omniture

아카마이, 아태지역 악성 DNS 트래픽의 주요 원인으로 큐스내치 지목

Akamai Technologies, Inc.
2023-03-31 16:24 623

아카마이, 기업 환경에 대한 최대 봇넷 위협으로 큐스내치(QSnatch) 감염 꼽아

공격 시 서버 가동 중단, 데이터 유출, 서비스 중단 위험 발생 … 지난해 전세계 기업의 12%서 공격 흔적 발견

대한민국 서울, 2023년 3월 31일 /PRNewswire/ -- 온라인 라이프를 지원하고 보호하는 클라우드 기업 아카마이(아카마이코리아 대표 이경준, www.akamai.co.kr)가 악성 DNS(Domain Name System) 트래픽으로 인해 아시아태평양지역(이하 아태지역)의 기업 및 소비자들이 받는 위협을 중점적으로 다룬 새로운 인터넷 현황 보고서를 발표했다.

해당 아태지역(APAC) 보고서의 주요 내용은 다음과 같다.

  • 큐스내치(Qsnatch), 아태지역의 최대 봇넷 위협으로 성장: 큐스내치는 기업의 백업 또는 파일 저장에 사용되는 NAS(Network Attached Storage) 디바이스 업체인 큐냅(QNAP)을 표적으로 하는 악성코드로, 2022년 아태지역 기업 환경의 봇넷 위협 중 최대 규모인 것으로 나타났다. 아태지역에서 이에 영향을 받은 디바이스 중 큐스내치에 감염된 비율은 60%에 달했으며, 감염된 디바이스의 수는 북미에 이어 전 세계 2위를 기록했다.
  • 기업 지휘통제(Command and Control, 이하 C2) 트래픽 증가: 전 세계 10%에서 16%에 달하는 기업들이 매 분기 사내 네트워크에서 C2 트래픽을 발견하는데, 이는 공격 또는 침입이 진행 중일 가능성을 나타낸다. 아카마이는 아태지역에서 영향을 받은 디바이스 중 약 15%가 초기 접근 브로커(Initial Access Broker, IAB)들의 도메인으로 향하는 것을 관측했다. 이들은 사이버 범죄 조직으로, 유출된 네트워크에 무단 접속할 수 있는 권한을 랜섬웨어 그룹과 같은 사이버 범죄자들에게 판매한다.
  • 아태지역의 홈 네트워크 위협, 전세계에서 가장 높아: 아태지역의 소비자 홈 네트워크 위협은 전세계 최고치를 기록했다. 2022년 하반기 아태지역의 악성 쿼리 수는 전 세계 2위였던 북미보다 두 배나 많은 것으로 나타났다. 또한, 아태지역에서 3억 5천만 건 이상의 쿼리가 Pykspa(스카이프를 통해 감염된 사용자의 연락처로 악성 링크를 전송해 정보를 빼내는 웜)에 관련되어 있는 것으로 확인됐다.

기업들을 점점 더 위협하는 DNS 공격

인터넷 사용 시 대부분 DNS를 활용하는 만큼, DNS는 이러한 편재성으로 인해 공격 인프라의 중요한 부분이 됐다. 아카마이는 매일 7조 건에 달하는 DNS 요청을 관찰하면서 악성 DNS 트랜잭션을 멀웨어, 피싱, C2로 이루어진 세 가지 주요 카테고리로 분류했다.

아카마이의 데이터에 따르면, 전 세계 기업 중 10%에서 16%가 매 분기 사내 네트워크에서 C2 트래픽을 감지했다. C2 트래픽이 존재한다는 것은 공격 또는 침입 가능성이 있음을 나타내며, 그 위협은 봇넷 도용부터 유출된 네트워크에 대한 무단 접속 권한을 다른 사이버 범죄자에게 판매하는 IAB에 이르기까지 다양하다.

영향을 받는 아태지역 내 디바이스 중 15%는 이모텟(Emotet)과 같이 이미 알려진 IAB C2도메인에 접속했으며, 이 도메인은 초기 침투를 실행한 후 락비트(Lockbit)와 같은 랜섬웨어 그룹 및 기타 사이버 범죄 그룹에 접속 권한을 판매했다. 또한 아태지역에서는 레빌(REvil) 및 락비트와 같은 변종 랜섬웨어가 전체 기업의 디바이스에 영향을 미치는 상위 5종의 C2 위협으로 증가한 것을 확인됐다.

