시스코, '2014년 중기 보안 보고서' 발표

이상우 lswoo@itdonga.com

시스코가 정보보호 컨퍼런스 '블랙햇 2014'에서 '시스코 2014 중기 보안 보고서'를 발표했다. 해당 보고서에 따르면 오래된 소프트웨어, 코드 오류, 방치된 디지털 속성, 사용자 실수 등을 이용해, 공격자가 DNS 쿼리, 랜섬웨어, 암호화 프로토콜 침투, 스팸 등의 공격을 펼칠 수 있다.

또한 보고서는 기업이 대중적 관심이 높은 취약점에만 초점을 맞추는 현황이 더 큰 위험을 초래할 수 있다고 설명했다. 즉, 공격자가 별다른 주목을 받지 않는 레거시 애플리케이션이나 인프라 내 취약점을 이용해 보안 탐지를 벗어날 수 있다는 의미다.

이번 조사는 2013년 기준 매출 3,000억 달러, 자산 4조 달러 이상 글로벌 기업 16개를 대상으로 실시했다. 보고서는 다음과 같은 세 가지 주요 보안 시사점을 내비쳤다.

MiTB(Man-in-the-Browser) 공격: 2014년 조사 결과 고객 네트워크에서 멀웨어 호스팅 웹사이트로 향하는 트래픽이 약 94%로 나타났다. 특히 IP 주소에 대해 호스트네임을 문의하는 DNS 요청은 MiTB 기능을 포함한 팔레보(Palevo), 스파이아이(SpyEye), 제우스(Zeus) 등의 멀웨어 배포와 관련됐다.

봇넷: 네트워크의 약 70%가 동적DNS(DDNS) 도메인에 대한 DNS 요청을 하는 것으로 나타났다. 이는 DDNS를 이용해 IP 주소를 바꿔, 보안 탐지와 블랙리스트를 피하는 '봇넷'에 네트워크가 악용됐거나 감염됐다는 의미다. 동적DNS 도메인을 요청하는 경우는 봇넷의 위치를 위장하려는 시도로 볼 수 있다.

유출 데이터 암호화: 2014년 조사한 고객 네트워크의 약 44%는 암호화된 채널 서비스를 제공하는 기기를 통해 사이트와 도메인에 대한 DNS 요청을 하는 것으로 드러났다. 공격자는 VPN, SSH, SFTP, FTP, FTPS 등에서 탐지되는 것을 회피하기 위해서 암호화한 채널을 사용해 데이터를 탈취하고, 추적을 은폐한다.

이 밖에도 보고서에 따르면 지난 해 '블랙홀(Blackhole)'을 통한 공격은 개발자 체포 이후 87% 감소했다. 자바는 취약점이 가장 많은 프로그래밍 언어라는 불명예를 벗어나지 못하고 있다. 시스코 조사에 따르면 2014년 5월 기준 자바 취약점은 전체 보안침해지표(IOC)의 93%를 차지했다.

이번 보고서 전문 및 자세한 정보는 시스코 홈페이지에서 확인할 수 있다.

글 / IT동아 이상우(lswoo@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.