2012년, 웹공격 위해 정교한 사이버범죄 인프라 발전할 것
웹 보안 솔루션 및 WAN 최적화 기업인 블루코트(CEO 그렉 클라크 www.bluecoat.co.kr)가 지난 한 해 동안의 악성코드 동향을 분석하고 기업의 보안 방어 전략을 담은 ‘2012년도 블루코트 웹 보안 보고서’를 발표했다.보고서에 따르면, 지난 2011 년 위협 동향에 있어 가장 중대한 변화로 매우 역동적인 웹 기반 공격을 가하는 악성 코드 네트워크를 지목했다. 다른 어떠한 공격보다 오래 지속되는 복합적인 구조의 악성 코드네트워크는 작년 한 해 동안 악성 사이트의 숫자를 240%나 증가시켰으며, 2012년에는 모든 새로운 공격 중의 거의 3분의 2가 알려진 악성코드 네트워크에서 비롯될 것이라고 예상된다. 블루코트 보안 연구소는 2011년 초 이러한 악성 네트워크의 존재를 업계 최초로 밝혀 냈으며 현재 이를 구체적으로 식별, 추적 및 차단한다.
악성 코드 네트워크는 오랜 기간 동안 의심하지 않았던 사용자를 공격 대상으로 삼아, 오랜 기간동안 다양한 공격을 수행할 목적으로 사이버 범죄자가 구축, 관리 및 유지하는 인터넷 내의 분산 인프라이다. 일반적으로 악성코드 네트워크의 최종 단계는 개인 정보를 도용하거나 최종 사용자의 시스템을 봇넷으로 변화시키는 것이다. ‘2012년 블루코트 웹 보안 보고서’는 악성 코드 네트워크 운영자가 사용자들을 악성 페이로드(Payload)로 유입시키기 위해 구축하는 전략 혹은 악의적인 목적으로 아무도 모르게 사용자의 컴퓨터에 설치되는 소프트웨어에 대해 상세히 밝혀 냈다.
블루코트의 수석 악성코드 연구원인 크리스 라센 (Chris Larsen)은 “도메인 네임을 통한 빠른 회전과 더불어 악성 소프트웨어 키트를 구매하고 사용자 정의하며, 설치하기가 훨씬 더 쉬워짐에 따라 2011년에 악성 사이트가 240% 증가했다”라며, “현재 기업이 평균적으로 월 5,000건 이상의 보안 위협에 처해 있는 상황에서 악성코드 네트워크를 식별하고 추적하여 공격이 발생하기 전에 소스에서 이를 차단하는 것이 가장 효과적인 방법이다. 이러한 점에서 블루코트의 사전 예방적 네거티브 데이 방어는 공격이 발생하기 전에 공격으로부터 사용자를 보호 할 수 있는 고유한 기능을 제공한다”라고 말했다.
보고서에 따르면, 이러한 악의적인 인프라로 진입하는 가장 일반적인 경로는 검색 엔진 / 포털 및 이메일 등 크고 다양한 사용자 집단에 의해 사용되고 활용하기 쉬운 진입점을 이용하는 것이며, 저항이 최소화된 경로에 의존하는 것으로 나타났다. 또한 142개의 검색 중 하나가 악성 링크로 연결되는 검색 엔진 및 포털은 악성코드 네트워크가 공격을 발생시키는데 매우 효과적인 매개체이다.
2012년 웹 보안 보고서는 사용자 행동, 악성 코드 네트워크 전략 분석뿐만 아니라, 이러한 공격적인 인프라에 대응한 최상의 방어를 강조하면서 심층적으로 악성 코드에코 시스템을 연구했다. 보고서의 주요 내용은 아래와 같다.
-고의적 혹은 우연히 발생된 호스팅 악성 코드에 대한 가장 일반적인 콘텐츠 카테고리
-악의적인 웹 광고를 통해 사용자를 악성 코드 네트워크로 유입시키는 악성광고(Malvertising)
-소셜 네트워킹 사이트에 존재하는 인터넷 내의 인터넷
-역동적인 악성 코드 네트워크의 특성에 대응하는 방어로서의 ‘네거티브 데이 방어’
보고서는 또한 이러한 악성 코드 네트워크의 존재가 위협에 있어 어떻게 광범위한 변화를 주도하는지 연구하였다. 내용은 다음과 같다.
-신뢰와 명성에 기반한 공격을 수행할 수 있는 소셜 네트워크 사용의 증가
-뉴스의 주요 주제에서 벗어난 검색 엔진 포이즈닝 공격
-획기적으로 증가한 이메일 공격
보고서는 블루코트 웹 펄스 협업 방어시스템의 데이터를 분석한 결과를 기반으로 하였다. 웹 펄스는 일반적인 방어시스템 안에 사용자를 통합하는 클라우드 기반의 실시간 분석과 평가 서비스이다. 블루코트의 프록시 어플라이언스인 ‘ProxySG’와 클라우드 서비스를 통해 제공되는 웹펄스 서비스는 전세계 7천 5백만 사용자로부터 매일 10억 건의 웹 요청을 받고 있다.
웹 에코시스템에 관한 광범위한 가시성을 보유한 웹펄스는 비정상적인 트래픽을 자동으로 식별하고 알려진 악성 코드 네트워크와 연결하려는 공격을 시작 전에 차단할 수 있다. 웹펄스는 이러한 기술과 기타 고급 분석 도구를 이용하여 매일 330만 위협을 차단한다.
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지