2024-03-29 22:50 (금)
크립토재킹 공격, 전년 대비 8천500% ↑...한국, 표적공격 대상 6위
상태바
크립토재킹 공격, 전년 대비 8천500% ↑...한국, 표적공격 대상 6위
  • 길민권 기자
  • 승인 2018.04.03 15:41
이 기사를 공유합니다

표적 공격의 대다수는 이메일 통한 스피어 피싱 기법 이용

▲ 윤광택 시만텍코리아 CTO. 시만텍 2017년 보안위협보고서에 대해 설명하고 있다.
▲ 윤광택 시만텍코리아 CTO. 시만텍 2017년 보안위협보고서에 대해 설명하고 있다.
시만텍은 3일 기자간담회를 열고 2017년 인터넷 보안 위협 보고서 분석 내용을 공개했다.

이번 제 23호 보고서에 따르면, ▲크립토재킹 공격 8천500% 폭증 ▲소프트웨어 공급망(Supply Chain) 이용한 악성코드 유포 200% 증가 ▲표적 공격의 대다수, 이메일 통한 스피어 피싱 기법 이용 ▲모바일 악성코드 급증세 지속 ▲비즈니스에 탁월한 사이버 범죄자, 랜섬웨어로 이익 추구 등이 2017년 주요 보안 위협 동향으로 조사됐다.

시만텍코리아 윤광택 CTO는 “암호화폐의 막대한 수익성을 노리고 개인과 기업의 시스템에 무단으로 침투해 전력과 리소스를 훔치는 크립토재킹이 폭발적으로 증가하고, 견고한 보안망을 뚫기 위해 소프트웨어 공급망을 이용해 악성코드를 유포하는 공격이 대두되는 등 사이버 보안 위협 지형에 거대한 변화가 일어나고 있다”며 “사이버 범죄자들이 상업화〮조직화되는 경향이 가속화되면서 가성비가 뛰어난 진화된 수법을 이용하고 있는 만큼, 새로운 차원의 통합적인 보안 대응 방안이 필요하다”고 말했다.

Y-2.jpg
◇크립토재킹(cryptojacking) 골드러시

2017년 한 해 암호화폐의 가치가 천문학적으로 상승하자 사이버 범죄자들은 암호화폐 채굴을 통한 막대한 수익을 쫓아 ‘크립토재킹(cryptojacking) 골드러시’가 일어났다. 이에 따라 2017년 한 해 엔드포인트 컴퓨터에서 암호화폐 채굴 악성코드(coinminer)의 탐지 건수가 1월 약 2만 건에서 12월 약 170만 건으로 무려 8,500% 가량 증가했다.

암호화폐(cryptocurrency)와 하이재킹(hijacking)의 합성어인 ‘크립토재킹’은 사이버 범죄자가 개인 사용자 및 기업의 컴퓨터와 클라우드에 암호화폐 채굴 악성코드를 설치함으로써 전력과 CPU 리소스를 가로채 암호화폐 채굴에 이용하는 것을 말한다. 단 두 줄의 코드 삽입만으로도 운용이 가능해 진입장벽이 낮다. 사용자 모르게 시스템에 설치된 암호화폐 채굴 악성코드는 기기를 느려지게 하고 배터리 과열을 일으키며, 경우에 따라 사용 불가 상태로 만들기도 한다. 기업의 경우, 암호화폐 채굴 악성코드로 인해 기업 네트워크가 중단될 수 있으며, 클라우드 CPU 사용량을 상승시켜 높은 사용요금이 부과될 수 있다.

특히 브라우저를 기반으로 한 크립토재킹 공격이 크게 증가하면서 지난 해 12월에는 기업보다 개인이 소유한 기기에서 암호화폐 채굴 악성코드가 2배나 많이 탐지되었다. 이는 암호화폐 채굴 작업이 동영상 스트리밍 사이트와 같이 오래 머무르는 사이트에서 효과적이기 때문에 기업보다는 개인사용자들에게 더 영향이 있었을 것으로 분석된다.

