아카마이, “사이버 위협과의 전쟁에서 정보 공유 중요”

- 아카마이 인터넷 보안 현황: 캐리어 인사이트 보고서 발표
- DNS 쿼리 포함 사이버 데이터에 대한 계층 분석으로 디도스(DDoS), 멀웨어, 봇넷 공격에 대한 더욱 강력한 방어 구현

Cambridge, MA |

전세계 최대 클라우드 플랫폼 기반의 서비스를 제공하는 아카마이코리아(대표 손부한, www.akamai.co.kr)가 ‘인터넷 보안 현황: 캐리어 인사이트 보고서(State of the Internet / Security: Carrier Insights Report for Spring 2018)’를 26일 발표했다. 아카마이는 2017년 9월부터 2018년 2월까지 전 세계 통신 서비스 사업자(Communication Service Provider, CSP) 네트워크에서 수집한 14조 개 이상의 쿼리를 분석했다. 이를 통해 정보 공유가 사이버 위협을 막기 위한 중요한 요소라는 결과를 내놨다.

아카마이가 2017년 인수한 노미넘(Nominum)은 지난 19년 동안 심층적인 DNS 데이터를 활용해 디도스, 랜섬웨어, 트로이목마, 봇넷과 같은 정교한 사이버 공격에 대한 전반적인 방어 역량을 개선시켜 왔다. 아카마이 캐리어 인사이트 보고서는 노미넘의 전문성을 기반으로 작성됐고 DNS 보안을 다른 보안 계층의 데이터와 통합했을 때 효과적임을 분명히 보여준다. 이런 보안 접근방식은 기업의 데이터를 보호하기 위해 다수의 보안 솔루션을 적용한다.

유리 유지포비치(Yuriy Yuzifovich) 아카마이 위협 인텔리전스의 데이터 과학 담당 디렉터는 “개별 시스템에 대한 공격만 부분적으로 이해하는 것으로는 오늘날의 복잡한 위협 환경에 대비하기에 부족하다. 여러 팀, 시스템, 데이터 세트에서 지식을 확보할 때 다양한 플랫폼과 커뮤니케이션하는 것이 중요하다. 아카마이 플랫폼에서 발생하는 DNS 쿼리는 위협 환경을 종합적으로 들여다 보기 위해 필요한 데이터를 보안팀에 제공하는 전략적 역할을 할 것”이라고 밝혔다.

협력적 대응으로 미라이(Mirai) 봇넷 방어

미라이 명령 및 제어(C&C·Command and Control) 도메인을 발견하고 공격을 보다 종합적으로 탐지하는 과정에서 아카마이 팀 간 협력은 중요한 역할을 했다. 아카마이 보안 인텔리전스 대응팀(SIRT)은 미라이 발생 초기 단계부터 미라이를 추적해 왔고 허니팟(honeypot)을 이용해 미라이 통신과 C&C 서버를 탐지했다.

아카마이 SIRT와 노미넘은 2018년 1월 말 미라이 C&C로 의심되는 500여 개의 도메인 목록을 공유했다. 이 작업의 목표는 DNS 데이터와 인공 지능을 활용해 C&C 목록을 확대할 수 있는지, 향후 미라이 탐지를 더욱 포괄적으로 진행할 수 있을지를 확인하는 것이었다. 협력 팀은 다계층 분석을 통해 미라이 C&C 데이터 세트를 강화하고 미라이 봇넷과 페티야(Petya) 랜섬웨어 배포자 사이의 연관성을 파악할 수 있었다.

이번 합동 분석을 통해 사물인터넷(IoT) 봇넷이 거의 디도스 공격에만 이용되다가 랜섬웨어 배포와 크립토마이닝(cryptomining) 같은 보다 정교한 활동에도 이용되고 있다는 것이 밝혀졌다. IoT 봇넷은 대부분 침해지표(IoC·Indicators of Compromise)를 남기지 않기 때문에 탐지하기 어렵다. 하지만 이번 아카마이 합동 연구는 수십개의 새로운 C&C 도메인을 탐지∙차단하고 봇넷 활동을 제어할 수 있는 가능성을 열었다.

자바스크립트 크립토마이너

암호화폐 도입 및 소비가 기하급수적으로 증가하면서 크립토마이닝 멀웨어 변종과 이 멀웨어에 감염된 디바이스도 급증하고 있다.

