2021 년이 시작됨에 따라 Check Point Research 그룹이 2020 년에 본 위협을 반영하여 내년을 준비하기에 좋은시기입니다. 2021년 사이버 보안 보고서에 따르면 수천 개의 정부 및 민간 부문 조직을 침해한 Sunburst 공격은 2020년 사이버 공격과 관련하여 빙산의 일각에 불과했습니다. 실제로 조직의 87%가 알려진 취약점을 악용하려는 시도를 경험했습니다.
Sunburst의 국가 스타일 공격 외에도 재정적 동기를 가진 위협 행위자는 계속해서 멀웨어 캠페인을 벌이고 있습니다. 이들은 보이스 피싱(비싱), 이중 갈취 랜섬웨어, 이메일 스레드 하이재킹, 클라우드 인프라를 대상으로 하는 공격을 사용하도록 기술을 발전시키고 있습니다. 그렇긴 하지만, 지평선에는 몇 가지 희망도 있습니다.
2021 사이버 보안 보고서에서 Check Point Research 그룹은 2020 년의 주요 네트워크 보안 문제, 위협 및 동향을 간략하게 설명했습니다.
2020년 12월 8일, 사이버 보안 회사인 파이어아이(FireEye)는 자사 네트워크에서 선버스트 멀웨어를 발견했다고 밝혔습니다. 이 감염에 대한 조사 결과 18,000개의 조직, Fortune 500대 기업 중 425개 회사(Microsoft 포함)에 영향을 미치고 정부 기관도 대상으로 한 대규모 사이버 공격 캠페인이 밝혀졌습니다.
SUNBURST 멀웨어 는 SolarWinds Orion 네트워크 관리 소프트웨어에 대한 손상된 업데이트를 통해 배포되었습니다. 공격자는 오피스365 계정에 대한 새로운 공격을 사용하여 SolarWinds를 손상시켰으며, 이를 통해 권한 있는 계정에 대한 Azure Active Directory 토큰을 위조하고 손상된 관리자 자격 증명을 사용하여 회사의 업데이트 관리 서버에 액세스할 수 있었습니다.
공격자는 SolarWinds 업데이트 관리 서버에 액세스하여 개발 파이프라인에 있는 동안 백도어 멀웨어를 포함하도록 업데이트를 수정할 수 있었습니다. 이러한 광범위한 공격 범위로 인해 현재까지 알려진 가장 성공적인 공급망 공격이 되었습니다. SolarWinds 공격에서 모니터링은 공격을 먼저 식별한 다음 대응하는 데 필수적인 것으로 입증되었습니다.
향후 공격을 방지하려면 다음과 같은 보안 모범 사례를 구현해야 합니다.
피싱은 가장 잘 알려진 소셜 엔지니어링 공격 유형이지만 다른 기술도 마찬가지로 효과적일 수 있습니다. 전화를 통해 바이셔는 소셜 엔지니어링 기술을 사용하여 자격 증명 및 기타 주요 정보에 액세스하거나, 2FA를 우회하거나, 피해자가 파일을 열거나 악성 소프트웨어를 설치하도록 유도할 수 있습니다.
비싱은 기업 사이버 보안에 대한 위협이 커지고 있습니다. 2020년 8월 CISA와 FBI는 비싱 공격에 대한 경고를 발표했으며 비싱은 멀웨어 캠페인과 APT 그룹에 의해 사용되었습니다. 세간의 이목을 끄는 공격으로 2020년에 한 십대 청소년이 여러 유명인의 트위터 계정을 장악할 수 있었습니다. 비싱의 위협은 딥페이크 녹음 기술이 향상되고 더 널리 보급됨에 따라 더욱 악화될 것입니다.
비싱은 로우테크 공격으로, 이를 막기 위해서는 직원 교육이 필수적이다. 기업은 민감한 정보를 포기하지 않고 요청을 준수하기 전에 발신자 식별을 독립적으로 확인하도록 직원을 교육할 수 있습니다.
랜섬웨어는 2020년 조직에 가장 비용이 많이 드는 사이버 위협 중 하나였습니다. 2019년 $11.5B에서 2020년 $20B의 비용이 발생했습니다. 2020년 3분기의 평균 몸값은 $233,817로 전 분기 대비 30% 증가했습니다.
