자연관찰 카드뉴스
IT·전자

2019년, 표적형 사이버공격으로 재산피해 증가

발행일시 : 2018-11-23 00:00

소포스(한국지사장 배수한)는 22일 최근의 사이버보안 추세에 대한 통찰력을 제공하는 2019년도 위협보고서를 발표했다. 소포스 연구소(SophosLabs)에서 작성된 이번 보고서는 지난 12개월 동안의 사이버 위협 동향을 조사해, 변화 추세와 함께 2019년도 사이버보안에 미칠 영향을 분석했다.

소포스 연구소 2019 위협보고서에서 주목한 주요 사이버 범죄자들의 공격 행위는 우선 사전에 치밀하게 계획된 표적 랜섬웨어 공격을 통해 몸값(복구 대가)으로 수백만 달러의 수익을 거두고 있다.

2018년도에는 사람이 직접 수동으로 전달하는 표적형 랜섬웨어 공격이 등장했다. 이런 공격은 수백만 개의 이메일을 자동 배포하는 ‘스프레이 앤 프레이(spray and pray)’ 방식의 공격과 달리, 사람이 직접 피해자를 포착하고 골라내기 때문에 봇(bot)이 무작위로 전달하는 방식보다 훨씬 피해가 크다. 이 공격은 다각도로 고민하고 생각하면서 방화벽을 우회하고 백업 데이터를 지워버려 몸값을 지불할 수 밖에 없도록 만드는 것이다.

쌤쌤 랜섬웨어에 의한 피해상황 <쌤쌤 랜섬웨어에 의한 피해상황>

공격자가 수동으로 네트워크를 단계별로 조작하는 이러한 ‘인터랙티브(interactive) 공격 방식’이 현재 인기를 끌고 있다. 소포스 전문 연구원들은 샘샘(SamSam)과 비트페이머(BitPaymer), 다르마(Dharma) 같은 해킹 집단이 큰 돈을 벌자 그것이 모방 범죄를 부추겼으며, 2019년에는 유사 범죄가 더욱 증가할 것으로 전망했다.

쉽게 구할 수 있는 윈도우시스템 관리도구가 악용되고 있다. 올해 보고서에서는 공격 유형의 변화를 지적했는데, 이는 해커들이 지능형지속위협(APT) 공격 기술을 이용해 쉽게 구할 수 있는 IT 도구를 시스템 침투 경로로 사용해 서버에서 민감한 정보를 훔치거나 랜섬웨어를 심어놓는 등의 작전을 수행하는 방식이다.

첫째, 윈도우 관리도구를 사이버공격도구로 활용하는 것이다. 아이러니하게도, 사이버범죄자들은 윈도우 파워셸(Windows PowerShell) 파일과 스크립트 명령파일 등 필수적이거나 내장된 윈도우 IT 관리도구를 이용해 멀웨어 공격을 한다.

둘째, 사이버범죄자들은 디지털 도미노게임을 하고 있다. 이벤트 시리즈의 끝에 공격을 수행하는 일련의 상이한 스크립트를 함께 묶음으로써, 해커들은 IT 관리자가 네트워크가 공격받고 있는 것을 감지하기 전에 체인리액션(연쇄반응)을 촉발시킬 수 있다. 이 때문에 일단 침투당하면 공격을 막기가 어렵다.

셋째, 사이버범죄자들은 희생자를 유인하기 위해 최신 오피스를 이용한 공격도구를 채택했다. 오피스 이용 공격도구는 오랜 사이버 공격수단이었지만 최근에 사이버범죄자들은 구형 오피스 문서 공격도구를 버리고 신형 공격도구를 사용하기 시작했다.

마지막으로, 이터널블루(EternalBlue)는 크립토재킹(cryptojacking) 공격의 주요 수단이 됐다. 이런 종류의 위협에 대한 윈도우 패칭 업데이트가 1년 이상 이전에 등장했지만, 이터널블루 이용공격도구는 여전히 사이버범죄자들이 선호하는 공격수단이다. 이터널블루와 크립토마이닝(암호채굴) 소프트웨어를 접목시켜 해킹을 단순히 성가신 취미 활동에서 잠재적 수익성이 높은 직업적 범죄로 변모시켰다. 크립토재커(암호약탈도구)는 기업 네트워크를 통해 광범위하게 유포되어 순식간에 여러 대의 컴퓨터를 감염시킬 수 있게 됐고, 그 결과 해커의 수익은 늘고 사용자의 피해는 커졌다.

모바일 멀웨어의 위협이 급속도로 증가함에 따라 멀웨어에 의한 피해는 피해 조직의 인프라가 감당할 수 있는 수준을 넘어서고 있다. 불법 안드로이드 앱의 증가로 2018년도에는 휴대전화와 태블릿 PC, 기타 IoT 기기에 대한 멀웨어 침투가 눈에 띄게 증가했다. 가정과 기업에서 인터넷 기반 장치의 사용이 점점 늘면서 범죄자들은 이런 기기들을 해킹해 대규모 봇넷 공격의 노드로 이용할 새로운 방법을 개발하고 있다.

2018년, VPN필터(VPNFilter)는 뚜렷한 유저 인터페이스가 없는 임베디드 시스템과 네트워크 기기에 영향을 주는 멀웨어 무기의 파괴력을 입증한 바 있다. 엘스웨어(Elsewhere)와 미라이 에이드라(Mirai Aidra), 와이패치(Wifatch), 가프짓(Gafgyt)은 네트워크 기기를 해킹하고 봇넷의 노드를 사용해 디도스(DDoS: 분산서비스 거부) 공격과 암호화폐 채굴 및 네트워크 침투 등 광범위한 자동화 공격을 감행했다.

소포스의 CTO 조 레비(Joe Levy)는 “위협 양상이 진화하고 있다. 비전문적인 해커들은 발붙이지 못하고 적자생존에서 살아남은 강자들이 생존을 위해 계속 판돈을 높이고 있다. 결국 지금보다 소수의, 더 영리하고 강한 해커들만 남게 될 것”이라며, “이들 사이버 범죄자들은 특정 표적을 노리던 엘리트 해커와 일반적인 멀웨어 전달자 사이에서 태어난 새로운 종류의 해커들이다. 이들은 스파이 활동이나 사보타지 목적이 아니라 불법 수익을 지속하기 위해 수동 방식의 해킹기술을 사용해 피해 규모를 늘려가고 있다”고 말했다.

이향선기자 hslee@nextdaily.co.kr

© 2019 nextdaily.co.kr 무단전재 및 재배포금지

NextDaily 집중분석

(주)넥스트데일리 | 등록번호 : 서울 아 01185 | 등록일 : 2010년 03월 26일 | 제호 : 넥스트데일리 | 발행·편집인 : 구원모
서울시 금천구 가산디지털2로 123, 701호ㅣ발행일자 : 2005년 08월 17일 | 대표전화 : 02-6925-6318 | 청소년보호책임자 : 나성률

Copyright © Nextdaily. All Rights Reserved