내년 한국 산업계에 맞춤형 사이버공격이 거세질 전망이다. 공용 소프트웨어(SW)를 통한 표적공격, 한국어를 지원하는 랜섬웨어 유포, 사회기반시설 대상 사이버테러 발생, 온라인 광고를 통한 악성SW 감염 확산, 모바일 금융서비스 위협 증가, 사물인터넷(IoT) 기기 좀비화 가능성이 제기됐다.
한국인터넷진흥원(KISA)은 이같은 내용을 담은 ‘2017년 7대 사이버 공격 전망’을 5일 발표했다. 전망은 KISA가 날로 고도화·정교화 되는 사이버 보안 위협에 대한 정보 공유 및 공동대응 필요성에 따라 국내외 ‘사이버위협 인텔리전스 네트워크'에 참여하는 보안업체와 공동분석을 통해 선정됐다.
사이버위협 인텔리전스 네트워크는 국내 보안업체가 2014년 12월 모여 구성됐다. KISA, 안랩, 이스트소프트, 잉카인터넷, 하우리, NSHC, 빛스캔 등이 참여 중이다. 같은 목적의 글로벌 사이버위협 인텔리전스 네트워크는 2016년 6월부터 국외 보안업체가 모여 구성됐다. KISA, 파이어아이, 포티넷, 인텔시큐리티, 마이크로소프트, 팔로알토네트웍스, 시만텍 등이 참여 중이다.
KISA와 이스트소프트는 산업전반으로 '한국맞춤형 공격'이 번질 것이라 내다봤다. 올해 발생 사례에 워터링홀 기법을 통한 정보수집 활동이 늘었다. 은닉 고도화 및 신뢰기반 표적공격이 급증했다. 트위터, 얀덱스 등 서비스를 C&C로 활용한 시도가 나왔다. 내년엔 국방, 통일, 안보, 대북단체 대상 사이버공격이 정교해질 전망이다. 제로데이 취약점과 결합한 스피어피싱 공격도 늘어날 것으로 보인다.
안랩과 파이어아이는 공용SW를 통한 표적공격 시도 증가를 우려했다. 올해 발생 사례에 자산관리 등 공용SW를 통해 조직 내부에 악성코드를 유포한 시도가 있었다. 내부 시스템을 장악당하고 자료유출 피해를 입었다. 내부시스템을 C&C로 활용해 탐지가능성을 낮추기도 했다. 내년에도 공용SW를 통한 악성코드 유포시도가 지속되고 취약점 연구가 활발해지며 중계서버를 통한 분리망 침투 시도가 이뤄질 듯하다.
하우리와 포티넷은 다양한 유형의 랜섬웨어를 대량 유포하는 공격 가능성을 언급했다. 올해 한국어 지원 랜섬웨어가 지속 등장했다. 랜섬웨어는 여러 스크립트 첨부파일로 대량 유포됐다. 대형 커뮤니티나 언론사 광고 배너를 통해서도 확산됐다. 내년엔 지역별 보안위협 세력이 랜섬웨어 유포에 가세한다. 기업 서버와 중앙관리 인프라를 통해 전사 감염이 발생할 수 있다. 모바일과 IoT 기기로도 유포될 수 있다.
NSHC와 인텔시큐리티는 사회기반시설 대상 사이버테러 발생 가능성을 제기했다. 올해 발전소, 공항, 철도를 겨냥한 사이버공격 시도가 있었다. 산업제어시스템(ICS) 취약점이 증가했다. 프로그래머블 논리제어장치(PLC) 장비에서 작동하는 웜 공격 사례가 나왔다. 내년에도 공격시도가 증가한다. 상수도, 항공, 의료 인프라에 공격 범위가 확대된다. PLC웜과 같은 공격이 정교해진다.
빛스캔과 팔로알토네트웍스는 대규모 악성코드 감염기법이 지능화할 것이라 봤다. 올해 네이버 계정 정보 탈취 공격이 증가했다. 여러 익스플로잇킷 사용도 늘었다. 금융거래 개인정보 탈취공격도 많아졌다. 내년엔 한국을 겨냥한 위협사이트가 더 정교해진다. 난독화를 적용한 신규취약점공격도 많아질 수 있다. '맬웨어넷'을 이용한 동시다발적 공격이 수행된다.
잉카인터넷과 마이크로소프트는 모바일 금융서비스 위협 증가를 전망했다. 올해 무선랜 해킹을 통한 악성 앱 전파, QR코드를 통한 신종 위협(큐싱) 발생, 표적은행 신고전화 차단 기능을 품은 금융 특화 악성 앱 등장 사례가 있었다. 내년엔 구글 광고 애드센스를 통한 악성 앱 유포 확대, 피싱 창을 이용한 SNS 및 구글플레이 보안절차 우회, 이중요소인증 가로채기 공격 시도 증가가 우려된다.
관련기사
- 악성코드 미라이, 암호 바꿔도 안심 못한다?2016.12.05
- 안랩, 한화S&C 클라우드서비스 정보보호 컨설팅2016.12.05
- 시만텍 "백신은 최종 방어선…'미확인' 위협까지 막아야"2016.12.05
- '소스' 풀린 IoT 악성코드, 디도스 연쇄 유발2016.12.05
KISA와 시만텍은 IoT 기기 무기화 가능성을 우려했다. 올해 미국 DNS서비스 딘(Dyn)을 겨냥한 대규모 DDoS 공격이 발생했다. 올 3분기 국내 IoT취약점 신고가 136건 나왔다. 한국은 IoT 공격 IP 소재지로 세계 10위권에 든다. 내년에 여러 IoT 기기 및 취약점을 통한 악성코드 감염 전파가 예상된다. 암시장에서 감염된 '좀비 IoT 기기'로 구성된 봇넷 거래가 활성화될 듯하다.
백기승 KISA 원장은 "우리 사회 전방위로 확산되는 사이버 위협에 대한 다각적 협력 및 대응을 위해 국내외 사이버위협 인텔리전스 네트워크를 중심으로 더욱 긴밀한 정보공유와 대응공조를 유지하겠다"고 말했다.