아카마이는 대규모 크립토마이닝의 비즈니스 모델을 2가지로 분류한다. 첫번째 모델은 감염된 디바이스의 처리 용량을 사용해 암호화폐 토큰을 채굴하는 방법이다. 두번째 모델은 콘텐츠 사이트에 임베디드되어 있는 코드를 사용해 사이트를 방문한 디바이스가 크립토마이너 대신해 암호화폐를 채굴하도록 만드는 방식이다. 아카마이는 사용자와 웹사이트 소유자에게 새로운 보안 문제가 될 수 있는 두 번째 비즈니스 모델에 대해 광범위한 분석을 실시했다. 크립토마이너 도메인을 분석한 후 컴퓨팅 파워와 금전적 이익 측면에서 크립토마이너 활동으로 인해 발생하는 비용을 추산했다. 한 가지 주목할 만한 점은 크립토마이닝이 웹사이트의 광고 매출을 충분히 대체할 수 있다는 것이다.

악성코드와 사이버 공격의 변화

사이버 보안 산업은 끊임 없이 변화한다. 해커들이 오래된 기법을 현재 디지털 환경에 맞게 재사용한다는 것이 연구를 통해 드러났다. 아카마이가 6개월 동안 관련 데이터를 수집한 결과 다음과 같이 몇몇 주요 멀웨어 캠페인의 운영 프로세스가 큰 변화를 보였다.

  • 웹 프록시 자동 발견(WPAD·Web Proxy Auto Discovery) 프로토콜은 2017년 11월 24일부터 12월 24일 까지 윈도우 시스템을 중간자(MITM·Man In The Middle) 공격에 노출시키는 데에 사용됐다. WPAD는 LAN과 같은 보안 네트워크에 사용되는 프로토콜인데, 이 프로토콜은 인터넷에 연결됐을 때 컴퓨터를 심각한 공격에 노출시킨다.
  • 멀웨어 작성자는 금융 정보뿐만 아니라 소셜 미디어 로그인 정보 수집으로 활동 영역을 넓히고 있다. 제우스(Zeus) 봇넷 중 하나인 테르돗(Terdot)은 로컬 프록시를 생성해 공격자가 사이버 스파이 활동을 하고 피해자의 브라우저에 가짜 뉴스를 올릴 수 있도록 한다.
  • 로파이(Lopai) 봇넷은 봇넷 작성자가 어떻게 더 유연한 공격 툴을 만들 수 있는지 잘 보여주는 사례다. 로파이는 모바일 멀웨어로서 주로 안드로이드 디바이스를 대상으로 하며 봇넷 소유자가 새로운 기능을 업데이트할 수 있다.

아카마이 인터넷 보안 현황: 캐리어 인사이트 보고서는 웹사이트에서 다운로드할 수 있다.

조사 방법

아카마이 보안연구팀은 매일, 매주, 매분기마다 데이터 세트를 분석해 사이버 범죄자들의 행동을 예측한다. 방대한 DNS 데이터에서 공격 신호를 탐지하고 알려지지 않은 새로운 악성 활동을 탐지하는 동시에 알려진 공격 기법을 확인하기 위해서다. 상업용 및 퍼블릭 데이터 소스를 사용할 뿐만 아니라 1천억 개의 고객사 쿼리를 매일 분석한다. 아카마이는 40개국 이상에서 130개 이상의 서비스 사업자들과 협력하며 매일 1조 7천억 개 쿼리를 처리한다. 이는 소비자와 기업이 생성한 전체 글로벌 DNS 트래픽의 약 3%를 차지한다.

아카마이(AKAMAI)에 대하여

아카마이는 전세계에서 신뢰도가 가장 높은 최대 클라우드 전송 플랫폼으로 디바이스, 시간, 장소와 상관없이 안전하고 쾌적한 최고의 디지털 경험을 간편하게 제공할 수 있도록 지원한다. 전 세계 각지에 대규모로 분산 배치된 아카마이의 플랫폼은 130개국, 20만 대 이상의 서버로 구성되어 있고 고객에게 탁월한 성능과 위협 방어 기능을 제공한다. 아카마이 제품 포트폴리오는 웹·모바일 성능, 클라우드 보안, 기업 애플리케이션 접속, 비디오 전송 솔루션 뿐만 아니라 우수한 고객 서비스와 24시간 모니터링을 포함한다. 주요 금융 기관, 이커머스 기업, 미디어·엔터테인먼트 사업자, 정부 기관이 아카마이를 신뢰하는 이유는 아카마이 웹사이트(www.akamai.co.kr)와 블로그(blogs.akamai.com), 트위터(@Akamai)에서 확인할 수 있다.