해외 직구족이라면 신용카드 결제 시 카드정보 유출에 각별히 주의를 기울여야 한다. 웹사이트 신용카드 결제 정보를 가로채는 ‘폼재킹’ 공격이 성행하고 있기 때문이다. 우리나라 전자상거래는 결제를 위한 전용 앱을 이용하거나 추가인증을 요구하기 때문에 폼재킹 공격 위험은 낮은 편이다.
그러나 해외 사이트의 경우 자바스크립트로 단순하게 작성된 웹 페이지에 신용카드 번호, 유효기간, CVC 번호 등을 입력하는 것으로 결제가 이뤄진다. 공격자들은 서비스 사업자의 서버에 침투해 소비자가 입력하는 결제 정보를 탈취한 후 지하시장에 판매하는데, 평균 한 건당 45달러에 판매된다.
김봉환 시만텍코리아 상무는 “시만텍이 탐지하는 감염된 웹사이트는 매월 평균 4800건에 이른다. 만일 공격자들이 한 사이트에서 10건씩 카드 정보를 탈취한다면 한 달 최대 220만달러(약 24억6000만원)의 수익을 얻을 수 있다는 뜻”이라며 “지난해 티켓마스터와 영국항공이 폼재킹 공격을 당해 큰 피해를 입었는데, 영국항공의 경우 공격자가 1700만달러(약 190억원)의 수익을 얻었을 것으로 추정된다”고 말했다.
“폼재킹·공급망 공격·자원활용 자력형 공격 결합”
지난해 영국항공은 온라인 예약 고객 38만여명의 신용카드 결제 정보를 유출시켰으며, 티켓마스터는 38만여건의 거래에서 정보를 탈취당한 것으로 알려진다. 유명 온라인 쇼핑몰 뉴에그도 같은 방식으로 해킹 당했다. 이 공격을 일으킨 집단은 ‘메이지카트(Magecart)’로 알려졌으며, 이들은 써드파티 소프트웨어 공급업체를 감염시키는 방법으로 온라인 서비스 사업자의 고객 정보를 탈취한다.
시만텍은 폼재킹 공격과 공급망 공격, 자원활용 자력형(Living off the Land) 공격이 결합된 형태가 성행할 것이라고 경고했다. 티켓마스터의 경우, 인벤타테크놀로지스가 제작한 결제 페이지를 사용했는데, 이것이 감염돼 카드 정보가 유출됐다. 영국항공은 자사 사이트가 직접 공격을 당했으며, 신용카드 정보가 입력되면 즉시 공격자에게 전송하도록 자바 스크립트를 조작했다.
최근 공격은 전통적인 APT와 다르다. APT는 외부에서 악성코드를 침투시키고, C&C 통신으로 추가 공격도구를 수차례 내려 받으면서 내부에서 권한상승을 하면서 주요 시스템으로 이동한다. 폼재킹 공격은 악성코드가 아니라 자바스크립트를 직접 변경해 공격 단계를 줄인다. C&C 통신을 감시하고 의심스러운 외부 파일을 분석하는 기존의 보안 방법으로는 감지할 수 없다.
자원활용 자력형 공격은 파워쉘과 같은 정상 프로그램을 사용하기 때문에 탐지가 어렵다. 파워쉘은 윈도우에 기본으로 탑재된 툴이며, 99%는 정상적으로 사용되지만 나머지 1%의 의심스러운 정황을 파악하지 못한다는 문제가 있다. 시만텍 조사에 따르면 지난해 파워쉘 이용 공격이 전년대비 1000% 증가했다.
전통적인 악성코드가 줄어든 것도 아니다. 시만텍은 악성코드 이용 공격이 지난해 전년대비 25% 증가한 것으로 분석했다.
기업 타깃 랜섬웨어 증가
한편 시만텍은 26일 ‘인터넷 보안 위협 보고서(ISTR) 제 24호’를 발표하고 올해 사이버 보안 시장을 전망했다. 이 보고서에서 시만텍은 새롭게 등장한 폼재킹 공격의 위험성을 경고하는 한편, 랜섬웨어, 클라우드, IoT, GDPR 등 최근 보안 시장의 이슈에 대해 설명했다.
가장 심각한 위협으로 꼽은 폼재킹은 ATM 기기 카드복제와 동일한 수법이라고 설명한다. ATM 기기에 신용카드 복제기기를 몰래 숨겨 신용카드 정보를 탈취한 ‘스키마’ 공격이 온라인으로 옮겨간 것으로, 온라인 쇼핑이 몰리는 11월과 12월 가장 빈번하게 발생한다.
암호화폐 가치 하락으로 암호화폐 탈취와 채굴을 일삼는 크립토재킹은 크게 감소했다. 이와 관련한 이벤트는 전년대비 52% 감소했다. 랜섬웨어는 2018년 전년대비 20% 감소했으며, 이는 2031년 이후 처음 하락한 것이다. 그렇다고 기업들이 방심해서는 안 된다. 2018년 기업의 랜섬웨어 감염은 12% 증가해 전반적인 하락세와 대조적인 흐름을 보이며 기업에 지속적인 위협이 되고 있음을 보여주고 있기 때문이다. 실제로 랜섬웨어 감염 10건 중 8건 이상은 기업에 영향을 미친다.
