2015년의 웹은 적절한 계층적 보안을 갖추지 못해 믿기 힘들 만큼 위협적인 환경이었습니다. 이러한 상황은 2016년에도 계속될 것입니다.
시만텍은 고객을 보호하기 위해 다양한 제품을 포함한 통합적인 보안을 제공합니다. 여기에 웹 기반 보안 위협을 올바르게 처리하기 위해 시만텍의 침입 차단 시스템(IPS)이 계층적 보안 솔루션의 핵심 요소로 추가됩니다. IPS는 안티바이러스만으로는 불가능한 방식으로 시스템과 주변의 모든 사항을 보호할 수 있습니다. IPS는 네트워크 트래픽을 검사하여 알려진 익스플로잇과 공격 벡터를 사용하는 보안 위협을 탐지합니다. 이때 특정 파일을 찾아내기보다 네트워크에 악성 파일을 유입시키는 특정 방법을 탐지하므로 이미 알려졌거나 아직 알려지지 않은 보안 위협을 안티바이러스 시그니처가 개발되기도 전에 차단하여 사용자를 보호할 수 있습니다.
IPS는 취약점, 제로데이 익스플로잇, 익스플로잇 킷(EK), 소셜 네트워크 보안 위협, 명령 및 제어(C&C) 활동(백도어 및 봇넷), 온라인 사기, 악성 광고, 피싱 등 다양한 보안 문제로부터 보호합니다. 이번 블로그에서는 IPS 기술의 효과를 조명하기 위해 2015년에 시만텍 IPS가 고객을 어떻게 보호했는지 알아보겠습니다.
익스플로잇 킷
잘 알지 못하는 약점을 방어하는 것은 쉽지 않습니다. 이런 이유로 지능적인 공격자는 은밀하게 피해자의 시스템에 침투하기 위해 계속해서 제로데이 취약점을 노립니다. 공격자는 소프트웨어 벤더가 패치를 개발하여 배포하기 전에 목표를 이루고자 발 빠르게 제로데이 취약점을 공략합니다. 실제로 지난 1년 동안 공격자의 대응 속도가 더욱 빨라진 것을 확인할 수 있습니다. 지난해 이탈리아에 거점을 둔 사이버 무기 공급업체인 Hacking Team에서 데이터 유출 사고가 발생했습니다. 지금까지 알려지지 않았던 해킹 관련 익스플로잇 정보가 공격자들에 의해 유포되었고 익스플로잇 킷 개발자들은 불과 몇 시간 만에 해당 정보를 본인의 킷에 통합시켰습니다.
2015년에는 Angler EK가 이 분야의 대표 주자였고 지난해를 통틀어 가장 활발하게 사용된 EK이기도 했습니다. 시만텍 IPS는 이 킷을 사용한 공격을 매일 수십만 번이나 차단했습니다. Angler 기반 공격의 총 차단 횟수는 1,950만 회를 넘어섰습니다. Angler가 선호하는 전달 메커니즘은 악성 광고였는데 주로 Adobe Flash 익스플로잇을 이용했습니다.
시만텍이 2015년에 EK 공격을 막아낸 횟수는 약 3억 회에 달합니다. 월 평균 약 2,500만 회인 셈입니다. 이 통계만으로도 EK가 인터넷에 얼마나 광범위하게 퍼져 있는지 알 수 있습니다. 2015년에는 Angler가 다른 EK보다 두드러진 활동을 펼쳤는데, IPS에서 약 2,000만 번의 익스플로잇 시도를 차단했습니다.
그림 1. 2015년에 IPS가 차단한 익스플로잇 킷 공격 횟수
2015년에 Angler가 선호한 표적은 Windows 7이었습니다. 실제로 차단된 전체 공격 중 64%가 이 운영 체제를 노린 것이었고 Windows 8.1(24%)과 Windows Vista(5%)가 그 뒤를 이었습니다. 다행히 Angler EK 개발자가 아직 Mac에는 관심을 갖고 있지 않지만 사이버 범죄자들이 Apple 에코시스템에 주목하기 시작한 만큼 앞으로 상황이 달라질 수 있습니다.
그림 2. 2015년에 Angler 익스플로잇 킷에서 가장 많이 노린 운영 체제
2015년에 EK의 최다 표적이 된 국가는 미국으로 전체 공격의 45%를 차지했습니다.