NAS 디바이스는 패치 될 가능성이 낮으면서도 귀중한 데이터를 보관하고 있을 가능성은 높기 때문에 악용되기 쉽다. 아카마이 데이터에 따르면, 2022년 아태지역에서 영향을 받은 디바이스 중 60% 가까이는 NAS 디바이스를 타겟으로 삼는 큐스내치에 감염되어, 북미 다음으로 높은 감염 건수를 기록했다. 아태지역에 데이터 센터가 대규모로 집중되어 있고 중소기업들이 NAS 디바이스를 많이 사용하기 때문에 전반적인 감염 수가 증가했을 가능성이 높다.

루벤 코(Reuben Koh) 아카마이 아시아태평양 및 일본 지역 보안 기술 및 전략 담당 디렉터는 "아태지역이 경제 및 디지털 전환의 글로벌 허브로서 진화를 가속하고 있는 만큼, 공격자들이 금전적 이익을 위해 이태지역 기업들에 대한 공격 방안들을 계속해서 모색하는 것은 그리 놀라운 일이 아니다."라며, "아카마이의 최신 연구 결과는 각 지역에서 가장 많이 발생하는 공격 방식을 조명할 뿐 아니라, 멀티스테이지(multi-stage) 공격이 오늘날 아태지역의 사이버 환경에 주요하게 자리 잡았다는 것을 보여준다."고 말했다. 또한, 그는 "공격자들은 한번의 공격에도 다양한 툴을 결합하여 사용하거나 협업할 때 성공할 확률이 높다는 것을 깨닫고 있다. C2 인프라는 통신 뿐 아니라 페이로드(payload) 다운로드나 다음 단계의 멀웨어가 공격을 이어가도록 만드는 데 활용될 수 있기 때문에 공격의 성공에 중추적인 역할을 한다."고 설명했다.

더불어, 루벤 코 디렉터는 "멀티스테이지 공격이 비즈니스에 손해를 입히는 것을 막으려면 기업들은 공격자보다 앞서 있어야 한다. 이로 인한 피해에는 직접적인 재정 손실과 고객 신뢰 하락 등의 즉각적인 영향 외에도 감염된 인프라를 복구하는데 소요되는 법률, 상환, 정리 비용 등 장기적인 비용도 있다."고 덧붙였다.

홈 네트워크도 DNS 공격 주의

공격자는 네트워크 침투 시 더 큰 이득을 얻을 수 있는 기업을 겨냥하는 경우가 많지만, 홈 네트워크는 기업 환경에 비해 보안에 취약하기 때문에 더 쉽고 빠른 공격을 위한 표적이 될 수 있으므로 가정 사용자들도 안심해서는 안 된다. 공격자는 컴퓨터와 같은 전통적인 디바이스 뿐만 아니라 휴대전화와 IoT 디바이스도 악용하려고 한다.

아카마이의 데이터에 따르면, 2022년 하반기 홈 네트워크 위협과 관련된 쿼리의 수가 가장 높았던 지역은 아태지역으로, 관련 쿼리 수가 전세계 두 번째로 많았던 북미보다 두 배나 높은 수치를 기록했다.

아태지역에서는 감염된 사용자가 가지고 있는 연락처에 스카이프로 악성 링크를 전송하면서 확산시키는 위협인 Pykspa에 관련된 쿼리가 3억 5천만 건 이상 관측됐다. 이는 백도어 기능을 사용해 공격자가 원격 시스템에 연결될 수 있도록 하고, 파일 다운로드나 프로세스 종료 등의 임의 명령을 실행하며, 매핑 된 드라이브 및 네트워크 공유를 포함한 다양한 방법들을 통해 전파된다.

피싱 캠페인은 아태지역의 금융 브랜드를 적극적으로 겨냥해서 순진한 금융 고객들을 피싱으로 유인한다. 아카마이의 조사 결과, 피싱 캠페인의 40% 이상이 금융 서비스 고객을 대상으로 한 것으로 나타났으며, 전체 피해자들 중 금융 관련 피싱 사기 및 공격으로 피해를 입은 비율이 약 70%에 이르는 것으로 드러났다. 2022년에 금융 서비스 및 금융 고객을 대상으로 한 공격이 매우 효과적이었다는 것을 보여준다.

