"악성 IP 주소보다 ASN 차단하는 게 더 효과적이다"

2017-08-30 17:06
  • 카카오톡
  • 네이버 블로그
  • url
악성 IP 주소의 세계 분포 현황 및 보안 대책에 대한 연구 나와
보안 수준 높이려면 위험 비율에 근거해 ASN 차단하는 게 효과적


[보안뉴스 오다인 기자] 악성 IP 주소의 세계 분포 현황 및 보안 대책에 대해 통찰을 제시하는 보고서가 위협 첩보 전문 업체 리코디드 퓨처(Recorded Future)에 의해 새롭게 발표됐다.


[이미지=iclickart]

리코디드 퓨처는 악성으로 알려진 IP 주소 400만 개를 각 주소가 속한 자율 시스템 번호(ASN: Autonomous System Numbers) 단위로 묶어 놓고, 각 ASN에 어떤 위험이 있는지 연구했다. 각 IP 주소는 현재 또는 과거에 위험하다고 알려진 것이며, ‘비정상’에서 ‘매우 위험’한 행동으로 범주가 나뉘었다.

ASN은 각기 다른 오퍼레이터가 관리하는 IP 서브넷을 식별하기 위해 고유하게 부여된 번호다. 리코디드 퓨처가 분석한 IP 주소 400만 개는 총 26,581개의 ASN 단위로 구분됐다. 리코디드 퓨처의 연구에 따르면, 악성 IP 주소를 일일이 차단하는 것보다 그런 주소가 일정 비율 이상인 ASN을 차단하는 것이 보안에 더 효과적이다.

이번 연구가 도출한 몇 가지 흥미로운 결과를 살펴보면, 중국은 다른 어떤 나라보다 악성이나 의심스런 IP 주소를 많이 갖고 있는 것으로 나타났다. 중국이 인터넷을 강력하게 통제한다는 사실을 생각해보면 악성 IP 수치가 높다는 사실은 중국 정부가 이런 악질적 사용에 대해 인지하고 있다는 뜻이라고 리코디드 퓨처는 설명했다.

러시아는 최근 수개월간 광범위한 악성 활동을 펼친 데 대해 비난받았는데, 악성 IP 주소 수준은 상대적으로 낮게 나타났다. 이 말은, 러시아의 악성 행위자들이 외국의 인프라를 활용하고 있다는 의미다. 놀랍게도 브라질은 러시아보다 악성 IP 주소가 20%나 더 많았다. 한국, 태국, 베트남, 인도 등 아시아 국가들은 러시아와 우크라이나보다 악성 IP 주소를 두 배나 많이 보유한 것으로 나타났다. 다른 나라보다 대체적으로 더 안전하다고 평가되는 미국의 경우, 악성 IP 수치가 중국에 이어 두 번째로 높았다.

리코디드 퓨처의 분석은 재밌는 통찰 하나를 더 제시한다. 악성 IP 주소가 가장 많은 ASN 두 가지는 모두 중국에 있는 것으로 밝혀졌다. 이 두 ASN은 현재 세계의 IP 서브넷 보유 순위 1위와 4위에 올라있다. 1위는 중국의 국가망인 차이나넷(Chinanet)이다.

그러나 리코디드 퓨처가 ASN을 악성 IP 주소의 비율과 함께 배치해놓고 보니, 완전히 다른 그림이 드러났다. 중국의 차이나넷이 악성 IP 주소를 가장 많이 갖고 있긴 하지만, 전체 차이나넷이 관리하는 IP 주소 총 1억 개를 두고 봤을 때 악성 IP 주소의 비율은 단 0.4%에 지나지 않았던 것이다. 절대량은 1위이지만 비율로 보면 그렇지도 않다는 것이다.

이와 대조적으로 러시아, 독일, 라트비아의 ASN의 경우, 절대적인 악성 IP 주소의 수치는 훨씬 작지만 비율은 100%가 악성인 것으로 나타났다. 해당 ASN에 속한 IP 주소 전체가 침해됐다는 뜻이다. 예를 들어 러시아의 ADM(ADM Service Ltd)은 리코디드 퓨처가 연구한 400만 개의 IP 주소 중에 단 511개만을 차지하고 있었지만 이 숫자는 ADM이 관리하는 IP 주소의 총량과 같다. ADM으로부터 나온 IP 주소들은 볼 것도 없이 악성이라는 것이다.

