으로 2014년 전체 대비 66% 증가했다. 이 속도로 간다면 2015년 플래시 보안 취약점과 관련한 CVE 수는 사상 최고치를 기록할 전망이다. 

- 랜섬웨어(Ransomware)의 진화: 지속적으로 새로운 변종이 나오고 있는 랜섬웨어는 해커에게는 여전히 수익성이 높은 공격이다. 랜섬웨어 공격은 완전히 자동화되고 다크웹(dark web)을 통해 실행되는 수준까지 진화했다. 또한 법망을 피하기 위해 비트코인과 같은 암호 화폐(cryptocurrency)를 이용하고 있다. 

- 드리덱스(Dridex) 공격: 빠르게 돌연변이를 만들어내는 드리덱스 악성코드의 개발자들은 보안 정책을 우회하는 방법을 잘 알고 있다. 공격자들은 우회 기술의 하나로 이메일 내용, 사용자 에이전트(user agent), 첨부 파일 또는 참조인(referrer) 등을 빠르게 바꾸고, 새로운 공격을 개시하기 때문에 전통적인 안티바이러스 시스템은 이러한 공격을 새로운 공격으로 탐지하게 된다. 

사이버 위협 대응을 위한 보안 방안 

- 통합적인 위협 방어: 기업은 포인트 보안 솔루션으로는 해결할 수 없는 심각한 과제에 직면하고 있다. 따라서 전방위 보안/시큐리티 에브리웨어(security everywhere)을 구현하고 모든 제어 지점에서 보안을 수행하는 통합적인 위협 방어 아키텍처를 고려해야 한다. 

- 전문 보안 서비스: 보안 산업이 점차 세분화 되고 역동적으로 변화하는 위협 환경, 전문 인력의 부족과 같은 문제에 대응해야 함에 따라 기업은 효과적이고 지속가능하며 신뢰할 수 있는 보안 솔루션과 전문 서비스에 투자해야 한다. 

- 글로벌 사이버 거버넌스 프레임워크: 현재의 글로벌 사이버 거버넌스는 새로운 위협 환경이나 지정학적 문제들에 대처할 수 있는 준비가 되어있지 않다. 정부가 어떻게 시민과 기업에 대한 데이터를 수집하고 관할 구역간에 이러한 데이터를 공유하고 있는 지에 대한 문제 해결도 중요한 과제로 떠오르고 있다. 현재 전세계적인 협력이 제한된 상황에서 국가간 경계는 체계적인 사이버 거버넌스를 구성하는데 큰 걸림돌이 되고 있다. 다양한 이해관계자가 참여하고 함께 협력하는 사이버 거버넌스 프레임워크는 글로벌 시장에서 비즈니스 혁신과 경제 성장을 지속하기 위해 필요하다. 

- 신뢰할 수 있는 벤더: 기업은 기술벤더의 신뢰도를 평가하기 위해 벤더에게 투명성과 제품의 보안성을 입증하도록 요구해야 한다. 공급망에서부터 제품의 구축 단계에 이르기까지 제품 개발 전반에서 이러한 신뢰가 지켜질 수 있도록 해야 한다. 또한 벤더에게 계약에 따른 요구사항을 지원하는 한편, 한층 강화된 보안을 요구해야 한다. 

최근 공격자와 보안 벤더 사이의 대립이 가속화 되면서 이로 인해 사용자와 기업이 직면하는 위험은 더욱 증가하고 있다. 보안 업체들은 기업이 보안 위협에 적극적으로 대비하고, 이에 필요한 인력, 프로세스 및 기술을 배치할 수 있는 통합 보안 솔루션 개발에 노력해야 한다. 

존 N. 스튜어트 시스코 수석 부사장 겸 최고 보안 책임자는 “보안침해가 기업에게 심각한 상황이라는 것을 인지해야 할 때다. 기업에게 가장 중요한 2가지 이슈는 비즈니스 전략과 보안 전략이고, 시스코와의 신뢰할 수 있는 파트너십을 원한다는 말을 고객들로 부터 자주 듣는다.”며, “업계에서 정의한 보안 기능과 모든 제품 라인에서 신뢰할 수 있는 솔루션을 제공하기 위해, 시스코는 기술과 신뢰도 측면에서 끊임 없이 노력하고 있다”고 말했다. 

위기관리경영 - 한지현기자