2016년 보안이슈
1. “랜섬웨어가 훔쳐간 내 파일…!” (다양한 랜섬웨어)
2016년은 ‘랜섬웨어의
해(年)’라 불러도 과언이 아니다. 올해 발견된 대표적인 랜섬웨어는 음성으로 파일 암호화를 안내하는 케르베르(Cerber),
헬프데스크를 운영하는 하데스(Hades), 바탕화면을 실시간으로 암호화하는 아이랜섬(iRansom), 모바일 결제방식이 추가된 록쿠(Rokku) 등이
있다. 랜섬웨어 시장은 레드오션(Red Ocean)으로 랜섬웨어
제작자들이 무한경쟁에서 살아남기 위해 고객 중심의 서비스를 추가하고 있으며, 암호화된 파일의 몸값도
낮아지고 있다. 최근 한화 45만원이면 블랙마켓에서 랜섬웨어를
제작할 수 있고, 사회 이슈를 이용한 랜섬웨어 감염 사례도 발견되고 있다. 자사 APT Shield 기준, 올해 11월까지 랜섬웨어 실시간 차단 현황은 약 1만 6천 건으로 작년 동기간보다 약 38% 증가하였다.
2. “세상에 안전한
곳은 없어요” (APT 공격 지속)
올해 초부터
크고 작은 해킹사고가 자주 발생했다. 특히 지난 5월 발생한
인터넷 쇼핑몰 인터파크 해킹사건은 표적 공격의 대표적인 사례이다. 공격자는 지인을 사칭해 내부 직원에게
악성코드가 심어진 화면보호기 파일을 전송하였고, 감염된 직원 PC를
통해 약 57시간 만에 천만 건 이상의 개인정보가 유출되었다. 공격자는
정확한 표적을 선정하여 최단 시일 안에 목적을 달성하는 등 치밀하고 계획적이었다. 이외에 SK, 한진 그룹 등 대기업이 해킹당해 4만여 건의 문서가 유출된 것으로
확인되면서 대기업의 보안시스템도 더는 안전하다고 볼 수 없다. 표적 공격은 단순 정보 유출로 끝나는
것이 아닌 사회 전체를 마비시킬 만큼 매우 위험한 공격이며, 최근 고도화된 방식으로 인해 사전 탐지가
어려워 사용자들의 주의가 필요하다.
3. “인터넷 연결된
물건은 다 위험해!” (사물인터넷(IoT)을 이용한 공격)
최근 이용자들의
편리함으로 사물인터넷 기기들이 쏟아져 나오고 있다. 지난 10월, 도메인 서비스 업체인 딘(Dyn)은 대규모 디도스(DDoS) 공격을 받아 트위터, 아마존 등 미국 동부지역의 주요 웹사이트에
접속 장애가 발생하였다. 디도스 공격을 발생시킨 미라이(Mirai) 악성코드는
취약한 아이디/패스워드나 제조사의 디폴트 값으로 설정된 사물인터넷 기기를 대상으로 감염시켜 대규모 봇넷을
형성하였다. 앞으로 인터넷에 연결된 기기와 서비스가 다양화됨에 따라 보안 위협은 커질 것으로 우려되며, 관리되지 않는 사물인터넷 기기들은 우리에게 무기가 되어 돌아온다는 것을 잊지 말아야 한다.
4. “정상 파일인줄 알았는데..
당했다!” (정상 프로그램 악용 및 취약점)
최근 정상
프로그램을 악용하거나 취약점을 이용한 공격이 지속해서 발견되고 있다. 원격제어 프로그램 팀뷰어(Team Viewer)는 전 세계적으로 많은 사람이 사용하는 프로그램이지만, 공격자가
감염PC의 백도어로 종종 사용하곤 했다. 올해 초에는 취약한
비밀번호를 가진 팀뷰어 아이디를 해킹해 무단결제와 인터넷 뱅킹을 시도한 사례가 발견되면서, 새로운 악성코드
유포 방식으로 떠오르고 있다. 또한 금융권 보안솔루션으로 사용중인 이니텍, 닉스테크의 코드 서명이 해킹되었으며 엔프로텍트의 보안모듈 취약점을 이용한 악성코드도 발견되었다. 이외에 사회적 이슈 ‘최순실 사태’로
위장한 악성 한글파일이 발견되었는데, 한글오피스 프로그램의 취약점을 이용해 악성코드를 감염시켰다.
