주요 네트워크 보안 문제 및 동향
2021 사이버 보안 보고서에서 Check Point Research 그룹은 2020 년의 주요 네트워크 보안 문제, 위협 및 동향을 간략하게 설명했습니다.
#1. 공급망 공격
2020년 12월 8일, 사이버 보안 회사인 파이어아이(FireEye)는 자사 네트워크에서 선버스트 멀웨어를 발견했다고 밝혔습니다. 이 감염에 대한 조사 결과 18,000개의 조직, Fortune 500대 기업 중 425개 회사(Microsoft 포함)에 영향을 미치고 정부 기관도 대상으로 한 대규모 사이버 공격 캠페인이 밝혀졌습니다.
SUNBURST 멀웨어 는 SolarWinds Orion 네트워크 관리 소프트웨어에 대한 손상된 업데이트를 통해 배포되었습니다. 공격자는 오피스365 계정에 대한 새로운 공격을 사용하여 SolarWinds를 손상시켰으며, 이를 통해 권한 있는 계정에 대한 Azure Active Directory 토큰을 위조하고 손상된 관리자 자격 증명을 사용하여 회사의 업데이트 관리 서버에 액세스할 수 있었습니다.
공격자는 SolarWinds 업데이트 관리 서버에 액세스하여 개발 파이프라인에 있는 동안 백도어 멀웨어를 포함하도록 업데이트를 수정할 수 있었습니다. 이러한 광범위한 공격 범위로 인해 현재까지 알려진 가장 성공적인 공급망 공격이 되었습니다. SolarWinds 공격에서 모니터링은 공격을 먼저 식별한 다음 대응하는 데 필수적인 것으로 입증되었습니다.
향후 공격을 방지하려면 다음과 같은 보안 모범 사례를 구현해야 합니다.
- 최소 권한 및 네트워크 세그멘테이션: 이러한 모범 사례는 조직의 네트워크 내에서 이동을 추적하고 제어하는 데 도움이 될 수 있습니다.
- DevSecOps: 개발 수명 주기에 보안을 통합하면 소프트웨어(예: Orion 업데이트)가 악의적으로 수정되었는지 감지하는 데 도움이 될 수 있습니다.
- 자동화된 위협 차단 및 위협 헌팅: 보안 운영 센터(SOC) 분석가는 네트워크, 엔드포인트, 클라우드 및 모바일을 포함한 모든 환경에서 공격을 사전에 방어해야 합니다.
#2. 비싱
피싱은 가장 잘 알려진 소셜 엔지니어링 공격 유형이지만 다른 기술도 마찬가지로 효과적일 수 있습니다. 전화를 통해 바이셔는 소셜 엔지니어링 기술을 사용하여 자격 증명 및 기타 주요 정보에 액세스하거나, 2FA를 우회하거나, 피해자가 파일을 열거나 악성 소프트웨어를 설치하도록 유도할 수 있습니다.
비싱은 기업 사이버 보안에 대한 위협이 커지고 있습니다. 2020년 8월 CISA와 FBI는 비싱 공격에 대한 경고를 발표했으며 비싱은 멀웨어 캠페인과 APT 그룹에 의해 사용되었습니다. 세간의 이목을 끄는 공격으로 2020년에 한 십대 청소년이 여러 유명인의 트위터 계정을 장악할 수 있었습니다. 비싱의 위협은 딥페이크 녹음 기술이 향상되고 더 널리 보급됨에 따라 더욱 악화될 것입니다.
비싱은 로우테크 공격으로, 이를 막기 위해서는 직원 교육이 필수적이다. 기업은 민감한 정보를 포기하지 않고 요청을 준수하기 전에 발신자 식별을 독립적으로 확인하도록 직원을 교육할 수 있습니다.
#3. 랜섬웨어
랜섬웨어는 2020년 조직에 가장 비용이 많이 드는 사이버 위협 중 하나였습니다. 2019년 $11.5B에서 2020년 $20B의 비용이 발생했습니다. 2020년 3분기의 평균 몸값은 $233,817로 전 분기 대비 30% 증가했습니다.
