2017년, 보안에 더욱 신경써야 한다

[테크월드=정환용 기자] 보안 솔루션 전문 기업 소닉월은 2016년 보안 산업 및 사이버 위협을 분석한 ‘2017 소닉월 연간 보안 위협 보고서’(2017 SonicWall Annual Threat Report)를 발표했다. 이번 보고서는 자사의 글로벌 대응 인텔리전스 방어국(Global Response Intelligence Defense, 이하 GRID) 위협 네트워크에서 약 200개 국가 및 지역 내 약 100만 개의 보안 센서를 통해 수집한 자료를 기반으로 작성됐다.

2016년 보안 위협 현황을 분석한 이번 보고서는 특히 POS(Point of Sale) 멀웨어 공격 감소, SSL/TLS(Secure Sockets Layer/Transport Layer Security) 암호화 트래픽 증가, 익스플로잇 킷(Exploit Kit)의 소멸 등 발전된 글로벌 보안 산업 현황과 랜섬웨어(Ransomware) 증가, 사물인터넷(IoT) 기기를 활용한 DDoS(Distributed Denial-of-Service) 공격, 안드로이드 장치의 오버레이(Overlay) 공격 취약점 등 신종 사이버 공격에 대한 현상을 진단했다.

보고서에 따르면, 2016년은 전반적으로 보안 산업이 전년 대비 나은 성과를 보였다. 새롭게 발생한 멀웨어 샘플의 개수가 2015년 대비 6.25% 감소한 6000만 개를 기록했으며, 멀웨어 공격 역시 2015년 81억 9000만 건에서 2016년에는 78억 7000만 건으로 감소했다고 밝혔다. 이에 반해 사이버 범죄는 서비스형 랜섬웨어(Ransomware-as-a-Service, 이하 RaaS)의 증가에 힘입어 가속화된 것으로 나타났다.

2014년부터 2016년까지 POS 멀웨어 공격 93% 감소
지난 2014년 홈디포(Home Depot), 타깃(Target), 스테이플스(Staples) 등 미국 내 주요 소매 유통업체가 사이버 공격을 당한 바 있다. 이 사건 이후 보안 업계에서는 칩 기반 POS 시스템 구현, 신용카드 데이터 보안 표준(PCI DDS, Payment Card Industry Data Security Standard) 체크리스트 및 기타 보안 조치를 지속적으로 행했다. 이에 따라 2014년에는 전년 대비 새롭게 개발되고 배포된 POS 멀웨어 보안 대책이 333% 증가하는 양상을 보였고, 이후 등장한 변종 POS 멀웨어는 매년 88%씩, 2014년 이후로는 총 93% 감소한 것으로 나타나, 사이버 범죄에서 POS 멀웨어에 대한 비중이 점차 낮아지고 있음을 알 수 있었다.

클라우드 애플리케이션 도입 증가로 SSL/TLS 암호화 트래픽 38 % 증가
보고서에 따르면, SSL/TLS 암호화 트렌드가 수년간 지속되고 있다. 2016년 한 해 동안 웹 트래픽이 증가한 만큼, SSL/TLS 암호화 역시 2015년 약 5조 3000만 건에서 2016년 7조 3000만 건으로 급증했고, 전체 웹 세션 중 SSL/TLS로 암호화된 웹 트래픽의 비중이 62%를 차지한 것으로 나타났다.

또한, 클라우드 애플리케이션 사용량이 2014년 88조, 2015년 118조, 2016년 126조로 점차 급증하게 된 것이 SSL/TLS 암호화 증가의 주요 이유로 보인다고 밝혔다. 보고서는 SSL/TLS 암호화에 대해 전반적으로 보안 산업에서 긍정적인 역할을 하고 있는 것으로 분석했지만, SSL/TLS 암호화된 웹 세션 내부에 숨어있는 멀웨어를 탐지하는 심층 패킷 분석(Deep Packet Inspection)을 위한 인프라가 구축되지 않은 기업이라면 오히려 사이버 범죄자들에게 백도어 네트워크를 제공해 보안에 위협이 될 수도 있다는 점도 밝혔다.

