기업·기관 표적공격 91%, 스피어피싱에서 시작

수산아이앤티 “eReD Hypervisor Security 솔루션으로 악성파일 실행 차단 가능”

[보안뉴스 김경애 기자] 한국인터넷진흥원(KISA)이 발표한 ‘국내 스피어피싱 유형 분석’에 따르면 기업 및 기관을 노리는 표적 공격의 91%가 스피어피싱 이메일에서 시작된다. 스피어피싱 이메일의 94%가 파일을 첨부하고 있었으며, 공격 대상의 76%가 기업이나 정부기관인 것으로 나타났다.

스피어피싱은 특정 개인이나 조직을 대상으로 잘 아는 자가 보내는 것처럼 위장해 메일을 보내 악성코드에 감염시키는 공격이다. 업무에 관련된 문구를 사용하여 이메일을 보내기에 수신자가 메일을 열람할 가능성이 높다.

특히, 스피어피싱 이메일은 보안 솔루션 탐지를 피하기 위해 실행 파일 대신, 문서 형태의 비실행형 또는 압축파일을 이용하는 경우가 많아 공격 성공률이 높다. 수신자의 PC에서 악성코드가 실행되어도 정상 파일을 보여 주어 감염을 눈치채지 못하게 하는 등 치밀함이 특징이다.

얼마 전 터키 금융업계를 대상으로 발생한 사이버 공격과 평창올림픽 개막식을 방해한 해킹 공격이 스피어피싱을 통한 공격에 해당한다.

터키의 유명 가상화폐 거래소인 팔콘 코인(Falcon Coin) 도메인과 흡사한 팔칸 코인(Falcan Coin)이라는 계정으로 워드파일이 첨부된 이메일을 고객들에게 발송하여 피해자들이 이메일을 확인하는 순간 악성코드가 심어지도록 했다. 이번 공격에 사용된 악성코드는 ‘뱅크샷’이다. 몇 년 전에 발견됐지만 다양한 변종 형태로 공격에 활용되고 있다.

‘뱅크샷’이 실행되면 해커들은 피해자들의 컴퓨터 문서를 원격으로 다운받을 수 있다. 특히, 잠복기간 동안 수집한 여러 계정 정보를 통해 코인 및 계좌 정보가 있는 주요 서버 계정을 수집, 서버 내 파일들을 위·변조, 탈취함으로써 금전적 손해를 입힐 수 있는 공격이다.

평창올림픽 개막 당시 시스템 장애를 일으킨 ‘올림픽 파괴자’ 악성코드의 최초 감염 경로도 스피어피싱 이메일을 통한 감염으로 분석됐다. 해당 파일은 올림픽 관련 인터넷 서비스 도메인에 접속할 수 있는 수십 개 계정 아이디와 패스워드가 포함돼 있었으며, 자가전파 기능이 있는 것이 특징이다. 주변 시스템에 자동으로 전파, 감염시켜 시스템 사용자 정보를 모두 탈취하고 공유 시스템을 파괴하는 동작을 수행한다.

2017년 우크라이나의 주요 기관을 공격한 파괴형 랜섬웨어 악성코드 ‘낫페트야’와 유사한 특징들이 발견된 ‘올림픽 파괴자’ 악성코드는 정보를 탈취하는 랜섬웨어 형태를 띠지만, 애초에 복구를 허용하지 않고 감염 대상의 시스템을 파괴하는 것을 목적으로 하고 있어 심각한 결과를 초래할 수 있었다.

보안사고 예방을 위해 백신과 운영 프로그램의 주기적인 업데이트 및 첨부 파일 확인 등 사용자의 보안 의식 제고와 보안수칙 생활화는 중요하다. 하지만 스피어피싱 이메일 공격의 예에서 알 수 있듯이 변종 악성코드를 활용해 사용자가 인식하지 못하도록 은밀하게 지속적으로 공격하는 경우가 증가하고 있다. 감염의 근원을 파악하기 힘든 경우가 많고 백신이나 보안 솔루션들을 우회하는 공격 형태가 많아지면서 관리자에게만 모든 책임을 지울 수 없는 형편이다.

지능형 공격에 대응하기 위해 통합보안 솔루션을 제안하고 컨설팅하는 업체들이 늘어나고 있다. 하나의 백신이나 솔루션만으로 지능적인 공격에 대비할 수 없기 때문이다. 특히, 기존 보안 솔루션들이 이미 발생됐던 악성코드 공격을 방어할 순 있어도 변종 형태의 공격이나 새로운 형태의 공격은 방어하지 못함에 따라 미래 위협 대응에 대한 니즈가 증가하고 있다.

이러한 가운데 수산아이앤티(이하 수산INT)의 신제품 eReD Hypervisor Security(이하 eReD)이 주목받고 있다. 해당 솔루션은 VMI(Virtual Machine Introspection)를 보안 솔루션에 적용한 미래 위협 대응 솔루션이라는 게 수산INT 측의 설명이다. 화이트리스트 방식으로 프로세스 실행 제어 기능을 수행, 관리자가 인가한 프로그램 외에는 실행을 원천 차단한다. 관리자의 PC나 서버가 스피어피싱 이메일 등으로 인해 감염됐더라도 악성 프로그램이 실행되지 않아 주요 정보를 보호할 수 있는 것이다.

지난해 모의해킹 테스트를 성공적으로 마친 eReD는 앞서 언급한 ‘뱅크샷’, ‘올림픽 파괴자’뿐만 아니라 최근 이슈가 되었던 변종 ‘헤르메스’까지 모두 무력화시킨 것으로 알려졌다.

수산INT 관계자는 “eReD는 국내 최초로 가상화 기술을 보안 솔루션에 적용한 제품”이라며, “백신에 대해 우회하는 악성파일이라 할지라도 프로그램 실행을 무력화 시키기에 기존 보안 제품과는 차원이 다른 보안을 제공하며, 제로데이 공격도 차단할 수 있다”고 말했다.
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)