[굿모닝코리아=편집국]2015년 상반기에는 대규모 개인정보 유출 사건이나 전산망 마비 사태 등은 발생하지 않았다.
그러나 그 동안 보안 전문가들이 예측했던 위협들이 구체적인 사실과 사건으로 증명되었다는 점을 주목해야 한다.
이전까지 국내에는 큰 영향을 미치지 않았던 랜섬웨어가 본격적인 활동을 시작했다. 또한 2014년 연말에 시작된 한국수력원자력(이하 한수원) 정보유출 사건부터 현재 이슈의 중심에 있는 해킹팀 사건까지. 한수원 사건은 대표적인 지능형 지속 위협 APT(Advanced Persistent Threat) 공격 사례이며, 해킹팀 사건은 ‘제로데이 취약점’이 고가의 사이버 공격 무기로 거래되는 블랙마켓의 실상을 그대로 나타냈다.
하반기에는 스마트폰 이용자 증가와 모바일 비즈니스 활성화에 따라 모바일을 겨냥한 위협이 더욱 증가할 것으로 전망된다. 또한 응용 프로그램의 취약점을 악용한 제로데이 공격이 더욱 거세질 것으로 예측되고 있다.
이 글에서는 안랩의 글로벌 보안 대응조직인 ASEC(AhnLab Security Emergency response Center) 전문가들이 선정한 2015년 상반기 보안 이슈 결산 Top 5와 하반기 보안 이슈 전망 Top 5를 각각 소개한다.
2015 상반기 위협 Top 5
01 국내를 강타한 ‘랜섬웨어’
2015년 4월 국내 커뮤니티 사이트의 배너 링크를 통해 크게 퍼진 크립토락커(CryptoLocker) 랜섬웨어는 상반기 가장 큰 이슈였다. 크립토락커는 2013년에 처음 발견되었으며, 2014년에는 해외에서 가장 이슈가 되었던 악성코드 중 하나이다.
해당 랜섬웨어는 주로 이메일을 통해 유포되는데, 국내 사례에서도 볼 수 있듯이 배너 등의 취약한 웹페이지를 이용하기도 한다. 랜섬웨어는 특정 파일들을 암호화하고, 이를 복원하기 위해서는 결제가 필요하다는 경고문과 그 절차를 안내한다. 이렇게 암호화된 파일을 인질로 삼아 몸값을 요구하는 악성코드를 랜섬웨어(Ransomware)라고 통칭하고 있다. 국내에서 유포되는 랜섬웨어 가운데에서는 크립토락커류가 가장 유명하며, 최근에는 컴퓨터 게임 파일들을 대상으로 한 ‘테슬라크립트(TeslaCypt)’, 파일을 암호화하는 것이 아니라 인코딩을 하는 ‘나부커(Nabucur)’, 이메일을 통해 유포되며 국내에서 꾸준히 발견되는 ‘크립토월(CryptoWall)’ 등이 기승을 부리고 있다.
테슬라크립트와 나부커의 경우에는 백신 등으로 파일 복원이 가능하지만 다른 랜섬웨어류는 복원 키 값을 얻지 못하면 복원할 방법이 없기 때문에 사용자들의 각별한 주의가 필요하다.
한편, 아직 국내에서는 모바일을 대상으로 하는 랜섬웨어가 발견되지는 않았다. 하지만 해외에서는 단말기의 사용을 제한하고 사용자에게 금전을 요구하는 방식의 모바일 랜섬웨어가 발견되고 있으며 계속 증가하고 있는 추세이다.