대표적 3대 익스플로잇 킷, 2016년 소멸
앵글러(Angler), 뉴클리어(Nuclear), 뉴트리노(Neutrino)
2016년에는 앵글러(Angler), 뉴클리어(Nuclear), 뉴트리노(Neutrino)로 대표되는 익스플로잇 킷이 멀웨어 시장을 주도했다. 러크 트로이목마(Lurk Trojan)을 이용한 은행 사기 사건으로 50명의 러시아 해커가 체포된 후 앵글러 익스플로잇 킷이 사라졌고, 이후 뉴클리어와 뉴트리노도 빠르게 소멸됐다. 보고서에 따르면, 이러한 주요 익스플로잇 킷들이 사라진 이후 남은 멀웨어들은 여러 개의 작은 버전으로 나눠졌다.

릭(Rig)은 2016년 3분기까지 URL 패턴, 방문 페이지 암호화 및 페이로드(payload) 전달 암호화를 활용하는 세 가지 버전으로 분리·진화했다. 그밖에 익스플로잇 킷은 케르베르(Cerber), 록키(Locky), 크립믹(CrypMIC), 밴다코어(BandarChor), 테슬라크립트(TeslaCrypt)와 같은 랜섬웨어의 일부로 변모하기도 했지만, 앞서 언급된 대표적인 세 가지 익스플로잇 킷의 소멸 이후 크게 시장을 장악하지는 못한 것으로 파악됐다.

랜섬웨어 연간 167배씩 증가
보고서에 따르면, 랜섬웨어 공격은 2015년 380만 건에서 2016년 6억 3800만 건으로 폭발적으로 증가했다. RaaS의 등장과 함께 랜섬웨어는 지하 시장에서 쉽게 접근할 수 있고, 공격에 드는 비용이 저렴하며, 배포가 편리하고, 적발 시 상대적으로 낮은 처벌을 받는다는 사실을 바탕으로 폭발적 성장을 기록했다.

랜섬웨어 공격은 2016년 3월 한 달 간 28만 2000건에서 3000만 건으로 폭증하고, 그 후 한 해가 끝날 때까지 지속적으로 증가해 4분기에는 총 2억 6650만 건을 기록했다. 또한, 2016년 악성 이메일 공격에는 네머코드(Nemucode) 공격이 약 90%를 차지하고, 1년 간 총 5억 건 이상의 공격에 사용된 록키(Locky) 랜섬웨어가 주로 이용됐다. 이런 랜섬웨어 공격은 기계 및 산업 엔지니어링(15%), 제약(13%), 금융(13%), 부동산(12%) 등 다양한 산업에 걸쳐 고루 발생한 것으로 나타났다.

IoT 기기의 보안 취약점 활용한 DDoS 공격
보고서에 따르면, 스마트 카메라를 비롯해 웨어러블, 스마트 홈카엔터테인먼트터미널 등 다양한 IoT 기기에서 전반적인 보안 취약점이 발견됐다. 2016년에는 수십만 대의 IoT 기기 암호 취약점을 활용한 ‘미라이 봇넷’(Mirai Botnet) DDoS 공격 사건이 발생한 바 있다. 해당 공격의 주요 타깃은 미국(70%)이었고, 다음으로 브라질(14%), 인도(10%) 순으로 나타났다.

오버레이 공격에 취약한 안드로이드 기기
2016년에는 화면 오버레이를 활용, 실제 앱 스크린을 모방해 사용자로 하여금 로그인 정보와 기타 데이터 입력을 유도하는 형식의 사이버 범죄가 다수 발견됐다. 안드로이드가 새롭게 향상된 보안 기능으로 대응해도, 사이버 공격자들은 오버레이 허용 권한을 사용자에게 부여해 이를 피해가는 방식이다. 또한, 랜섬웨어는 구글 플레이(Google Play)에서 차단된 성인용 앱이라 해도 이를 써드파티(third-party) 앱스토어를 통해 자체 설치하기도 한다. 보고서에 따르면, 이처럼 자체 설치돼 보안에 위협을 가하는 앱이 2주 동안 4,000개 이상 발견된 바 있다.

2017 사이버 범죄는 랜섬웨어와 IoT가 대세

소닉월은 올해 예상되는 사이버 공격을 주의하고 충분히 대비해야 한다고 조언했다. 현재의 사이버 범죄는 굉장히 적은 수고를 들여 가하면서 빠르게 값을 치르게 할 수 있고, IoT를 비롯해 다양한 개체를 통한 공격이 시도되고 있다. 기술은 긍정적으로만 발전하는 것이 아니기 때문에 우리는 더욱 다양하고 복잡해지는 사이버 공격에 항상 대비해야 한다.

