클라우드 기업 아카마이가 악성 DNS(Domain Name System) 트래픽으로 인해 아시아태평양지역(이하 아태지역)의 기업과 소비자들이 받는 위협을 중점적으로 다룬 새로운 인터넷 현황 보고서를 발표했다.

이 보고서에 의하면 큐스내치(Qsnatch)가 아태지역의 최대 봇넷 위협으로 성장했다. 큐스내치는 기업의 백업 또는 파일 저장에 사용되는 NAS(Network Attached Storage) 디바이스 업체인 큐냅(QNAP)을 표적으로 하는 악성코드로, 2022년 아태지역 기업 환경의 봇넷 위협 중 최대 규모인 것으로 나타났다. 아태지역에서 이에 영향을 받은 디바이스 중 큐스내치에 감염된 비율은 60%에 달했으며, 감염된 디바이스의 수는 북미에 이어 전 세계 2위를 기록했다.

기업 지휘통제(Command and Control, 이하 C2) 트래픽 증가 또한 이어지고 있다. 전 세계 10%에서 16%에 달하는 기업들이 매 분기 사내 네트워크에서 C2 트래픽을 발견하는데, 이는 공격 또는 침입이 진행 중일 가능성을 나타낸다. 아카마이는 아태지역에서 영향을 받은 디바이스 중 약 15%가 IAB(Initial Access Broker)들의 도메인으로 향하는 것을 관측했다. 이들은 사이버 범죄 조직으로, 유출된 네트워크에 무단 접속할 수 있는 권한을 랜섬웨어 그룹과 같은 사이버 범죄자들에게 판매한다.

또한 아태지역의 홈 네트워크 위협이 전세계 최고치를 기록했다. 2022년 하반기 아태지역의 악성 쿼리 수는 전 세계 2위였던 북미보다 두 배나 많은 것으로 나타났다. 또한, 아태지역에서 3억 5천만 건 이상의 쿼리가 Pykspa(스카이프를 통해 감염된 사용자의 연락처로 악성 링크를 전송해 정보를 빼내는 웜)에 관련돼 있는 것으로 확인됐다.

인터넷 사용 시 대부분 DNS를 활용하는 만큼, DNS는 이러한 편재성으로 인해 공격 인프라의 중요한 부분이 됐다. 아카마이는 매일 7조 건에 달하는 DNS 요청을 관찰하면서 악성 DNS 트랜잭션을 멀웨어, 피싱, C2로 이루어진 세 가지 주요 카테고리로 분류했다.

아카마이의 데이터에 따르면, 전 세계 기업 중 10%에서 16%가 매 분기 사내 네트워크에서 C2 트래픽을 감지했다. C2 트래픽이 존재한다는 것은 공격 또는 침입 가능성이 있음을 나타내며, 그 위협은 봇넷 도용부터 유출된 네트워크에 대한 무단 접속 권한을 다른 사이버 범죄자에게 판매하는 IAB에 이르기까지 다양하다.

영향을 받는 아태지역 내 디바이스 중 15%는 이모텟(Emotet)과 같이 이미 알려진 IAB C2도메인에 접속했으며, 이 도메인은 초기 침투를 실행한 후 락비트(Lockbit)와 같은 랜섬웨어 그룹이나 기타 사이버 범죄 그룹에 접속 권한을 판매했다. 또한 아태지역에서는 레빌(REvil)이나 락비트와 같은 변종 랜섬웨어가 전체 기업의 디바이스에 영향을 미치는 상위 5종의 C2 위협으로 증가한 것을 확인됐다.

NAS에 대한 공격은 다음 스테이지로 발전 가능성 높아

NAS 디바이스는 패치 될 가능성이 낮으면서도 귀중한 데이터를 보관하고 있을 가능성은 높기 때문에 악용되기 쉽다. 아카마이 데이터에 따르면, 2022년 아태지역에서 영향을 받은 디바이스 중 60% 가까이는 NAS 디바이스를 타깃으로 삼는 큐스내치에 감염돼, 북미 다음으로 높은 감염 건수를 기록했다. 아태지역에 데이터 센터가 대규모로 집중돼 있고 중소기업들이 NAS 디바이스를 많이 사용하기 때문에 전반적인 감염 수가 증가했을 가능성이 높다.

루벤 코(Reuben Koh) 아카마이 아시아태평양 및 일본 지역 보안 기술 및 전략 담당 디렉터는 "아태지역이 경제와 디지털 전환의 글로벌 허브로서 진화를 가속하고 있는 만큼, 공격자들이 금전적 이익을 위해 이태지역 기업들에 대한 공격 방안들을 계속해서 모색하는 것은 그리 놀라운 일이 아니다”라며, “아카마이의 최신 연구 결과는 각 지역에서 가장 많이 발생하는 공격 방식을 조명할 뿐 아니라, 멀티스테이지(multi-stage) 공격이 오늘날 아태지역의 사이버 환경에 주요하게 자리 잡았다는 것을 보여준다”고 말했다. 또한, 그는 “공격자들은 한번의 공격에도 다양한 툴을 결합해 사용하거나 협업할 때 성공할 확률이 높다는 것을 깨닫고 있다. C2 인프라는 통신 뿐 아니라 페이로드(payload) 다운로드나 다음 단계의 멀웨어가 공격을 이어가도록 만드는 데 활용될 수 있기 때문에 공격의 성공에 중추적인 역할을 한다"고 설명했다.