국가별로 봤을 때 악성 IP 주소의 비율이 2%가 넘는 ASN을 보유한 나라는 러시아와 브라질이었다. 리코디드 퓨처에 의하면 2%라는 수치는 의미 심장하다. 악성 IP 주소 문제가 고질적으로 정착되었다는 뜻이기 때문이다. 악성 IP 주소의 절대량이 아니라 ASN 내의 악성 IP 비율을 차단의 기준으로 삼아야 한다는 리코디드 퓨처의 주장은 이것에 근거한다.

미국이 지배적이다
한편 C&C와 관련된 IP 주소가 가장 많은 ASN을 검토한 결과, 미국이 지배적이었다. 이런 ASN 상위 3개가 모두 미국에 있었다. 상위 10개 목록에선 총 4개가 미국의 것이었다. 리코디드 퓨처가 멀웨어 샘플에서 하드코드된 IP 주소를 검사했을 때도 마찬가지의 결과가 나타났다.

악성 활동이 미국, 캐나다, 영국 같은 나라들에 기반을 두는 이유는 위협 행위자들이 자신의 트래픽을 가능한 한 무고하게 보이도록 만들고 싶어 하기 때문이라고 리코디드 퓨처는 추측했다.

네트워크 전문가라면 이번 연구가 ASN 차원의 위험 평가를 수행함으로써 인터넷의 위험한 부분을 선제적으로 식별하고 차단할 수 있다는 가능성을 제시했다는 데 주목해야 한다고 리코디드 퓨처의 최고 과학자 빌 라드(Bill Ladd)는 말한다. 그는 “국가별 수준 평가는 일반적인 상황 인식에 유용하며, ASN 차원의 평가는 공격을 차단하는 데 유용하게 활용될 수 있다”고 설명한다.

라드는 단순히 ASN과 연관된 악성 IP 주소의 총량만을 고려하지 말고 ASN의 위험 비율을 고려하는 게 더 유용하다고 강조한다. 고질적인 악성 IP 수준을 나타내는 ASN은 매우 적고, 이런 것들을 차단하면 부정적인 영향을 줄일 수 있을 것이라고 그는 말했다.

위험 비율에 근거해서 ASN을 차단하는 것은 효과적인 방법이다. 리코디드 퓨처가 가장 위험한 ASN 10개를 차단하는 조치를 실행한 결과 1,720개의 IP 주소가 선제적으로 동시에 차단됐다. 해당 IP 주소들은 추후 위험성이 드러났다. 리코디드 퓨처가 위험성이 6% 이상 판단된 ASN을 모두 차단하는 조치를 취하자 추후 위험성이 나타난 IP 주소 12,000개 가량이 선제적으로 차단되기도 했다.

“위험성이 높은 ASN은 식별할 수 있고 차단할 수도 있습니다.” 라드는 말한다. 전 세계 약 60,000개의 ASN이 있는데 이 모두를 평가하는 것은 불가능하다. 그러므로 위험성이 높은 순서대로 목록을 만드는 것이 필요하다고 라드는 지적한다. 가장 우선적으로 차단해야 할 것들의 목록을 짜야 하는 것이다. 조직들은 가장 위험한 ASN을 검토하고, 위험성과 사업적 가치에 근거해 차단 여부를 결정해야 한다.

라드는 “가장 위험한 ASN들을 식별하고 평가하라고 조직들에게 조언하고 싶다”며 “사업적인 가치가 적은 것들도 차단해야 한다고 권고한다”고 말했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 아마노코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 엔토스정보통신

    • 비전정보통신

    • 경인씨엔에스

    • (주)우경정보기술

    • 투윈스컴

    • 디비시스

    • 다후아테크놀로지코리아

    • 트루엔

    • 동양유니텍

    • 세연테크

    • 위트콘

    • 이오씨

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 포엠아이텍

    • 티에스아이솔루션

    • 넥스트림

    • 안랩

    • 데이티스바넷

    • 시큐어링크

    • 지란지교데이터

    • 삼오씨엔에스

    • 위즈코리아

    • 피앤피시큐어

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 앤디코

    • 케이제이테크

    • 알에프코리아

    • 사라다

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 유투에스알

    • 이스트컨트롤

    • 태정이엔지

    • 네티마시스템

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 미래시그널

    • 두레옵트로닉스

    • 엘림광통신

    • 에스에스티랩

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 보문테크닉스

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 신화시스템

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기