IT DONGA

2017년 1분기, 해커는 클라우드를 노렸다

이상우

[IT동아 이상우 기자] 마이크로소프트가 보안 인텔리전스 보고서(SIR)를 발표했다. MS 보안 인텔리전스 보고서는 MS가 분기별로 소프트웨어 취약성, 멀웨어 및 악성 소프트웨어 등의 동향을 분석해 발표하는 보고서로, 10억 건 이상의 윈도우 운영체제 업데이트, MS 애저 서비스, 검색 엔진(빙, Bing)을 통한 웹 페이지 스캔 등을 통해 보안 동향 정보를 수집한다. 해당 보고서에 따르면 최근 사이버 공격 동향은 클라우드를 직접 노리는 형태가 늘었으며, 중국과 미국 지역에서 MS의 클라우드 서비스인 애저를 공격하려는 시도가 가장 많았다.

클라우드 공격 동향

MS에 따르면 지난해 같은 기간과 비교해서 MS 클라우드 사용자 계정에 대한 공격 시도가 300%나 증가했으며 특히 의심스러운 IP주소에서 MS 계정으로 로그인한 시도 역시 전년 동기보다 44%늘었다. 한국 MS 김귀련 부장은 "IT 환경에 자체 데이터 센터에서 클라우드로 옮겨가는 추세인 만큼, 사이버 공격도 서버나 클라이언트가 아닌 클라우드를 직접 공격하는 방식으로 바뀌고 있다. 클라우드는 기업의 여러 데이터를 보관하고 있는 만큼 해커에게 매력적인 곳이며, 이 중 보안이 허술한 가상 머신이 뚫리게 된다면, 해커는 이를 거점으로 공격 범위를 확대할 수 있다"고 설명했다.

해커가 클라우드를 공격하는 대표적인 방식은 허술한 로그인 정보를 훔쳐내는 것이다. 실제로 최근 한 보안 업체가 자사가 자공하는 웹 서비스 계정/비밀번호 관리 소프트웨어의 데이터를 해커에게 탈취 당하기도 했다. 이 때문에 MS는 텍스트 방식의 암호 보다 윈도우 헬로우 같은 생체 인식을 함께 사용할 것을 권고했다.

MS 보안 인텔리전스 보고서

국가별 위협 동향을 보면 2017년 1분기 MS 애저에 대한 공격을 시도했던 국가는 1위가 중국(35.1%), 2위가 미국(32.5%)이었으며, 한국은 3.1%로 비율은 낮지만 전체 공격 시도가 발생한 국가 중 3위를 기록했다. 이렇게 서비스를 해킹한 이후에는 악성 IP와의 통신을 시도한 경우가 절반 이상을 차지했다. 이러한 방식은 외부 서버와 연결해 스팸 발송 등의 2차 공격으로 이어질 수 있다. 이 때 연결을 시도한 비율은 중국이 전체 외부 서버 연결 시도 중 89%를 차지했다.

악성 IP와 통신 시도 비율

랜섬웨어로 인한 공격은 2017년 1분기 기준으로 체코, 한국, 이탈리아 순으로 많았으며, 유럽이 주요 공격 대상이었고, 아시아에서는 한국이 발생률이 특히 높은 편이었다. 참고로 이 기준은 올해 2분기 발생한 워너크라이 랜섬웨어가 반영되지 않은 결과다.

2017년 1분기 발생한 주요 공격 유형으로는 웹 브라우저의 취약성을 악용해 사용자를 악성 사이트로 끌어들인 뒤 PC에 악성코드를 심는 드라이브 바이 다운로드 방식이 성행했다. 이러한 형태의 공격 시도가 가장 성행한 국가는 대만으로, 1,000개의 사이트당 7.4개의 사이트가 이러한 악성 사이트로 나타났다. 악성 사이트 방문 시 사용자가 운영체제나 웹 브라우저를 최신 버전으로 유지하지 않을 경우 피해를 입을 가능성이 더 크다.

드라이브 바이 다운로드

악성코드 외에도 사용자 동의 없이 설치된 소프트웨어 역시 주의가 필요하다. 당장은 내 PC에 영향을 주지는 않지만, 잠재적으로 악성코드가 침투할 수 있는 경로가 될 수 있기 때문이다. 이러한 소프트웨어는 웹 브라우저 추가 기능 형태로 설치되는 경우가 가장 많았으며, 이밖에 소프트웨어 번들이나 애드웨어 형태가 뒤를 이었다.

국내에서 발생한 멀웨어 공격 시도는 글로벌 평균과 비교해 약간 높은 편이다. 2017년 3월 기준으로 멀웨어 공격 시도가 발견된 비율은 8.3%(글로벌 7.8%)다. 멀웨어 종류는 트로이목마 형태가 가장 많았으며, 이밖에 백도어, 멀웨어, 다운로더 등이 뒤를 이었다. 글로벌과 비교해 사용자 동의 없이 설치된 소프트웨어 수는 적었으며, 특히 악성 웹 사이트를 통한 공격 비율이 글로벌과 비교해 낮은 편이었다.

국내 멀웨어 발생 동향

글 / IT동아 이상우(lswoo@itdonga.com)

이전 다음