MS "클라우드서비스, 사이버무기로 악용돼"

클라우드서비스에서 돌아가는 가상머신(VM)이 주요 사이버공격 수단으로 악용되고 있다는 분석 결과가 나왔다.

마이크로소프트(MS)는 정기 보안인텔리전스보고서(SIR) 최신판을 통해 클라우드서비스가 사이버무기로 악용되는 양상이 나타나고 있다고 진단했다.

마이크로소프트 보안인텔리전스보고서 브리핑 자료 일부. 데이터수집범위 설명.

SIR는 MS가 정기 발표해 온 보안분석보고서다. MS와 타사 소프트웨어(SW)의 SW취약성, 맬웨어, 익스플로잇, 악성SW 동향을 다룬다. 세계 100개국 이상 지역의 취약성 동향에 초점을 맞춰 분석된다.

한국MS는 지난 6일 서울 광화문 사무실에서 미디어브리핑을 열고 SIR 주요 내용을 소개했다. SIR은 올해(2017년) 1월부터 3월까지 즉 1분기 사이에 진행된 사이버위협 동향을 분석하고 있다.

최신 SIR은 MS가 전세계에 제공하는 200개 이상의 클라우드서비스와 10억대 이상의 윈도 기기 업데이트, 월별 수행하는 4천억건의 이메일 스캔, 4천500억건의 인증 처리, 180억개 이상의 웹페이지 스캔을 통해 수집한 보안인텔리전스 데이터에 기반했다.

그간 SIR 분석기간은 반기 단위였다. 지난 2006년 제1판(SIRv1)부터 지난해 제21판(SIRv21)까지 연 2회씩 발표됐다. 제22판(SIRv22)부터는 분석기간이 분기 단위로 바뀌어, 향후 연 4회씩 발표될 전망이다.

■클라우드 무기화 경고

보고서에 따르면 클라우드가 조직의 중추적 데이터 허브로 자리잡으면서 주요 공격 표적이 되고 있다. 그리고 공격자는 사용자 로그인 정보를 도용해 클라우드기반 계정에 침입을 시도하는 추세다. 올해 1분기 MS클라우드 계정 공격은 전년동기대비 300% 증가했고 악성IP 주소를 통한 로그인 시도는 전년동기대비 44% 증가한 것으로 나타났다.

또 클라우드서비스를 '사이버무기'로 악용하려는 시도가 활발했다. MS애저 보안센터의 모니터링에 탐지된 외부 공격 사례 중 악성IP와 통신(51.0%), 원격데스크톱 무작위 연결 시도(23.0%), 스팸(19.0%), 포트스캐닝 및 포트스위핑(3.7%), SSH 무작위 연결 시도(1.7%), 기타(1.6%) 행위가 발견됐다.

마이크로소프트 보안인텔리전스보고서 브리핑 자료 일부. MS애저 보안센터를 통해 파악된 사이버공격 악용시도.

애저 보안센터에 탐지된 외부의 공격 건수를 116개 지역 또는 국가별 비중으로 나눠 보면 중국(35.1%)과 미국(32.5%)이 상당하고 한국(3.1%)도 일부를 차지하고 있다. 애저 가상머신(VM)이 악성IP 주소와 통신하는 사례를 보면 중국(89%) 비중이 압도적으로 크고 미국(4.2%)이 일부를 차지하고 있다.

MS는 "애저같은 클라우드서비스는 VM과 다른 서비스를 침해해 무기화하려는 공격자에게 상시 표적"이라며 "공격자는 VM을 다른 VM에 무작위 연결하는 등 공격하거나, 피싱공격용 스팸을 뿌리거나, 새 표적을 식별하는 포트스캐닝을 수행하거나, 다른 악성 행위에 사용할 수 있다"고 설명했다.

■세계 악성 SW 유형별 동향

MS는 세계 월별 악성코드 발생률(ER)도 집계했다. ER은 MS의 실시간 보안 제품을 구동하는 컴퓨터 중 맬웨어 발견을 보고하는 컴퓨터의 비율을 가리킨다. ER은 올해 1월 10.3%, 2월 9.1%, 3월 7.8%로 감소 추세를 나타냈다.

마이크로소프트 보안인텔리전스보고서 브리핑 자료 일부. 한국과 세계평균 악성SW 유형별 발생률. 트로이목마가 최대비중을 차지했다.

악성코드 가운데 트로이목마의 월별 ER이 5~6%대로 큰 비중을 차지했다. 나머지 발생률을 웜, 다운로더 및 드로퍼, 바이러스, 기타 맬웨어, 인젝터, 백도어, 패스워드 도용기술, 랜섬웨어, 익스플로잇이 나눠 채웠다.

랜섬웨어가 올 상반기 세계를 강타했는데 어째서 보고서엔 발생 비중이 적게 나올까. 실제 랜섬웨어 확산 시기가 2분기였고 보고서의 분석 기간이 1분기로, 일치하지 않아서다. 다만 이를 감안하더라도 시만텍 등 타 보안업체의 엔드포인트 위협요소 분석결과보다 랜섬웨어의 비중이 적다는 인상을 준다.

사실 워너크라이, 페트야 등이 세계에 악명을 떨치기 전인 1분기에도 한국 랜섬웨어 위협은 다른 지역보다 컸다. 지난 3월 세계 랜섬웨어 발생률(ER)을 보면 체코(0.17%)가 1위였고 한국(0.15%)이 2위, 이탈리아(0.14%)가 3위를 차지했다. 낮은 순으로는 일본(0.012%), 중국(0.014%), 미국(0.02%)이었다.

■1분기 한국, 세계 평균대비 양호

MS는 트로이목마와 랜섬웨어를 포함한 악성코드 외에도 드라이브바이다운로드(DbD) 사이트, 언원티드(Unwanted) SW 등을 잠재적 위협으로 제시했다.

마이크로소프트 보안인텔리전스보고서 브리핑 자료 일부. 악성웹사이트 유형별 발생률.

DbD사이트는 브라우저 취약점 공격코드를 호스팅하는 악성 웹사이트의 일종으로, 방문하기만 해도 시스템을 악성코드에 감염시키는 곳이다. 지난 3월 기준 URL 1천개당 DbD페이지 비율은 대만(7.4), 이란(1.5), 러시아(0.6) 등이 많은 것으로 파악됐다.

언원티드SW는 사용자 동의 없이 설치돼 시스템의 이상행동을 유발하는 SW를 가리킨다. 브라우저 오류를 유발하거나 취약성을 노출시켜 잠재적으로 악용될 소지가 높기 때문에 MS가 별도 관리하는 대상이다. 3월 기준 유형별 ER은 브라우저 모디파이어 1.6%, SW번들러 1.1%, 애드웨어 0.2% 가량이었다.

세계 위협동향 대비 한국은 어떨까.

악성 웹사이트는 전반적으로 한국의 비중이 작은 편으로 나타났다. 3월 기준 1천URL당 DbD사이트는 세계평균 0.17이고 한국은 0.05였다. 1천호스트당 피싱사이트는 세계평균 6.3이고 한국은 1.02, 맬웨어호스팅사이트는 세계평균 14.8이고 한국은 12.61이었다.