랜섬웨어 공격자들이 랜섬웨어 공격 후 복구할 수 있는 방법을 안내하는 콜센터까지 운영하는 등 수익성을 높이기 위한 다양한 방법을 고안해내고 있다. 또한 기술지원을 위장해 악성코드를 유포하는 ‘스캠(Scam)’도 증가하고 있어 일반 사용자들의 피해가 더욱 늘어나고 있다.
시만텍코리아 CTO인 윤광택 상무는 “공격자들은 랜섬웨어 피해자가 쉽게 비트코인을 보내고 복구할 수 있도록 기술지원센터까지 운영하는가 하면, 기술지원을 위장해 피해를 높이고 있다”며 “또한 불특정 다수를 대상으로 진행돼 온 공격이 표적공격에도 적용되면서 기업/기관의 피해도 높이고 있다”고 말했다.
윤 상무는 시만텍의 연례 보안 보고서인 ‘시만텍 인터넷 보안위협 보고서(ISTR) 제 21호’를 인용하며 “전문 사이버 범죄 집단들이 숙련된 전문가를 보유하고 일반 기업의 운영 방식을 따르며 점차 전문화, 기업화되고 있다”며 “사이버 범죄 집단들이 금전적인 이득을 추구하면서 2015년은 크립토 랜섬웨어, 소수집중형 표적 공격, 기술 지원 사기 스캠 등 기업은 정밀타격형, 개인사용자는 융단폭격형으로 사이버 공격의 이원화 양상이 더욱 뚜렷하게 나타난 해”라고 강조했다.
기술지원 위장 ‘스캠’…많은 사용자 피해 입힐 것
기술지원을 위장한 ‘스캠’은 우리나라에서도 심각한 위협이 될 가능성이 높은 공격으로 꼽힌다. 지난해 시만텍이 차단한 스캠은 1억건을 기록하면서 빠르게 확산되고 있다.
이 사기 스캠 수법이 과거와 다른 부분은 공격자가 피해자에게 전화를 걸어서 속이는 것이 아니라, PC나 스마트폰과 같은 기기에 거짓 경고 메시지를 전송하고 피해자가 기술 지원을 받기 위해 공격자가 운영하는 콜센터로 직접 전화하도록 유인한다. 쓸모없는 서비스를 구매하도록 피해자를 속임으로써 금전적 이득을 취하는 것이 주 목적이다.
윤 상무는 “국내에서 아직 스캠 사기가 본격적으로 확산되고 있지 않지만, 공격자의 수익성이 높은 공격인 만큼, 국내에서도 곧 나타날 것으로 예상된다”며 “랜섬웨어도 2012년 처음 보고됐을 때 국내 피해가 거의 없어 관심을 받지 못했지만, 지난해 한글화된 랜섬웨어가 등장하면서 심각한 사이버 위협이 되고 있다. 스캠 역시 해외에서 성공률이 높아지고 있는 만큼 국내 사이버 보안 환경도 위협하게 될 것”이라고 설명했다.
랜섬웨어는 올해 특히 더욱 위험해 질 것으로 보인다. 지난해 랜섬웨어는 불특정 다수를 감염시키기 위해 웹사이트를 이용해 악성코드를 유포했다. 그러나 올해부터는 이메일 첨부파일을 이용하는 스피어피싱을 이용하고 있으며, 업무와 연관된 이메일로 위장하는 표적형 공격 형태로도 나타난다.
윤 상무는 “랜섬웨어 공격이 윈도우PC 뿐만 아니라, 맥, 리눅스, 스마트폰 등 플랫폼에 관계없이 전방위적인 공격을 진행하고 있다”며 “공격자들이 금전 요구를 위한 인질 대상으로 네트워크로 연결된 기기를 물색하고 있으며, 정교하게 설계된 표적공격을 통해 기업에 피해를 입힌다”고 설명했다.
공격자, 베스트 프랙티스 채택해 공격 효율성 높여
ISTR 21호에서 주목해야 할 점은, 불특정 다수를 겨냥한 공격 뿐 아니라 소수를 집중적으로 노리는 공격도 성행하고 있다는 점이다. 특히 사이버 범죄 집단이 전문화돼 하나의 기업처럼 움직이고 있으며, 공격 효율성을 높이기 위해 베스트 프랙티스를 채택하고 한층 전문적인 비즈니스로 만들어가고 있다.
전문 사이버 범죄 집단은 방대한 리소스와 고급 인력을 보유하고 있으며, 일반 기업처럼 일정한 업무 시간을 준수하고 주말과 휴일에는 활동을 하지 않는 등 효율적인 비즈니스 형태를 띠고 있는 것으로 조사됐다.
2015년 한 해 동안 발견된 제로데이 취약점은 2014년 24개 대비 125% 늘어난 54개로 두 배 이상 크게 증가하며 사상 최다를 기록했다. 가장 많이 악용된 5개의 제로데이 취약점 중 4개가 어도비 플래시의 취약점이었다.
제로데이 취약점을 가장 먼저 이용하는 상위의 사이버 범죄 집단은 제로데이 취약점을 자신들의 이익을 위해 사용하거나 이러한 취약점이 거래되는 오픈 마켓에서 자신들보다 공격 수준이 낮은 하위의 사이버 범죄자들에게 판매하는 것으로 분석됐다.
