“타깃 맞춤형 공격에 집중하는 사이버 범죄”
상태바
“타깃 맞춤형 공격에 집중하는 사이버 범죄”
  • 김선애 기자
  • 승인 2018.11.22 09:51
  • 댓글 0
이 기사를 공유합니다

소포스 ‘위협전망 보고서’, 쉽게 구할 수 있는 윈도우 관리도구 이용해 공격

공격자들이 정교한 공격도구를 개발하는 것 보다 특정 타깃에게 더 큰 피해를 입힐 수 있는 지능적인 방법을 사용하는데 더 집중하는 것으로 나타났다. 공격자들은 윈도우 시스템 관리도구와 같이 쉽게 구할 수 있는 툴을 공격에 사용하지만, 공격방법은 타깃이 가진 취약점에 맞춰 진행하는 것으로 분석됐다.

‘소포스 2019년 위협 전망 보고서’에 따르면 올해 발생한 표적형 랜섬웨어 공격은 자동화된 공격도구를 이용해 불특정 다수를 대상으로 공격하는 것이 아니라, 피해자를 직접 골라 맞춤형으로 공격하기 때문에 더 피해가 크다.

공격자가 수동으로 네트워크를 단계별로 조작하는 ‘인터랙티브 공격 방식’이 샘샘(SamSam)과 비트페이머(BitPaymer), 다르마(Dharma) 등 최근 랜섬웨어에서 발견되며 내년에는 유사 범죄가 더욱 증가할 것으로 보인다. 인터랙티브 공격방식은 타깃 사용자에 맞춰 방화벽과 백신을 우회하고 백업 데이터를 지워 몸값을 지불할 수 밖에 없도록 만든다.

윈도우 관리도구 악용하는 공격자

또한 공격자는 멀웨어 개발에 많은 시간과 비용을 들이지 않고 쉽게 구할 수 있는 윈도우 시스템 관리도구를 이용한다. 윈도우 파워쉘, 스크립트 명령파일 등 윈도우 관리도구가 많이 사용되고 있다.

또한 사이버 범죄자들은 디지털 도미노게임을 하고 있다. 이벤트 시리즈의 끝에 공격을 수행하는 일련의 상이한 스크립트를 함께 묶음으로써, 해커들은 IT 관리자가 네트워크가 공격받고 있는 것을 감지하기 전에 체인리액션(연쇄반응)을 촉발시킬 수 있다. 이 때문에 일단 침투당하면 공격을 막기가 어렵다.

사이버 범죄자들은 희생자를 유인하기 위해 최신 오피스를 이용한 공격도구를 채택했다. 오피스 이용 공격도구는 오랜 사이버 공격수단이었지만 최근에 사이버범죄자들은 구형 오피스 문서 공격도구를 버리고 신형 공격도구를 사용하기 시작했다.

더불어 이터널블루(EternalBlue)는 크립토재킹(cryptojacking) 공격의 주요 수단이 됐다. 이런 종류의 위협에 대한 윈도우 패칭 업데이트가 1년 이상 이전에 등장했지만, 이터널블루 이용공격도구는 여전히 사이버범죄자들이 선호하는 공격수단이다.

이터널블루와 크립토마이닝 소프트웨어를 접목시킴으로써 해킹을 단순히 성가신 취미 활동에서 잠재적 수익성이 높은 직업적 범죄로 변모시켰다. 크립토재커(암호약탈도구)는 기업 네트워크를 통해 광범위하게 유포되어 순식간에 여러 대의 컴퓨터를 감염시킬 수 있게 됐고, 그 결과 해커의 수익은 늘고 사용자의 피해는 커졌다.

모바일·IoT 위협 지속

올해 IoT가 급속하게 확산되면서 이를 노리는 공격도 크게 늘고 있다. 모바일 멀웨어 위협도 급속도로 증가하고 있으며, 이로 인한 피해는 조직의 인프라가 감당할 수 있는 수준을 넘어서고 있다.

불법 안드로이드 앱의 증가로 2018년도에는 휴대전화와 태블릿 PC, 기타 IoT 기기에 대한 멀웨어 침투가 눈에 띄게 증가했다. 가정과 기업에서 인터넷 기반 장치의 사용이 점점 늘면서 범죄자들은 이런 기기들을 해킹해 대규모 봇넷 공격의 노드로 이용할 새로운 방법을 개발하고 있다.

VPN필터(VPNFilter)는 뚜렷한 유저 인터페이스가 없는 임베디드 시스템과 네트워크 기기에 영향을 주는 멀웨어 무기의 파괴력을 입증한 바 있다. 엘스웨어(Elsewhere)와 미라이 에이드라(Mirai Aidra), 와이패치(Wifatch), 가프짓(Gafgyt)은 네트워크 기기를 해킹하고 봇넷의 노드를 사용해 디도스(DDoS: 분산서비스 거부) 공격과 암호화폐 채굴 및 네트워크 침투 등 광범위한 자동화 공격을 감행했다.

조 레비(Joe Levy) 소포스 CTO는 “위협 동향이 명백하게 진화하고 있다. 비전문적인 해커들은 발붙이지 못하고 적자생존에서 살아남은 강자들이 생존을 위해 계속 판돈을 높이고 있다. 결국 지금보다 소수의, 더 영리하고 강한 해커들만 남게 될 것”이라며 “이들 사이버 범죄자들은 특정 표적을 노리던 엘리트 해커와 일반적인 멀웨어 전달자 사이에서 태어난 새로운 종류의 해커들이다. 이들은 스파이 활동이나 사보타지 목적이 아니라 불법 수익을 지속하기 위해 수동 방식의 해킹기술을 사용해 피해 규모를 늘려가고 있다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.