시만텍, ‘제23호 인터넷 보안 위협 보고서’ 발표
[아이티데일리] 지난해 암호화폐 채굴 악성코드와 브라우저기반 채굴 스크립트를 통한 크립토재킹 공격이 전년대비 85배 증가한 것으로 조사됐다. 특히 악성코드를 설치하지 않는 브라우저기반 채굴 스크립트가 전년대비 340배 폭증한 것으로 나타나 주의가 요구된다.
3일 시만텍은 지난해 주요 사이버범죄 및 보안 위협 동향에 대한 분석을 담은 ‘제23호 인터넷 보안 위협 보고서(ISTR, Internet Security Threat Report)’를 발표하며 이 같이 밝혔다.
암호화폐(cryptocurrency)와 하이재킹(hijacking)의 합성어인 ‘크립토재킹(cryptojacking)’은 사이버 범죄자가 개인 사용자 및 기업의 컴퓨터와 클라우드에 암호화폐 채굴 악성코드를 설치함으로써 전력과 CPU 리소스를 가로채 암호화폐 채굴에 이용하는 것을 말한다.
이번 제23호 보고서는 2017년 주요 보안 위협 동향으로 ▲크립토재킹 공격 8,500% 폭증 ▲소프트웨어 공급망(Supply Chain) 이용한 악성코드 유포 200% 증가 ▲표적 공격의 대다수가 이메일 통한 스피어 피싱 기법 이용 ▲모바일 악성코드 급증세 지속 ▲랜섬웨어로 이익 추구하는 사이버 범죄자 등을 꼽았다.
지난해 암호화폐의 가치가 천문학적으로 상승하자 사이버 범죄자들이 암호화폐 채굴을 통해 막대한 수익을 쫓는 이른바 ‘크립토재킹 골드러시’를 일으켰다. 이에 따라 2017년 한 해 엔드포인트 컴퓨터에서의 암호화폐 채굴 악성코드(coinminer)의 탐지 건수가 1월 약 2만 건에서 12월 약 170만 건으로 무려 8,500% 가량 증가했다.
특히, 브라우저를 기반으로 한 크립토재킹 공격이 340배 증가했으며, 지난해 12월에는 기업보다 개인이 소유한 기기에서 암호화폐 채굴 악성코드가 2배나 많이 탐지됐다. 이는 암호화폐 채굴 작업이 동영상 스트리밍 사이트와 같이 오래 머무르는 사이트에서 효과적이기 때문에 기업보다는 개인사용자들에게 더 영향이 있었던 것으로 분석됐다.
소프트웨어 공급망을 해킹한 뒤 자동 업데이트를 악용해 악성코드를 유포하는 사이버 공격은 2017년 12건으로 2016년 4건 대비 3배 증가했다. 사이버 범죄자는 공인된 소프트웨어의 업데이트를 하이재킹함으로써, 업데이트를 실행하는 사용자의 시스템 및 네트워크를 2차 공격한다.
시만텍이 현재 추적하고 있는 140개의 조직화된 범죄 집단을 비롯해, 표적 공격 그룹의 수는 나날이 증가하고 있다. 지난해 전체 표적 공격의 71%가 고전적인 수법으로 이메일을 이용하는 스피어 피싱(spear phishing) 공격을 감행해 타깃을 감염시켰다.
표적 공격 그룹이 기업 및 조직에 침투하기 위해 이미 검증된 전술들을 이용하는 경향이 계속되면서, 제로데이 공격은 감소하고 있는 것으로 조사됐다. 표적 공격 그룹 140개 중 가운데 불과 27%만이 과거에 제로데이 취약점을 이용한 것으로 알려졌다.
또한 시만텍이 조사한 바에 따르면, 표적 공격의 90%가 정보 수집을 목적으로 하고 있는 것으로 밝혀졌다. 이밖에 한국의 경우 2017년 발생한 표적 공격이 총 45건으로 미국, 인도, 일본, 대만, 우크라이나에 이어 전 세계 6위를 기록했다.
2017년 신규 모바일 악성코드 변종의 수가 2016년 대비 54% 증가하는 등 모바일 공간에서의 위협은 매년 지속적으로 증가하고 있다. 문제를 더 심각하게 만드는 것은 오래된 운영체제가 계속 사용되고 있다는 점이다. 실제로, 안드로이드 OS의 경우 최신 버전 업데이트 기기는 20%에 불과했다.
2016년 랜섬웨어 시장은 그 수익성으로 호황을 누리며 금전 요구액 또한 지나치게 높은 경향을 보였다. ‘시장 조정’ 국면에 들어선 2017년 랜섬웨어 시장에서 평균 금전 요구액은 522달러로, 2016년 1,070달러의 절반 이하로 낮아졌으며, 이는 랜섬웨어가 일상적인 악성코드로 자리매김했음을 의미한다. 많은 사이버 범죄자들이 암호화폐의 가치가 높아지면서 수익 실현의 대안으로 보고 암호화폐 채굴로 눈을 돌린 것으로 분석된다.
시만텍은 이런 사이버 공격에 대응하기 위해 기업 및 개인 사용자별 방안을 제시했다. 기업 보안 수칙은 ▲최신 위협 인텔리전스 솔루션을 사용할 것 ▲최악의 상황에 대비할 것 ▲다계층 보안 전략을 실시할 것 ▲악성 이메일에 대한 지속적인 훈련을 제공할 것 ▲리소스를 모니터링할 것 등이다. 개인사용자 보안수칙은 ▲IoT 등 기기의 초기 설정 비밀번호를 변경할 것 ▲운영시스템과 소프트웨어를 최신 상태로 유지할 것 ▲이메일에 각별한 주의를 기울일 것 ▲파일을 백업해 둘 것 등이다.
윤광택 시만텍코리아 CTO는 “이번 보고서는 시만텍이 담당하고 있는 1억 7,500만 엔드포인트에서 매일 수집되는 4조 5천억 건의 요청과 전세계 8천만 웹프록시 사용자 및 15,000여 개의 기업 고객의 1조 건에 달하는 웹사이트 요청을 분석한 결과를 반영한 것”이라며, “지난해사이버 공격에 가장 큰 특징은 암호화폐와 연관된 랜섬웨어와 크립토 재킹”이라고 말했다.
