2017년 해커는 암호화폐를 노렸다, 시만텍 보안위협보고서 발표
[IT동아 이상우 기자] 시만텍이 인터넷보안위협보고서(이하 ISTR) 23호를 발표했다. ISTR은 시만텍이 매년 상반기 발표하는 지난해 보안 위협 동향 백서로, 이를 통해 과거와는 어떤 변화가 있는지, 미래에는 어떤 동향이 나타날지 예측하기위해 발간하는 보고서다.
시만택에 따르면 지난해 보안위협 동향은 비트코인 등 암호화폐를 노린 공격이 두드러졌다. 이 중에서도 일반 사용자의 PC 시스템에 악성코드를 설치하고 가상화폐 채굴기로 사용하는 '크립토재킹(Cryptojacking)'이 무려 8,500%나 증가했다. 크립토재킹이란 암호화폐와 하이재킹의 합성어로, 악성코드를 통해 CPU나 GPU 등 일반 사용자의 PC 자원을 통해 가상화폐를 채굴하고 이익을 취하는 일을 말한다. 시만텍에 따르면 2017년 1월, 암호화폐 채굴을 위한 악성코드 탐지 건수가 2만 건 정도였으나, 12월에는 170만 건으로 증가했다.
뿐만 아니라 이러한 악성코드를 사용자 PC에 설치하지 않더라도, 웹 페이지에 스크립트 두 줄을 추가하는 것만으로도 사용자가 해당 웹 페이지를 열어놓는 동안 시스템 자원을 강탈당하는 사례도 늘어났다. 특정 커뮤니티 운영자가 사용자 몰래 이러한 형태의 스크립트를 사용하는 경우가 있는가 하면, 콘텐츠를 방문자에게 제공하는 대가로 일정 시간 채굴을 위한 시스템 자원을 요구하는 경우도 있다.
또한, 일반적으로 알려진 비트코인 대신, CPU 자원으로 활용해 채굴할 수 있으며 익명성이 더 강한되는 모네로를 선호하는 것으로 나타났다. 실제로 지난 한 해 크립토재킹이 늘어나는 동향에 맞춰 모네로의 가격 역시 꾸준히 상승했다. 이 밖에도 피싱이나 파밍 등 전통적인 해킹 기법을 이용해 암호화폐 거래소를 공격하고, 사용자의 가상화폐 지갑 정보를 탈취하는 사례도 꾸준히 나타났다.
시만텍코리아 윤광택 CTO는 "암호화폐 채굴은 CPU 등 시스템 자원을 최대한 사용하는 만큼, 사용자 PC에 무리를 주고 애플리케이션 실행 속도 등 전반적인 성능을 저하시킨다. 향후에는 가정의 IoT 기기 역시 이러한 가상화폐 채굴에 동원될 것으로 보이며, 강력한 컴퓨팅 성능을 갖춘 기업의 서버 역시 크립토재킹의 공격 대상이 될 것으로 예상한다"고 말했다.
ISTR 23호에 따르면 지난해 보안위협 동향에서는 특정 기업이나 국가를 노리는 표적공격의 수가 꾸준히 증가하고 있는 추세다. 이메일 등을 이용한 스피어 피싱 공격이 전체 공격의 71%로 가장 많았으며, 이는 이메일이 전통적이면서도 효과가 높은 공격 방식임을 방증한다. 시만텍은 이런 표적공격 조직의 주요 목적을 정보 수집(90%), 파괴공작(11%), 금전적 목적(9%) 등이라고 밝혔다. 단순히 금전을 노리는 것이 아니라 기업이나 국가에 대한 데이터 유출 및 공작 등이 주요 목적이며, 이러한 상황을 봤을 때 배후세력이 이러한 표적공격 조직을 지원하고 있는 것으로 보인다. 국가별 상황을 봤을 때 미국이 한 해 동안 303건의 공격을 받았으며, 한국은 45건의 공격을 받았다.
표적공격 방식 중에는 소프트웨어 공급망을 이용한 공격도 크게 증가했다. 소프트웨어 공급망이란 소프트웨어 업데이트 등 유지보수를 위한 채널을 말하며, 대표적인 것이 업데이트 서버다. 기업이 도입한 특정 소프트웨어의 업데이트 서버를 해킹하고, 마치 정상적인 업데이트인 것처럼 악성코드를 배포하는 방식이 지난해 12건 발생했다. 이러한 방식을 활용하는 이유는 업데이트를 진행하는 사용자가 의심할 가능성이 적으며, 빠른 시간안에 수십만 명에게 전파할 수 있기 때문이다. 특히 HWP 등 특정 지역이나 기업에서 많이 사용하는 소프트웨어일 경우 표적 공격에 더 유리하기 때문이다.
모바일 기기를 공격하는 악성코드 역시 꾸준히 증가하고 있다. 2016년과 비교해, 2017년에는 신규 모바일 악성코드 변종 수가 54% 증가했으며, 시만텍은 지난해 하루 평균 2만 4,000여개의 악성 모바일 애플리케이션을 차단한 바 있다. 이러한 문제는 취약점이 많은 구형 운영체제가 계속 쓰이고 있기 때문에 발생한다. 실제로 안드로이드의 경우 최신 운영체제를 탑재한 제품이 제한적이며, 제조사에 따라 구형 스마트폰의 운영체제 업그레이드를 지원하지 않는 경우가 많다.
한 때 해커에게 많은 수익을 안겨줬던 랜섬웨어는 이제 평범한 악성코드로 자리잡았다. 2016년의 경우 랜섬웨어 공격자가 요구하는 평균 금액은 1,070 달러였으나, 지난해에는 522달러로 전반적인 수익성이 낮아졌다. 특히 암호화폐라는 매력적인 공격 대상이 생긴 만큼 이에 대한 관심도 떨어진 듯하다. 실제로 지난 2016년 발견된 랜섬웨어 및 변종 랜섬웨어는 98개였으나 2017년에는 28개로 크게 줄었다. 다만, 표적공격 집단은 여전히 랜섬웨어를 사용하는 것으로 나타났다. 이는 랜섬웨어를 통한 금전적인 목적 보다는 파괴공작을 위함으로 볼 수 있으며, 특히 특정 기업이 공격을 당했다하더라도 랜섬웨어 캠페인의 일종인 것처럼 위장할 수 있기 때문이다.
그렇다면 기업과 개인은 어떤 대비를 해야 할까? 기업은 최신 위협에 대응할 수 있는 솔루션을 도입해, 감염 징후를 빠르게 찾고 대응해야 한다. 게이트웨이, 메일 서버, 엔드포인트 등 다계층 보안 전략을 갖추는 것은 물론, 직원을 대상으로 스피어 피싱 등 이메일 공격에 대한 훈련을 꾸준히 진행해야 한다.
개인의 경우 공유기, 사물인터넷 기기 등의 초기 설정 비밀번호를 변경하며, 운영체제나 소프트웨어 업데이트를 항상 최신으로 유지해 취약점을 없애야 한다. 앞서 말한 것처럼 소프트웨어 공급망을 이용한 공격이 발생하고 있지만, 이는 대중적인 소프트웨어보다는 전문적인 소프트웨어에서 나타나는 경향이며, 공급망에 대한 보안은 기업적인 이슈가 크다. 이메일에 포함된 링크나 첨부파일에 대해 주의를 기울여야 하며, 랜섬웨어에 대비해 데이터를 백업해두는 습관을 들여야 한다.
글 / IT동아 이상우(lswoo@itdonga.com)