키워드로 정리한 2018년 상반기 보안 위협 Top 5

2017년은 ‘랜섬웨어가 전부다’라는 말이 나올 정도로 전세계 개인 및 기업을 막론하고 랜섬웨어가 가장 큰 위협이었다. 그러나 2017년 연말부터 주요 랜섬웨어의 활동은 주춤한 반면, 암호화폐(가상화폐) 채굴 또는 가상화폐 거래소 공격 등이 잇따라 등장하면서 한때 랜섬웨어의 공세가 약해지는듯 보였다. 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC)의 보안 전문가들이 지난 상반기에 발생한 주요 보안 침해 사고를 분석한 결과, 실제로 암호화폐 관련 위협이 크게 증가했다. 지난 해 대비 랜섬웨어의 양은 다소 감소했지만, 랜섬웨어 변종의 수는 오히려 증가했다. 또 주요 기관 및 기업을 겨냥한 지능형 위협도 여전한 것으로 확인됐으며, 이러한 경향은 하반기에도 이어질 전망이다.

안랩 시큐리티대응센터의 보안 전문가들이 선정한 2018년 상반기 주요 보안 위협을 짚어본다.

1. 크립토재킹(Cryptojacking): 기업, 개인 가리지 않는 암호화폐 채굴 악성코드

지난 2017년 여름, 전세계에 암호화폐(Cryptocurrency, 가상화폐) 광풍이 불어닥쳤다. 1년여가 지난 현재 과열된 분위기는 다소 가라앉았으나 새로운 암호화폐가 등장하고 비트코인의 가격이 7700달러 후반(7월 23일 기준)까지 오르는 등 암호화폐에 대한 관심은 여전하다. 특히 사이버 공격자들의 관심은 전보다 더욱 높아진 것으로 보인다. 지난 연말부터 종종 발생했던 크립토재킹이 올해 지속적으로 증가하고 있을 뿐만 아니라 공격 대상 또한 확대됐다.

‘크립토재킹(Cryptojacking)’은 암호화폐(Cryptocurrency)와 납치(Hijacking)를 의미하는 영어 단어에서 비롯된 합성어로, 컴퓨터를 감염시켜 사용자 몰래 컴퓨터의 리소스를 암호화폐 채굴에 이용하는 사이버 공격을 뜻한다. 크립토재킹을 목적으로 컴퓨터에 침입하는 악성코드는 암호화폐를 ‘채굴(Mining)’하는 악성코드라는 의미로 ‘마이너(Miner)’로 불린다.

2017년에는 보안이 취약한 웹 서버나 나스(NAS, Network Attached Storage) 서버 등 기업의 하드웨어 시스템을 노린 마이너 악성코드가 주를 이뤘으나 2018년 상반기에는 개인 사용자의 PC를 이용해 암호화폐를 채굴하는 크립토재킹 공격이 활발하게 이어졌다. 마이너 악성코드에 감염된 PC가 암호화폐 채굴로 인해 CPU 점유율 100%를 기록하는 피해가 발생하기도 했다. 특히 운영체제(OS)나 웹 브라우저의 종류와 상관없이 보 안에 취약한 웹서비스를 이용할 경우 마이너 악성코드에 감염될 수 있어 기업과 개인 등 불특정 다수의 피해가 잇따른다.

이 밖에도 가상화폐 거래소 해킹이나 암호화폐 지갑을 노리는 스피어피싱 및 악성코드 등 암호화폐와 관련된 다양한 위협이 발생했다. 감염자의 반응을 기다려야하는 랜섬웨어에 비해 암호화폐 채굴 악성코드는 상대적으로 큰 수고를 들이지 않고도 즉각적인 수익이 발생한다는 점에서 앞으로도 크립토재킹 공격은 지속될 전망이다.

2. 랜섬웨어(Ransomware): 다양한 공격 기법 총동원한 지능형 랜섬웨어

지난 2017년 여름 케르베르(Cerber) 랜섬웨어의 활동이 사실상 중단되면서 랜섬웨어의 기세가 한풀 꺾일 것이라는 전망이 지배적이었다. 그러나 2017년 10월 중순 취약점 공격 도구인 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit)을 이용하여 유포되는 매그니베르(Magniber, Magnitude와 Cerber의 합성어)가 새롭게 나타났다.

매그니베르 랜섬웨어는 광고 서버를 활용한 멀버타이징 기법으로 유포되었으며, 국내에서는 올해 1분기까지 많은 피해가 발생했다. 다행히 안랩을 비롯한 주요 보안 업체에서 매그니베르 랜섬웨어가 암호화된 파일을 복구할 수 있는 구조로 제작되어 있음을 확인하고 복호화 툴을 배포해 2018년 4월 초부터 더 이상 피해가 확산되지 않았다.

