지난해 1년 간 유포된 악성메일 수는 줄어들었으나 오히려 표적공격은 늘어난 것으로 나타났다. 공격자들이 이전보다 훨씬 정밀하게 특정 대상, 집단을 노린 공격을 수행하고 있다는 점을 보여주는 것이다.
14일 시만텍은 2014년 1월~12월까지 분석한 내용을 담은 '인터넷보안위협보고서(ISTR) 제20호'를 공개하면서 이러한 추세를 설명했다. 지난해 아직 패치가 발견되지 않은 제로데이 취약점을 악용한 공격은 사상 최다로 늘었고, 데이터를 암호화한 뒤 인질삼아 돈을 요구하는 랜섬웨어는 물론 소셜네트워크서비스와 모바일플랫폼으로 공격확대, 사물인터넷(IoT) 보안위협이 부상하고 있는 것도 새로운 변화다.
본사 발표에 맞춰 마련된 시만텍코리아 기자간담회 자리에서 윤광택 이사는 표적공격 캠페인을 분석한 결과, 공격 1건 당 발송된 이메일 및 이메일 수신자수는 전년과 비교해 감소했으나 오히려 스피어피싱을 활용한 표적공격의 수는 늘어났다고 밝혔다.
보고서에 따르면 공격 1건당 발송된 평균 이메일, 이메일 수신자수는 각각 25건, 18명으로 지난해 29건, 23명과 비교해 줄어들었다. 그러나 오히려 스피어피싱을 활용한 표적공격은 전년 779건과 비교해 지난해에는 841건으로 오히려 8% 증가했다.
이러한 변화에 대해 윤 이사는 특정 목적을 가진 공격집단이 들키지 않고 더 정밀하게 공격대상을 타격하고 있다는 점을 보여준다고 말했다. 발견된 악성이메일 건수만 놓고 보면 공격이 줄어든 것처럼 보이지만 실제로는 공격이 더 치밀해졌다는 것이다. 공격자들이 목표 시스템에 머무는 공격지속시간은 2012년 3일에서 2013년 8.3일, 지난해에는 9일로 꾸준히 늘어나고 있는 추세다.
여전히 대기업 6개 중 5개인 83%가 이러한 스피어피싱 공격대상이 되고 있다. 지난해 전체 스피어피싱 공격 중 대기업은 41%로 가장 많은 비중을 차지했으나 이들과 협력관계에 있는 중견기업, 소기업은 각각 34%, 25%로 조사됐다.
악성첨부파일 확장자명은 2013년에 '.exe'가 31.3%로 가장 많이 악용됐으나 지난해에는 '.doc'가 1위자리를 차지했다.
스피어피싱 등 지능형 공격을 위한 도구로 악용되는 제로데이 취약점의 경우 지난해 24건으로 가장 많이 발견된 것으로 조사됐다. 윤 이사는 버그바운티와 같은 취약점 포사젱 등이 활성화된 결과라고 설명했다. 지난해 전 세계를 떠들썩하게 했던 '하트블리드' 취약점의 경우 관련 내용이 공개된 지 4시간 만에 바로 공격이 시작됐을 정도로 공격자들이 빠르게 움직이고 있는 것으로 파악된다.
지난해 발견된 전체 악성코드 중 약 28%가 가상머신(VM)을 통한 탐지, 차단을 우회할 수 있는 것으로 나타났다.
새롭게 관찰되고 있는 공격 유형은 소셜미디어, IoT기기를 악용하는 공격 유형이다. 시만텍에 따르면 소셜미디어 상 사기와 연관된 글 중 70%가 사용자들 스스로 다른 사용자들에게 공유하고 있는 것으로 확인됐다. 예를들어 지난해 8월 타계한 미국 유명 배우 로빈 윌리엄스의 작별인사를 사칭한 동영상이라고 속인 뒤 영상을 보기 위해 해당 링크를 다른 사용자에게 공유하고, 소프트웨어 업데이트를 유도해 악성코드를 설치하는 수법이 활용되고 있다.
IoT기기와 관련해서는 무선인터넷공유기 등을 악성코드에 감염시켜 비트코인과 같은 암호화화폐를 채굴하도록 컴퓨팅 자원을 몰래 훔쳐쓰는 '달로즈'라는 웜이 지난해 등장한 바 있다. 또한 스마트밴드, 스마트워치와 같이 자가측정 애플리케이션의 경우 개인의 심장박동수, 수면시간 등 개인정보를 평균 5개 도메인에 암호화하지 않은 평문형태로 공유하고 있는 것으로 나타났다. 개인의 건강정보나 사생활이 IoT기기를 통해 더 손쉽게 노출될 수 있다는 지적이다. 해당 정보는 애플리케이션 분석, 광고 네트워크, 앱 제공업체, OS제공업체, 소셜미디어, CRM/마케팅 등 분야에 공유되고 있는 것으로 확인됐다.
이밖에 랜섬웨어는 국내에서도 감염피해사례가 나올 정도로 급증하고 있다. 윤 이사에 따르면 이전까지 가짜 백신 설치를 유도한 뒤 치료를 위해 유료결제가 필요하다는 수법을 썼던 사기범들이 랜섬웨어로 이동하고 있다.
사용자들의 데이터를 임의로 암호화해버린 뒤 이를 풀어주는 대신 댓가를 요구하는 '크립토 랜섬웨어'의 경우 전년대비 지난해 45배가 증가했다. 보고서에 따르면 랜섬웨어는 오피스 및 PDF파일, 개인파일 및 사진은 물론 네트워크공유폴더드라이브, 외장스토리지, 클라우드 스토리지 등까지 공격영역을 확대하는 중이다. 지난해에는 스마트폰을 암호화시키는 심프라커(Android.Simplocker)'까지 등장하는 상황이다.
관련기사
- 한수원 해킹, 주목받는 3가지 보안 키워드2015.04.14
- 시만텍, 베리타스 매각 검토2015.04.14
- 쪼개지는 시만텍, 한국 사업부 수장들 공식 선임2015.04.14
- 시만텍, 국내 정부기관들과 보안공조 강화2015.04.14
이달부터 시만텍코리아 보안사업 부문을 총괄하게 된 박희범 지사장은 사이버 공격자들은 한층 정교하고 지능화된 공격 기법을 기반으로 목표 대상에 더 민첩하고, 더 은밀하게 공격을 감행하는 반면, 이를 방어해야 하는 기업과 조직은 상대적으로 대응 속도와 능력이 떨어져 그 격차가 현저하게 벌어지고 있다고 설명했다. 이에 따라 크립토랜섬웨어, 소셜미디어 및 모바일 악성코드, IoT 보안 위협 등 개인사용자들을 노리는 보안 위협도 빠르게 진화하고 있어 이에 대한 보안 의식 제고와 함께 대응 방안을 시급하게 마련해야 할 것이라고 강조했다.
시만텍은 매년 전 세계에 구축된 '시만텍 글로벌 인텔리전스(GNI)'를 통해 수집한 위협 동향에 대한 조사 및 분석한 결과를 담은 ISTR을 발간하고 있다.