이러한 상황에서 IoT 기기는 크립토재킹 공격에 이용하기 좋은 타깃이 될 것으로 보인다. 시만텍의 조사에 따르면, IoT를 겨냥한 공격은 2016년 약 6천개에서 2017년에 약 5만개로 증가했다. 사이버 범죄자는 네트워크에 연결된 IoT 기기의 특성을 악용해 대규모 채굴을 시도할 수 있다. 또한, 맥(Mac) OS를 겨냥한 암호화폐 채굴 공격 또한 80% 증가함으로써 맥 컴퓨터도 더 이상 안전지대가 아님을 알 수 있다.

◇SW 공급망(Supply Chain) 이용한 악성코드 유포 200% 증가

소프트웨어 공급망을 해킹한 뒤 자동 업데이트를 악용해 악성코드를 유포하는 사이버 공격은 2017년 12건으로 2016년 4건 대비 200% 증가했다. 매달 1건의 공격이 발생한 셈이다. 범죄자는 공인된 소프트웨어의 업데이트를 하이재킹함으로써, 업데이트를 실행하는 사용자의 시스템 및 네트워크를 2차 공격한다. 이와 같은 방법으로 공격자들은 보안이 뛰어난 네트워크를 공격할 수 있는 진입 경로를 확보할 수 있게 된다. 이러한 공급망 공격의 가장 대표적인 사례가 2017년 발생한 페트야/낫페트야(Petya/NotPetya) 악성코드다. 페트야는 우크라이나 회계 소프트웨어를 진입 경로로 이용해 다양한 방법으로 기업 네트워크 전반에 악성코드를 확산〮유포한 바 있다.

◇표적 공격...이메일 통한 스피어 피싱 기법 이용

시만텍이 현재 추적하고 있는 140개의 조직화된 범죄 집단을 비롯해, 표적 공격 그룹의 수는 증가하고 있다. 지난 해 전체 표적 공격의 71%가 고전적인 수법으로 이메일을 이용하는 스피어 피싱(spear phishing) 공격을 감행해 타깃을 감염시켰다. 표적 공격 그룹이 기업 및 조직에 침투하기 위해 이미 검증된 전술들을 이용하는 경향이 계속되면서, 제로데이 공격은 인기가 시들해지고 있다. 표적 공격 그룹 140개 중 가운데 불과 27%만이 과거에 제로데이 취약점을 이용한 것으로 알려졌다. 시만텍이 조사한 바에 따르면, 표적 공격의 90%가 정보 수집을 목적으로 하고 있는 것으로 밝혀졌다. 또한, 한국의 경우 2017년 발생한 표적 공격이 총 45건으로, 미국, 인도, 일본, 대만, 우크라이나에 이어 전 세계 6위를 기록했다.

◇모바일 악성코드 급증세 지속

2017년 신규 모바일 악성코드 변종의 수가 2016년 대비 54% 증가하는 등 모바일 공간에서의 위협은 매년 지속적으로 증가하고 있다. 시만텍은 지난 해 매일 평균 24,000개의 악성 모바일 애플리케이션을 차단했다. 문제를 더 심각하게 만드는 것은 오래된 운영 체제가 계속 사용되고 있다는 점이다. 실제로, 안드로이드 OS의 경우 최신 버전 업데이트 기기는 20%이며, 최신 마이너 버전까지 업데이트한 기기는 단 2.3%에 불과하다.

완전히 악성은 아니지만 문제를 일으킬 여지가 있는 그레이웨어(grayware) 앱 또한 모바일 사용자의 개인 정보 보안을 위협하고 있다. 시만텍 조사 결과 그레이웨어 앱의 63%가 기기의 전화번호를 유출한 것으로 나타났다. 2017년 그레이웨어는 20%나 증가했으며, 이 문제는 계속될 것으로 보인다.

