시만텍, 지난해 새로운 악성코드가 매일 118만 개씩 생겨났다

[IT동아 이상우 기자] 2016년 4월 14일, 시만텍이 인터넷 위협 동향 보고서(ISTR)를 발표했다. 시만텍 ISTR은 지난 1996년부터 인터넷 상의 보안 문제를 조사해 발간한 보고서로, 지난 20여년 간 2만 개 이상의 기업 고객을 통해 수집한 공격 동향과 전세계 13개의 시만텍 보안 연구소를 통해 탐지/분석한 자료를 바탕으로 한다.

시만텍 코리아 박희범 대표는 "이번 보고서는 지난 2015년 1월 1일부터 12월 31일까지 발생한 보안 이슈를 취합한 자료로, 이 보고서를 통해 개인과 기업이 앞으로 있을 보안 위협에 대응하고, 나아가 사이버 보안이 발전할 수 있었으면 하는 바람이다"고 말했다.

시만텍에 다르면 지난 2009년 발생한 악성코드는 236만 1,414개 정도였으나, 2015년에는 4억 3055만 5,582개로 폭증했다. 지난 한 해에만 매일 117만 9,000개의 악성 코드가 생겨나는 셈이다.

지난해 보안 이슈를 요약하면 크게 사이버 범죄 집단의 전문화, 제로데이 취약점 최다, 소수집중형 표적 공격 증가, 정보 유출 사고 대형화, 크립토 랜섬웨어 35% 증가, 웹사이트 4개 중 3개 위험, 모바일 보안 위협 증가, 기술 지원 위장 소비자 사기 스캠(scam) 증가 등을 들 수 있다.

제로데이 취약점이란 알려지지 않은 취약점 혹은 알려졌지만 이에 관한 대응책이 마련되지 않은 취약점을 말한다. 이러한 제로데이 취약점이 지난 2006년과 2007년에는 각각 13개, 15개가 보고됐지만, 2013년과 2014년에는 각각 23개와 24개로 증가했다. 특히 지난 해에는 54개의 취약점이 보고돼 이를 악용한 해커의 공격도 더 성행했다.

이탈리아의 해킹조직인 '해킹팀'의 경우 어도비 플래시, 인터넷 익스플로러, 윈도우 등의 제로데이 취약점을 확보하고 있으며, 특히 새로운 취약점을 발견하면 이를 외부에 알리지 않고 자신이 보유하고 있다가 새로운 공격용 툴킷을 개발하고 있다.

표적 공격 캠페인 역시 대상이 더 정교하고 세밀해졌다. 몇 년 전만 하더라도 표적 공격 캠페인은 100명 이상의 사용자를 대상으로 진행해왔지만, 이제는 소수의 대상에 대해 적은 횟수의 공격이 이뤄지고 있다. 2015년 스피어 피싱 공격 캠페인을 살펴보면, 이메일 공격 캠페인 1건 당 발송된 이메일은 평균 12회로 전년 대비 52% 감소했고, 공격 1건 당 이메일 수신자 수도 전년 대비 39% 감소한 11명이었다. 반면, 스피어 피싱 공격 캠페인 자체는 전년 대비 무려 55%나 증가한 연간 1,305건으로 집계돼 소수를 겨냥한 표적 공격이 크게 증가하고 있는 것으로 나타났다.

지난해 스피어 피싱 공격 대상이 된 기업 규모별 비율을 살펴보면 대기업을 노린 공격은 전체의 35%, 중견기업을 노린 공격은 전체의 22%였으며, 특히 중소기업을 겨냥한 공격이 43%로 꾸준히 증가하는 추세다. 이는 대기업을 직접 공격하는 방식이 아닌, 상대적으로 보안이 취약한 중소 규모의 계열사나 협력사를 통해 대기업으로 우회 침투하는 것으로 풀이할 수 있다.

스피어 피싱에 가장 많이 사용된 파일은 1위는 문서 파일인 doc(40.4%)로, 2014년 38.7%와 비교해 비율이 증가했다. doc 파일은 업무용으로 주로 쓰이는 파일인 만큼 사용자가 열어볼 확률이 비교적 높아, 최근에는 exe보다 더 많이 쓰이고 있다. 의외로 exe는 2014년 22.6%에서 2015년 16.9%로 계속 줄고 있다.

대형 해킹 조직을 통한 산업용 제어 시스템에 관한 공격도 증가했다. 2014년에는 최소 9개의 제로데이 취약점이 악용됐으며, 발견된 제로데이 취약점만 해도 2014년 35개에서 2015년 135개로 크게 늘었다. 취약점이 새롭게 발견된 만큼 주요 기간 시설에 관한 위협도 커지고 있다.

랜섬웨어의 대두 역시 빼놓을 수 없다. 랜섬웨어란 이름 그대로 사용자의 PC를 인질로 잡고 몸값을 요구하는 악성 프로그램이다. 2010년에는 일명 가짜 백신이라고도 부르는 그레이 웨어를 통해 결제를 유도하는 방식이었지만, 2012년에는 사용자 PC를 잠그고 일정 비율을 지불하면 이를 풀어주는 방식이었다. 이전까지 이러한 공격은 사용자가 결제를 하지 않거나 스스로 운영체제를 다시 설치하면 해결할 수 있었다. 하지만 2015년에 새롭게 등장한 크립토 랜섬웨어는 파일 자체를 암호화 하고, 일정 비용을 지불해야 복호화 키를 제공하는 방식으로 진화했다(물론 돈을 줘도 풀어주지 않는 경우가 많다). 국내의 경우 한 커뮤니티 사이트를 통해 크립토 랜섬웨어가 대량 유포돼, 알려진 사례만 지난 한 해 4,436건에 이른다. 세계적인 동향을 보면 2014년 26만 9,000건에서 2015년 36만 2,000건으로 35%나 증가했다. 특히 단순한 개인이 아닌, 기업을 노리는 형태로도 발전하고 있다.