POS 멀웨어

매장의 POS 기기를 노리는 멀웨어는 기존과 마찬가지로 빠른 금전적 탈취를 위해 랜섬웨어로 공격하는 형태를 유지할 것이다.

SSL/TLS 암호화

더욱 진화된 암호화 멀웨어가 기승을 부리며, HTTP보다 보안이 강화된 HTTPS(Hypertext Transfer Protocol over Secure Socket Layer)가 표준이 될 것이다.

Exploit Kits

익스플로잇 킷은 아크로뱃 리더, 어도비 플래시, 웹브라우저 등의 취약성을 이용해 이메일이나 웹 페이지로 악성코드를 자동 유포하는 도구다. 국내에는 킷의 일종인 ‘선다운’(Sundown)의 변종인 랜섬웨어 ‘록키’(Locky)가 대량 유포된 바 있으며, 지난해엔 전 세계의 피해자들이 지불한 데이터 복구비용이 10억 달러에 달할 정도였다.

익스플로잇 킷은 지난해 초 무렵부터 파편화, 소형화가 진행되고 있다. 랜섬웨어와 함께 가장 조심해야 하며, 특히 헬스케어, 금융 분야는 더욱 철저히 대비해야 한다.

랜섬웨어

아이러니하게도 랜섬웨어 역시 시장화(化)됐다. 공격자가 직접 악성코드를 만들지 않고 RaaS(Ransomware as a Service)에 랜섬웨어 제작을 의뢰하는 것도 예사가 됐다. RaaS는 의뢰인이 원하는 형태의 악성코드로 만들어 주고, 실시간으로 감염 현황과 정보를 볼 수 있도록 배려하기까지 한다.

랜섬웨어의 다양화와 지능화로 인해 피해 범위가 점점 늘어나고 있는 가운데, IoT 역시 그 대상 중 하나다. IoT 기기와 서비스는 가정과 회사에 점점 폭넓게 퍼지고 있는 동시에, 랜섬웨어 공격 대상으로도 위협받고 있다. 기업의 생산 라인, 도시의 전력망, 심지어 심박 조율기와 같은 기기들까지 그 대상이 될 수 있다. 제조업체나 공급업체들은 빠르게 변화하고 또 진화하고 있는 랜섬웨어 공격에 대비해야 한다.

이메일은 여전히 가장 효과적인 악성코드 분포 방법이므로, 사용자들은 랜섬웨어 감염 방지를 위해 항상 안티바이러스·랜섬웨어 백신을 최신 버전으로 유지해야 한다. 더불어 보안이 허술한 웹사이트도 감염의 대상이 되고, 사용자가 그 사이트를 방문했을 때 감염될 수 있다. 국내에서도 대형 커뮤니티에 접속했다가 악성코드에 감염돼 피해를 본 사용자가 많았던 점으로 볼 때, 실시간 모니터링 프로그램 등의 사용 및 주의가 필요하다.

IoT를 통한 DDoS

DDoS의 IoT 시스템 공격은 지난해 미국 동부에서 벌어진 대규모의 DDos 공격에 사용된 ‘미라이 봇넷’ 모델의 성공 이후 계속될 것이다. 공격자들은 수익 창출을 위해 가동 시간 의존도가 높은 전자상거래 사이트 등을 대상으로 더 심한 기승을 부릴 것이다.
대량으로 감염된 IoT 기기들은 재정적 이득을 취하기 위한 DDos 공격에 이용된다. 자신의 위치 정보나 영상, 건강 관련 등의 개인정보가 유출될 가능성도 더욱 커진다. 공격자는 IoT 기기나 시스템의 취약점을 이용해 드론을 훔치거나 스마트 카의 핸들을 제멋대로 컨트롤하는 등의 위해를 끼칠 수도 있다.

안드로이드 멀웨어

랜섬웨어는 모바일 기반의 안드로이드 환경에서도 활동할 것이고, 클라우드 백업을 하지 않은 사용자 데이터에 접근할 것이다. 오버레이 기반의 멀웨어는 끊임없이 증식하고, 공격자는 안드로이드 기기의 지문인식 기능을 노리게 될 것이다.

자동차용 ‘안드로이드 오토’와 금융 시스템 ‘안드로이드 페이’ 역시 멀웨어의 표적이 되고, 멀웨어 제작자는 새로운 매개체를 이용하려 할 것이다. 안드로이드 사용자들은 특히 서드파티 프로그램에 주의해야 한다.

자료: 소닉월 2017 연간 보안 위협 보고서