운영 실수로 인한 클라우드 보안 위협 ‘심각’
클라우드 보안은 이제 막 시작된 시장으로, 사용자 실수로 인한 보안 사고가 자주 일어난다. 클라우드 설정 오류를 바로잡는 방법이 필요하다. 특히 퍼블릭 클라우드는 사용자와 사업자가 보안 책임을 공유하는 모델로 사용자의 실수로 인한 침해사고는 사용자가 책임져야 한다. 지난해 잘못 설정된 S3 버킷에서 7000만개 이상 개인정보가 유출됐으며, 온라인에서는 잘못 설정된 클라우드 리소스를 식별할 수 있는 툴을 쉽게 구할 수 있다.
김봉환 상무는 “멜트다운, 스펙터, 포쉐도우 등 하드웨어 내장 보안 취약점은 클라우드 사용 기업에 모두영향을 줄 수 있다. 또한 설정된 클라우드 리소스를 식별할 수 있는 많은 툴을 온라인에서 구입할 수 있다”며 “사용자들이 클라우드에서도 데이터를 안전하게 사용할 수 있는 방법을 생각해야 한다”고 설명했다.
공급망 공격은 올해 한층 위험 수위가 높아졌다. 시만텍 조사에서는 전년대비 78% 증가한 것으로 나타났다. 복잡한 소프트웨어 공급망 중 한 곳만 감염시켜도 성공할 수 있으며, 공격이 발견되기 까지 상당한 시간이 걸리기 때문에 공격자들은 더욱 더 공급망 공격에 주력하고 있다.
IoT 통해 제어 시스템 침입 시도 늘어
IoT와 운영기술(OT) 환경을 노리는 공격도 심각한 상황이다. IP카메라를 감염시켜 사생활을 엿보는 공격이 일상적으로 일어나고 있다. IoT 기기를 표적공격의 진입 지점으로 활용, ICS/SCADA를 노리는 공격이 늘어나고 있다. 또한 5G가 상용화되면서 IoT는 더욱 위험한 인프라가 되고 있다.
5G는 4G보다 10배 빠르기 때문에 와이파이보다 5G를 선호하게 될 것이다. 와이파이는 라우터에서 모니터링할 수 이었지만, 직접 5G 네트워크에 접속해 통신하는 것은 모니터링 할 수 없으며, 더욱 위험에 빠질 것으로 보인다.
산업제어시스템을 노리는 공격으로 트라이튼(Triton)이 있으며, 최근에는 인공위성과 통신망, 국방 분야를 노리는 쓰립(Thrip)의 활동이 다수 발견되고 있다. 지난해 소규모 라우터, IoT 기기들을 노린 VPN필터는 아직도 활동을 하고 있는 것으로 보고되고 있으며, 라우터에 상주하면서 네트워크 트래픽을 수집한다.
“스마트폰, 가장 뛰어난 스파이 장치”
스마트폰을 노리는 공격도 여전히 성행한다. 스마트폰은 개인과 일상생활을 함께 하기 때문에 가장 뛰어난 스파이 장치로 사용될 수 있다. 카메라, 청취 도구 및 위치 추적기가 하나에 모두 있고 사용자가 어디든 자발적으로 들고 다니며 사용하기 때문이다. 스마트폰은 이미 여러 국가에서 전통적인 스파이 활동의 대상이지만, 범죄 목적으로 개발된 모바일 앱으로 개인 정보를 수집해 수익을 추구하는 수단 또한 되고 있다.
시만텍 조사에 따르면 인기가 높은 안드로이드 앱의 45%와 iOS 앱의 25%가 위치확인 권한을 요청하고, 안드로이드 앱의 46%와 iOS 앱의 24%가 사용자 기기의 카메라에 대한 접근 허가를 요청한다. 또한 최고 인기 안드로이드 앱의 44%와 인기가 높은(most popular) iOS 앱의 48%에 이메일 주소가 공유되고 있다.
자녀, 친구 또는 분실된 휴대폰을 추적하기 위해 휴대폰 데이터를 수집하는 디지털 툴 역시 증가하면서 동의 없이 다른 사람을 추적할 수 있는 가능성이 높아지고 있다. 200개 이상의 앱과 서비스가 스토커에게 기본 위치 추적, 문자 수집 및 심지어 동영상 비밀 녹화 등 다양한 기능을 제공한다.
EU GDPR로 촉발된 개인정보 보호 규제도 비즈니스를 위협하는 요인 중 하나로 지목된다. 개인정보 유출 피해가 급증하면서 개인정보 보호를 위한 강력한 규제가 필요하다는데 모두가 동의하지만 규제준수만으로 개인정보를 보호할 수 있는 것은 아니며, 물리적·기술적으로 보완한다 해도 데이터 침해 사고가 일어날 수 있는 가능성은 언제나 열려있기 때문에 데이터의 안전한 보호와 활용에 주의해야 한다.
이석호 시만텍코리아 대표는 “클라우드, IoT, 5G 등 새로운 ICT 기술의 등장으로 인해 더욱 지능화되는 공격을 방어하기 어렵게 됐다.시만텍은 ‘통합 사이버 보안 전략(ICD)’를 통해 비즈니스 전반에서 위협을 통합·대응하도록 지원하며, ‘ICD 익스체인지(ICDX)’를 이용해 써드파티까지 포괄적인 통합 보안을 제공한다”고 말했다.
한편 시만텍은 EDR 관제 서비스와 향상된 EDR 4.0 기술, 고난도 인공지능을 적용한 시만텍 표적 공격 애널리틱스(TAA) 등과 같이 분석 및 머신러닝 기술이 적용된 고급 탐지 방법을 제안한다. 시만텍은 TAA를 이용해 악성코드 없이 사이버 스파이활동을 완벽히 수행했던 골메이커(Gallmaker) 그룹의 공격과 같은 은밀한 표적 공격을 대거 발견할 수 있었다.
