"사이버 범죄자들, 랜섬웨어와 암호화폐 채굴 위한 '크립토재킹' 수익 감소... 쇼핑객의 결제 카드 정보 탈취하는 '폼재킹'을 대체 수입원으로"
"사이버 범죄자들, 랜섬웨어와 암호화폐 채굴 위한 '크립토재킹' 수익 감소... 쇼핑객의 결제 카드 정보 탈취하는 '폼재킹'을 대체 수입원으로"
  • 김영석
  • 승인 2019.02.26 12:42
  • 댓글 0
이 기사를 공유합니다

시만텍, ‘인터넷 보안 위협 보고서’ 발표

글로벌 사이버 보안 선도기업 시만텍은 2018년 주요 사이버 범죄 및 보안 위협 동향을 분석한 ‘인터넷 보안 위협 보고서(Internet Security Threat Report) 제24호’를 발표했다고 26일 밝혔다.

시만텍은 보고서를 통해 랜섬웨어와 암호화폐 채굴을 위한 크립토재킹(cryptojacking)의 수익 감소에 직면한 사이버 범죄자들이 대체 수입원으로 폼재킹(formjacking)과 같은 새로운 공격에 주목하고 있다고 설명했다.

시만텍 인터넷 보안 위협 보고서는 세계 최대 규모의 민간 보안 위협 데이터 수집 네트워크인 시만텍 글로벌 인텔리전스 네트워크(Global Intelligence Network, 이하 GIN)의 데이터를 분석해 전 세계 보안 위협 활동에 대한 인사이트, 사이버 범죄자 동향, 공격 동기 등 사이버 보안 위협 현황에 대한 종합적인 정보를 제공한다. 시만텍 GIN은 전 세계에 설치된 1억2300만개의 공격 감지 센서를 통해 이벤트를 기록하고 매일 1억4200만개의 위협을 차단하며 157개 이상의 국가에서 위협 활동을 모니터링하고 있다. 아래는 시만텍이 공개한 보고서 내용이다.

◆일확천금을 노리는 새로운 공격 기법 ‘폼재킹’

폼재킹은 가상의 ATM 스키밍(skimming)으로 사이버 범죄자들이 온라인 구매 사이트에 악성코드를 삽입해 공격 기법이다. 평균적으로 매월 4800개 이상의 웹사이트가 폼재킹 코드에 감염되고 있다. 시만텍은 2018년 엔드포인트에서 370만건 이상의 폼재킹 공격을 차단했다. 전체 탐지건 중 약 3분의 1은 연중 온라인 쇼핑이 가장 많은 11월과 12월에 발생한 것으로 나타났다.

티켓마스터(Ticketmaster)와 영국항공(British Airways) 등 유명 온라인 결제 사이트가 몇 개월 동안 폼재킹 코드에 감염되었지만, 시만텍 조사 결과 중소 규모의 온라인 구매 사이트가 가장 광범위하게 폼재킹 공격을 당한 것으로 나타났다.

사이버 범죄자들은 신용카드 사기를 통해 개인 사용자의 금융 및 개인정보를 탈취하고 다크웹(dark web)에서 판매함으로써 2018년 한 해 최소한 수천만달러의 수익을 올렸을 것으로 추정된다. 지하시장에서 신용카드 1장이 최대 45달러(약 5만원)에 팔리는 것을 감안하면 폼재킹에 감염된 각 웹사이트에서 신용카드를 10장씩만 탈취해도 월 최대 220만달러(약 24억5000만원)의 수익을 거둘 수 있다. 38만건 이상의 신용카드 정보가 유출된 영국항공 공격 사례의 경우 범죄자들은 이 공격 하나로 1700만달러(약 190억원) 이상을 벌어들였을 것으로 예상된다.

그렉 클라크(Greg Clark) 시만텍 CEO는 “폼재킹은 기업과 개인 사용자 모두에게 심각한 위협을 의미한다”며 “개인 사용자의 경우, 포괄적인 보안 솔루션을 사용하지 않으면 감염된 온라인 구매 사이트를 방문하고 있는지 알 길이 없다. 따라서 엄청난 피해를 초래할 수 있는 신원도용에 소중한 개인정보와 금융정보가 노출될 수 있다. 기업 입장에서 폼재킹의 급증은 감염 시 겪게 될 평판 및 법적 책임의 리스크는 물론이고 공급망 공격의 위험이 증가하고 있음을 보여주는 것”이라고 말했다.

