- ‘애플리케이션 위협실태 보고서(AUTR)’, 관련 보안대책 필요성 지적

[디지털데일리 이유지기자] ‘서비스로서의 소프트웨어(SaaS)’ 사용이 늘어남에 따라 보안위협이 증가하고 있는 것으로 나타났다. SaaS 애플리케이션을 활용해 중요한 데이터에 대한 승인되지 않은 접근이 빈번해지고 있어 보안대책이 필요하다는 지적이 제기됐다.

팔로알토네트웍스코리아(지사장 최원식)는 5일 전세계 네트워크상에서 사용되는 업무용 애플리케이션의 사이버 보안 위협 노출 현황을 분석한 ‘2015 애플리케이션 사용 및 위협 실태 보고서(AUTR)’를 발표했다.

이 보고서에 따르면, 드롭박스, 아웃룩 웹 온라인, 네이버 N드라이브, 네이버 메일, 다음 메일 등 기업 네트워크 내부에서 운영되는 SaaS 기반 애플리케이션은 316개에 달한다. 이는 지난 2012년 대비 올해 46% 증가한 수치다. 2012년부터 사용해온 SaaS 애플리케이션은 2013년 기준 218개이며, 2014년에는 259개로 집계돼 전년 대비 올해 22% 증가했다.

이러한 최근 추이에 따라 보안 기업들이 이메일, 실행 파일 등 장기간 영향력을 발휘하는 위협 공격 경로와 방법(공격 벡터, attack vector)에 대한 통찰뿐만 아니라, 원격 접근 애플리케이션 등의 고위험 카테고리상의 애플리케이션 사용 트렌드까지 완벽하게 파악해야 하는 상황에 직면했다는 분석이다.

이에 따라 팔로알토네트웍스는 SaaS 애플리케이션의 확산으로 인해 보안 팀에서 ‘쉐도우 IT (shadow IT)’의 위험성을 인식하고 경계해야 한다는 점을 강조했다. 기업 망 내에서 SaaS 혹은 IT 팀에서 승인하지 않은 애플리케이션을 사용하는 경우 쉐도우 IT가 발생하며, 이는 잠재적인 보안 위협으로 작용한다.

한편, 팔로알토네트웍스 AUTR 보고서는 전세계 7000여 기업에서 수집된 데이터를 바탕으로 작성됐다. 실제 기업 환경에서의 애플리케이션 사용 사례와 사이버 공격을 시도하는 과정을 분석한 내용과 더불어 이를 예방하기 위한 조언이 담겨 있다.

지난 2008년 이후 12번째 발간한 이번 보고서에는 팔로알토네트웍스의 차세대 지능헝지속위협(APT) 대응 솔루션인 와일드파이어(WildFire)와 사이버 위협 선제 방어를 위한 보안 인텔리전스 서비스인 오토포커스(AutoFocus)에서 수집된 65페타바이트(PB)의 데이터를 분석한 내용이 담겨있다.

와일드파이어(WildFire)를 통해 검사된 이메일 가운데 40% 이상은 악의적인 활동을 목적으로 하는 파일이 첨부돼 있는 것으로 확인됐다. 또 실행가능 파일 절반 이상이 악성코드를 담고 있는 것으로 나타났다.

팔로알토네트웍스는 이메일 첨부파일을 통해 공격을 시도하는 건이 늘어남에 따라, 최종 사용자의 실수로 악성 이메일 첨부 파일이 활성화 되더라도 자동으로 실행을 중단시킬 수 있는 보안 조치를 확보해야 한다고 제시했다.

아울러 전세계적으로 79개의 원격 접근 애플리케이션(Remote Access Application)이 사용되고 있으며, 사이버 공격의 경로로 활용되고 있는 상황이다.

악성코드가 전달되는 주요 통로는 이메일(SMTP 78.291%, PoP3 2.895%)과 웹브라우징(18.201%)이 대부분이다.

1990년대 창궐해 큰 피해를 입혔던 매크로 기반 악성코드가 부활, 최근 가장 널리 배포되는 악성코드 유형으로 급부상하고 있다. 관련 악성코드로 가장 빈번하게 확인되는 두 가지 악성코드는 다이어(Dyre)와 드라이덱스(Dridex)로, 와일드파이어의 감시망을 거친 전체 세션의 10.2%가 이들 악성코드와 관련된 활동으로 집계됐다.

더욱이 사회적 이슈와 관련된 뉴스 제목이 사이버 위협에 빈번하게 사용되고 있는 상태다. 재해 및 유명인사의 사망과 같은 사회적 이슈와 관련된 뉴스 속보가 발표된 후 관련 메시지가 피싱 및 스팸, 웹 공격에 사용되기까지 평균 6시간이 걸린 것으로 조사됐다. 대다수의 해커들이 자동 공격 툴을 사용해 단 몇 시간 이내에 밝혀지지 않았던 새로운 취약점을 찾아내고 있기 때문에 새로운 보안 위협의 출현 속도가 더욱 빨라지고 있다.

이러한 공격을 막아내기 위해서는 지능형 위협 방어 시스템을 구축해 폭 넓은 가시성을 확보하는 한편 알려져 있거나 알려지지 않은 위협에 대비해야 한다고 회사측은 권고했다.

한편, 3대 사이버범죄조직(해킹그룹)인 카바낙 (Carbanak, 러시아), 샌드웜(Sandworm, 러시아), 쉘 크루(Shell Crew, 중국)의 프로파일이 공개되면서 이들이 유럽과 북아메리카 등지를 중심으로 정부기관 및 주요 기업들을 대상으로 사이버 범죄 행위를 시도하고 있다는 것이 최근 밝혀졌다.

최원식 팔로알토네트웍스코리아 대표는 “AUTR 보고서를 활용해 고객이 안전한 보안 환경을 구축할 수 있도록 위협 분석 데이터를 시각화하고, 지능형 정책 관리를 지원하고 있다”며 “최근 SaaS 기반 애플리케이션을 사용해 업무를 처리하거나 원격접속 프로그램으로 핵심 문서들을 사용하는 상황이 빈번해지면서, 기업의 정보보안을 위한 보안관리 정책 수립과 운영이 필요한 시점이다”고 강조했다.

<이유지 기자>yjlee@ddaily.co.kr