[인터넷 보안 현황 보고서]

2017년 3분기 Executive Summary

전세계 콘텐츠 전송 네트워크(CDN) 분야를 이끌고 있는 Akamai는 전세계에 분산된 Akamai Intelligent Platform™을 통해 매일 수조 건의 인터넷 트랜잭션을 처리합니다. Akamai는 이 과정에서 광대역 접속, 클라우드 보안, 미디어 전송 등의 지표 에 관한 방대한 양의 데이터를 수집합니다. 인터넷 현황 보고서는 Akamai에서 수집한 방대한 데이터와 그로부터 창출된 인사이트를 활용하여 기업과 정부에서 더 나은 전략적 의사 결정을 내릴 수 있도록 지원하기 위해 작성되었습니다. Akamai는 매 분기마다 수집된 데이터를 활용해 광대역 접속 속도 및 클라우드 보안에 대해 중점적으로 다루는 인터넷 현황 보고 서를 발행합니다.

2017년 3분기 인터넷 보안 현황 보고서는 Akamai 글로벌 인프라 전체에서 취합한 공격 데이터를 기반으로 작성되었고 다수 의 팀에서 진행한 연구 결과를 제공합니다.

비즈니스에 미치는 영향 / 3분기에 여러 산업 분야의 기업들이 사이버 공격으로 인해 심각한 재정적∙비즈니스적 피해를 입었 다는 내용이 언론의 헤드라인을 장식했습니다. 연말 휴가 기간으로 접어들면서 공격이 점차 증가하고 있는 상황을 고려할 때 사이버 보안을 간과하면 심각한 위험을 감수하게 되리라는 것이 점차 분명해지고 있습니다. 이는 3분기의 객원 저자인 Veracode의 공동설립자 겸 CTO 크리스 와이소팔(Chris Wysopal)이 거의 20년에 경고했던 내용입니다.

기업에서는 기본적으로 소프트웨어와 펌웨어를 패치하고 최신 상태로 업데이트해야 합니다. 동시에 연말 기간의 트래픽 추이를 계획하고 준비하는 과정에서 DDoS 공격에 대한 방어를 반드시 고려해야 합니다. 기업이 직면한 보안 위협에 대한 지속적인 재평가는 이제 선택이 아니라 필수가 되었습니다. 공격자들의 진화하는 공격 전략을 파악하는 것은 더욱 안정적인 방어책을 구축하기 위한 기본적인 요소입니다. 3분기 인터넷 보안 현황 보고서에서는 Android 기반의 새로운 봇넷인WireX의 등장에 대해 자세히 살펴보고 봇넷의 악성 활동을 숨기고 C&C 통신의 탐지를 어렵게 만드는 Fast Flux 네트워크에 대한 연구 결과를 설명합니다.

Editor’s ovErviEw / 최근 최악의 사이버 보안 사고가 언론 헤드라인을 장식했습니다. 야후는 30억 명의 개인 정보를 해킹당했고 에퀴팍스는 1억 4600만 미국인의 개인 정보를 유출 당했습니다. 이와 동시에 2분기에 발생한 NotPetya 멀웨어 공격으로 인한 재정적 피해 가 본격화되면서 다수의 기업은 랜섬웨어로 인해 수억 달러의 비용을 지불하고 있습니다.

이처럼 언론의 주목을 받은 공격뿐만 아니라 DDoS, 웹 애플리케이션 공격처럼 가장 일반적으로 발생하는 공격도 기업에 막대한 피해를 끼칠 수 있습니다. 기업 규모나 산업 분야를 막론하고 DDoS와 웹 애플 리케이션 공격 발생 빈도는 점차 증가하고 있습니다. 3분기에는 전분기 대비 DDoS 공격 건수가 8%, 웹 애플리케이션 공격 건수는 30% 증가했고 공격 규모 중간값과 표적당 공격 빈도 모두 증가했습니다.

