HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

되돌아보는 '17 5대 보안이슈 및 '18 보안위협 동향 5가지
등록일 :
2017.11.15

되돌아보는 '17 5대 보안이슈 및

'18 보안위협 동향 5가지

 



 


20175대 보안이슈


1. 능동적이고 지능화된 랜섬웨어 공격 범람

2016년 랜섬웨어 시장은 레드오션(Red Ocean)이 되었다. 공격자들은 랜섬웨어로 더 많은 수익을 창출하기 위해 지능적인 수법을 사용하기 시작했다. 올해 5월에 배포되었던 워너크라이(Wannacry) 랜섬웨어는 SMB 취약점을 이용하여 불특정 다수의 시스템을 감염시키고 스스로 확산하도록 제작되었다. 이로 인해, 워너크라이 랜섬웨어는 전 세계로 빠르게 유포되어 대규모 감염 피해 사태가 발생하였다. 워너크라이 랜섬웨어와는 달리 에레보스(Erebus) 랜섬웨어는 특정 기업이나 기관을 타깃으로 집중적인 공격을 시도했다. 공격자는 2017 6월 대형 웹 호스팅 업체인 N사를 타깃으로 랜섬웨어를 감염시켜 13억이라는 기록적인 액수의 몸값을 요구하기도 했다.

 

2. 가상화폐 비트코인 타깃 범죄 기승 

2017년 가장 뜨거운 감자인 비트코인의 상승세가 하늘을 찌르자 공격자들이 비트코인을 직접 노리기 시작했다. 1월에 백만 원대였던 비트코인은 꾸준한 상승세를 보이며 11월에는 8백만 원 가까이 가치가 상승했다. 이처럼 꾸준하게 상승세를 보이는 비트코인의 가치와 더불어 거래 추적이 어렵다는 이점 때문인지 올 한해 공격자들은 해킹을 통해 다수의 개인과 기업을 대상으로 중요 파일이나 자료들을 암호화하고 비트코인을 요구하기 시작했다. 그 예로 최근 10월에는 국내 대형 여행사인 H사를 해킹한 공격자가 고객정보를 빌미로 99 비트코인을 요구한 사건이 발생했다. 공격자들은 이에 그치지 않고 직접 비트코인을 훔치기에 이르렀고 국내 비트코인 거래소를 대상으로 해킹을 시도하여 Y업체와 C업체 두 곳으로부터 각각 55억 원과 21억 원 상당의 비트코인을 탈취한 사건도 발생하였다. 올해 발생한 대부분의 사이버 해킹 공격들이 가상화폐인 비트코인을 탈취할 목적으로 빈번히 발생했고, 앞으로도 지속될 우려가 있어 긴장감을 늦출 수 없다.

 

3. 공급망을 이용하는 치명적인 공격 지속

올해도 정상 프로그램의 공급망을 직접 공격하는 일명 서플라이 체인 어택(Supply Chain Attack)의 정황이 포착되었다. 특히 올 한해는 사용자 수가 많아 영향력이 높은 프로그램들이 주공격 대상이 되었다. 금융기관에서 주로 사용하는 서버관리 소프트웨어를 제공하는 업체인 N사가 해킹을 당해 사용자들이 위조된 모듈을 다운받는 사건이 발생했다. 위조된 모듈은 백도어(Backdoor) 악성코드로서 개발단계에서 이미 악성코드가 심어져 유포된 것으로 파악된다. 이뿐만이 아니라 누적 다운로드 수가 20억이 넘는 PC 최적화 도구인 C 프로그램의 다운로드 서버가 해킹당하는 사건도 있었다. 공격자들이 다운로드 서버에 악성코드를 심어 정상 파일을 다운로드하는 사용자들에게 악성코드를 다운받도록 설계된 것이다. 이처럼 올해는 사용자들의 시스템 기반 환경을 고려하여 사람들에게 영향을 많이 끼치는 프로그램들을 변조한 후 공격을 시도한 정황이 빈번히 포착되어 사용자들의 불안감이 다소 증대되었다.