해당 분기에 모든 랜섬웨어 사고의 거의 절반이 이중 갈취 위협을 포함했습니다. 이 혁신은 피해자가 몸값을 지불할 확률을 높이도록 설계되었습니다. 이를 위해 파일 암호화 외에 새로운 두 번째 위협, 즉 민감한 데이터를 추출하고 데이터의 공개 노출 또는 판매를 위협합니다. 백업을 통해 조직은 비용을 지불하지 않고도 랜섬웨어 공격으로부터 복구할 수 있지만, 민감한 개인 정보의 침해 위협은 공격자에게 추가적인 레버리지를 제공합니다.
이러한 이중 갈취 공격의 증가는 조직이 탐지 또는 수정에만 의존해서는 안 되며 위협 차단 전략을 채택해야 함을 의미합니다. 예방에 중점을 둔 전략에는 다음이 포함되어야 합니다.
- 랜섬웨어 방지 솔루션: 조직은 시스템에서 랜섬웨어 감염을 탐지하고 근절하기 위해 특별히 설계된 보안 솔루션을 배포해야 합니다.
- 취약성 관리: 취약한 시스템에 패치를 적용하거나 침입 방지 시스템(IPS)과 같은 가상 패치 기술을 사용하여 원격 데스크톱 프로토콜(RDP)과 같은 일반적인 랜섬웨어 감염 벡터를 차단해야 합니다.
- 직원 교육: 악성 이메일의 첨부 파일을 열거나 링크를 클릭할 때의 위험에 대해 직원을 교육합니다.
#4. 스레드 하이재킹
스레드 하이재킹 공격은 사용자 자신의 이메일을 사용합니다. 내부 전자 메일 계정을 손상시킨 후 공격자는 멀웨어가 포함된 첨부 파일이 있는 전자 메일 스레드에 응답할 수 있습니다. 이러한 공격은 이메일 스레드가 합법적으로 보인다는 사실을 이용합니다. 왜냐하면, 그렇다.
가장 큰 봇넷 중 하나인 이모텟 뱅킹 멀웨어는 멀웨어 순위에서 1위를 차지했으며 2020년 전 세계 조직의 거의 20%를 표적으로 삼았습니다. 피해자를 감염시킨 후 피해자의 이메일을 사용하여 새로운 피해자에게 악성 파일을 보냅니다. 또 다른 뱅킹 멀웨어인 Qbot도 유사한 이메일 수집 기술을 사용했습니다.
스레드 하이재킹으로부터 보호하려면 신뢰할 수 있는 출처에서 온 경우에도 피싱 징후가 있는지 이메일을 감시하도록 직원을 교육해야 하며, 이메일이 의심스러워 보이면 전화를 통해 발신자의 신원을 확인해야 합니다. 또한 조직은 AI를 사용하여 피싱을 탐지하고 악성 첨부 파일 및/또는 링크가 포함된 이메일을 격리하는 이메일 보안 솔루션을 배포해야 합니다.
#5. 원격 액세스 취약성
COVID-19의 여파로 원격 근무가 급증하면서 2020년에는 원격 액세스가 사이버 범죄자의 일반적인 표적이 되었습니다. 올해 상반기에는 RDP 및 VPN과 같은 원격 액세스 기술에 대한 공격이 급격히 증가했습니다. RDP에 대한 공격은 매일 거의 100만 건이 탐지되었습니다.
하반기에 사이버 범죄자들은 취약한 VPN 포털, 게이트웨이 및 애플리케이션에 초점을 맞추기 위해 이러한 시스템의 새로운 취약점이 알려졌습니다. 체크 포인트 센서 넷은 Cisco 및 Citrix를 포함하여 원격 액세스 디바이스에서 알려진 8가지 취약점에 대한 공격이 증가한 것을 확인했습니다.
원격 액세스 취약성의 위험을 관리하기 위해 조직은 취약한 시스템에 직접 패치를 적용하거나 IPS와 같은 가상 패치 기술을 배포해야 합니다. 또한 EDR(엔드포인트 탐지 및 대응) 기술과 함께 포괄적인 엔드포인트 보호를 배포하여 수정 및 위협 헌팅을 강화하여 원격 사용자를 보호해야 합니다.
#6. 모바일 위협
COVID-19는 모바일 위협 영역을 지배했습니다. 원격 근무로 인해 모바일 디바이스 사용이 급격히 증가했으며, 코로나바이러스 관련 앱으로 가장한 악성 앱도 증가했습니다.
