더 높은 수익 얻을 수 있는 타깃으로 이동…이메일 한 번으로 무역대금 탈취
[데이터넷] 사이버 공격 트렌드가 바뀌고 있다. 공격자들은 전통적인 멀웨어를 사용하는 것에 시들해졌다. 신뢰할 수 있는 기관·사람을 사칭하는 피싱 공격, 정상 보안 패치인 것처럼 이용하는 소프트웨어 공급망 공격을 진행한다. 공격자들은 다크웹 등 지하시장에서 서비스로 제공되는 사이버 범죄(Crime-as-a-Service)를 사용해 전문지식 없이도 쉽게 수익을 얻는다. 또한 암호화폐로 범죄 수익금을 세탁한다. 최근 사이버 공격 동향을 살펴본다.<편집자>
멀웨어의 진화
전통적인 공격에 사용되던 멀웨어는 차츰 감소하고 있다. 소닉월의 ‘2019 3분기 위협 보고서’에 따르면 3분기까지 발견 된 멀웨어는 72억건, 랜섬웨어는 1억5190만건이었으며, 이는 전년 동기 대비 15%, 5% 하락한 수치다. 그러나 IoT 기기를 대상으로 한 멀웨어 공격은 33% 증가해 2500만건을 기록했고 암호화된 공격이 58%로 늘었으며, 웹 애플리케이션 공격은 전년 동기 대비 37% 증가하며 확대되는 추세를 보였다. 더불어 멀웨어 공격의 14%가 비표준 포트에서 발생했다.
그 동안 큰 피해를 입혔던 랜섬웨어는 점차 줄어드는 추세를 보이고 있지만 호스팅 기업, 스마트공장 등을 노리는 공격을 단행하면서 공격자의 수익은 높아지고 있다. 11월 웹호스팅 기업 라온넷닷컴이 랜섬웨어 공격을 당해 서비스가 중단됐다. 2017년 인터넷나야나, 2018년 아이웹 등 웹 호스팅 기업들이 잇달아 랜섬웨어로 큰 피해를 입고 있는데, 공격자들은 일반 사용자보다 높은 금액을 얻을 수 있는 서비스 기업을 노리고 있는 것으로 보인다.
올해 초 노르웨이 알루미늄 공장이 랜섬웨어 피해를 입은 것을 비롯해 전 세계 제조공장들이 랜섬웨어로 몸살을 앓았다. 국내 대형·중소 공장들도 큰 피해를 입은 것으로 알려지고 있는데, 공격자는 이처럼 높은 수익을 얻을 수 있는 조직을 대상으로 공격을 이어가고 있다.
피싱 및 사이버 사기
포네몬연구소에 따르면 사이버 장애의 5대 원인은 ▲61% 피싱 및 사회공학 ▲45% 악성코드 ▲37% 스피어피싱 ▲24% 서비스 거부 ▲21% 업데이트 안된 소프트웨어로 꼽힌다. 악성코드가 2위로 내려가고 피싱·사회공학 기법과 스피어피싱이 1위, 3위에 오른 것을 보면, 이제 공격자들은 탐지가 쉬운 악성코드보다 사람들을 지능적으로 속이는데 더 방점을 찍는 것으로 이해할 수 있다.
그 대표적인 사례가 이메일을 통한 무역대금 탈취 사고다. 대한무역투자진흥공사(KOTRA)의 ‘2018/19 무역사기 발생 현황 및 대응 방안’에 따르면 공격자는 무역회사 자금 담당자 메일을 훔쳐보다가 거래 대금이 결제되는 시점에 계좌정보가 바뀌었다며 새로운 계좌로 결제해달라고 요청한다. 계좌가 바뀐 이유에 대해서도 수수료가 낮은 해외 계열사 계좌로 이체, 감사로 인해 임시 계좌로 이체 등이라고 설명한다.
메일 발신자도 담당자 메일과 유사한 계정을 사용한다. lilly@korea.com이라는 메일을 사용하는 담당자가 있다면 li1ly@korea.com 등 철자를 살짝 바꾸는 방식의 가짜 메일 주소를 사용한다. 위조된 이메일 주소를 보면 세번째 글자가 알파벳 엘(l)이 아니라 숫자 1이다.
금융기관을 직접 노리는 공격도 정교화되고 있다. 금융보안원에 따르면 금융권 대상 사이버 공격이 연간 180만 건 이상 발생하고 있으며, 업무 관련 내용으로 위장한 악성파일을 지능적으로 침투시키고, 백신에서 탐지되지 않도록 한 후 장기간 은밀하게 잠복하고 있다가 추가 악성파일을 다운로드 하거나, 공격 명령을 실행한다.
또한 정상적인 소프트웨어에 악성파일을 삽입해 기업 내부로 침투하는 공급망 공격도 자주 발생하고 있다. 코드서명 인증서를 악용한 악성파일이 발견되는 등 악성파일을 이용한 지능화된 공격이 지속적으로 발생하고 있다.
실제로 금융권 대상으로 해킹메일을 대량 유포한 TA505해킹그룹은 상용제품의 유출 소스코드 기반 악성파일을 제작하고, 정상 코드서명 인증서로 서명했다. 지난 7월 국내 보안기업 코드서명 인증서를 악용한 악성파일이 발견됐다.
피싱 사기는 신뢰할 수 있는 사람이나 기관을 사칭한다. 정부기관이나 유명 포털, 마이크로소프트 등 IT 기업, 택배사, 거래처 직원 등으로 위장해 접근한다. 아카마이의 ‘2019 인터넷 현황 보고서: 보안 피싱’ 보고서에 따르면 피싱 공격의 43%가 마이크로소프트, 페이팔, DHL, 드롭박스와 같은 유명 서비스 사업자로 위장하고 있으며, 관찰된 피싱 키트 중 60%가 최대 20일 동안만 활성화됐다. 공격자는 키트가 탐지되지 않도록 새로운 우회 방법을 계속해서 개발하기 때문에 피싱 키트의 짧은 활성화 기간은 피싱 공격에서 점차 일반화되고 있다.