기존의 공격 기법과 플랫폼이 광범위하게 효과를 발휘 하고 있지만, 사이버 공격자들은 지속적으로 새로운 공격 기법을 개발하고 있습니다. 3분기에는 IoT 디바이스를 이용한 Mirai 멀웨어 공격이 지속적으로 증가했고 Android 디바이스를 악용하는 WireX 봇넷이 새롭게 등장했습니다. 이는 새로운 봇넷이 등장할 가능성이 충분하다는 점을 보여줍니다.

ddos 업데이트 / DDoS 공격은 사이트를 다운시키고, 비즈니스의 중단시키며 리소스를 고갈시키는 등 막대한 비용 손실로 이어집니다. 또한 보다 교묘하게 데이터 또는 시스템 유출을 은폐하기도 합니다. 3분기에 DDoS 공격 건수는 8% 증가하며 2분기에 이어 증가세를 이어나갔습니다. 공격의 표적이 된 고객사당 평균 DDoS 공격 발생 건수는 36건으로 증가했는데, 이는 평균적으로 3일에 한 번씩 공격이 발생한 것입니다. 한 게임사 고객은 3분기에만 총 612건의 DDoS 공격을 받았는데, 이는 매일 7건의 공격을 받은 셈입니다.

[EXECUTIVE SUMMARY]

인터넷 보안 현황 보고서 2017년 3분기

DDoS 공격 [2017년 3분기 vs 2017년 2분기]

• 총 DDoS 공격 건수 8% 증가 • 인프라 레이어(레이어 3 및 4) 공격 8% 증가 • 반사 기반 공격 건수 4% 증가 • 고객당 평균 공격 건수 13% 증가

공격 밀도 및 추세 2017년 1월~2017년 9월

인터넷 보안 현황 보고서 2017년 3분기 www.akamai.com/stateoftheinternet-security

3분기에 발생한 DDoS 공격에는 기존의 공격 기법이 많이 사용되 었습니다. Mirai 멀웨어는 IoT 디바이스를 이용해 최대 규모의 DDoS 공격을 발생시켰습니다. Akamai가 관측한 가장 큰 공격 규모는 623Gbps였습니다. Mirai는 현재 기존 대비 활동이 주춤해졌지만 아직까지 커다란 위협으로 작용하고 있으며 3분기 최대 공격 규모인 109Gbps를 발생시키기도 했습니다.

3분기에 새롭게 등장한 WireX 봇넷은 최초의 대규모 Android 기반 봇넷이라는 점 뿐만 아니라 봇넷이 확산된 방식 역시 주목할 만합 니다. 전 세계 사용자들이 Google 플레이스토어에서 정상으로 보이나 실제로는 봇넷에 감염된 멀웨어를 의심 없이 다운로드했습니다. WireX 는 빠르게 확산되었지만 Akamai를 포함한 여러 기업이 협력 하고 신속하게 대응해 비교적 초기 단계에서 WireX 봇넷을 차단할 수 있었습니다. 하지만 WireX는 Mirai와 마찬가지로 끊임없이 진화를 거듭하며 유지될 것으로 예상됩니다. 또한 새로운 공격 기법 이 지속적으로 개발되고 있기 때문에 대규모 DDoS 공격은 언제든지 발생할 수 있다는 가능성을 염두에 두고 준비해 나가야 합니다.

웹 애플리케이션 공격 업데이트 / DDoS 공격과 달리 웹 애플리케 이션 공격은 웹사이트를 다운시키는 대신 애플리케이션 취약점을 표적으로 삼아 데이터를 유출하거나 기반 시스템을 감염시킵니다. 웹 애플리케이션 공격은 DDoS 공격보다 더 빈번하게 발생하는데 이로 인해 웹 애플리케이션 공격을 쉽게 간과할 수 있고 잠재적으로 더 큰 피해로 이어질 수 있습니다. 웹 애플리케 이션 공격은 매 분기마다 증가하고 있으며 3분기에는 공격 발생 빈도가 30% 증가했습니다. 이 중에서 85%의 공격에 가장 빈번 하게 이용되는 공격 기법인 SQL 인젝션(SQLi)이나 로컬 파일 인클루전(LFI)이 사용됐습니다.

