시만텍은 2016년 주요 사이버 범죄 및 보안 위협 동향에 대한 분석을 담은 ‘인터넷 보안 위협 보고서(ISTR, Internet Security Threat Report) 제 22호’를 26일 발표했다.
시만텍 인터넷 보안 위협 보고서(ISTR, Internet Security Threat Report)는 한 해 동안의 전세계 주요 사이버 범죄와 보안 위협 동향을 조사 및 분석한 결과를 담고 있다. 이 보고서에 따르면 2016년은 사이버 공격 활동의 목적에 새로운 변화가 포착된 한 해로 수 백만 달러 규모의 은행 절도, 미(美) 선거 과정에 영향을 주기 위해 국가의 지원을 받는 해킹 조직의 공공연한 공격 시도 등 전례 없는 사이버 공격의 양상이 나타났다고 했다.
보고서에 나타난 주요 공격 형태는 ▲일상에서 이용가능한 수단을 이용하는 자력형 공격 ▲정치적 동기를 가진 사보타주 및 체제 전복을 위한 표적 공격 ▲사이버 은행 절도 ▲이메일 공격 ▲매크로, IT 툴을 이용한 악성코드 ▲클라우드 환경의 공격 ▲IoT 공격 ▲랜섬웨어 등이었다.
일반 IT 툴을 악용한 ‘자력형 공격’
지난 해 주목할만한 또 다른 양상은 사이버 범죄자들이 공격을 목적으로 제로데이 취약점이나 익스플로잇, 전문화된 악성코드를 이용하는 것이 아니라, 쉽게 이용할 수 있는 IT 자원을 활용하는 ‘자력형 공격’이 늘고 있다는 것이다. 일례로, 공격자들은 사용자의 PC에 설치되는 일반적인 스크립트 언어인 파워쉘(PowerShell)이나 흔히 사용하는 MS 오피스 파일을 무기로 활용한다. 시스템 관리자들이 일상적인 관리 업무에 사용하는 IT 툴을 이용하면 공격의 흔적을 덜 남길 수 있고 눈에 잘 띄지 않는다는 점을 노렸다. 보고서에 따르면 파워쉘 파일의 95%는 악성으로 나타났다.
또 공격자이 공격 수단으로 이메일 사용이 급증하면서, 이메일 131건 당 1건의 이메일에 악성 링크 또는 악성 첨부문서가 포함돼 일반 사용자들이 위험하다. 또한, 정교한 스피어피싱 이메일에 의존하는 ‘업무 송금 유도 이메일 사기(BEC, Business Email Compromise scam)’를 통해 지난 3년간 기업에서 빼낸 금액이 30억 달러(한화 약 3조3,795억원)에 이르며, 매일 400개 이상의 기업이 표적이 되고 있다.
정치적 목적의 사보타주 및 체제 전복 위한 표적공격 급증
사이버 범죄자들은 새로운 그룹을 표적으로 삼고 이들을 무력화시키고자 정치적 파급력이 매우 큰 공격을 감행하고 있다. 미국 민주당을 겨냥한 사이버 공격과 연이은 탈취정보 유출 사태는 공개적인 캠페인을 통해 표적 단체 및 국가를 불안한 상태로 만들고 무력화시키려는 범죄 양상을 볼 수 있다. 과거 사보타주 형태의 사이버 공격이 상당히 드물었던 반면, 미 선거를 겨냥한 공격 캠페인이나 디스크를 지우는 악성코드인 샤문(Shamoon) 공격을 포함한 몇몇 캠페인의 성공은 사이버 범죄자들이 다른 국가의 정치에 영향을 주고 불화를 유도하려는 시도가 점차 증가하고 있음을 보여주고 있다.
오늘날 금융권 최대 규모의 절도 사건은 사이버 공간에서 일어나고 있으며, 공격자들이 탈취한 금액은 수 십억 달러에 달한다. 이러한 공격 중 일부는 조직화된 범죄 집단에 의한 것도 있으나, 최초로 민족국가들 또한 연루되어 있음이 드러났다. 시만텍은 방글라데시, 베트남, 에콰도르, 폴란드 등에 있는 은행을 겨냥한 공격과 ‘북한’이 관련되어 있는 증거를 발견했다. 북한의 사이버 공격 집단은 최소 9천4백만 달러(한화 약 1,060억원)를 탈취하는데 성공한 것으로 보인다.
