인터넷 세계에서 악성코드의 주요 유포수단인 스팸메일을 비롯해 보안 위협이 더욱 커지고 있다. 스팸메일 차단기술이 발전하고 있지만, 그에 못지 않게 스팸메일 발송 규모가 늘고 방법도 고도화됐다는 진단이다.
시스코시스템즈는 이달초 공개한 '2017 연례 사이버보안 보고서'를 통해 기업들이 받은 이메일 세 건 중 두 건(65%)이 스팸메일이고, 지난해 스팸메일 열개 중 하나(8~10%)는 악성메일이라는 분석을 제시했다. 이어 사이버침해에 따른 피해 양상을 구체화하기 위해 세계 기업 및 조직내 보안 책임자들을 상대로 진행한 설문조사 결과를 제시했다.
■"스팸메일 8~10%가 악성으로 분류돼"
시스코 측은 보고서를 통해 세계적으로 스팸규모가 증가 추세라고 첨언했다. 네커스(Necurs) 봇넷같은 스팸 발송 수단이 대규모로 확산된 상황이 그 주된 배경이라고 진단했다.
시스코는 자체 파악한 스팸발송 IP주소 차단목록 정보를 바탕으로, 2015년 12월과 2016년 10월, 두 시기의 세계 각지 스팸 발생량을 대조했다. 미국, 멕시코, 브라질, 독일, 프랑스, 러시아, 인도, 베트남, 일본 등 중국을 제외한 모든 지역에서 차단 IP주소 목록이 일제히 증가한 것으로 나타났다.
시스코는 또 전체 이메일 송수신량에서 거의 3분의 2에 해당하는 65%가 스팸이었다고 지적했다. 이는 2010년 이후 비중으로 최고 수준이었다. 또 지난해 관측된 스팸메일 가운데 악성(malicious)으로 분류된 비중이 8~10%를 차지했다고 설명했다.
시스코는 악성 첨부파일을 포함한 스팸메일 비중이 늘고 있으며, 공격자가 첨부 파일 종류를 다양하게 실험하면서 사이버침해 성공률을 높이려 한다고 봤다. 보고서가 경고한 위협은 스팸메일에 그치지 않았다. 공격자는 검증된 기법을 지속 이용하면서 새로운 방법도 활용하는 모습을 보였다.
사용자 허가 없이 광고를 내려받는 애드웨어 역시 기업 4곳 중 3곳(75%)를 감염시킬만큼 효과적인 공격 수단으로 파악됐다. 더불어 악성광고(malvertising) 공격도 주의 대상으로 꼽혔다. 이를 통해 공격자는 브라우저 사용자를 랜섬웨어나 다른 악성 소프트웨어 공격에 노출시킬 수 있는 것으로 분석됐다.
■"공격 기회·침입 피해 줄이려면 TTD 단축해야"
시스코는 기업들이 이런 스팸메일 형태의 악성메일 기반 사이버침해 시도 등 공격에 맞서 '보안 실행 효과'를 측정해야 한다고 강조했다. 조직이 사이버침해 시점에서 탐지까지 걸리는 시간을 가리키는 위협탐지시간(TTD)을 단축하는 게 공격당할 여지와 침입 피해를 줄이는 데 중요하다는 주장이었다.
앞서 시스코 연구원들은 자사 보안제품의 원격측정 데이터를 통해 조직의 TTD를 추적해 왔다. 시스코가 추적한 TTD는 전반적으로 감소 추세다. 다만 제시된 월별 TTD 중앙값을 기록한 그래프를 보면 다소 들쭉날쭉한 양상을 띤다.
2015년 11월 TTD중앙값은 39.2시간, 2016년 1월에는 6.9시간을 기록했다. 이후 18.2시간(3월), 8.5시간(4월), 15.2시간(5월), 8.6시간(6월), 6.5시간(8월), 8.1시간(9월), 6.1시간(10월)을 기록했다. 그래프에 2015년 12월, 2016년 2월과 7월 측정치는 빠졌다.
공격자들이 새로운 유형의 사이버위협을 시도할 때마다 해당월의 TTD 중앙값이 되튀곤 했다. 시스코 측이 제시한 TTD 그래프가 들쭉날쭉한 이유다. 다만 튀어오른 TTD 중앙값도 꾸준히 줄어드는 점은 새로운 위협을 탐지하는 시간 역시 줄고 있음을 시사한다고 볼 수 있다.
시스코 연구원들은 2015년 11월부터 2016년 10월까지 월별 TTD 중앙값 평균을 14시간 수준으로 파악했다.
■"사이버침해 당한 기업 10곳 중 3곳이 매출 손실"
시스코의 연례 보고서는 세계 13개국 기업과 조직의 최고보안책임자(CSO) 및 보안운영부서담당자(SecOps manager) 약 2천900명을 상대로 설문을 진행한 '보안기능벤치마크조사' 결과도 담고 있다.
시스코가 보안기능벤치마크조사 응답을 분석한 결과 지난해 사이버침해를 겪은 기업 29%가 매출 손실을 봤고, 23%는 신사업 기회를 잃었고, 22%는 고객을 잃은 걸로 나타났다. 매출 손실을 겪은 기업 중 하락폭이 20% 이상인 사례가 38%에 달했다. 신사업 기회를 잃은 기업 중 기회 손실률이 20% 이상인 사례가 42%에 달했다. 고객 손실을 겪은 기업 중 이탈률이 20% 이상인 사례가 40%에 달했다.
시스코 측은 보안 침해를 당한 기업 절반(49%) 가량이 공개적인 조사(public scrutiny)를 받았고 브랜드 평판과 고객유지 차원에서도 피해를 입었다고 진단했다. 침해를 당한 기업 중 90%는 IT와 보안 기능 분리(38%), 직원 대상의 보안 인식 교육 확대(37%), 리스크 완화 기법 실행(37%) 등을 통해 위협 방어 기술과 프로세스를 개선했다.
관련기사
- "특기 살릴까, 보폭 넓힐까"…보안업계 올해 전략은2017.02.21
- "사이버위협, 웨어러블부터 클라우드까지"2017.02.21
- 시스코 보안, 어떻게 강해졌나2017.02.21
- 시스코식 보안 해법...'더 정밀하게 들여다보기'2017.02.21
설문에 응답한 CSO는 기업 보안강화 최대 걸림돌로 한정된 예산, 시스템 호환성, 부족한 전문인력을 꼽았다. 보안 운영 책임자들은 기업 3곳 중 2곳(65%) 꼴로 6~50종의 보안 제품을 사용한다고 답했다. 이는 보안 운영 부서 환경이 점차 복잡해지는 것으로 해석됐다. 사용하는 보안제품은 많지만 정작 보안 효과가 떨어지는 현상도 느는 걸로 파악됐다.
조범구 시스코코리아 대표는 "사이버보안은 기업이 집중해야 할 가장 중요한 부분"이라며 "시스코는 TTD 단축, 위협방어 자동화 및 통합 기능으로 기업의 재무와 운영 위험을 최소화하고 비즈니스 성장을 돕고 있다"고 말했다.