​아카마이, ‘악성 DNS 트래픽으로 아태지역 기업과 소비자가 받는 위협’ 보고서 발표

공격 시 서버 가동 중단, 데이터 유출, 서비스 중단...지난해 전 세계 기업 12%가 공격 흔적

[보안뉴스 김영명 기자] 아시아·태평양 지역(이하 아태지역)의 기업과 소비자들이 받는 악성 DNS 트래픽의 주된 원인은 NAS 디바이스를 타깃으로 삼는 큐스내치(Qsnatch) 감염인 것으로 파악됐다. 특히, 아태지역은 기업 지휘통제(C2) 트래픽이 증가하고 있으며, 아태지역의 홈 네트워크 위협은 전 세계에서 가장 높은 것으로 분석됐다.

​

[이미지=utoimage]

온라인 라이프를 지원하고 보호하는 클라우드 기업 아카마이(아카마이코리아 대표 이경준)가 악성 DNS(Domain Name System) 트래픽으로 인해 아태지역의 기업 및 소비자가 받는 위협을 중점으로 다룬 새로운 인터넷 현황 보고서를 발표했다.

해당 보고서의 주요 내용은 크게 △큐스내치(Qsnatch), 아태지역의 최대 봇넷 위협으로 성장 △기업 지휘통제(Command and Control, 이하 C2) 트래픽 증가 △아태지역의 홈 네트워크 위협, 전 세계에서 최고치 등 3가지였다. 또한, DNS 공격은 기업들을 점점 더 위협하고 있으며, 홈 네트워크도 DNS 공격에 주의할 것을 당부했다.

먼저, ‘큐스내치(Qsnatch)는 아태지역의 최대 봇넷 위협으로 성장’하고 있다. 큐스내치는 기업의 백업 또는 파일 저장에 사용되는 NAS(Network Attached Storage) 디바이스 업체인 큐냅(QNAP)을 표적으로 하는 악성코드이며, 2022년 아태지역 기업 환경의 봇넷 위협 중 최대 규모였다. 아태지역에서 영향을 받은 디바이스 중 큐스내치 감염 비율은 60%에 달했다.

두 번째로, ‘기업 지휘통제(Command and Control, 이하 C2) 트래픽 증가’가 두드러졌다. 전 세계 10~16%에 달하는 기업들이 매분기 사내 네트워크에서 C2 트래픽을 발견하고 있다. 아카마이는 아태지역에서 영향을 받은 디바이스 중 약 15%가 초기 접근 브로커들의 도메인으로 향하는 것을 관측했다. 이들은 사이버 범죄 조직으로, 유출된 네트워크에 무단 접속할 수 있는 권한을 랜섬웨어 그룹과 같은 사이버 범죄자들에게 판매한다.

세 번째로, ‘아태지역의 홈 네트워크 위협, 전 세계에서 최고치’로 분석됐다. 분석 결과, 지난해 하반기 아태지역의 악성 쿼리 수는 전 세계 2위였던 북미보다 두 배나 많았다. 또한, 아태지역에서 3억 5,000만건 이상의 쿼리가 Pykspa(스카이프를 통해 감염된 사용자의 연락처로 악성 링크를 전송해 정보를 빼내는 웜)에 관련돼 있는 것으로 확인됐다.

DNS 공격, 기업에 대한 위협 수위 높인다

DNS 공격은 기업들을 점점 더 위협하고 있다. 인터넷 사용 시 대부분 DNS를 활용하는 만큼, DNS는 이러한 편재성으로 인해 공격 인프라의 중요한 부분이 됐다. 아카마이는 매일 7조건에 달하는 DNS 요청을 분석해 악성 DNS 트랜잭션을 멀웨어, 피싱, C2로 분류했다.

아카마이의 데이터에 따르면, 전 세계 기업 중 10%에서 16%가 매 분기 사내 네트워크에서 C2 트래픽을 감지했다. C2 트래픽이 존재한다는 것은 공격 또는 침입 가능성이 있음을 나타내며, 그 위협은 봇넷 도용부터 유출된 네트워크에 대한 무단 접속 권한을 다른 사이버 범죄자에게 판매하는 IAB에 이르기까지 다양하다.

영향을 받는 아태지역 내 디바이스 중 15%는 이모텟(Emotet)과 같이 이미 알려진 IAB C2도메인에 접속했으며, 이 도메인은 초기 침투를 실행한 후 락비트(Lockbit)와 같은 랜섬웨어 그룹 및 기타 사이버 범죄 그룹에 접속 권한을 판매했다.

