창 끝이 더 정확하고 예리해졌다, 지능형 스피어 피싱 급증

[IT동아 이상우 기자] 시만텍이 'ISTR(Internet Security Threat Report, 인터넷 보안 위협 보고서)' 제 20호를 발표하고, 지난 2014년 한 해의 주요 사이버 범죄 및 보안 위협 동향에 대한 분석 결과를 공개했다. ISTR은 시만텍이 매년 정기적으로 발간하는 보고서로, 전세계 공격 동향 및 표적 공격 사례 등 한 해 동안 일어난 보안 사고에 관해 폭넓게 다루는 보고서다.

시만텍이 분석한 결과에 따르면 2014년 보안 사고의 특징은 크게 지능형 스피어 피싱 증가, 사상 최다의 제로데이 공격, 크립토 랜섬웨어 급증, 소셜 및 모바일 플랫폼으로의 공격 확대, 떠오르는 IoT 보안 위협 등이다.

새로운 지능형 공격 전술 확대, 대기업 6개 중 5개가 표적

2014년 한 해 스피어 피싱(spear-phishing)이 약 8% 증가했다. 스피어 피싱이란 특정 인물이나 집단을 겨냥해 이뤄지는 개인정보 탈취 및 악성코드 유포 방식으로, 작살 낚시(Spear Fishing)가 어원이다. 주로 관계자가 흥미를 가질 만한 이메일을, 예를 들면 업무와 관련있는 내용인 것처럼 가장하고 악성코드를 첨부한 이메일을 통해 이뤄진다. 2014년의 경우 표적 공격에 사용된 스피어 피싱 이메일은 14% 감소했고, 이메일을 받은 기업도 20%나 줄었다. 즉 공격 정확도가 한층 더 높아져, 적은 노력으로도 표적 공격을 성공적으로 실행한 셈이다.

직원 2,500명 이상의 대기업 6개 중 5개(83%)가 공격 표적이 됐으며, 이는 2013년 43% 대비 무려 40% 포인트나 증가한 규모다. 중소기업도 예외가 아니었다. 중견기업(251명~2,500명)은 63%, 소기업(직원 250명 이하)은 45%가 공격의 표적이 됐다. 또한, 기업별 공격 비중을 봤을 때 전체 중소기업을 대상으로 한 공격이 상대적으로 증가했는데, 이는 공격자가 계열사나 협력사를 통해 대기업으로 침투하기 위한 교두보로 볼 수 있다.

또한, 표적 공격에 사용된 스피어 피싱 이메일의 첨부 파일 유형도 바뀌었다. 과거 exe 형태의 설치 파일을 첨부했던 것과 달리, 일반적인 문서 형태인 doc를 사용하는 경우가 전체 스피어 피싱 이메일의 40%에 이를 정도로 늘어났다.

사이버 공격 기술 역시 날로 발전하고, 완성도가 높아지고 있다. 과거 표적 집단이 자주 방문하는 웹 사이트를 감염시켜 악성코드를 심는 기법에서 발전해 기업이 사용하는 소프트웨어 서비스 제공자의 서버를 해킹하고, 업데이트 파일 안에 트로이 목마를 탑재하는 공격 기법도 등장하는 추세다.

일례로, 유럽 및 미국 에너지 기업을 대상으로 지속적인 사이버 스파이 활동을 벌였던 조직 '드래곤플라이(Dragonfly)'의 경우, 스피어피싱, 트로이목마 탑재 소프트웨어, 워터링홀 등 세 가지 공격 전술을 동시에 복합적으로 이용한 것으로 밝혀졌다. 특히 이들은 다수의 인원과 자금력을 바탕으로 장기간에 걸친 대규모 공격을 펼칠 수 있었다. 이는 기업이 보다 높은 수준의 포괄적인 보안 체계를 갖출 필요가 있음을 시사했다.

빠르고 치밀해진 제로데이 공격: 24건으로 사상 최다

연 평균 15건 미만에 머물던 제로데이 공격(알려지지 않은 취약점 혹은 알려졌지만 해결되지 않은 취약점을 노린 공격)이 지난해에는 무려 24건이나 발견됐다. 반면 소프트웨어 기업이 취약점을 개선한 패치를 개발/배포하는 시간은 오히려 늘어났다.

지난해 심각한 피해를 입혔던 오픈SSL 취약점(하트블리드)의 경우 발견된지 4시간만에 이를 이용한 공격이 급증해, 공격자가 취약점에 관한 패치 개발 속도보다 훨씬 빠르게 움직인다는 사실을 입증했다.

악성코드가 발견된 합법적인 웹사이트 숫자는 2013년과 비교해 절반 수준으로 줄었다. 이는 합법적인 웹사이트를 방문한 피해자를 악성코드를 심어둔 특정 웹사이트로 유인하는 사례가 눈에 띄게 증가했기 때문이다.

또한 지난 해 1,000만 개 이상의 개인정보가 유출된 대형 정보유출사고는 4건으로 2013년보다 줄었지만, 전체 정보유출사고는 23% 증가했다. 정보유출사고가 가장 많이 발생한 분야는 의료(116건), 유통(34건), 교육(31건) 순이다. 우리나라에서는 카드, 금융 등 개인정보 탈취가 많은데, 글로벌 통계를 보면 의료 관련 개인정보 탈취가 크게 증가하고 있는 추세다. 금융정보는 단기적인 피해에 그치지만, 의료정보는 공격자가 장기적으로 활용할 수 있는 정보기 때문이다.