02 지속적인 금융사기 위협 증가
올 상반기에는 금융정보를 겨냥한 공격이 국내외에서 화제가 되었다. 해외에서는 금융 기업을 목표로 한 다이어(Dyre) 공격이 유행했다. 다이어 공격은 스팸메일에 악성코드 ‘어파트레 다운로더(Downloader.Upatre)’를 첨부하고, 파일을 실행할 경우 감염된 시스템의 개인 및 금융 정보를 탈취한다. 2014년부터 발견되었으며, 계속해서 증가하는 추세이다. 국내에서는 파밍(Pharming) 공격이라고 불리는 뱅키(Banki)류 악성코드의 위협이 있다. 보안 취약점을 이용한 드라이브 바이 다운로드(Drive-By-Download) 공격부터 불필요한 프로그램(Potentially Unwanted Program)의 업데이트 모듈을 변조하는 방법까지 공격 방식이 다양해지고 있다.
이러한 뱅키류 악성코드는 안티바이러스(Anti-Virus, 이하 AV) 솔루션 탐지를 회피하기 위해 특정 응용프로그램에서 원격코드를 실행하는(DLL Planting) 기법을 이용하거나 시스템 파일에 악성 파일을 삽입(Injection)하는 등 점점 변화하고 있다.
03 다양한 형태로 진화하고 있는 악성 메일의 유포 확산
의심스러운 메일에 첨부된 파일의 실행을 자제하도록 권고하고 있지만, 메일을 통한 악성코드 감염은 꾸준히 발견되고 있다. 고전적 수법인 국제 운송업체, 금융기업에서 보낸 메일로 위장한 악성코드가 다수의 사용자에게 유포되어 악성코드 감염 사례가 증가했다. 메르스(MERS), 안심전환대출과 같은 사회적 이슈를 이용해 사용자의 이목을 끄는 메일도 발견됐다. 상반기에 메일로 유포된 악성코드는 대부분 랜섬웨어, 백도어, 다운로더류 악성코드로, 파일 암호화 및 금융 정보 탈취로 사용자에게 큰 피해를 입혔다.
한편 특정 인물이나 집단을 겨냥한 표적형 악성 메일 ‘스피어 피싱’이 더욱 정교하고 고도화된 형태로 등장하고 있어 사용자의 세심한 주의가 필요하다.
04 공유기 및 홈 네트워크 제품에 대한 공격 증가
해킹 그룹인 리자드 스쿼드(Lizard Squad)가 지난 2014년 11월과 12월 마이크로소프트 엑스박스 라이브(Xbox Live)와 소니 플레이스테이션 네트워크(Sony PlayStation Network)에 디도스 공격을 가했다. 이들은 인터넷 공유기에 악성코드를 감염시켜 공격한 것으로 알려졌다. 인터넷 공유기뿐 아니라 IP 카메라(베이비 모니터), CCTV 등의 취약점이 발견되고 있으며, 이들에 대한 공격도 증가하고 있다. 국내에서도 인터넷 공유기의 보안 취약점을 이용해 DNS 주소를 변경, 사용자가 유명 사이트로 접속할 때 가짜 웹 사이트로 유도하거나 악성코드를 배포하는 일이 꾸준히 발생하고 있다. 제조 업체에서는 취약점이 해결된 최신 펌웨어를 제공하고 있지만 대부분의 사용자들이 펌웨어 업데이트의 중요성을 간과하거나 업데이트 방법을 알지 못해 그대로 사용하는 경우가 많다. 앞으로 인터넷에 연결된 이러한 기기들에 대한 공격은 더욱 증가할 것으로 예상된다.
한편 모바일에서는 접속한 기기의 운영체제가 안드로이드일 경우, 크롬 등을 사칭하며 새 버전으로 업데이트 하라는 문구를 띄워 악성 앱 설치를 유도한다. 상반기에는 이러한 형태의 악성 앱이 다수 발견되었으며, 설치된 악성 앱은 사용자의 개인정보와 금융정보를 탈취한다.