그러나 4월 이후 랜섬웨어 공격자들은 복호화가 불가능한 랜섬웨어를 제작하기 위해 지속적으로 업그레이드를 시도했다. 대표적인 것이 갠드크랩(GandCrab)랜섬웨어다. 2018년 7월 24일 기준, 갠드크랩 랜섬웨어는 버전 4.2까지 변종이 나타났다.

공격자들의 랜섬웨어 유포 방법 또한 다양했다. 매그니베르 랜섬웨어와 같이 웹 사이트 광고를 이용한 멀버타이징 기법 외에도 전통적인 스팸 메일을 이용하되 업무나 저작권 침해 관련 제목과 내용으로 위장한 사회공학기법이 이용됐다. 첨부 파일 또한 .doc나 .js 등 다양한 확장자명을 이용하고 있으며, 국내 사용자들이 많이 사용하는 .egg 확장자명을 가진 압축파일을 이용한 랜섬웨어 유포가 잇따르고 있다.

일각에서는 이제 랜섬웨어 공격은 점차 감소할 것이라는 관측이 제기되고 있다. 최근 힌국인터넷진흥원(KISA)이 발표한 보고서에 따르면 올해 국내에서 탐지된 전체 악성코드 중 랜섬웨어 비율은 지난해 하반기 28.3%에 비해 크게 감소한 14.9%로 나타났다. 그러나 전년 동기 랜섬웨어 비율이 5%였던 것을 고려하면 여전히 높은 비율을 차지하고 있다. 또한 암호화폐 채굴 악성코드의 비율이 14.1%로 크게 증가한 것은 사실이지만, 랜섬웨어도 비슷한 비율을 보여 여전히 랜섬웨어 위협이 사라지지 않았음을 알 수 있다.

3. 지능형 위협(APT): 여전히 계속되는 사이버 침공

지난 4월부터 남북교류가 활발해지고 북미간의 긴장이 상당히 완화되었다. 이러한 사회적 분위기에 힘입어 국내 기관 및 기업에 대한 사이버 공격이 줄어들 것이라는 기대감이 형성됐다. 지난 5월 안랩이 기업 보안 책임자(CISO)를 대상으로 주최한 보안 세미나 AISF Square 2018에서도 이른바 ‘북한발 해킹’이 줄어들었는지 궁금해하는 고객들이 많았다.

안타깝게도 사이버 상에서의 긴장 상태는 전과 다름 없이 지속되고 있으며, 공격의 강도 또한 조금도 약해지지 않았다. 국내 기관과 기업을 비롯해 주요 인사들을 타깃으로 한 지능형 공격(Advanced Persistent Threat, APT)이 계속되고 있다. 게다가 최근 미국과 중국의 무역전쟁, 러시아 관련 상황 등으로 국가간 사이버 공격은 하반기에도 계속될 전망이다.

공격 타깃의 IT 인프라를 파악하고 공격을 전개하는 공급망 공격(Supply Chain Attack)의 수위도 여전하다. 공급망 공격은 기관이나 기업에서 사용하는 상용 소프트웨어의 제조 공정에 개입하여 업데이트 파일에 악성코드를 삽입해 감염을 시도하는 방식이다. 이러한 공격을 전개하기 위해서는 공격 목표의 내부 시스템에 대한 정보와 이해가 바탕이 되어야 한다. 즉, 공격자들은 이미 국내 기관 및 기관에 대한 상당한 정보를 갖고 있음을 짐작할 수 있다.

공급망 공격을 방지하기 위해서는 우선 소프트웨어 제조사들이 현재의 개발, 배포 체계에서 보안 문제가 없는지 수시로 점검해야 하며, 이를 개발 프로세스에 포함시켜야 한다. 또한 상용 소프트웨어를 이용하는 기관 및 기업의 보안 담당자들은 최신 보안 위협과 침해 사고에 대해 관심을 갖고 이를 토대로 지속적으로 내부 환경을 점검하는 노력이 필요하다.

4. 취약점(Vulnerability): 기본이자 가장 확실한 취약점 이용 공격

보안의 관점에서 2018년의 문을 연 것은 취약점이다. 2018년 1월 사상 초유의 CPU 취약점이 확인됐다. CPU 취약점이 알려지면서 사실상 전 세계의 거의 모든 컴퓨팅 시스템이 잠재적으로 위협에 노출된 셈이다. 그러나 주요 소프트웨어 업체들과 보안 업체, CPU 제조사가 다각도로 노력을 기울인 덕분인지 현재까지 CPU 취약점을 이용한 공격은 확인된 바 없다.

