“멀웨어 이용 공격 줄고 IoT 취약점 이용 공격 늘어”
상태바
“멀웨어 이용 공격 줄고 IoT 취약점 이용 공격 늘어”
  • 김선애 기자
  • 승인 2017.02.08 10:22
  • 댓글 0
이 기사를 공유합니다

소닉월 “기존 방식 멀웨어 줄어…익스플로잇 킷 변종 분화하며 발전해 기존 방어 방식으로 못 막아”

사이버 공격에 주로 사용했던 멀웨어는 점차 줄어들고, 취약점을 이용한 공격이 늘어나 방어를 더욱 어렵게 할 것이라는 주장이 제기됐다. 특히 IoT 및 안드로이드 기기 취약점을 이용한 광범위한 공격이 퍼질 것이라는 주장이 힘을 얻고 있다.

소닉월이 8일 발표한 ‘2017 소닉월 연간 보안 위협 보고서’에서는 지난해 발생한 미라이 봇넷 DDoS 공격과 오버레이 공격에 취약한 안드로이드 기기에 대한 문제를 지적하며, 사이버 범죄가 진화하고 있다고 설명했다.

스마트홈·스마트카 등에서 보안 취약점 발견

보고서에 따르면, 스마트 카메라를 비롯해 웨어러블, 스마트홈, 스마트카, 스마트 엔터테인먼트, 스마트 터미널 등 다양한 IoT 기기에서 전반적인 보안 취약점이 발견됐다. 이에 따라 2016년에는 수십만 대의 IoT 기기 암호 취약점을 활용한 ‘미라이 봇넷’ 디도스 공격 사건이 발생한 바 있다. 해당 공격의 주요 타깃은 미국(70%)이었고, 다음으로 브라질(14%), 인도(10%) 순으로 나타났다.

안드로이드 기기에 대한 오버레이 활용 공격이 지난해 성행했다. 실제 앱 스크린을 모방해 사용자가 로그인 정보 및 기타 데이터 입력을 유도하는 형식이다. 안드로이드가 새롭게 향상된 보안 기능으로 대응해도 사이버 공격자들은 오버레이 허용 권한을 사용자에게 부여해 이를 피해가는 방식이다.

랜섬웨어는 구글플레이에서 차단된 성인용 앱이라 해도 이를 써드파티 앱스토어를 통해 자체 설치하기도 한다. 이처럼 자체 설치돼 보안에 위협을 가하는 앱이 2주 동안 4000개 이상 발견된 바 있다.

멀웨어 이용 공격 지속적으로 감소

한편 보고서에서는 보안 기술이 진화하면서 기존 방식을 이용한 공격은 점차 감소하고 있다고 설명했다.

예를 들어 2014년 홈디포, 타깃, 스테이플스 등 미국 내 주요 소매 유통업체가 POS 취약점을 이용한 사이버 공격을 당했다. 이 후 보안 업계에서는 칩 기반 POS 시스템을 구현했으며, 신용카드 데이터 보안 표준(PCI DDS) 체크리스트, 기타 보안 조치를 지속적으로 행했다.

이에 따라 2014년에는 전년 대비 새롭게 개발되고 배포된 POS 멀웨어 보안 대책이 333% 증가했지만, 이후 신종 변종 POS 멀웨어는 매년 88%씩, 2014년 이후로는 총 93% 감소한 것으로 나타나, 사이버 범죄에서 POS 멀웨어에 대한 비중이 점차 낮아지고 있음을 알 수 있었다.

클라우드 사용으로 SSL 트래픽 늘어

한편 클라우드 애플리케이션 도입이 늘어나면서 SSL/TLS 암호화 트래픽이 38% 증가하고 있으며, 이를 악용한 공격도 늘어나고 있는 것으로 보인다. SSL/TLS 암호화는 2015년 약 5조3000만 건에서 2016년 7조3000만 건으로 급증했다. 전체 웹 세션 중 SSL/TLS로 암호화된 웹 트래픽의 비중이 62%를 차지한 것으로 나타났다.

보고서에서는 클라우드 애플리케이션 사용량은 2014년 88조, 2015년 118조, 2016년 126조로 늘어나게 된 것이 SSL/TLS 암호화 증가의 주요 이유로 보인다고 밝혔다. 보고서는 SSL/TLS 암호화에 대해 전반적으로 보안 산업에서 긍정적인 역할을 하고 있는 것으로 분석했지만, SSL/TLS 암호화된 웹 세션 내부에 숨어있는 멀웨어를 탐지하는 심층 패킷 분석(Deep Packet Inspection)을 위한 인프라가 구축되지 않은 기업이라면 오히려 사이버 범죄자들에게 백도어 네트워크를 제공해 보안에 위협이 될 수도 있다는 점도 밝혔다.

익스플로잇 킷, 변종 분화 시작

그동안 사용됐던 익스플로잇 킷은 변종이 세분화돼 발전하고 있는 것으로 나타나고 있다. 지난해 앵글러(Angler), 뉴클리어(Nuclear), 뉴트리노(Neutrino) 등 익스플로잇 킷이 멀웨어 시장을 주도했다. 러크 트로이목마(Lurk Trojan)을 이용한 은행 사기 사건으로50명의 러시아 해커가 체포된 후 앵글러 익스플로잇 킷이 사라졌고, 이 후 뉴클리어, 뉴트리노도 빠르게 소멸됐다.

이러한 주요 익스플로잇 킷들이 사라진 이후 남은 멀웨어들은 여러 개의 작은 버전으로 나누어졌다. 예를 들어 리그(Rig)는 2016년 3분기까지 URL 패턴, 방문 페이지 암호화 및 페이로드 전달 암호화를 활용하는 세 가지 버전으로 분리 진화했다.

2016년 익스플로잇 킷은 케르베르(Cerber), 록키(Locky), 크립믹(CrypMIC), 밴다코어(BandarChor), 테슬라크립트(TeslaCrypt)와 같은 랜섬웨어의 일부로 변모하기도 했지만, 앞서 언급된 대표적인 세가지 익스플로잇 킷의 소멸 이후 크게 시장을 장악하지는 못한 것으로 파악됐다.

랜섬웨어 매년 167배 증가

랜섬웨어 공격은 2015년 380만 건에서 2016년 6억3800만건으로 폭발적으로 증가했다. 서비스형 랜섬웨어(RaaS) 등장과 함께 랜섬웨어는 지하 시장에서 쉽게 접근할 수 있고, 공격에 드는 비용이 저렴하며, 배포가 편리하고 적발 시 상대적으로 낮은 처벌을 받는다는 사실을 바탕으로 폭발적 성장을 기록했다.

랜섬웨어 공격은 2016년 3월 한달 간 28만2000건에서 3000만건으로 폭증하고, 그 후 한 해가 끝날 때까지 지속적으로 증가해 4분기에는 총 2억6650만 건을 기록했다. 또한 2016년 악성 이메일 공격에는 네머코드(Nemucode) 공격의 약 90%를 차지하고, 1년 간 총 5억건 이상의 공격에 사용된 록키(Locky) 랜섬웨어가 주로 이용됐다.

이러한 랜섬웨어 공격은 기계 및 산업 엔지니어링(15%), 제약(13%), 금융(13%), 부동산(12%) 등 다양한 산업에 걸쳐 고루 발생한 것으로 나타났다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.