시스코 2014 중기 보안 보고서 "체계적 보안으로 취약한 링크 잡아라"

시스코, ‘2014년 중기 보안 보고서’ 발표

 

시스코가 기업 내 ‘취약한 링크(weak links)’로 인해
IT 보안이 한층 더 쉽게 보안 위협에 노출되고 있다는 점을 밝혔습니다.

이는 최근 열린 정보보호 콘퍼런스 ‘블랙햇 2014(Black Hat USA 2014)’에서 발표한
‘시스코 2014 중기 보안 보고서(Cisco 2014 Midyear Security Report)’의 내용인데요.

 

보고서에 따르면,  오래된 소프트웨어, 코드 오류, 방치된 디지털 속성 및
사용자 실수로 생겨나는 이 취약한 링크는 공격자들이 DNS 쿼리, 취약점 공격 키트,
증폭 공격, POS 시스템 침해, 악성광고, 랜섬웨어, 암호화 프로토콜 침투,
소셜 엔지니어링, 스팸 등을 통해 보안 침해를 할 수 있는 빌미를 제공하고 있습니다.

 

또한 보고서는 기업이 대중적 관심이 높은 취약점에만 초점을 맞추고

보다 은밀하면서도 영향력이 큰 위협을 간과할 경우

더 큰 위험에 처할 수 있다는 점을 짚고 있습니다.

즉, 기업들이 하트블리드(Heartbleed)와 같은 대담한 공격에만 집중할 때

오히려 공격자들은 별다른 주목을 받지 않는 레거시 애플리케이션이나

인프라 내 잘 알려진 취약점을 이용해 보안 탐지를 벗어날 수 있다는 것이지요.

 

이번 발표와 관련해 시스코의 존 N. 스튜어트 수석부사장 겸 최고 보안 책임자는

“많은 기업들이 인터넷을 활용해 미래를 혁신하고 있는 오늘날,

급변하는 IT 환경에서 사이버 위험을 인지하고 관리하는 일은 비즈니스 관점에서 꼭 필요하다”며

“각 조직과 기업들은 사이버 보안이 기술만이 아닌 비즈니스 전반에 걸친 문제라는 점을 인식해

보안 네트워크 내 존재하는 취약점을 분석하고 이해하는데 힘써야 한다.

이에 기업은 특정 시점뿐 아니라 전반적인 공격 주기에 맞춰 보안 위협을 확인, 차단하고

사전 방어(Before), 실시간 조치(During), 사후 대응(After)을 체계적으로 진행할 수 있는

보안 솔루션을 운영해야 한다”고 조언했습니다.

 

특히 이번 보고서에서는 다음과 같은 세 가지 주요 보안 시사점이 도출되었는데요.

아래에서 함께 살펴보시겠습니다.

 

 

- MiTB(Man-in-the-Browser) 공격

 

2014년 조사 결과, 고객 네트워크 가운데 약 94%에서

멀웨어를 호스팅하는 웹사이트로 향하는 트래픽이 발견됐습니다.

특히 IP 주소에 대해 호스트네임을 문의하는 DNS 요청은

MiTB 기능을 포함한 팔레보(Palevo), 스파이아이(SpyEye),

제우스(Zeus) 멀웨어의 배포와 관련됐다고 합니다.

 

 

- 봇넷

 

네트워크의 약 70%가 동적 DNS(DDNS) 도메인에 대한 DNS 요청을 하는 것으로

드러났습니다. 이는 DDNS를 이용해 IP 주소를 바꿔 보안 탐지와 블랙리스트를 피하는 봇넷에

네트워크가 악용되거나 감염됐다는 증거입니다. 기업이 적법하게 진행하는 아웃바운드 연결 시도 가운데,

봇넷의 위치를 위장하려는 아웃바운드 C&C(Command & Control) 콜백을 제외하고는

동적 DNS 도메인을 요청하는 경우는 거의 없기 때문입니다.

 

 

- 유출 데이터 암호화

 

2014년 조사한 고객 네트워크의 약 44%는 암호화된 채널 서비스를 제공하는 기기를 통해

사이트와 도메인에 대한 DNS 요청을 하고 있는 것으로 조사됐습니다.

악의적인 사용자들은 VPN, SSH, SFTP, FTP, FTPS 등에서 탐지되는 것을 회피하고자

암호화된 채널을 사용해 데이터를 탈취하고 추적을 은폐하고 있습니다.

 

 

 

 

이 외에도 보고서에서는 취약점 공격 키트 증감 추이와

자바 보안 관련 내용, 또 특정 산업 내 악성코드 경향 등에 관해서도 담고 있는데요.

 

보다 자세한 내용은 여기에서 확인 가능하시며,

보고서 전문은 여기에서 보실 수 있습니다. ^^

 

또한 이번 보고서에 대한 추가적인 인사이트는

아래 영상에서 존 스튜어트 CSO의 설명을 통해서도 접할 수 있으니

많은 참고 부탁 드립니다~~