기본적으로 모든 소프트웨어는 버그 등 다양한 원인에 의한 취약점이 존재할 수 있으며, 취약점은 전통적인, 또 가장 고도화된 공격에서 가장 선호하는 수단이다. 공격자들은 알려지지 않은 제로데이(Zero-day) 취약점을 찾아내 이용하는 것뿐만 아니라 이미 보안 패치가 배포된, 알려진 취약점들을 즐겨 이용한다. 보안 패치가 배포되더라도 모든 시스템, 특히 기관 및 기업 내부의 모든 시스템에 적용되는 일이 거의 없다는 것을 잘 알고 있기 때문이다.

대표적인 예가 이터널블루(Eternal Blue) 취약점이다. 이터널블루는 2017년 5월 150여개 국가에서 20만대 이상의 PC를 마비시켰던 워너크라이(WannaCry) 랜섬웨어와 밀접한 관련이 있다. SMB(파일 공유) 프로토콜을 통해 내부 감염 확산을 야기할 수 있는 이 취약점은 올해 초 가상화폐 채굴 악성코드에 이용된 바 있으며, 2018년 8월 현재 활발히 활동하고 있는 갠드크랩 랜섬웨어의 일부 변종에도 이용되고 있다. 워너크라이 랜섬웨어 사태로부터 1년여가 지난 지금까지 이터널블루 취약점을 이용한 악성코드가 계속 나타난다는 것은 여전히 이터널블루 취약점에 대한 패치를 적용하지 않은 시스템이 상당수에 이른다는 방증이다.

이 밖에도 IIS 6.0(CVE-2017-7269) 취약점, 한글 EPS(Encapsulated PostScript) 취약점 등은 이미 관련 보안 패치가 배포된 상태지만 여전히 이를 이용한 악성코드와 피해 사례가 확인되고 있다. 개인은 물론 기관 및 기업은 내부에서 사용 중인 소프트웨어의 최신 보안 패치를 신속히 적용하기 위한 관리 방안을 마련해야 한다. 이와 함께 공급망 공격을 예방하기 위해 내부 인프라에 구축된 솔루션과 서비스에 대한 패치도 상시 관리해야 한다.

5. 이벤트(Event): 국제적 행사를 둘러싼 직•간접적 사이버 공격

2018년은 연초부터 전 세계적인 스포츠 이벤트가 이어졌다. 올해 초 우리나라에서 개최된 평창 동계올림픽에 이어 지난 6월 러시아에서 개최된 올림픽까지, 전 세계 수많은 사람들의 관심이 집중됐다. 많은 사람들이 관심을 갖는 것에는 항상 공격자들의 관심이 뒤따르기 마련. 이번에도 어김없이 이들 행사에 쏠린 사람들의 관심을 악용해 개인정보를 탈취하거나 금전적인 피해를 입힌 사이버 공격들이 잇따라 등장했다.

평창 동계올림픽 개막을 앞둔 지난 1월에는 정부 기관에서 발송한 것으로 위장한 이메일에 평창 동계올림픽 관련 문서로 위장한 악성 파일이 첨부된 사례가 있었으며, 동계올림픽 관련 이벤트 프로그램으로 위장한 악성코드가 발견되기도 했다. 다행히 평창 동계올림픽은 성공적으로 마무리되었으나, 이후 대회가 진행되는동안 조직위원회 및 올림픽 대회와 관련된 서비스에 대한 직접적인 사이버 공격이 있었다는 사실이 알려졌다. 평창 동계올림픽 사이버침해대응팀은 사전에 모의 침해 훈련 등 다양한 사이버 공격에 대비한 상태로, 실제로 이상 징후가 포착된 즉시 안랩 등 민간 기업들과 공조하여 성공적으로 대응했다. 안랩은 공식 IT보안 소프트웨어 서포터(Official Anti-Malware Software

Supporter)로서 조직위원회에 PC 및 서버 보안을 위한 V3 제품군과 안랩 패치 매니지먼트, 안랩 내PC지키미, V3 모바일 엔터프라이즈 등을 지원한 바 있다.

평창 동계올림픽 관련 사이버 공격 대응 사례에서 볼 수 있는 것처럼 국가적인 보안 침해나 교묘한 지능형 위협(APT) 등 대규모 보안 사고의 피해를 최소화하기 위해서는 국가 기관 및 민간 보안 업체들의 적극적인 공조가 중요하다. 반면, 기업의 보안 침해 사고가 발생했을 때 침해 사실을 숨기는데 급급해 정보 공유가 이뤄지지 않는 것은 물론, 피해가 커지거나 유사한 피해가 발생하는 것은 안타까운 현실이다. ​