 

4. 사이버 침해사고로 개인정보의 유출 심각 

매년 개인정보 유출로 몸살을 앓고 있지만 올 한해는 특히나 대형 기업들의 침해사고로 인한 고객정보 유출 사고가 빈번히 발생했다. 국내 최대 학술논문 사이트에서 총 3300만 건에 달하는 대규모의 개인정보가 유출되어 큰 피해가 발생했고 이용자 수가 많은 숙박업체는 개인정보 유출 사고 최초로 책임자 징계권고 제재를 받기도 했다. 작년에 이어 또다시 대형 항공사에서 개인정보가 유출되었고 여행사, 인터넷쇼핑몰과 같은 사이트에서도 개인정보가 유출되었다. 연이어 화장품이나 식품 등 업종을 가리지 않고 개인정보 유출 사고가 터지며 개인 정보가 더 이상 개인의 정보가 아니게 되었다. 유출된 개인 정보는 블랙마켓에서 거래되거나 제2의 범죄에 재사용되어 그 피해가 1차 피해 고객에게 고스란히 다시 돌아온다. 그렇기 때문에 고객의 개인정보는 철저한 보안과 위협에 대한 상시 점검이 필요하다.

 

5. 사회공학적 기법을 이용한 표적형 APT 공격의 보안위협 

작년에 이어 올해에도 표적형 공격이 끊임없이 발생했다. 특히 올해는 악성코드를 유포하는 메일이 더욱더 지능화되어 정상적으로 보낸 메일과 흡사하거나 기존에 탈취한 메일계정으로 발송하기 때문에 사용자들이 의심이나 장애 없이 악성코드에 감염될 수밖에 없다. 대통령 선거 시즌에는 후보자들의 안보정책등의 문서로 위장하여 악성코드를 유포하였고 대기업 공채 시즌에는 입사지원서로 위장한 악성코드가 인사담당자에게 유포되었으며 대학교 시험 시즌에는 교수님에게 보내는 수업 문의사항으로 위장한 악성코드가 유포되는 등 국내 정세를 정확하게 파악한 악성메일들이 유포되었다. 또한, 블로거들에게는 자신의 사진이 올라간 게시글을 지워달라는 메일에 악성코드를 첨부하여 보내는 정황도 다수 포착되었다. 이 외에도 금융감독원, 국세청, 경찰청 등 공신력 있는 기관을 사칭하여 일반 사용자들을 노린 악성 스피어피싱(Spear Phising) 메일이 다수 발송되어 사회적 혼란을 야기했다. 앞으로도 APT 공격은 더욱더 지능화되어 사용자들에게 악성코드를 배포할 수 있으므로 메일 확인 시에 각별한 주의가 필요하다.

 


2018년 보안위협 동향 5가지


1. 해킹 공격의 대상과 목표의 변화

13억 원의 피해를 봤던 호스팅 업체의 랜섬웨어 사건과 55억 원의 피해를 봤던 비트코인 거래소 해킹 사건 이후 보안 트렌드가 변화하고 있다. 지금까지는 다수의 개인을 상대로 악성코드를 유포하여 개개인의 통장에서 비교적 작은 금액을 얻어가는 형태가 보편적이었다면 이제는 개인이 아닌 기업을 향한 공격이 증가하고 있다. 큰 금액을 지급할 수 있는 능력이 있는 기업들을 타깃으로 삼으면 한 번의 공격으로 더 많은 이익을 얻을 수 있기 때문이다. 이미 2017년부터 기업에게 큰돈을 요구하는 해킹 사건이 다수 발견되고 있으며 2018년에는 더욱더 큰 규모의 해킹 사건이 발생할 가능성이 높기 때문에 기업의 보안 대책의 점검이 필요하다.