◆크립토재킹과 랜섬웨어의 수익 감소

사이버 범죄자들이 개인 사용자와 기업으로부터 탈취한 프로세싱 파워와 클라우드 CPU 사용량을 이용해 암호화폐를 채굴하는 크립토재킹과 금전을 요구하는 랜섬웨어는 몇 년간 쉬운 돈벌이를 위해 사이버 범죄자들이 가장 많이 찾는 방법이었다. 하지만 2018년에는 암호화폐의 가치 하락과 클라우드 및 모바일 컴퓨팅의 도입 증가로 이러한 공격의 효과가 떨어지면서 크립토재킹과 랜섬웨어의 공격 활동이 감소하고 수익이 하락했다. 랜섬웨어 감염은 지난해 전년 대비 20% 감소했는데 2013년 이후 처음으로 하락했다. 시만텍은 2018년 기업의 랜섬웨어 감염이 12% 증가해 전반적인 하락세와 대조적인 흐름을 보이며 기업에 지속적인 위협이 되고 있기 때문에 기업들이 방심해서는 안 된다고 설명했다. 실제로 랜섬웨어 감염 10건 중 8건 이상은 기업에 영향을 미친다.

크립토재킹 활동은 2018년 초 정점에 달했지만 연중에 52% 감소했다. 암호화폐 가치가 90%까지 떨어지고 수익성이 크게 하락했지만 그럼에도 불구하고 크립토재킹은 낮은 진입장벽, 최소한의 간접비, 익명성 보장 등으로 여전히 공격자들의 관심을 끌고 있다. 시만텍은 2018년 12월 단 한 달 동안 엔드포인트에서 350만건의 크립토재킹 활동을 차단했다.

◆클라우드 보안 피해 증가

기업이 PC 도입 초기에 범한 것과 동일한 보안 실수가 현재 클라우드 환경에서 나타나고 있다. 클라우드 워크로드나 스토리지 인스턴스를 하나만 잘못 구성해도 기업에 수백만달러의 피해나 컴플라이언스 악몽을 안겨줄 수 있다. 2018년 한 해에만 잘못 설정된 S3 버킷에서 7000만개 이상의 레코드가 도난 또는 유출되었다. 실제로 인터넷에서 공격자들은 잘못 설정된 클라우드 리소스를 식별할 수 있는 많은 툴들을 쉽게 구할 수 있다.

멜트다운(Meltdown), 스펙터(Spectre), 포쉐도우(Foreshadow) 등과 같은 하드웨어 칩의 취약점 발견은 클라우드 서비스가 동일한 물리적 서버에서 호스팅되고 있는 타 기업 리소스의 보호 메모리 공간에 접근하는 데 악용될 수 있는 위험을 보여주고 있다.

◆자원활용 자력형(LotL) 공격 툴과 소프트웨어 공급망 약점, 더욱 은밀하고 대담한 공격 촉발

자원활용 자력형(Living off the Land)과 소프트웨어 공급망 공격은 사이버 범죄자와 표적 공격 그룹이 널리 이용하는 대표적인 최신 공격 기법으로, 2018년 소프트웨어 공급망 공격은 전년 대비 78% 급증했다. 공격자들은 자원활용 자력형 공격 기법을 이용해 눈에 띄지 않고 수많은 합법적인 프로세스에서 활동을 은폐할 수 있다. 일례로 악성 파워쉘(PowerShell) 스크립트의 사용이 2018년 1000% 증가했다. 시만텍이 매월 11만5000개의 악성 파워쉘 스크립트를 차단하고 있지만 이는 실제 전체 파워쉘 사용량의 1%도 채 되지 않는 수치이다. 따라서 모든 파워쉘 활동을 차단하는 과도한 접근법은 기업에 피해를 야기할 수 있다. 많은 표적 공격 그룹이 자원활용 자력형 공격을 선호하는 것도 이 때문이다.

