지난 한 해 기업을 대상으로 한 표적공격 뿐 아니라 일반 개인에게 금전적인 피해를 일으키는 공격도 크게 늘어난 것으로 나타났다. 특히 사용자의 단말기나 파일을 암호화 한 후 돈을 송금하라고 협박하는 랜섬웨어가 전년대비 2배 늘어났으며, 불특정 다수를 대상으로 한 악성코드가 매일 100만개씩 생성되는 것으로 나타났다.
시만텍의 연례 보안보고서 ‘인터넷 보안 위협 보고서(ISTR) 제 20호’에 따르면 지난 한 해 동안 발생한 랜섬웨어는 전년대비 113% 증가하며 두 배 수준으로 크게 늘었다.
모바일 앱 보안위협 심각성 증가
일반적으로 랜섬웨어는 PC를 사용할 수 없게 만든 뒤 사법당국으로 위장해 돈을 요구했지만, 지난해에는 단말기 내의 파일, 사진 등 특정 데이터를 암호화하고 암호키를 주는 대가로 돈을 직접 요구하는 크립토 랜섬웨어(Crypto-ransomware)가 45배나 늘어났다.
암호화하는 파일은 사적인 데이터일수도 있고, 기업의 민감한 정보일 수도 있어서 실제로 돈을 송금하는 피해자가 상당한 숫자에 이른다. 그러나 돈을 송금한다고 해서 공격자가 암호키를 준다는 보장은 없다. PC 외에 모바일 기기에서도 크립토 랜섬웨어가 발견돼 모바일 기기에 저장한 데이터도 안심할 수 없다.
모바일 앱은 매우 심각한 보안위협에 처해있는데, 전체 안드로이드 앱 중 17%인 100만개가 악성코드인 것으로 나타났다. 악의적인 목적으로 개발되지는 않았지만 사용자 행동 추적과 같이 피해를 주는 ‘그레이웨어(grayware)’ 앱이 36%(230만개)에 이르렀다. 그레이웨어 앱 중에서도 모바일 기기의 사진앨범, 캘린더, 알림 바 등에 광고를 띄우거나 벨소리를 광고로 바꾸는 ‘매드웨어(madware)’ 앱 역시 약 130만개에 달하는 등 지속적인 증가 추세를 보였다.
소셜 미디어 플랫폼을 이용한 피해사례가 크게 늘어나고 있는데, 지난해 소셜 미디어를 통한 사기행위의 70%는 피해자 본인이 공격을 공유하도록 유도하기도 했다.
유통분야에서만 2억500만개 개인정보 유출
불특정 다수에게 피해를 입히는 악성코드가 기승을 부려 매일 100만개 이상의 악성코드가 새롭게 생성되며, 지난 한 해 동안 새롭게 발견된 악성코드는 전년대비 26% 증가했다.
더불어 지난해 유통분야에서만 2억500만여개의 개인정보가 불법적으로 유출됐으며, 이는 전체 개인정보 유출 사고 중 59%를 차지했다. 1000만 개 이상의 개인정보가 유출된 대형 정보유출사고는 4건으로 2013년 8건 대비 절반 수준으로 감소했으나, 전체 정보유출사고는 전년 대비 23% 증가했다.
2014년 한 해 동안 정보유출사고가 가장 많이 발생한 분야는 의료(116건), 유통(34건), 교육(31건) 순이었으며, 금융 분야에서 유출된 개인정보가 약 8000만 개, 컴퓨터 소프트웨어 분야에서는 3500만가 유출됐다.
이러한 악성코드는 시그니처 기반 보안 솔루션으로 탐지할 수 없는데, 최근 공격자들은 가상환경에서 악성코드가 동작하지 않도록 해 샌드박스·가상화 기반 악성코드 탐지 기술을 회피한다.
실제로 2014년 전체 악성코드 중 28%가 가상 머신을 인식해 우회했으며, 가상 머신을 이용해 공격을 감행하는 악성코드도 등장해 새로운 위협으로 다가올 것으로 예상된다.
IoT, 사생활 보호 문제 해결 시급
사물인터넷(IoT) 보안위협도 점차 현실화되고 있다. 시만텍이 조사한 바에 따르면 사람들이 많이 사용하는 스마트폰 자가측정앱의 52%가 프라이버시 정책을 갖고 있지 않아 스마트폰 앱을 통한 개인정보 유출 문제가 심각한 사회문제로 비화될 가능성이 높다.
특히 지난해 POS 시스템, ATM, 가정용 라우터 등 네트워크에 연결된 기기에 대한 공격이 늘어났다. 시만텍은 사물인터넷의 영역이 의료장비, 자동차 등으로 확대됨에 따라 보안 위협 역시 지속될 것으로 예측된다.