해당 분기에 모든 랜섬웨어 사고의 거의 절반이 이중 갈취 위협을 포함했습니다. 이 혁신은 피해자가 몸값을 지불할 확률을 높이도록 설계되었습니다. 이를 위해 파일 암호화 외에 새로운 두 번째 위협, 즉 민감한 데이터를 추출하고 데이터의 공개 노출 또는 판매를 위협합니다. 백업을 통해 조직은 비용을 지불하지 않고도 랜섬웨어 공격으로부터 복구할 수 있지만, 민감한 개인 정보의 침해 위협은 공격자에게 추가적인 레버리지를 제공합니다.
이러한 이중 갈취 공격의 증가는 조직이 탐지 또는 수정에만 의존해서는 안 되며 위협 차단 전략을 채택해야 함을 의미합니다. 예방에 중점을 둔 전략에는 다음이 포함되어야 합니다.
스레드 하이재킹 공격은 사용자 자신의 이메일을 사용합니다. 내부 전자 메일 계정을 손상시킨 후 공격자는 멀웨어가 포함된 첨부 파일이 있는 전자 메일 스레드에 응답할 수 있습니다. 이러한 공격은 이메일 스레드가 합법적으로 보인다는 사실을 이용합니다. 왜냐하면, 그렇다.
가장 큰 봇넷 중 하나인 이모텟 뱅킹 멀웨어는 멀웨어 순위에서 1위를 차지했으며 2020년 전 세계 조직의 거의 20%를 표적으로 삼았습니다. 피해자를 감염시킨 후 피해자의 이메일을 사용하여 새로운 피해자에게 악성 파일을 보냅니다. 또 다른 뱅킹 멀웨어인 Qbot도 유사한 이메일 수집 기술을 사용했습니다.
스레드 하이재킹으로부터 보호하려면 신뢰할 수 있는 출처에서 온 경우에도 피싱 징후가 있는지 이메일을 감시하도록 직원을 교육해야 하며, 이메일이 의심스러워 보이면 전화를 통해 발신자의 신원을 확인해야 합니다. 또한 조직은 AI를 사용하여 피싱을 탐지하고 악성 첨부 파일 및/또는 링크가 포함된 이메일을 격리하는 이메일 보안 솔루션을 배포해야 합니다.
COVID-19의 여파로 원격 근무가 급증하면서 2020년에는 원격 액세스가 사이버 범죄자의 일반적인 표적이 되었습니다. 올해 상반기에는 RDP 및 VPN과 같은 원격 액세스 기술에 대한 공격이 급격히 증가했습니다. RDP에 대한 공격은 매일 거의 100만 건이 탐지되었습니다.
하반기에 사이버 범죄자들은 취약한 VPN 포털, 게이트웨이 및 애플리케이션에 초점을 맞추기 위해 이러한 시스템의 새로운 취약점이 알려졌습니다. 체크 포인트 센서 넷은 Cisco 및 Citrix를 포함하여 원격 액세스 디바이스에서 알려진 8가지 취약점에 대한 공격이 증가한 것을 확인했습니다.
원격 액세스 취약성의 위험을 관리하기 위해 조직은 취약한 시스템에 직접 패치를 적용하거나 IPS와 같은 가상 패치 기술을 배포해야 합니다. 또한 EDR(엔드포인트 탐지 및 대응) 기술과 함께 포괄적인 엔드포인트 보호를 배포하여 수정 및 위협 헌팅을 강화하여 원격 사용자를 보호해야 합니다.
COVID-19는 모바일 위협 영역을 지배했습니다. 원격 근무로 인해 모바일 디바이스 사용이 급격히 증가했으며, 코로나바이러스 관련 앱으로 가장한 악성 앱도 증가했습니다.
모바일 디바이스는 또한 미국의 Ghimob, EventBot 및 ThiefBot과 같은 뱅킹 멀웨어를 포함한 대규모 멀웨어 캠페인의 표적이 되었습니다. APT 그룹은 또한 2FA를 우회하여 이란 국외 거주자를 감시하려는 이란 캠페인과 같은 모바일 장치를 표적으로 삼았습니다. 모바일 디바이스에서 주목할 만한 취약점은 Qualcomm 칩의 Achilles 400 약점과 Instagram, Apple의 로그인 시스템 및 WhatsApp과 같은 앱의 취약성이었습니다.