Akamai가 관측한 웹 애플리케이션 공격 트래 픽의 가장 큰 발원 국가이자 표적 국가는 기존과 동일하게 미국이었습니다. 미국에서 3분기에 발생한 웹 애플리케이션 공격 건수 는 3억 건을 넘어섰는데, 이는 미국 다음 으로 많은 공격이 발생한 러시아의 약 5배 에 달하는 수치입니다.

분석 및 연구에 대한 자세한 내용은 보고서 전문을 다운로드하십시오.

웹 애플리케이션 공격 [2017년 3분기 vs 2017년 2분기]

• 총 웹 애플리케이션 공격 건수 30% 증가 • 미국에서 발원한 공격 48% 증가(최다 공격 발생 국가) • SQLi 공격 건수 19% 증가

40

35

30

25

20

15

10

5

0

Q4 2016 Q1 2017 Q2 2017

Att

acks

per

Cus

tom

er

30

25

32

Q3 2017

36

고객당 평균 DDoS 공격 건수 2016년 4분기~2017년 3분기

<100,000

100,000 – 1M

1M – 5M

5M – 10M

10M – 25M

>25M

NA

2017년 3분기 웹 애플리케이션 공격 발생 상위 국가

아카마이 소개Akamai는 가장 신뢰를 받는 세계 최대 규모의 클라우드 전송 플랫폼을 기반으로 고객이 사용하는 장소와 디바이스에 상관없이 안전하고 쾌적한 디지털 경험을 손쉽게 제공할 수 있도록 지원합니다. 전 세계 각지에 촘촘히 분산 배치된 Akamai 플랫폼은 130개 국가에 위치한 20만대의 서버로 구성되어 있으며 고객에게 탁월한 성능을 제공하고 위협을 방어합니다. 웹·모바일 성능 향상, 클라우드 보안, 기업 접속, 비디오 전송 솔루션으로 구성된 Akamai의 솔루션은 우수한 고객 서비스와 24시간 연중무휴 모니터링 서비스를 제공합니다.대표적인 금융 기관, 이커머스 기업, 미디어·엔터테인먼트 사업자, 정부 기관이 Akamai를 신뢰하는 이유를 알아보려면 Akamai 홈페이지(www.akamai.co.kr ) 또는 블로그(blogs.akamai.com)를 방문하거나 Twitter에서 @Akamai를 팔로우하십시오. 전 세계 Akamai 연락처 정보는 www.akamai.com/locations에서 확인할 수 있습니다. Akamai 코리아는 서울시 강남구 강남대로 382 메리츠타워 21층에 위치해 있으며 대표전화는 02-2193-7200입니다. 2017년 11월 발행

[인터넷 보안 현황 보고서]

인터넷 보안현황 보고서 팀 구성호세 아르테가, Akamai SIRT 리드, 데이터 랭글러 — 공격 분석 결과 데이브 루이스, 글로벌 보안 전문가 — DDoS 활동, 웹 애플리케이션 공격 활동 채드 시먼, Akamai SIRT — 공격 분석 결과, 미라이 지휘 통제 클러스터 윌버 메히아, Akamai SIRT — 공격 분석 결과 알렉상드르 라뿔림, Akamai SIRT — 공격 분석 결과 엘라드 슈스터, 보안 데이터 분석가, 위협 연구소 오르 카츠, 주요 리드 겸 보안 연구원 — 도메인 생성 알고리즘 존 톰슨, 고객 애널리틱스 쉬리지타 바타차르야, 인턴 — 미라이 지휘 통제 클러스터

편집부마틴 맥키, 수석 보안 전문가, 수석 편집자 아만다 파크레딘, 수석 테크니컬 라이터 겸 편집자

디자인숀 도티, 크리에이티브 디렉션브렌던 오하라, 아트 디렉션 및 디자인

연락처sotisecurity@akamai.comTwitter: @akamai_soti / @akamaiwww.akamai.com/stateoftheinternet-security

보고서 전문 다운로드

[인터넷 보안 현황 보고서]

2017년 3분기 보고서 전문