"HTTPS 통신하는 악성SW 비중 3배 이상 늘어"

시스코 "암호화 트래픽, 방어 어렵게 해"…2018 연례 사이버보안 보고서

컴퓨팅입력 :2018/02/27 10:24

보안 강화를 위해 고안된 HTTPS 암호화 통신이 오히려 보안을 위협하고 있다는 지적이 나왔다. 정상 트래픽과 함께 공격자의 악의적 트래픽이 암호화돼 이를 방어하는 쪽의 위협 식별과 감시를 어렵게 만들고 있다는 진단이다.

시스코코리아(대표 조범구)는 지난 26일 이같은 진단을 담은 11번째 연례 사이버 보안 보고서를 공개했다. 보고서는 시스코가 분석한 세계 주요 사이버보안 동향과 이슈 현황을 담고 있다.

보고서에 따르면 맬웨어 공격은 더 정교해지고 있다. 공격자들은 클라우드서비스를 무기로 사용하고, 명령 및 제어 활동을 숨기기 위해 암호화를 이용해 탐지를 피하고 있다. 보안 전문가들은 공격에 대응하기 위해 인공지능(AI), 머신러닝 기술에 투자하고 이를 활용할 전망이다.

시스코 2018 연례 사이버 보안 보고서 이미지. 웹암호화통신 HTTPS 트래픽이 전체 인터넷 트래픽 50%에 달할 만큼 늘었다.

시스코는 보고서를 통해 웹트래픽을 암호화하는 HTTPS 보안의 역설을 지적했다. 이런 얘기다. 웹트래픽 암호화는 보안 강화를 위해 고안된 기술이다. 전체 웹 트래픽 중 암호화된 웹 트래픽은 2017년 10월 기준 절반(50%)에 달한다. 이 비중은 계속 늘 전망이다. 그런데 암호화된 트래픽은 정상적이든 악의적이든, 잠재적 위협을 식별하고 감시해야 하는 방어 시나리오를 어렵게 만들고 있다. 시스코 위협연구자들은 지난 12개월간 발견된 악성 소프트웨어(SW) 샘플이 암호화 네트워크통신을 사용하는 비중이 3배 이상 늘었다고 설명했다.

머신러닝 기술은 네트워크 보안을 강화하는 데 쓰일 전망이다. 이 기술은 시간이 지나면서 암호화된 웹트래픽, 클라우드, 사물인터넷(IoT) 환경 내에서 비정상적 패턴을 자동 감지하는 방법을 학습한다. 시스코 2018 보안역량 벤치마크 조사에 담긴 보안 전문가 3천600명 대상 설문조사 결과, 응답자 중 일부는 머신러닝 및 AI를 적극 사용하려 하지만, 시스템의 오탐(false positive)에 불만이 있다고 답했다. 시스코는 이 기술이 초기 단계에 있는 만큼, 네트워크 환경 내에서 ‘정상’ 활동을 학습하면서 지속 발전할 것이라 내다봤다.

시스코 2018 연례 사이버 보안 보고서 이미지. 웹암호화통신 HTTPS 트래픽이 증가하면서 정상 트래픽에 섞여 공격을 수행하는 악성 트래픽이 위협방어를 어렵게 만들고 있다고 시스코는 지적했다.

■ "공급망 공격 속도-복잡성 증가, 보안 복잡성 증가-침해범위 확대"…2018 사이버공격 동향

보고서에 포함된 시스코 조사 결과에 따르면 전체 공격 과반이 끼친 재정적 피해는 50만달러에 달했다. 이는 매출, 고객, 기회, 직접 비용 손실 등을 포함한다. 시스코는 공격 사례에서 SW공급망 공격 속도와 복잡성 증가, 보안 복잡성 증가와 침해 범위 확대, 2가지 경향을 봤다.