랜섬웨어 공격 36% 증가, 성장하는 클라우드도 위험해
사이버 공격자들에게 고수익과 진입장벽이 낮은 장점을 가진 랜섬웨어(ransomware)는 지난해 36% 로 지속적으로 증가하고 있으며, 시만텍은 2016년 한 해 100개 이상의 신규 랜섬웨어 패밀리(동일한 범주로 구분한 변종 악성코드의 집합)를 발견했다고 했다.
랜섬웨어 공격 대상으로 삼은 국가 1위는 ‘미국’으로 나타났다. 시만텍이 랜섬웨어 피해자가 금전 요구에 지불할 용의가 있는지 파악한 결과, 전세계 평균이 34%인 것에 비해 미국인은 64%가 금전 요구에 지불할 용의가 있다고 답변했다. 2016년 랜섬웨어 범죄자들이 평균적으로 요구한 금액은 평균 1,077달러(한화 약 122만원)로 2015년 294달러(한화 약 33만원)에서 약 3.7배 수준으로 증가했다.
클라우드 사용이 증가하면서 공격자들의 표적이 되고 있다. 지난해 한 서비스 사업자는 인증시스템이 구동되지 않은 상태에서 사용자들이 과거의 DB를 인터넷 상에 올리는 바람에 수십만 개의 클라우드 데이터베이스가 장악되었고, 금전요구를 받은 사례가 있었다.
실제 기업들이 사용하고 있는 클라우드 앱은 평균 1,000개에 육박해 위험하다. 때문에 조직에서 사용하고 있는 클라우드 앱을 철저하게 관리하지 못할 경우, 새로운 방식으로 위협이 들어오게 될 가능성도 늘어난다.
새로운 목표물 IoT
IoT(사물인터넷) 디바이스는 상대적으로 보안이 취약해 공격자에게 손쉬운 표적이 되면서 공격이 본격화되고 있다. 2016년에는 IoT를 겨냥한 최초의 대형 보안 사고가 발생했다. 라우터, 보안 카메라 등 IoT 디바이스로 구성된 미라이(Mirai) 봇넷이 사상 최대 규모의 디도스(DDoS) 공격을 감행했다. 시만텍의 분석에 따르면, 2016년에 IoT 디바이스에 대한 공격 시도가 2배나 증가했으며, 또한 공격 시도가 최고로 활발한 때에는 평균적인 IoT 디바이스의 경우 2분마다 한 번씩 공격을 받은 것으로 조사됐다.
시만텍코리아 윤광택 CTO는 “과거에는 경제적 목적의 사이버 공격이 주를 이룬 반면, 지난 해에는 체제 전복과 사보타주 활동 등 정치적 의도를 가진 표적 공격이 증가하면서 사이버 공격 동기의 변화가 두드러졌다. 또한, 공격자들만 알고 있는 제로데이 취약점이나 전문 악성코드가 아닌, 손쉽게 이용할 수 있는 IT자원과 사회공학적 기법을 이용해 공격 효과를 극대화하는 ‘자력형 공격’이 늘고 있다는 것에 주목해야 한다”고 설명하며, “보안 위협은 여전히 정교화되고 전문화되고 있는 가운데, 이와 같이 사이버 공격의 동기와 공격 기법의 달라진 양상으로 인해 우리 사회와 일상에 미치는 영향은 더욱 확대될 수 있음을 시사한다”고 말했다.
기술의 발전에 따라 사이버 공격도 변하는 추세이다. 최근의 사이버 공격자들은 규모를 가리지 않고 다양한 목적으로 우리의 일상생활을 노린다. 기업에서는 보안강화가 최우선이지만 기업이든 개인이든 사용자가 기본적인 수칙을 지키는 것이 사이버 공격을 최소화하는 지름길이다. 공격자들이 쉽게 노리는 것은 우리가 흔히 사용하는 이메일이나 업무용 프로그램을 악용하는 것이다. 그러므로 이메일이나 개인정보와 패스워드, 의심스러운 그 어떤 반응에는 항상 우선 경계하는 것이 공격을 막는 기본이다.
이향선기자 hslee@nextdaily.co.kr