◇사이버 범죄자, 랜섬웨어로 이익 추구

2016년 랜섬웨어 시장은 그 수익성으로 호황을 누리며 금전 요구액 또한 지나치게 높은 경향을 보였다. ‘시장 조정’ 국면에 들어선 2017년 랜섬웨어 시장에서 평균 금전 요구액은 522달러로, 2016년 1,070달러의 절반 이하로 낮아졌으며, 이는 랜섬웨어가 일상적인 악성코드로 자리매김했음을 의미한다. 많은 사이버 범죄자들이 암호화폐의 가치가 높아지면서 수익 실현의 대안으로 보고 암호화폐 채굴로 눈을 돌린 것으로 분석된다. 이와 함께, 랜섬웨어 패밀리(동일한 범주의 변종 악성코드 집합)의 수는 2016년의 98개에서 2017년에 28개로 크게 감소했지만, 랜섬웨어 변종 수는 46% 증가해 사이버 범죄자 그룹들이 예전만큼 혁신적이지는 않지만 아직도 왕성하게 활동 중임을 알 수 있다.

시만텍은 진화하는 사이버 공격에 대응하기 위해 기업 및 개인사용자가 스스로를 보호하기 위해 다양한 조치를 취할 수 있도록 다음과 같은 보안 수칙을 권고한다.

◇기업 보안 수칙

-무방비 상태로 잡히지 마라: 최신 위협 인텔리전스 솔루션을 이용해 감염 징후를 찾고 발빠르게 대응한다.

-최악의 상황에 대비한다: 사고 관리를 통해 보안 프레임워크를 최적화하고, 측정가능하며 반복해서 적용할 수 있도록 해야 한다. 과거 사건으로부터 배운 교훈을 기반으로 보안 체계를 개선한다. 위기 관리에 대한 도움을 받기 위해 써드파티 전문가의 리테이너 서비스를 고려할 수 있다.

-다계층 보안 전략을 실시한다: 게이트웨이, 메일 서버 및 엔드포인트를 통한 공격들에 대응하기 위해 다계층 방어 전략을 실시한다. 이중 인증, 침입 방지 및 보호 시스템(IPS), 웹사이트 취약점 악성코드 보호, 웹 보안 솔루션을 포함해야 한다.

-악성 이메일에 대한 지속적인 훈련을 제공한다: 직원들을 대상으로 내부 보고 절차를 포함해 스피어 피싱 이메일과 기타 악성 이메일 공격에 대한 교육을 실시한다.

-리소스 모니터링: 리소스 및 네트워크 환경에서 비정상적이거나 의심스러운 행위를 모니터링하고, 이를 전문가의 위협 인텔리전스를 활용해 상호 연관성을 분석한다.

◇개인사용자 보안 수칙

-기기 및 서비스의 초기 설정된 비밀번호를 변경한다: 컴퓨터나 IoT 기기, 와이파이 네트워크에서는 쉽게 상상하기 어려운 강력한 비밀번호를 사용한다. ‘123456’, ‘password’ 같이 흔하거나 예상하기 쉬운 비밀번호는 사용하지 않는다.

-운영 시스템과 소프트웨어를 최신 상태로 유지한다: 소프트웨어 업데이트에는 공격자가 악용할 수 있는 신종 보안 취약점에 대한 패치를 포함하는 경우가 많다.

-이메일에 각별한 주의를 기울인다: 이메일은 가장 주요한 감염 경로 중 하나이다. 링크나 첨부파일을 포함한 의심스러운 이메일은 삭제하는 것이 좋다. 특히, 내용을 보기 위해 매크로를 활성화하도록 유도하는 MS 오피스 첨부 파일이 있는 이메일은 더욱 주의해야 한다.

-파일을 백업해둔다: 랜섬웨어 감염 피해를 막기 위한 하나의 가장 효과적인 방법은 데이터를 백업해 두는 것이다. 공격자는 파일을 암호화해서 피해자가 접근할 수 없게 만든다. 이 때 백업 사본이 있다면, 감염을 치료하고 파일을 복구할 수 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★