기업은 관리되지 않는 디바이스를 위한 경량 모바일 보안 솔루션으로 사용자의 모바일 디바이스를 보호할 수 있습니다. 또한 위험을 최소화하기 위해 공식 앱 스토어의 앱만 설치하여 자신을 보호하도록 사용자를 교육해야 합니다.
주요 보안 문제를 요약하면서 SolarWinds 공격 기술에 대해 자세히 알아보겠습니다. S3 버킷과 같은 클라우드 자산이 노출되는 잘못된 구성에 의존했던 이전 클라우드 공격과 달리(여전히 우려 사항임) 이제 클라우드 인프라 자체도 공격을 받고 있습니다.
SolarWinds 공격자는 ADFS(Active Directory Federation Services) 서버를 표적으로 삼았으며, 이 서버는 오피스365와 같은 클라우드 서비스에 액세스하기 위해 조직의 SSO(Single Sign-On) 시스템에서도 사용되었습니다. 이 시점에서 공격자는 Golden SAML이라는 기술을 사용하여 피해자의 클라우드 서비스에 대한 지속성과 탐지하기 어려운 전체 액세스 권한을 얻었습니다.
클라우드 ID 및 액세스 관리(IAM) 시스템에 대한 다른 공격도 주목할 만했습니다. IAM 역할은 16개의 AWS 서비스에 있는 22개의 API를 사용하여 남용될 수 있습니다. 이러한 공격은 서비스형 인프라(IaaS) 및 서비스형 소프트웨어(SaaS) 공급자의 구성 요소, 아키텍처 및 신뢰 정책에 대한 깊은 이해에 의존합니다.
기업은 퍼블릭 클라우드 환경 전반에 대한 전체적인 가시성이 필요하며 통합되고 자동화된 클라우드 네이티브 보호 기능을 배포해야 합니다. 이를 통해 기업은 클라우드가 제공하는 이점을 누리는 동시에 지속적인 보안 및 규제를 보장할 수 있습니다.
COVID-19로 인해 사이버 범죄자를 포함한 모든 사람이 의료 기관을 가장 먼저 떠올리게 되었습니다. 일부 멀웨어 캠페인은 의료 서비스에 대한 공격을 중단하겠다고 약속했지만 약속은 실체가 없었고 병원은 여전히 Maze 및 DopplePaymer 멀웨어의 초점이었습니다.
지난 10월 CISA, FBI, DHS는 Ryuk 랜섬웨어를 배포하는 데 사용된 Trickbot 멀웨어를 언급하면서 의료 서비스에 대한 공격에 대한 경고를 발표했습니다. 또한 국가가 후원하는 APT 공격은 COVID-19 백신 개발과 관련된 기관을 표적으로 삼았습니다.
미국의 의료 분야는 사이버 공격자들의 가장 큰 표적이 되었습니다. Check Point Research 9월부터 10월까지 71% 증가했으며 11월과 12월에는 전 세계적으로 45% 이상 증가했습니다.
2020년의 네트워크 보안 문제 위협을 이해하는 동시에 사이버 보안 커뮤니티의 지원을 받는 법 집행 기관이 전 세계 사이버 범죄에 연루된 수많은 개인과 위협 그룹을 추적하고 기소하기 위해 많은 성공적인 조치를 취한 것에 주목하는 것도 중요합니다.
2020년 성공적인 사이버 법 집행 활동의 몇 가지 예는 다음과 같습니다.
2020년의 사이버 위협 및 네트워크 보안 문제는 2020년에만 국한되지 않습니다. 이러한 공격 트렌드 중 상당수는 현재 진행형이며, 2021년에는 새로운 네트워크 보안 문제와 사이버 범죄 혁신이 발생합니다. 진화하는 사이버 위협 환경으로부터 보호하기 위해 다음과 같은 권장 사항을 마련했습니다.
오늘날의 주요 네트워크 보안 문제에 대해 자세히 알아보려면 2021년 사이버 보안 보고서 전문을 확인하세요. 조직의 보안을 위험에 빠뜨리는 문제를 식별하기 위해 보안 진단을 요청할 수도 있습니다.