NAS 디바이스는 패치될 가능성이 낮으면서도 귀중한 데이터를 보관하고 있을 가능성은 높기 때문에 악용되기 쉽다. 아카마이 데이터에 따르면, 2022년 아태지역에서 영향을 받은 디바이스 중 60% 가까이는 NAS 디바이스를 타깃으로 삼는 큐스내치에 감염돼 북미 다음으로 높은 감염 건수를 기록했다. 아태지역에 데이터 센터가 대규모로 집중돼 있고, 중소기업들이 NAS 디바이스를 많이 사용하기 때문에 전반적인 감염 수가 증가했을 가능성이 높다.

아카마이 루벤 코(Reuben Koh) 아시아태평양 및 일본 지역 보안 기술 및 전략 담당 디렉터는 “아카마이의 최신 연구결과는 멀티스테이지(multi-stage) 공격이 오늘날 아태지역의 사이버 환경에 주요하게 자리 잡았다는 것을 보여준다”며 “C2 인프라는 페이로드(payload) 다운로드나 다음 단계의 멀웨어가 공격을 이어가는데 활용돼 공격의 성공을 좌우한다”고 말했다.

루벤 코 디렉터는 “멀티스테이지 공격의 비즈니스 손해를 막으려면 기업들은 공격자보다 앞서 나가야 한다”며 “이로 인한 피해는 직접적인 재정 손실과 고객 신뢰 하락 등 외에도 감염된 인프라를 복구하는데 소요되는 법률, 상환, 정리 비용 등 장기적인 비용도 있다”고 덧붙였다.

홈 네트워크도 DNS 공격에 주의해야

공격자는 네트워크 침투 시 더 큰 이득을 위해 기업도 겨냥하지만, 침투가 쉬운 홈 네트워크를 표적으로 할 수도 있다. 아카마이 분석에 따르면 2022년 하반기 홈 네트워크 위협과 관련된 쿼리는 아태지역에서 가장 높았으며, 관련 쿼리 수가 전 세계 두 번째로 많았던 북미보다 두 배나 높았다. 특히, 아태지역에서는 감염된 사용자가 가진 연락처에 스카이프로 악성 링크를 전송하면서 확산시키는 위협인 Pykspa에 관련된 쿼리가 3억5,000만건 이상 관측됐다.

아카마이의 조사 결과, 피싱 캠페인의 40% 이상이 금융 서비스 고객이 대상이었으며, 전체 피해자 중 금융 관련 피싱 사기 및 공격의 피해 비율은 약 70%에 달했다. 이는 2022년에 금융 서비스 및 금융 고객을 대상으로 한 공격이 매우 효과적이었다는 것을 보여준다.

루벤 코 디렉터는 “오늘날 아태지역에서 모바일 인터넷 서비스에 접속하는 사람이 12억여 명에 이르고 2026년 IoT 지출이 4360억 달러에 이를 것으로 전망되는 가운데 , 아태지역에서의 공격이 증가하고 있는 것은 그리 놀라운 일이 아니다. 모바일 및 스마트 디바이스의 사용 및 도입이 지속해서 증가함에 따라 공격 또한 늘어날 것으로 예상되는 만큼, 홈 네트워크 사용자들은 사이버 공격의 피해자가 되지 않도록 경계해야 한다”고 덧붙였다.

기업 및 홈 네트워크 사용자, 사이버보안 위생 중요성 인지해야

아카마이는 DNS 환경 분석 결과를 기반으로, 기업 및 홈 사용자들을 위한 권장사항으로 모든 디지털 자산 및 사용자들이 최적의 사이버보안 위생 관행을 보장하는 데 적극 임해야 한다.

세부 수칙의 첫 번째로, 기업은 먼저 모든 소프트웨어 및 하드웨어 자산의 가시성을 확보하고 DDoS 방어, 멀웨어 공격, 스크래핑은 물론 측면 이동과 유출 등 기업의 데이터 이동 과정의 모든 단계에서 주요 취약점과 데이터 이동에 필요한 제어수단을 파악해야 한다.

두 번째로, 모든 시스템 및 소프트웨어 업데이트, 멀웨어 방지 및 멀티 팩터 인증 구축, 사용자와 디바이스에 최소한의 권한 접속을 적용하고 성능과 이상현상 모니터링도 지속해야 한다.

홈 네트워크 사용자는 정기적으로 소프트웨어를 업데이트하고 멀웨어 방지 소프트웨어를 설치한다. 가정용 와이파이는 WPA2 AES 또는 WPA3 암호화를 사용해 모든 디바이스를 선제적으로 보호하고, 의심스러운 웹사이트, 다운로드, 이메일 또는 문자메시지도 주의해야 한다.

[김영명 기자(boan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=116724&page=2&mkind=1&kind=3)]