루벤 코 디렉터는 "네트워크 감염 시 홈 네트워크 사용자들은 모든 데이터를 잃어버리는 개인적인 피해를 입을 수 있을 뿐 아니라, 인지하지 못하는 사이에 자신의 디바이스가 대규모 봇넷, 즉 공격자가 좀비 디바이스들을 동원하여 기업을 대상으로 스팸 메일을 보내거나 DDoS 공격을 하는 사이버 범죄 활동의 일부가 되어 치명적인 피해를 일으킬 수 있다."고 말했다.

그는 "오늘날 아태지역에서 모바일 인터넷 서비스에 접속하는 사람이 12억여 명에 이르고[1] 2026년 IoT 지출이 4360억 달러에 이를 것으로 전망되는 가운데[2], 아태지역에서의 공격이 증가하고 있는 것은 그리 놀라운 일이 아니다. 모바일 및 스마트 디바이스의 사용 및 도입이 지속적으로 증가함에 따라 공격 또한 늘어날 것으로 예상되는 만큼, 홈 네트워크 사용자들은 사이버 공격의 피해자가 되지 않도록 경계해야 한다."고 덧붙였다.

기업 및 홈 네트워크 사용자를 위한 조언
아카마이는 DNS 환경 분석 결과를 기반으로, 기업 및 홈 사용자들을 위한 권장 사항을 다음과 같이 발표했다.

  • 모든 디지털 자산 및 사용자들에 대해 최적의 사이버 보안 위생 관행을 보장하는 데 적극적으로 임할 것.
    • o  기업은 먼저 모든 소프트웨어 및 하드웨어 자산의 가시성을 확보하고 DDoS 방어, 멀웨어 공격, 스크래핑은 물론 측면 이동과 유출 등 기업의 데이터 이동 과정의 모든 단계에서 주요 취약점과 데이터를 이동하는 데 필요한 제어 수단을 파악하는 것부터 시작해야 한다.
    • o  모든 시스템 및 소프트웨어를 업데이트하고, 멀웨어 방지 및 멀티 팩터 인증을 구축하고, 항상 사용자와 디바이스에 대한 최소한의 권한 접속을 적용한다. 대기업, 혹은 보다 복잡한 요구 사항이 필요한 기업의 경우 전문 공급업체에 도움을 요청하되 성능과 이상현상 모니터링 또한 계속해서 적극적으로 수행해야 한다.
  • 가정에서 바람직한 보안 관행을 유지할 것.
    • o  홈 네트워크 사용자는 정기적으로 소프트웨어를 업데이트하고 멀웨어 방지 소프트웨어를 설치하며 가정용 와이파이(WIFI) 네트워크에 WPA2 AES 또는 WPA3 암호화를 사용해 모든 디바이스를 보호하는 선제적 조치를 취해야 한다. 또한 의심스러운 웹 사이트, 다운로드, 이메일 또는 문자 메시지에 각별한 주의를 기울여야 한다.

아카마이 소개

아카마이는 온라인 환경에서의 경험을 지원하고 보호한다. 전 세계 주요 기업들은 매일 수십 억 명 고객의 생활, 업무, 여가를 지원하고 디지털 경험을 안전하게 제공하기 위해 아카마이 솔루션을 활용한다. 클라우드에서 엣지에 이르는 전 세계 가장 분산된 플랫폼을 통해, 아카마이는 고객들이 애플리케이션을 쉽게 개발하고 운영할 수 있도록 하며, 사용자와 가까운 곳에서 경험을 제공하고 위협을 먼 곳에서 차단한다. 아카마이의 보안, 컴퓨팅, 전송 솔루션에 대한 자세한 내용은 아카마이 웹사이트(akamai.com), 블로그(akamai.com/blog)를 방문하거나, 트위터(Twitter)와 링크드인(LinkedIn)에서 확인할 수 있다.

보도자료 문의
Akamai APJ
Rita Aspen raspen@akamai.com | +65 6576 9318
Sabrina Poh spoh@akamai.com  | +65 6360 1343

Sunny Relations kr.akamai@sunnypr.co.kr
김비전 AE 02-2084-9229
이정환 대리 02-2084-9315
박예슬 본부장 02-2084-9230

심벌 마크 - https://mma.prnasia.com/media2/384815/3965769/akamai_logo__002_.jpg?p=medium600

출처: Akamai Technologies, Inc.
관련 주식:
NASDAQ-NMS:AKAM