모바일 디바이스는 또한 미국의 Ghimob, EventBot 및 ThiefBot과 같은 뱅킹 멀웨어를 포함한 대규모 멀웨어 캠페인의 표적이 되었습니다. APT 그룹은 또한 2FA를 우회하여 이란 국외 거주자를 감시하려는 이란 캠페인과 같은 모바일 장치를 표적으로 삼았습니다. 모바일 디바이스에서 주목할 만한 취약점은 Qualcomm 칩의 Achilles 400 약점과 Instagram, Apple의 로그인 시스템 및 WhatsApp과 같은 앱의 취약성이었습니다.
기업은 관리되지 않는 디바이스를 위한 경량 모바일 보안 솔루션으로 사용자의 모바일 디바이스를 보호할 수 있습니다. 또한 위험을 최소화하기 위해 공식 앱 스토어의 앱만 설치하여 자신을 보호하도록 사용자를 교육해야 합니다.
#7. 클라우드 권한 에스컬레이션
주요 보안 문제를 요약하면서 SolarWinds 공격 기술에 대해 자세히 알아보겠습니다. S3 버킷과 같은 클라우드 자산이 노출되는 잘못된 구성에 의존했던 이전 클라우드 공격과 달리(여전히 우려 사항임) 이제 클라우드 인프라 자체도 공격을 받고 있습니다.
SolarWinds 공격자는 ADFS(Active Directory Federation Services) 서버를 표적으로 삼았으며, 이 서버는 오피스365와 같은 클라우드 서비스에 액세스하기 위해 조직의 SSO(Single Sign-On) 시스템에서도 사용되었습니다. 이 시점에서 공격자는 Golden SAML이라는 기술을 사용하여 피해자의 클라우드 서비스에 대한 지속성과 탐지하기 어려운 전체 액세스 권한을 얻었습니다.
클라우드 ID 및 액세스 관리(IAM) 시스템에 대한 다른 공격도 주목할 만했습니다. IAM 역할은 16개의 AWS 서비스에 있는 22개의 API를 사용하여 남용될 수 있습니다. 이러한 공격은 서비스형 인프라(IaaS) 및 서비스형 소프트웨어(SaaS) 공급자의 구성 요소, 아키텍처 및 신뢰 정책에 대한 깊은 이해에 의존합니다.
기업은 퍼블릭 클라우드 환경 전반에 대한 전체적인 가시성이 필요하며 통합되고 자동화된 클라우드 네이티브 보호 기능을 배포해야 합니다. 이를 통해 기업은 클라우드가 제공하는 이점을 누리는 동시에 지속적인 보안 및 규제를 보장할 수 있습니다.
2020년 전례 없는 의료 공격
COVID-19로 인해 사이버 범죄자를 포함한 모든 사람이 의료 기관을 가장 먼저 떠올리게 되었습니다. 일부 멀웨어 캠페인은 의료 서비스에 대한 공격을 중단하겠다고 약속했지만 약속은 실체가 없었고 병원은 여전히 Maze 및 DopplePaymer 멀웨어의 초점이었습니다.
지난 10월 CISA, FBI, DHS는 Ryuk 랜섬웨어를 배포하는 데 사용된 Trickbot 멀웨어를 언급하면서 의료 서비스에 대한 공격에 대한 경고를 발표했습니다. 또한 국가가 후원하는 APT 공격은 COVID-19 백신 개발과 관련된 기관을 표적으로 삼았습니다.
미국의 의료 분야는 사이버 공격자들의 가장 큰 표적이 되었습니다. Check Point Research 9월부터 10월까지 71% 증가했으며 11월과 12월에는 전 세계적으로 45% 이상 증가했습니다.
실버 라이닝
2020년의 네트워크 보안 문제 위협을 이해하는 동시에 사이버 보안 커뮤니티의 지원을 받는 법 집행 기관이 전 세계 사이버 범죄에 연루된 수많은 개인과 위협 그룹을 추적하고 기소하기 위해 많은 성공적인 조치를 취한 것에 주목하는 것도 중요합니다.
2020년 성공적인 사이버 법 집행 활동의 몇 가지 예는 다음과 같습니다.