 

2. 은닉(Concealment)의 극대화, 기반 공급망을 이용한 공격 증가

정상 소프트웨어 개발 및 배포 단계에서부터 악성코드를 숨기는 공급망 공격(supply chain attack)의 증가세가 계속되고 있다. 특히 사용자 수가 많고 한 번에 큰 위협을 줄 수 있는 소프트웨어를 노리는 공격이 증가할 것으로 보인다. 공급망 공격은 주로 소프트웨어 개발사를 해킹하여 악성코드를 심고 사용자의 PC에서 소프트웨어 업데이트시 악성코드에 자동으로 감염되도록 하는 공격이다. 공급망 공격은 표적기관의 보안 시스템이 탐지하기 이전에 이루어지기 때문에 위험성이 더욱더 높다. 개발 초기 단계에서도 공격할 수 있고 유지보수를 위한 업데이트 서버를 통해서나 장비 납품과정에서도 공격할 수 있기 때문에 그 어느 과정에서도 절대 안심할 수 없다.

 

3. 증가하는 파일리스 악성코드 그리고 제로데이 위협

2017년에도 파일리스(Fileless) 악성코드가 꾸준하게 등장했다. 파일리스 악성코드는 실제로 파일이 존재하지 않고 정상 프로그램에 코드를 삽입하여 메모리상으로 동작하는 악성코드이다. 때문에 보편적인 악성코드 탐지 방법으로는 탐지하기가 까다롭다. 이러한 파일리스 악성코드가 워너크라이 랜섬웨어 사태처럼 강력한 제로데이 취약점과 만나 유포된다면 어떻게 될까. 이미 올해 파일리스 악성코드를 통한 금융권 공격이 성공하였고 워너크라이 사태를 통해 제로데이를 통한 악성코드 유포가 엄청난 파급력을 일으킬 수 있다는 것이 증명되었다. 2018년 이 둘이 결합하여 더 무시무시한 공격으로 되돌아올지도 모른다.

 

4. 리눅스 악성코드의 증가와 사물인터넷(Internet of Things)의 보안위협 관계

4차 산업 혁명이 급격하게 이루어지면서 2018년에는 사물인터넷(IoT) 기기의 수가 휴대폰의 수를 능가할 것으로 예측되고 있다. IoT의 증가로 인해 리눅스 악성코드가 지속적인 증가세를 보이고 있으며 다양한 플랫폼에서 동작하는 크로스 플랫폼 악성코드 또한 증가할 전망이다. 대규모의 디도스(DDoS) 공격을 발생시키는 미라이(Mirai) 악성코드의 소스코드 공개와 기하급수적으로 늘어나고 있는 IoT 기기의 수의 조합으로 2018, 또다시 대규모 디도스 공격이 찾아올지도 모른다. 또한, IPTV, IP 카메라 같은 기반 시설물을 해킹하여 사생활 침해를 시도하는 범죄도 증가할 것으로 예상된다.

 

5. 북한발 악성코드로 위장한 모방 공격 사례 증가

특정 사이버 공격이 북한발 악성코드라는 것을 어떻게 알 수 있을까. 지속적으로 대규모의 공격을 하는 해킹 그룹은 저마다의 고유의 특징을 가지고 있다. 북한발 공격도 그러한 특징을 가지고 있기 때문에 전문가들이 북한의 소행이다 아니다를 추측할 수 있는 것인데 최근 이런 북한 발 공격의 특징을 모방한 사례가 종종 발생하고 있다. 대규모 그룹의 공격 중에 특히 북한발 사이버 공격은 어디에서나 주목을 받고 있기 때문에 북한이 아닌 다른 그룹에서 자신들의 공격을 은폐하기 위해 북한발 공격의 특징을 모방하기도 한다. 또한 정치적인 목적에 의해서 북한발 공격을 모방하는 사례도 꾸준히 발견되고 있어 2018년에도 북한발 악성코드를 모방하는 사례들이 지속적으로 발생할 것으로 보인다.

 

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top