루벤 코 디렉터는 "멀티스테이지 공격이 비즈니스에 손해를 입히는 것을 막으려면 기업들은 공격자보다 앞서 있어야 한다. 이로 인한 피해에는 직접적인 재정 손실과 고객 신뢰 하락 등의 즉각적인 영향 외에도 감염된 인프라를 복구하는데 소요되는 법률, 상환, 정리 비용 등 장기적인 비용도 있다"고 덧붙였다.

홈 네트워크에 대한 공격 증가

공격자는 네트워크 침투 시 더 큰 이득을 얻을 수 있는 기업을 겨냥하는 경우가 많지만, 홈 네트워크는 기업 환경에 비해 보안에 취약하기 때문에 더 쉽고 빠른 공격을 위한 표적이 될 수 있으므로 가정 사용자들도 안심해서는 안 된다. 공격자는 컴퓨터와 같은 전통적인 디바이스 뿐만 아니라 휴대전화와 IoT 디바이스도 악용하려고 한다.

아카마이의 데이터에 따르면, 2022년 하반기 홈 네트워크 위협과 관련된 쿼리의 수가 가장 높았던 지역은 아태지역으로, 관련 쿼리 수가 전세계 두 번째로 많았던 북미보다 두 배나 높은 수치를 기록했다.

아태지역에서는 감염된 사용자가 가지고 있는 연락처에 스카이프로 악성 링크를 전송하면서 확산시키는 위협인 Pykspa에 관련된 쿼리가 3억 5천만 건 이상 관측됐다. 이는 백도어 기능을 사용해 공격자가 원격 시스템에 연결될 수 있도록 하고, 파일 다운로드나 프로세스 종료 등의 임의 명령을 실행하며, 매핑 된 드라이브나 네트워크 공유를 포함한 다양한 방법들을 통해 전파된다.

피싱 캠페인은 아태지역의 금융 브랜드를 적극적으로 겨냥해서 순진한 금융 고객들을 피싱으로 유인한다. 아카마이의 조사 결과, 피싱 캠페인의 40% 이상이 금융 서비스 고객을 대상으로 한 것으로 나타났으며, 전체 피해자들 중 금융 관련 피싱 사기나 공격으로 피해를 입은 비율이 약 70%에 이르는 것으로 드러났다. 2022년에 금융 서비스나 금융 고객을 대상으로 한 공격이 매우 효과적이었다는 것을 보여준다.

루벤 코 디렉터는 "오늘날 아태지역에서 모바일 인터넷 서비스에 접속하는 사람이 12억여 명에 이르고 2026년 IoT 지출이 4360억 달러에 이를 것으로 전망되는 가운데, 아태지역에서의 공격이 증가하고 있는 것은 그리 놀라운 일이 아니다. 모바일이나 스마트 디바이스의 사용, 도입이 지속적으로 증가함에 따라 공격 또한 늘어날 것으로 예상되는 만큼, 홈 네트워크 사용자들은 사이버 공격의 피해자가 되지 않도록 경계해야 한다"고 덧붙였다.

아카마이는 DNS 환경 분석 결과를 기반으로, 기업과 홈 사용자들에게 모든 디지털 자산 및 사용자들에 대해 최적의 사이버 보안 위생 관행을 보장하는 데 적극적으로 임할 것을 권장하고 있다.

기업은 먼저 모든 소프트웨어와 하드웨어 자산의 가시성을 확보하고 DDoS 방어, 멀웨어 공격, 스크래핑은 물론 측면 이동과 유출 등 기업의 데이터 이동 과정의 모든 단계에서 주요 취약점과 데이터를 이동하는 데 필요한 제어 수단을 파악하는 것부터 시작해야 한다.

모든 시스템과 소프트웨어를 업데이트하고, 멀웨어 방지와 멀티팩터 인증을 구축하고, 항상 사용자와 디바이스에 대한 최소한의 권한 접속을 적용해야 한다. 대기업, 혹은 보다 복잡한 요구 사항이 필요한 기업의 경우 전문 공급업체에 도움을 요청하되 성능과 이상현상 모니터링 또한 계속해서 적극적으로 수행해야 한다.

가정에서도 바람직한 보안 관행을 유지해야 한다. 홈 네트워크 사용자는 정기적으로 소프트웨어를 업데이트하고 멀웨어 방지 소프트웨어를 설치하며 가정용 WI-FI 네트워크에 WPA2 AES 또는 WPA3 암호화를 사용해 모든 디바이스를 보호하는 선제적 조치를 취해야 한다. 또한 의심스러운 웹 사이트, 다운로드, 이메일 또는 문자 메시지에 각별한 주의를 기울여야 한다.