SW공급망 공격은 짧게는 수개월, 길게는 수년 간 지속된다. 방어자는 SW 및 관련 하드웨어 사용시 이를 제공하는 조직이 얼마나 책임 있게 보안을 준비하고 대처하느냐에 따라 발생할 수 있는 잠재적 위험을 인지해야 한다. 지난해 발생한 낫페트야(Nyetya 또는 NotPetya) 및 씨클리너(Ccleaner) 공격은 신뢰가능한 SW를 공격해 사용자를 감염시킨 사례였다. 방어자는 이 위험을 줄이기 위해 보안기술에 서드파티 효능 테스트를 검토해야 한다.

방어자는 여러 공급 업체의 복잡하게 구성된 제품 조합으로 침해방지체계를 구현한다. 이는 손실 위험을 증가시키는 등 기업 방어 역량에 부정적인 영향을 미친다. 2017년 보안 전문가의 25%가 11~20개 벤더 제품을 이용하고 있다고 응답했다. 2016년 같은 응답 비중은 18%였다. 2017년 보안 전문가들은 보안 침해의 32%가 자사 시스템 절반 이상에 영향을 미쳤다고 응답했다. 2016년 같은 응답 비중은 15%였다.

■ 보안 범주에 클라우드 환경도 고려해야

보안 관련 환경에서 클라우드 사용 증가 추세를 주요 변수로 고려할 필요가 생겼다. 보안전문가 27%는 오프 프레미스 프라이빗 클라우드를 사용하고 있다고 답했다. 2016년 같은 응답 비중은 20%였다. 응답자 57%가 더 나은 데이터 보안, 48%가 확장성, 46%가 사용 편의성을 이유로 클라우드상에서 네트워크 호스팅을 이용한다고 답했다. 시스코는 공격자가 클라우드 환경에서 보안 부서가 어려움을 겪는 점을 이용한다고 지적했다. 클라우드 보안 플랫폼에 머신러닝과 선도사례를 조합한 1차방어도구가 클라우드보호에 도움이 된다고 조언했다.

시스코 2018 연례 사이버 보안 보고서 이미지. 더 많은 조직이 프라이빗클라우드를 활용하면서 클라우드가 보안 환경의 주요 변수로 떠올랐다.

시스코가 2016년 11월부터 2017년 10월까지 파악한 위협탐지시간(TTD) 중앙값은 약 4.6시간이다. 2015년 11월부터 2016년 10월까지 기간중 파악한 결과를 담은 2017 연례 사이버 보안 보고서의 14시간보다 짧아졌다. 시스코는 클라우드기반 보안을 통해 TTD 중앙값을 짧게 유지하며, 방어자들이 짧은 TTD로 더 신속히 보안침해를 해결할 수 있다고 주장했다.

보고서에서 보안전문가 92%는 행동분석툴이 네트워크상의 공격자 위치파악에 효과가 있다고 답했다. 헬스케어와 금융서비스 분야에서 특히 효과적이라고 봤다.

관련기사

시스코는 보안담당자에게 5가지를 권고했다. 애플리케이션, 시스템, 어플라이언스 패치 정책과 관례를 따르고 있는지 확인할 것. 적시에 정확한 위협인텔리전스 데이터와 프로세스에 접근해 해당 데이터를 보안 모니터링에 쓸 것. 심층 고급 분석을 수행할 것. 네트워크 기반 랜섬웨어 웜과 치명적 사이버위협에 대비해 데이터를 자주 백업하고 주요 복원절차 및 프로세스를 테스트할 것. 마이크로서비스, 클라우드서비스, 애플리케이션관리시스템 보안 검사를 실시할 것.

시스코 존 스튜어트(John N. Stewart) 부사장은 "작년 한 해 동안 맬웨어의 진화 양상을 보면 공격자들이 지속적으로 학습하고 있다는 것을 알 수 있다"며 "이에 따라 기업은 리더십, 비즈니스 주도성, 기술 투자, 보안 효율성 측면에서 기준을 높여야 한다"고 조언했다.