악성코드도 놀라운 속도로 증가해 2015년 한 해에만 4억3000만개의 신규 악성코드가 발견됐다. 매일 약 118만개의 악성코드가 발생하고 있는 셈이다. 이는 전문 사이버 범죄자들이 막대한 리소스를 이용해 보안 체계를 무력화시키고 기업 네트워크에 침투하기 위해 노력하고 있다는 사실을 방증한다.
소수집중형 표적 공격 증가
몇 년 전만 하더라도 표적 공격 캠페인은 100명 이상의 사용자를 대상으로 했지만, 점점 표적 공격이 정밀하게 진행되면서 이러한 양상도 달라졌다. 2015년 스피어 피싱 공격 캠페인을 살펴보면, 이메일 공격 캠페인 1건 당 발송된 이메일은 평균 12회로 전년 대비 52% 감소했고, 공격 1건 당 이메일 수신자 수도 전년 대비 39% 감소한 11명이었다. 스피어 피싱 공격 캠페인 자체는 전년 대비 무려 55%나 증가한 연간 1,305건으로 집계돼 소수를 겨냥한 표적 공격이 크게 증가하고 있는 것으로 나타났다.
작년 스피어 피싱 공격의 대상을 기업 규모별 비율을 살펴보면, 대기업(직원 2500명 이상)이 전체 공격의 35%, 중견기업(직원 251명 이상 2500명 미만)이 22%, 직원 250명 이하의 중소기업이 43%를 차지한 것으로 나타났다. 특히, 중소기업을 겨냥한 공격은 지난 5년간 꾸준히 증가하고 있어 소규모 기업들도 사이버 공격에서 안전하지 않음을 시사하고 있다.
정보 유출 사고 대형화…지난해 개인정보 유출 5억건
2015년에는 한번에 1000만건 이상의 개인정보가 유출된 대형 보안 사고가 아홉 차례 발생, 사상 최다를 기록했다. 단일 보안 사고로 최대 규모인 1억9100만건의 정보가 유출된 초대형 보안 사고가 발생했다. 지난 해 전 세계 보안 사고로 유출된 개인정보는 2014년 대비 23% 증가한 4억2900만건이 보고됐다. 그러나 유출 ㅡ정보의 건수를 공개하지 않는 기업이 85%나 증가하면서, 보수적으로 추산해도 실제 유출된 개인정보는 전세계적으로 5억건을 웃돌 것으로 예상된다.
크립토 랜섬웨어 대세…지난해 국내 랜섬웨어 4440건
지난해 크립토 랜섬웨어는 전세계적으로 36만건이 발견돼 2014년 대비 35% 증가하며 상대적으로 피해 강도가 낮은 컴퓨터 화면을 잠그는 락커 랜섬웨어를 제치고 대세가 됐다. 한국도 지난 해 랜섬웨어가 본격적으로 등장해 2015년 한 해 국내에서 발견된 랜섬웨어 공격은 약 4440건으로 조사됐다.
지난 해 랜섬웨어는 PC에서 나아가 스마트폰, 맥, 리눅스 시스템 등으로 공격 대상을 넓혀갔다. 공격자들이 금전 요구를 위한 인질 대상으로 네트워크로 연결된 기기들을 물색하면서 랜섬웨어의 다음 공격 표적은 기업이 될 것으로 전망되고 있다.
지난 해 합법적인 웹사이트 가운데 취약점이 발견된 웹사이트의 비율은 약 78%로, 웹사이트 4개 중 3개가 위험한 것으로 나타났다. 특히 ‘중대한’ 취약점을 가지고 있는 웹사이트도 15%나 되는 것으로 조사돼, 웹사이트 관리자들이 보다 적극적인 보안 대비가 필요한 것으로 나타났다.
모바일 보안 빨간불…다음 타깃은 IoT 기기
2015년 발견된 신규 모바일 취약점은 528개로 전년 대비 214%의 증가세를 기록, 사이버 범죄의 새로운 타깃으로 모바일이 주목 받고 있음을 보여줬다. 누적 안드로이드 악성코드 수는 2014년 9,839개에서 40%가 늘어 지난 해 1만3783개를 기록했다.
아이폰과 아이패드는 비교적 보안 위협이 낮다고 여겨져 왔는데, 2015년에는 상황이 달라졌다. 2015년 한 해에만 총 9개의 iOS 악성코드가 발견되었는데, 이전까지 발견된 iOS 악성코드를 모두 합쳐도 4개였던 것과 비교하면 현저히 증가한 것이다.
특히 악성코드 ‘엑스코드고스트(XcodeGhost)’는 이전 사례와 달리 탈옥하지 않은 기기라도 감염될 수 있음을 보여줘 새로운 위협을 경고했다. 한편 인터넷 연결 기기들의 급증에 따라 스마트TV, 커넥티드카, 스마트홈 기기, 의료장비 등 IoT 기기들과 관련된 보안이 새로운 이슈로 떠오를 것으로 예상된다.