JAVA나 Flash Player 취약점을 이용한 악성코드는 꾸준히 발견되고 있지만 최근 보안모듈의 취약점을 이용하여 악성코드
배포에 사용되고 있다. 이처럼 정상 프로그램을 악용하거나 취약점을 이용한 공격은 안전한 비밀번호 설정과
최신 버전의 응용 프로그램을 유지하는 방법으로 대응해야 한다.
5. “범죄자들의 노다지, 금융권” (금융권 악성코드)
금융권 관련
악성코드는 랜섬웨어 이슈에 밀려 잠잠한 듯 보이나 사실상 그렇지 않다. 올해 초 파밍 악성코드는 인터넷
익스플로러(IE) 설정 중 ‘자동 구성 스크립트 사용’ 부분에 악의적인 스크립트를 넣어 프록시 기능을 사용해 파밍 페이지에 연결하는 변화가 있었다. 지난 2월 방글라데시 중앙은행이 해킹을 당해 8천 100만 달러(약950억원)가 이체된 사건이 있었다.
이외에도 여러 은행에서 해킹사고가 발생하였으며, 세계 최대 은행간 국제결제 시스템망인 국제은행간통신협회(SWIFT)가 뚫렸다. 대만의 한
ATM 기기에서는 해킹으로 현금이 쏟아져 나오는 사건이 있었다. 이처럼 공격자들은 한 번의
금융권 해킹으로 큰 이익을 얻을 수 있어 아주 치밀하고 정교한 악성코드를 제작하고 있다.
2017년 보안 위협 예측
1. “다음은 바로 너!” (타겟형 랜섬웨어)
2017년 랜섬웨어는 기업 및 공공기관, 사회기반시설 등 특정 표적을
선정하여 시스템 내부의 모든 파일을 암호화하여 몸값을 요구하는 형태가 증가할 것으로 보인다. 또한, 팀뷰어 프로그램이나 윈도우 원격데스크톱(RDP)을 이용한 개인 사용자를
감염 시켜 파일 중요도에 따라 요구하는 몸값이 유동적으로 변화할 것으로 예상한다.
2. “믿는 도끼에 발등 찍힌다.” (정상 프로그램의 취약점을 이용한 표적공격)
내년에도 대기업 및 국가기관을 목표로 하는 표적 공격이
증가할 것으로 보인다. 공격자는 특정 표적에 대한 정보를 사전에 수집하여 한 번의 공격으로 악성코드를
감염시킬 것이며, 내부 프로그램 취약점 등을 이용해 전체 시스템을 빠르게 장악하고, 시스템 파괴나 탈취된 정보를 이용해 사회혼란을 유발할 것으로 예상한다.
3. “악성코드 제작자 일거양득(一擧兩得)” (다양한 플랫폼에 대한 보안 위협 증가)
과거에는 윈도우 사용 비중이 높아 다른 플랫폼 악성코드가 많지 않았으나 점차 늘어나는 추세이다. 최근 리눅스를 기반으로 한 사물인터넷(IoT) 악성코드인 미라이(Mirai) 소스코드 공개로 인해, 다양한 변종 악성코드와 각종 취약점, 익스플로잇 코드를 탑재한 악성코드가 증가할 것으로 보인다. 특히 일부 IoT 기기들에서 개인 사생활이 노출되거나 통합시스템이 마비되는 등 보다 현실적인 보안 위협이 증가할 것으로 예상한다.
다양한 플랫폼을 사용하는 이용자가 증가함에 따라 크로스
플랫폼 유형의 악성코드가 증가할 것으로 보이며, 크로스 플랫폼 악성코드는 하나의 악성코드 제작으로 여러
플랫폼에서 동작함으로 큰 피해를 줄 것으로 예상한다.
4. “구름 따라 쫓아가는 새로운 보안 위협” (클라우드 보안 위협)
5. “골라 골라 싸게 싸게 골라~” (블랙마켓 활성화)
기존 블랙마켓은 개인정보를 거래하는 시장에 불과하였으나, 최근에는 취약점, 악성코드 및 랜섬웨어 제작 도구를 거래하는 등
더욱 활성화될 것으로 보인다. 특히, 전 세계적인 경기 불황으로
일반인이 블랙마켓을 이용해 부정적인 방법으로 금전을 취득하려는 시도가 증가할 것으로 예상한다.