그림 3. 2015년에 익스플로잇 킷 공격을 가장 많이 받은 10개국
수치를 볼 때 잊지 말아야 할 점은 이러한 수치가 실제로 차단된 공격을 나타낸다는 것입니다. 즉 IPS는 IPS가 없었다면 성공했을 수 있는 사이버 공격으로부터 수백만 명의 사용자를 안전하게 지키고 있습니다.
기술 지원 스캠
2015년에는 기술 지원 스캠이 증가했는데, 전년 대비 200% 늘어났습니다. 시만텍의 IPS는 2015년에 그러한 스캠 수십만 건을 차단했습니다. 이러한 스캠은 하반기에 크게 증가했는데, 이 추세가 당분간 계속될 것으로 보입니다. 시만텍은 지난해 총 1억 건 이상의 기술 지원 스캠을 차단했습니다.
그림 4. 2015년에 IPS가 차단한 기술 지원 스캠 수
기술 지원 스캠이 가장 많이 발생한 국가는 미국, 영국, 프랑스, 호주, 독일이었습니다.
취약점에 대한 익스플로잇 공격 시도
시만텍 IPS는 2015년에 EK에 의한 취약점 익스플로잇 시도 외에도 운영 체제 및 애플리케이션 취약점을 노리는 공격 시도를 수없이 차단했습니다. 실제로 시만텍 IPS가 그러한 익스플로잇 시도를 차단한 횟수는 총 2억 4천만 회가 넘습니다.
그림 5에서는 2015년에 공격자의 주 표적이 된 5대 운영 체제를 확인할 수 있습니다. Windows XP가 여전히 큰 차이로 선두를 지켰는데, IPS가 차단한 공격 중에서 출시된 지 15년 된 이 OS에 대한 공격이 71%를 차지했습니다. Microsoft가 XP에 대한 지원을 종료했음에도 불구하고 많은 사용자가 업그레이드를 주저하는 것으로 보이며 공격자는 이러한 상황을 잘 알고 이용하고 있습니다.
그림 5. 2015년에 OS 또는 애플리케이션 익스플로잇 공격을 가장 많이 받은 운영 체제
악성 코드(감염 후)
시스템에 침투하여 악성 활동을 전개하려 했던 보안 위협도 시만텍 IPS에 의해 차단되었습니다. 시만텍은 악성 코드를 통해 C&C 활동을 수행하거나 다운로더 역할을 담당하거나 사용자 시스템에서 그 밖의 악성 활동을 시도한 횟수를 7억 회 이상 차단했습니다.
그림 6. 2015년에 IPS가 차단한 악성 코드 활동
공격받은 시스템 중 대다수는 Windows OS였는데, 공격 표적을 더 자세히 분석한 바에 따르면 2015년에 가장 많이 감염된 OS는 Windows 7(66%)이었습니다. 이는 악성 코드에 감염된 사용자 대부분이 일반 가정 사용자임을 의미합니다.
그림 7. 2015년에 악성 코드 공격을 가장 많이 받은 Windows 운영 체제
결론
이번 블로그에서 소개한 통계는 IPS의 중요성을 확실하게 입증합니다. 따라서 IPS를 귀하의 시스템을 노리는 보안 위협을 차단할 1차 방어선으로 삼아야 할 것입니다. 그러나 공격자도 풍부한 자원을 갖고 있는 만큼 IPS는 계층적 보안 솔루션의 일부가 되어야 합니다. 현재 보안 위협 환경에 도사리고 있는 온갖 위협으로부터 사용자를 보호하려면 안티바이러스, 방화벽, 안티스팸, IPS를 포함하는 다중 보안 장치를 마련해야 합니다.
노턴 시큐리티, Symantec Endpoint Protection, 그 밖의 다양한 시만텍 보안 제품은 네트워크 기반 보호(방화벽 및 IPS)를 비롯하여 다양한 기능을 기본 제공합니다. 이러한 보안 기능을 끄지 말고 최대한 종합적으로 활용하시기 바랍니다.
IPS의 효과를 입증하는 정보가 더 필요하십니까? 이 동영상에서 Kevin Haley 시만텍 보안 기술 연구소 책임자가 설명하는 IPS를 사용해야 하는 이유를 확인하십시오. 새해에는 시스템의 안전을 보호하기 위한 올바른 결정을 내리시기 바랍니다. 바로 IPS를 사용하는 것입니다!