- 10월에는 100만 개 이상의 감염된 호스트와 연결된 Trickbot 인프라가 다운되었습니다.
- EU는 DisRupTor 운영을 중단하기 위한 조사를 주도했으며, 이 과정에서 179명의 불법 상품 판매자가 체포되고 불법 상품은 법 집행 기관에 압수되었습니다.
- 러시아와 중국의 APT 그룹 위협 행위자에 대한 영장이 발부되었습니다.
- TrickBot 테이크다운과 같은 Microsoft 주도의 노력도 Necurs 봇넷을 다운시켰습니다.
- 영국 국립 사이버 보안 센터(NCSC)는 코로나바이러스 관련 스캠과 관련된 22,000개 이상의 URL을 삭제했습니다.
- 사이버 위협 연합(Cyber Threat Coalition, CTC) 글로벌 사이버 위협 연합(Global Cyber Threat Alliance)은 코로나19 IoC를 공유하기 위해 단결했습니다.
- 사이버 보안 연구원들은 계속해서 취약점을 발견하고 책임감 있게 공개하고 있습니다.
- 체크 포인트는 클라우드에서 CVE 위험 점수가 가장 높은 RCE 취약성과 Windows DNS 서버의 SigRed 취약성을 발견하고 공개했습니다.
- 업계 연구원들은 Pulse Secure VPN 및 F5 Big-IP에서 버그를 발견했습니다.
- 멀웨어를 제거하는 데 도움이 되는 멀웨어의 버그가 발견되었습니다.
- Emotet의 버퍼 오버플로 버그는 킬 스위치 역할을 하여 6개월 동안 게시 중단을 가능하게 한 후 2021년 1월 Emotet 봇넷을 중단했습니다.
보안 유지를 위한 권장 사항
2020년의 사이버 위협 및 네트워크 보안 문제는 2020년에만 국한되지 않습니다. 이러한 공격 트렌드 중 상당수는 현재 진행형이며, 2021년에는 새로운 네트워크 보안 문제와 사이버 범죄 혁신이 발생합니다. 진화하는 사이버 위협 환경으로부터 보호하기 위해 다음과 같은 권장 사항을 마련했습니다.
- 실시간 예방에 집중: 인시던트 탐지 및 대응도 중요하지만, 공격이 발생한 후 이를 탐지하는 것은 피해가 이미 발생했을 수 있음을 의미합니다. 탐지보다 위협 차단에 집중하면 사이버 공격과 관련된 피해와 비용을 제한할 수 있습니다.
- 모든 것을 보호하십시오. 사이버 범죄자들은 쉽게 얻을 수 있는 표적을 찾기 위해 낮게 매달린 과일을 공격합니다. 조직은 네트워크, 클라우드 인프라, 사용자, 엔드포인트, 모바일을 포함한 공격 표면의 모든 측면을 보호해야 합니다.
- 가시성 확보를 위한 통합: 독립형 사이버 보안 솔루션은 한 가지 문제를 해결하는 데 적합할 수 있지만, 연결이 끊어진 보안 솔루션이 엉망이 되면 보안 팀이 감당하기 어렵고 탐지 기회를 놓치게 됩니다. 보안을 통합하면 팀의 효율성이 향상되고 공격을 신속하게 탐지하고 대응할 수 있습니다.
- 제로 트러스트 패러다임 적용: 과도한 권한과 액세스로 인해 실수나 손상된 계정이 심각한 보안 사고로 전환되기 쉽습니다. 제로 트러스트를 구현 하면 조직이 사례별로 리소스에 대한 액세스를 관리하여 사이버 보안 위험을 최소화할 수 있습니다.
- 위협 인텔리전스를 최신 상태로 유지: 사이버 위협 환경은 끊임없이 진화하고 있습니다. 조직은 최신 사이버 위협으로부터 스스로를 보호하기 위해 위협 인텔리전스에 실시간으로 액세스 해야 합니다.
오늘날의 주요 네트워크 보안 문제에 대해 자세히 알아보려면 2021년 사이버 보안 보고서 전문을 확인하세요. 조직의 보안을 위험에 빠뜨리는 문제를 식별하기 위해 보안 진단을 요청할 수도 있습니다.
피드백