2014년과 2015년을 살펴보면 PC뿐만 아니라 다양한 운영체제와 플랫폼을 노리는 공격도 발견됐다. 새로운 기법과 새로운 그룹이 등장해. 실제로 안드로이드 스마트폰을 공격하기 위한 랜섬웨어 사례(Simplocker)도 등장했고, 리눅스나 OS X 등을 표적으로 하는 사례 역시 등장하고 있다. 이들은 수익성을 우선시 하기 때문에 지금까지 가장 대중적인 윈도우 PC를 노려왔지만, 향후에는 맥과 리눅스 나아가 웨어러블 기기(스마트 워치 등)나 스마트TV 등 다양한 운영체제와 플랫폼으로 나아갈 가능성도 있다.

개인정보 탈취를 위한 신종 사기 수법도 등장했다. 해커가 특정인의 이메일과 전화번호를 입수하고, 이 정보를 활용해 '비밀번호 찾기' 등의 기능을 이용하는 것이다. 이 때 고객 센터에서는 해당 전화번호에 인증 코드 등을 발송하는데, 해커는 동시에 '비정상적인 활동이 발견돼, 코드를 회신 바랍니다' 등의 메시지를 피해자에게 전송한다. 해커는 이 인증 코드를 통해 비밀번호를 변경하고, 의심을 사지 않기 위해 피해자에게 재설정한 비밀번호를 알려주며 '앞으로 이 비밀번호를 사용하라'고 말한다. 이후 해커는 해당 계정에 자유롭게 접근할 수 있게 된다. 스캠(scam)이라 불리는 사기 수법이다.

정보유출 사건은 2015년 한 해 얼마나 일어났을까? 2014년에는 3억 4,800만 건으로 감소하는 추세였으나, 2015년에는 알려진 것만 4억 2,900만 건 집계됐다. 유출 피해 여부조차 파악하지 못한 경우를 생각하면 5억 건에 이를 전망이다. 1,000만 명 이상의 정보가 유출된 대형 사고의 경우 2014년 4건에서 2015년 9건으로 증가했다.

시만텍 윤광택 CTO는 "이러한 보안 위협에 대처할 수 있는 방법은 안타깝게도 주기적인 소프트웨어 업데이트, 보안 소프트웨어 최신 버전 유지, 알 수 없는 이메일 및 URL 클릭 금지 등"이라며 사용자의 각별한 주의를 당부했다.

한편, 시만텍이 제안하는 보안 수칙은 다음과 같다.

기업 보안 수칙

무방비 상태로 잡히지 마라: 최신 위협 및 공격 인텔리전스 솔루션을 이용해 감염 징후를 찾고 더욱 발 빠르게 대응한다.
강력한 보안 태세를 구축한다: 다계층 엔드포인트 보안, 네트워크 보안, 암호화, 강력한 인증 및 평판 기반 기술을 도입한다. 조직의 IT 팀을 확장하기 위해 매니지드 보안 서비스 제공업체와 협력한다.
악에 대비한다: 사고 관리는 보안 프레임워크의 최적화, 측정 및 반복가능성을 보증하고, 과거 사건으로부터 배운 교훈으로 보안 태세를 개선할 수 있도록 돕는다. 위기 관리에 대한 도움을 받기 위해 써드파티 전문가의 리테이너 서비스를 고려할 수 있다.
지속적인 교육과 훈련을 제공한다: 전 직원을 대상으로 시뮬레이션 기반의 교육과 개인 및 회사 기기에 저장된 민감한 데이터 보호를 위한 가이드라인과 절차를 수립한다. 내부 조사 팀을 정기적으로 평가하고 실전 훈련을 실시함으로써 사이버 위협에 효과적으로 맞설 수 있는 필수 기술을 갖추고 있는지 확인한다.

개인사용자 보안 수칙

강력한 비밀번호를 사용한다: 개인 계정에 대한 강력하고 독특한 비밀번호를 사용한다. 3개월마다 비밀번호를 변경하고 재사용하지 않는다. 또한, 정보 보안 강화를 위해 패스워드 관리자(password manager) 활용을 고려한다.
클릭하기 전 생각한다: 부적절한 첨부파일을 열면 악성코드가 설치될 수 있다. 예상한 이메일이 아니거나 보낸 사람을 신뢰하지 못한다면 절대 이메일 첨부파일을 열거나 복사하지 않는다.
스스로를 보호한다: 백신, 방화벽, 브라우저 보호 및 검증된 온라인 위협 보호를 탑재한 인터넷 보안 솔루션을 이용한다.
스케어웨어(scareware)를 경계한다: 무료 또는 불법 복제판인 소프트웨어 버전은 악성코드를 감염시킬 수 있다. 사회공학적 공격 및 랜섬웨어는 컴퓨터가 감염되었다고 속여 악성코드 제거를 위해 쓸모 없는 소프트웨어를 구매하거나 돈을 직접 송금할 것을 요구한다.
개인정보를 보호한다: 온라인으로 공유한 정보는 사회공학적 공격에서 사용자를 위험에 빠뜨린다. 로그인 정보, 생일, 애완동물 이름 등 SNS와 온라인에서 공유하는 개인정보를 제한할 필요가 있다.

글 / IT동아 이상우(lswoo@itdonga.com)