실제로 유출된 개인정보의 규모를 분석해보면 유통(약 2억 500만 개) 분야가 전체 유출된 개인정보의 59%를 차지해 가장 많았으며, 금융(약 8,000만 개), 컴퓨터 소프트웨어(약 3,500만 개)순이었다.

대중을 겨냥한 악성코드 급증 : 매일 100만 개의 악성코드가 새롭게 생성

표적을 정해서 접근하는 공격도 있지만 대다수의 악성코드 공격은 여전히 불특정 다수를 대상으로 하고 있다. 작년 한 해 동안 새롭게 등장한 악성코드 유형은 2013년보다 26% 증가한 3억 1,700만 개로, 이는 매일 약 100만 개의 새로운 위협이 생겨난 셈이다.

컴퓨팅 환경이 발달하면서 악성코드 개발자 역시 탐지를 피할 수 있는 다양한 방법을 모색하고 있다. 그 중 하나가 악성코드가 가상 머신 여부를 파악하는 것이다. 가상 머신은 물리적 PC 대신, 가상으로 만들어놓은 PC 시스템에서 악성코드를 실행해 어떤 형식으로 작동하는지 확인하는 용도로도 쓰이는데, 일부 악성코드는 이러한 가상 환경을 파악하고 잠복하거나 우회하는 경우도 있다. 실제로 2014년 전체 악성코드 중 28%가 가상 머신을 인식해 우회했으며, 가상 머신을 이용해 공격을 감행하는 악성코드도 등장해 새로운 위협으로 다가올 것으로 보인다.

파일을 암호화 하는 크립토 랜섬웨어 급증: 전년 대비 45배 증가

사이버 협박을 위한 랜섬웨어 공격 역시 2013년보다 113% 증가하며, 두 배 수준으로 크게 늘어났다. 특히 PC를 사용할 수 없게 만든 후 사법 당국을 사칭해 돈을 요구하는 전통적인 랜섬웨어와 달리, 피해자의 문서, 파일, 사진 등 데이터를 암호화하고 암호 키를 주는 대가로 돈을 직접적으로 요구하는 크립토 랜섬웨어(Crypto-ransomware)가 무려 45배나 늘어난 것으로 나타났다. 뿐만 아니라 안드로이드 모바일 기기에서도 크립토 랜섬웨어가 발견되는 등 공격 범위를 넓혀가고 있다.

소셜 미디어 및 모바일 공격 루트 확대: 전체 안드로이드 앱 중 17%가 악성코드

사이버 범죄 대부분은 이메일을 주요 공격 루트로 이용하고 있지만, 소셜 미디어 플랫폼을 활용하는 사례 역시 증가하고 있다. 조사 결과 2014년 소셜 미디어를 통한 사기 행위의 70%는 피해자 본인이 직접 악성 코드가 담긴 내용을 공유하도록 유도했다. 일반적으로 지인이 공유한 콘텐츠를 신뢰할 가능성이 높다는 점을 악용해, SNS 계정을 해킹한 경우가 많다.

모바일 공격 또한 큰 위협으로 대두됐다. 시만텍 조사 결과에 따르면 2014년 전체 안드로이드 앱의 17%(약 100만 개)가 실제로는 악성코드인 것으로 나타났다. 또한, 악의적인 목적으로 개발되진 않았지만 사용자 행동 추적과 같이 피해를 주는 '그레이웨어(grayware)' 앱이 36%(약 230만 개)나 되는 것으로 나타났다. 그레이웨어 앱 중에서도 모바일 기기의 사진앨범, 캘린더, 알림 바 등에 광고를 띄우거나 벨소리를 광고로 바꾸는 '매드웨어(madware)' 앱 역시 약 130만 개에 달하는 등 지속적인 증가 추세를 보였다.

사물인터넷 보안 위협 증가: 건강 기록 앱 52%, 정보보호 정책 부재

시만텍은 사물인터넷의 영역이 의료장비, 자동차 등으로 확대됨에 따라 보안 위협 역시 확대될 것으로 내다봤다. 스마트폰으로 제어할 수 있는 사물인터넷 기기에 대한 위험도 크게 증가했다. 조사 결과 최근 사용자가 늘고 있는 운동량 추적기 등에 연결되는 앱의 52%가 정보보호 정책조차 없는 것으로 나타났으며, 심지어 20%는 민감한 개인정보를 암호화하지 않고 평문 그대로 전송하고 있었다.

스마트폰 사용자의 보안 의식 수준도 낮은 것으로 나타났다. 4명 중 1명은 앱을 설치할 때 앱이 요구하는 권한이나 어떤 정보를 제공하는지 모르고 있었으며, 68%는 앱을 무료로 설치하기 위해 기꺼이 개인정보를 제공할 의향이 있는 것으로 조사됐다.

시만텍 박희범 대표는 "공격자는 한층 정교하고 지능화한 기법을 사용하는 반면, 이를 방어하는 기업과 조직은 상대적으로 대응 속도와 능력이 떨어진다. 또한, 크립토 랜섬웨어, 소셜 미디어 및 모바일 악성코드, IoT 보안 위협 등 개인 사용자를 노리는 보안 위협도 빠르게 진화하고 있어 이에 관한 보안 의식 제고와 함께 대응 방안을 시급하게 마련해야 할 것"이라고 강조했다.

글 / IT동아 이상우(lswoo@itdonga.com)