스마트폰으로 제어할 수 있는 사물인터넷 기기에 대한 위험도 크게 증가했다. 시만텍의 조사 결과 자가측정(Self-tracking) 기기에 연결되는 앱의 52%가 프라이버시 정책조차 없는 것으로 나타났으며, 20%가 개인식별정보나 패스워드와 같은 민감한 개인정보를 암호화와 같은 보호 조치 없이 평문(Clear text) 형태로 전송하고 있었다.
스마트폰 사용자들의 보안 의식 수준이 낮은 것으로 나타났다. 4명 중 1명은 앱을 다운로드 받을 때 어떤 정보에 대한 접근 권한을 제공하는지 모르고 있었으며, 68%는 앱을 무료로 다운로드 받기 위해 기꺼이 개인정보를 제공할 의향이 있는 것으로 조사됐다.
대기업 6개 중 5개, 표적공격 대상
기업을 대상으로 한 표적공격은 이메일에 악성 첨부파일을 보내는 스피어피싱이 대세를 이뤘다. 이 공격은 지난해 정확도가 한층 높아져서 표적공격에 사용된 스피어피싱 이메일은 14% 감소했고, 이메일을 수신한 기업도 20%나 감소해, 적은 노력으로 표적공격을 성공적으로 실행한 것으로 분석되었다.
스피어피싱 공격은 기업의 규모와 상관없이 전반적으로 증가한 것으로 나타났다. 2014년 한 해 동안 직원 2,500명 이상의 대기업 6개 중 5개 기업이(83%) 스피어피싱 공격의 표적이 됐으며, 이는 2013년 43% 대비 무려 40% 포인트나 증가한 규모다. 중소기업도 예외가 아니었다. 중견기업(251명~2,500명)은 63%, 소기업(직원 250명 이하)은 45%가 공격의 표적이 됐다.
표적 공격에 사용된 스피어피싱 이메일을 분석한 결과, .doc 형태의 워드 파일(38.7%)과 .exe 형태의 실행 파일(22.6%)이 가장 많이 이용된 것으로 나타났다.
사이버 공격의 기술은 날로 발전하고 완성도가 높아지고 있다. 사이버 범죄자들은 표적집단이 자주 방문하는 웹사이트를 감염시켜 방문자의 컴퓨터에 악성코드를 심는 워터링홀(Watering hole) 공격 기법을 한층 발전시켜 더욱 선별적인 공격을 감행하고 있다. 가령, 기업이 사용하는 소프트웨어 업데이트 파일 안에 트로이목마를 탑재해 숨긴 뒤 표적이 다운로드 해 설치하기를 기다리는 공격 기법이 발견되기도 했다.
유럽 및 미국 에너지 기업들을 타깃으로 지속적인 사이버 스파이 활동을 감행했던 '드래곤플라이(Dragonfly)'의 경우, 공격자들은 스피어피싱, 트로이목마 탑재 소프트웨어, 워터링홀 등 세 가지 공격 전술을 동시에 복합적으로 이용한 것으로 밝혀져 기업들이 보다 높은 수준의 포괄적인 보안 체계를 갖출 필요가 있음을 시사했다.
제로데이 공격, 24건으로 사상 최다
사이버 공격자들이 피해자의 컴퓨터에 몰래 잠입하기 위해 제로데이 취약점을 활용하는 경향이 늘어나고 있다. 2014년에는 총 24건의 제로데이 공격이 발견되며 사상 최고치를 기록했다. 반면, 소프트웨어 기업들이 패치를 개발, 배포하는데 걸리는 시간은 2013년 평균 4일에서 2014년 평균 59일로 오히려 증가해 대응 속도가 느린 양상을 보였다.
지난 해 심각한 피해를 입혔던 하트블리드(Heartbleed)는 취약점이 발견된 후 4시간 이내에 이를 이용한 공격이 크게 증가한 것으로 나타나 취약점에 대한 패치 개발 속도보다 훨씬 더 빠르게 공격자들이 행동한다는 사실을 입증했다.
지난 해 악성코드가 발견된 합법적인 웹사이트의 숫자는 전년 대비 절반 수준으로 감소한 반면, 합법적인 웹사이트를 방문한 피해자를 공격자가 악성코드를 심어둔 특정 웹사이트로 리다이렉트해 유인하는 경우가 현저하게 증가했다.
시만텍 보안사업 부문 한국 총괄 박희범 대표는 “사이버 공격자들은 한층 정교하고 지능화된 공격 기법을 기반으로 목표 대상에 더 민첩하고, 더 은밀하게 공격을 감행하는 반면, 이를 방어해야 하는 기업과 조직은 상대적으로 대응 속도와 능력이 떨어져 그 격차가 현저하게 벌어지고 있다. 또한, 크립토 랜섬웨어, 소셜 미디어 및 모바일 악성코드, IoT 보안 위협 등 개인사용자들을 노리는 보안 위협도 빠르게 진화하고 있어 이에 대한 보안 의식 제고와 함께 대응 방안을 시급하게 마련해야 할 것”이라고 강조했다.