05 응용프로그램 취약점 증가
2014년 4월, 암호화 라이브러리 OpenSSL 취약점인 하트브리드(HeartBleed, CVE-2014-0160)가 공개된 이후로 범용적으로 사용되는 프로토콜에 대한 취약점이 줄줄이 공개되었다. 2014년 9월에는 배쉬(Bash) 쉘에 대한 취약점 쉘쇼크(Shellshock, CVE-2014-6271)가, 2014년 10월에는 SSL 3.0 프로토콜에 대한 푸들(Poodle, CVE-2014-3566) 취약점이 발표되었다. 쉘쇼크 취약점은 여전히 악성코드 다운로드 및 실행에 이용되고 있어 보안에 큰 위협 요소이다.
올해 상반기에도 이러한 응용프로그램에 대한 취약점이 연이어 공개되었다. 새해부터 리눅스 glibc 라이브러리 함수의 버퍼오버플로우 취약점인 고스트(Ghost, CVE-2015-0235)가 공개되었고, 3월에는 SSL 프로토콜 관련 프릭 취약점(Freak, CVE-2015-0204)이 보고되었다. 4월에 공개된 HTTP.sys 원격 코드 실행 취약점(MS15-034, CVE-2015-1635)은 간단한 HTTP 프로토콜 레인지(Range) 헤더 조작으로 공격이 가능해 많은 공격 시도가 보고되고 있다.
위에서 나열한 응용프로그램 취약점은 대부분 서버 단에 존재하여, 긴급 패치 작업이 많은 보안/서버 관리자에게 근심거리가 되고 있다. 하반기에도 이러한 응용프로그램 취약점들이 공개될 것으로 예상되므로 긴급 패치 프로세스 정비가 필요하다.
2015 하반기 위협 전망 Top 5
01 악성코드, 모바일 결제 서비스로 ‘시선 돌리나’
핀테크가 활성화 되면서 전자결제 플랫폼이 PC에서 모바일로 옮겨가고 있다. 스마트폰이 신용카드의 역할을 대신하는 만큼, 모바일 보안의 중요성이 커질 것으로 예상된다. 현재 해외에서 사용되는 핀테크들을 살펴보면 과거 애플페이에서 중복결제와 도용사고가 발생하였고, 중국의 유명 결제 플랫폼인 알리페이에서도 취약점이 발견된 바 있다. 국내에서도 삼성, 네이버, 카카오 등 핀테크 서비스가 속속 등장하고 있다. 아직까지 국내 핀테크 서비스에 대한 악성코드나 취약점은 발견된 바 없지만, 악성코드 제작자들이 금전적 이익을 쫓는 만큼 공격 대상이 될 가능성이 매우 높다. 보안 위협에 대한 핀테크 업체들의 고민이 필요할 것으로 예상된다.
02 모바일 겨냥한 랜섬웨어 현실화?
스마트폰 이용자가 늘어나고 많은 개인정보와 데이터가 저장된 만큼 스마트폰도 랜섬웨어 공격자들에게 매력적인 대상이다. 해외에서는 다양한 종류의 안드로이드 랜섬웨어가 등장하고 있고 피해 사례도 늘어나고 있다. 현재 안드로이드 스마트폰을 대상으로 하는 모바일 랜섬웨어는 주로 정상적인 단말기 이용이 불가능하게 하는 방식이나 데이터를 암호화하는 방식을 사용하고 있다.
이러한 모바일 랜섬웨어는 주로 러시아, 유럽, 북미 등을 대상으로 하고 달러, 비트코인, 루블화 등의 화폐를 요구한다. 국내에서는 그 동안 ‘뱅쿤’ 이라는 금전을 목적으로 하는 악성 앱이 유행하였는데, 금전을 목적으로 하는 모바일 랜섬웨어도 국내 사용자를 대상으로 등장할 가능성이 크다. 특히, 유명 보안 백신 앱을 사칭하거나 금융 앱을 사칭하며 스미싱을 통해 전파될 수 있다. 또한 해외처럼 음란물을 이용한 전파도 충분히 가능하다. 기존 방법과 유사하게 단말기 사용 제한 및 암호화 등의 방법을 사용하여 추적이 어려운 방식으로 금전을 요구할 것으로 보인다.
