보안 및 IT분야의 최신 뉴스를 확인해보세요!

보안 뉴스

보안 및 IT분야의 최신 뉴스를 빠르고 정확하게 전달해드립니다.

안드로이드 디바이스 악용 WireX 봇넷 등장…DDoS 공격 주의보

 

▲ 아카마이 제공. 2017 인터넷 현황 보안 보고서 내용.
▲ 아카마이 제공. 2017 인터넷 현황 보안 보고서 내용.

아카마이에서 ‘2017년 3분기 인터넷 현황 보안 보고서’를 발표했다. 보고서에는 안드로이드 기반의 새로운 봇넷인 ‘WireX’의 등장에 대해 자세히 살펴보고 봇넷의 악성 활동을 숨기고 C&C 통신의 탐지를 어렵게 만드는 Fast Flux 네트워크에 대한 연구 결과와 3분기 전반적인 DDoS 및 웹애플리케이션 공격 현황에 대해 설명하고 있다.

 

보고서 편집자는 “최근 최악의 사이버 보안 사고가 언론 헤드라인을 장식했다. 야후는 30억 명의 개인정보를 해킹당했고 에퀴팍스는 1억 4600만 미국인의 개인정보를 유출 당했다. 이와 동시에 2분기에 발생한 NotPetya 멀웨어 공격으로 인한 재정적 피해가 본격화되면서 다수의 기업은 랜섬웨어로 인해 수억 달러의 비용을 지불하고 있다”고 밝히고 “이처럼 언론의 주목을 받은 공격뿐만 아니라 DDoS, 웹 애플리케이션 공격처럼 가장 일반적으로 발생하는 공격도 기업에 막대한 피해를 끼칠 수 있다. 기업 규모나 산업 분야를 막론하고 DDoS와 웹 애플리케이션 공격 발생 빈도는 점차 증가하고 있다. 3분기에는 전분기 대비 DDoS 공격 건수가 8%, 웹 애플리케이션 공격 건수는 30% 증가했고 공격 규모 중간값과 표적당 공격 빈도 모두 증가했다고 설명했다.

주요 내용을 보면, 기존의 공격 기법과 플랫폼이 광범위하게 효과를 발휘하고 있지만, 사이버 공격자들은 지속적으로 새로운 공격 기법을 개발하고 있다는 것. 3분기에는 IoT 디바이스를 이용한 미라이(Mirai) 멀웨어 공격이 지속적으로 증가했고 안드로이드 디바이스를 악용하는 WireX 봇넷이 새롭게 등장했다. 이는 새로운 봇넷이 등장할 가능성이 충분하다는 점을 보여 준다는 것이다.

DDoS 공격은 사이트를 다운시키고, 비즈니스의 중단시키며 리소스를 고갈시키는 등 막대한 비용 손실로 이어진다. 또한 보다 교묘하게 데이터 또는 시스템 유출을 은폐하기도한다. 3분기에 DDoS 공격 건수는 8% 증가하며 2분기에 이어 증가세를 이어나갔다. 공격의 표적이 된 고객사당 평균 DDoS 공격 발생 건수는 36건으로 증가했는데, 이는 평균적으로 3일에 한 번씩 공격이 발생한 것이다. 한 게임사 고객은 3분기에만 총 612건의 DDoS 공격을 받았는데, 이는 매일 7건의 공격을 받은 셈이다.

3분기에 발생한 DDoS 공격에는 기존의 공격 기법이 많이 사용되었다. 미라이 멀웨어는 IoT 디바이스를 이용해 최대 규모의 DDoS 공격을 발생시켰다. 아카마이가 관측한 가장 큰 공격 규모는 623Gbps였다. 미라이는 현재 기존 대비 활동이 주춤해졌지만 아직까지 커다란 위협으로 작용하고 있으며 3분기 최대 공격 규모인 109Gbps를 발생시키기도 했다.

3분기에 새롭게 등장한 WireX 봇넷은 최초의 대규모 안드로이드 기반 봇넷이라는 점뿐만 아니라 봇넷이 확산된 방식 역시 주목할 만하다. 전 세계 사용자들이 구글 플레이스토어에서 정상으로 보이나 실제로는 봇넷에 감염된 멀웨어를 의심 없이 다운로드했다.

아카마이 측은 “WireX는 미라이와 마찬가지로 끊임없이 진화를 거듭하며 유지될 것으로 예상된다. 또한 새로운 공격 기법이 지속적으로 개발되고 있기 때문에 대규모 DDoS 공격은 언제든지 발생할 수 있다는 가능성을 염두에 두고 준비해 나가야 한다”고 강조했다.

 

▲ 아카마이 제공.
▲ 아카마이 제공.

 

한편 웹 애플리케이션 공격에 대해 보고서에는 DDoS 공격과 달리 웹 애플리케이션 공격은 웹사이트를 다운시키는 대신 애플리케이션 취약점을 표적으로 삼아 데이터를 유출하거나 기반 시스템을 감염시킨다. 웹 애플리케이션 공격은 DDoS 공격보다 더 빈번하게 발생하는데 이로 인해 웹 애플리케이션 공격을 쉽게 간과할 수 있고 잠재적으로 더 큰 피해로 이어질 수 있다. 웹 애플리케이션 공격은 매 분기마다 증가하고 있으며 3분기에는 공격 발생 빈도가 30% 증가했다. 이 중에서 85%의 공격에 가장 빈번하게 이용되는 공격 기법인 SQL인젝션(SQLi)이나 로컬 파일 인클루전(LFI)이 사용됐다고 전했다.

웹 애플리케이션 공격은 2분기 대비 총 공격 건수는 30% 증가했고 미국에서 발원한 공격이 48% 증가했다. 최다 공격 발생 국가는 미국이다. 또한 SQLi 공격 건수는 19% 증가한 수치로 조사됐다.

아카마이가 관측한 웹 애플리케이션 공격 트래픽의 가장 큰 발원 국가이자 표적 국가는기존과 동일하게 미국이었다. 미국에서 3분기에 발생한 웹 애플리케이션 공격 건수는 3억 건을 넘어섰는데, 이는 미국 다음으로 많은 공격이 발생한 러시아의 약 5배에 달하는 수치다.