이러한 공격을 식별 및 차단하기 위해서는 시만텍의 EDR(Managed Endpoint Detection and Response) 관제 서비스, 향상된 EDR 4.0 기술, 고난도 인공지능을 적용한 시만텍 표적 공격 애널리틱스(Targeted Attack Analytics, TAA) 등과 같이 분석 및 머신러닝 기술이 적용된 고급 탐지 방법을 활용해야 한다. 시만텍은 TAA를 이용해 악성코드 없이 사이버 스파이활동을 완벽히 수행했던 골메이커(Gallmaker) 그룹의 공격과 같은 은밀한 표적 공격을 대거 발견했다.

자원활용 자력형 공격과 소프트웨어 공급망 약점 공격 외에 공격자들은 기업에 침투하기 위해 스피어피싱과 같은 전통적인 공격 방법 사용을 늘리고 있다. 여전히 표적 공격의 주요 동기는 정보 수집이지만, 비즈니스 운영의 중단 및 방해를 목표로 한 악성코드를 이용한 공격 그룹도 2018년에 25% 증가했다.

◆IoT(사물인터넷), 사이버 범죄자 및 공격 그룹의 공격 타깃 부상

IoT 공격은 2017년과 비슷하게 여전히 높은 수준이지만 공격 양상은 급격히 변화하고 있다. 감염된 기기 가운데 라우터와 커넥티드 카메라가 가장 많은 비중(90%)을 차지하고 있지만, 스마트 전구에서 음성인식 비서(voice assistant)에 이르기까지 모든 기기가 공격의 추가 진입 지점을 제공하는 등 거의 모든 IoT 기기가 취약한 것으로 나타나고 있다.

표적 공격 그룹은 핵심 진입 지점으로 IoT에 점점 더 집중하고 있다. VPN필터(VPNFilter) 라우터 악성코드의 등장은 전통적인 IoT 위협의 진화를 보여주는 것으로 기술력과 풍부한 자원을 갖춘 공격자가 만든 이 악성코드는 기기의 파괴나 삭제, 자격 증명 정보 및 데이터 탈취, SCADA 통신 가로채기 등을 수행한다.

김봉환 시만텍코리아 SE본부 상무는 “IT와 산업용 IoT가 융합하는 추세가 확산됨에 따라 다음 사이버 격전지는 운영기술(OT)”이라며 “쓰립(Thrip), 트리톤(Triton) 등 점점 더 많은 공격 그룹이 운영시스템과 산업제어시스템을 겨냥한 사이버전에 관심을 보이고 있다”고 말했다.

◆개인정보보호에 대한 경각심

시만텍은 캠브리지 애널리티카(Cambridge Analytica) 데이터 사건과 페이스북 개인정보보호 관련 청문회, 유럽연합의 GDPR(일반개인정보보호법) 시행 그리고 애플의 페이스타임처럼 널리 사용되는 앱에서 앱 위치 추적 및 프라이버시 결함의 발견 등 개인정보보호 이슈가 2018년 한 해 큰 주목을 받았다고 밝혔다.

이에 시만텍은 스마트폰은 가장 뛰어난 스파이 장치이며 그 이유는 카메라, 청취 도구 및 위치 추적기가 하나에 모두 있고 사용자가 어디든 자발적으로 들고 다니며 사용하기 때문이라고 설명했다. 스마트폰은 이미 여러 국가에서 전통적인 스파이 활동의 대상이지만, 범죄 목적으로 개발된 모바일 앱으로 개인 정보를 수집해 수익을 추구하는 수단도 되고 있다.

시만텍 조사에 따르면 인기가 높은(most popular) 안드로이드 앱의 45%와 iOS 앱의 25%가 위치 확인 권한을 요청하고, 인기(popular) 안드로이드 앱의 46%와 iOS 앱의 24%가 사용자 기기의 카메라에 대한 접근 허가를 요청한다. 또한 최고 인기(top) 안드로이드 앱의 44%와 인기가 높은(most popular) iOS 앱의 48%에 이메일 주소가 공유되고 있다.

자녀, 친구 또는 분실된 휴대폰을 추적하기 위해 휴대폰 데이터를 수집하는 디지털 툴 역시 증가하면서 동의 없이 다른 사람을 추적할 수 있는 가능성이 높아지고 있다. 200개 이상의 앱과 서비스가 스토커에게 기본 위치 추적, 문자 수집 및 심지어 동영상 비밀 녹화 등 다양한 기능을 제공한다.