03 악성코드 지역화 및 확장
악성코드의 지역화는 지난 10년간 꾸준히 지속되고 있다. 5월 일본에서 발생한 개인정보 유출에 이용된 악성코드는 철저히 일본인에 맞게 제작된 대표적인 예이다. 한편 일부 악성코드 제작자들은 수익을 늘리기 위해 공격 지역을 확장하고 있다. 국내 인터넷 뱅킹 사용자를 노리던 악성코드 제작자들이 일본 지역으로도 확장하고 있고, 주로 유럽 지역 인터넷 뱅킹 사용자를 노리던 다이어(Dyre)는 아시아 지역 은행을 공격 대상에 추가하더니 올해 봄부터는 국내 은행도 공격 대상에 포함시켰다. 주로 미국, 유럽 지역을 목표로 하던 랜섬웨어도 한국어와 일본어로 확장했다. 악성코드의 지역화는 철저한 현지화 전략과 함께 수익을 극대화하기 위해 지역과 언어를 확대하는 방향으로 변모하고 있다.
04 표적 공격(APT)의 정교화
APT 등 표적 공격은 국가 간 사이버 첩보와 기업 간 산업 스파이 행위와 관련해 지속적으로 진화할 것으로 예상된다. 미연방인사관리처(OPM), 독일 연방의회 해킹 등의 사건을 통해 특정 주체가 후원하는 표적 공격의 가능성이 계속 제기되고 있다. 이런 공격의 경우 상용 및 오픈소스 소프트웨어의 제로데이 취약점을 바탕으로 제작된 맞춤형 악성코드가 사용될 확률이 높다. 이런 맞춤형 악성코드 기반 공격은 AV벤더 카스퍼스키를 대상으로 한 듀큐(Duqu) 2.0 공격이나 해킹팀 데이터 유출 사고의 경우처럼 보안전문가 그룹 및 기업도 방어에 어려움을 겪을 만큼 고도화된 공격이므로, 특정 기관이나 기업이 표적이 될 경우에는 큰 피해를 입을 것으로 예측된다.
05 점점 거세지는 응용 프로그램 취약점 악용 공격
최근 일어나는 보안 사건들에서 빠질 수 없는 키워드는 단연 '취약점(Vulnerability)'이다.
특히, 제로데이 취약점은 용어 자체에도 발견부터 해결책(패치)이 나오기 전까지의 위험성과 긴박함을 담고 있으며, 실제로 이 기간에 해당 취약점을 통한 수많은 보안 사건들이 일어나고 있다. 그 동안 대표적인 응용 프로그램인 오라클의 자바(Java) 취약점을 이용한 공격이 활발했다면, 지난해 하반기부터 올 상반기까지는 어도비의 플래시 플레이어(Flash Player) 취약점들이 그 명성을 이어가고 있다.
올 상반기 이슈가 되었던 국내 커뮤니티를 통한 랜섬웨어 유포 사건에 이용된 취약점(CVE-2014-0515)을 비롯해, 가장 최근에는 이탈리아 업체 해킹팀 정보노출 공격에 이용된 것으로 알려진 취약점(CVE-2015-5119), 그리고 해당 업체가 사용하는 것으로 알려진 다수의 제로데이 취약점이 세상 밖으로 모습을 드러냈다. 과거 제로데이 기간이 짧았던 것에 비해 최근 공격들은 사건이 발생하기 전까지는 쉽게 알려지지 않기 때문에 그 사용 시간을 가늠하기 힘든 실정이다.
올 하반기에도 어도비 플래시 플레이어와 같은 응용 프로그램 취약점을 이용한 크고 작은 보안 사건들은 지속될 것으로 예상되며, 피해를 최소화할 수 있도록 전문가의 노력과 사용자의 각별한 주의가 더욱 요구된다.
<AhnLab제공> 콘텐츠기획팀 박정화
조회 : 2,051
