온라인 결제 늘며 아태지역 뱅킹 트로이목마 급증
[데이터넷] 최근 가장 위험한 사이버 범죄 조직으로 특정 정부의 지원을 받는 해커 그룹을 꼽는다. 북한, 이란, 중국, 러시아 등이 악명높은 범죄조직을 후원하는 것으로 알려지지만, 이러한 가정 자체가 실제와는 상당히 거리가 있을 수 있다.
지하세계는 현실세계 범죄조직과 같이 강력한 결속력을 갖지 않는다. 그들은 공격 목적에 따라, 금전적인 이해에 따라 자유롭게 모였다가 흩어지고, 공격도구와 전략·전술을 판매하거나 공유 혹은 모방한다. 즉 공격그룹 A의 소행으로 추측된다 해서, 구체적인 실체가 있는 A 그룹이 아니라 유사한 공격도구와 전략·전술을 사용한 해커이거나 그 서비스를 이용한 ‘소비자’일 수도 있다.
카스퍼스키는 이처럼 특정 배우가 드러나지 않는 공격이 늘어나고 있다고 지적하면서, 이는 매우 우려해야 할 점이라고 강조했다.
비탈리 캄룩 카스퍼스키 아태 연구분석팀장은 “공격 배후가 드러나지 않고, 확인되지 않은 공격이 점점 늘어나고 있다. 특히 지난 한 해 동안 금융기관을 노린 공격 중 60%가 배후를 특정할 수 없는 공격이었으며, 올해는 75%로 늘어날 것으로 전망된다”고 밝혔다.
혼합형·배후 알 수 없는 공격 늘어
카스퍼스키는 2019년부터 발생한 뱅킹 트로이목마와 금융권 대상 공격을 분석한 후 공격자의 유형을 ▲국가지원을 받지 않는 공격자 ▲국가지원을 받는 공격자 ▲내부자 ▲혼합형 ▲알 수 없음으로 나누고, ‘알 수 없는’ 공격자의 위협에 대해 경고했다.
국가지원을 받지 않는 공격자들은 주로 금전적인 수익을 목적으로 공격행위를 벌이며, 중요한 결제 처리 시스템, ATM 네트워크에 무단으로 접근하는 수법을 사용한다. 디도스나 랜섬웨어 공격 후에 협박을 하는 수법도 사용한다. 이러한 공격을 받을 경우 비즈니스 운영에 차질을 빚거나 돈을 잃는 피해를 입을 수 있다.
국가지원 공격자는 조직적이며 숙련된 해커들로 구성되어 있으며 급여를 받는 경우가 많다. 이들의 업무는 다른 국가의 중요한 네트워크에 은밀하게 침입하여 상대방의 중요한 자산을 파악하고 악성 백도어를 설치하는 것이며 경우에 따라 대규모의 금융 기관 공격을 감행하기도 한다.
내부자는 기업의 지적재산을 훔쳐 개인의 금전적 이익을 위해 판매하거나 이들을 고용한 국가에서 원하는 목적을 달성하는데 사용된다.
이 모든 유형이 혼합된 형태의 공격자도 있지만, 앞서 언급한 것처럼 특정 배후나 조직을 알 수 없는 공격자들이 많아지고 있어 대응을 어렵게 한다.
한국, 뱅킹 트로이목마 피해 가장 적어
한편 카스퍼스키 조사에 따르면 온라인 결제가 활성화된 국가에서 뱅킹 트로이목마 공격이 심각한 수준으로 늘어나고 있다. 우리나라와 중국은 온라인 결제가 세계에서 손 꼽힐 만큼 활발하게 일어나고 있으며, 남아시아와 개발도상국에서도 빠른 속도로 증가하고 있다. 특히 코로나19로 이동이 제한되면서 온라인 활동이 늘어나고 온라인 결제가 급증해 뱅킹 트로이목마 활동이 두드러지게 높아지고 있다.
카스퍼스키의 위협 인텔리전스 ‘KSN’이 분석한 결과에 따르면 우리나라는 조기 인터넷 뱅킹과 온라인 결제가 발달해 2011년부터 2012년까지 아태지역에서 가장 많은 뱅킹 트로이목마 피해를 입었다. 2013년부터 감염 수가 현저하게 줄어들어 현재 아태지역에서 감염수가 가장 적은 나라에 속한다.
다른 선진국도 뱅킹 트로이목마 탐지 건수가 적지만 개발도상국은 2019년부터 거센 공격에 시달리고 있다.
캄룩은 "2019년까지 상당수의 아태 지역 국가에서 뱅킹 트로이목마는 큰 문제가 아니었는데, 동시에 여러 국가에서 감염 사고가 발생했던 2019년 이후로 뱅킹 트로이목마의 기세가 사그라들지 않고 있다. 카스퍼스키의 텔레메트리를 살펴보면 이 악성 코드는 탐지 건수와 감염 지역 범위의 측면 모두 증가세에 있다. 디지털 결제 사용자 및 관련 스타트업이 늘고 있는 지금 뱅킹 트로이목마는 이 지역 금융 기관과 개인 사용자 모두에게 큰 위협이 될 것으로 보인다”고 말했다.
뱅킹 트로이목마는 악성 코드 중에서도 가장 위험한 군에 속하며, 온라인 은행 계좌에 대한 ID/암호 또는 일회용 암호를 손에 넣거나 사용자를 유인하여 합법적 소유자로부터 온라인 뱅킹 세션에 대한 제어권을 실시간으로 가로챈다
온라인 결제 사용량이 증가하고 있고 기기 보안에 대한 소비자 인식이 아직 부족한 점으로 인해 뱅킹 트로이목마는 일반적인 개인 사용자에게 가장 큰 피해를 입히는 악성 코드에 속한다.
카스퍼스키는 뱅킹 트로이목마를 비롯한 금융 타깃 공격을 피하기 위해 금융기관과 기업은 ▲믿을 수 있는 보안 업체를 통해 보안을 철저히 할 것 ▲탐지·대응 전략을 철저히 테스트하고 점검할 것 ▲공급망 소프트웨어를 검증할 것 ▲직원의 의심스러운 징후를 모니터링하고 보고하도록 장려할 것을 들었다.
또 개인 사용자는 ▲정기적인 소프트웨어 업데이트와 보안 패치 실행 ▲메일·메시지 수신 시 신중을 기할 것 ▲복잡한 암호·2단계 인증 사용 ▲하드웨어 디지털 지갑을 사용하고 보안 절차를 이행할 것 ▲기기와 스마트폰에 믿을 수 있는 보안 솔루션을 설치할 것 등을 권고했다.
