암호화폐 채굴 멀웨어, 전분기 대비 2배 증가

포티넷, 1분기 ‘글로벌 위협 전망 보고서’ 발표
“보안에 필요한 리소스 없는 IT·OT 팀 많아”

[보안뉴스 오다인 기자] 포티넷코리아(지사장 조원균)가 14일 ‘2018년 1분기 글로벌 위협 전망 보고서’를 발표했다. 이 보고서는 포티넷 보안연구소 ‘포티가드랩’에서 발간한다.

[이미지=iclickart]

연구진에 따르면, 사이버 범죄자는 감염 속도와 성공률을 높이기 위해 공격 수법을 정교하게 진화시키고 있다. 랜섬웨어는 조직에 지속적인 악영향을 미치고 있고, 공격자 사이 시스템 하이재킹 수법과 크립토마이닝(cryptomining) 수법이 선호되는 것으로 나타났다.

필 쿼드(Phil Quade) 포티넷 정보보호최고책임자(CISO)는 “사이버 보안 환경 전반에 기술 트렌드가 융합되면서 어려움이 커지고 있다”면서 “시스템 보호에 필요한 리소스를 갖추고 있지 않은 IT·OT 팀이 상당히 많다”고 경고했다. 그는 “속도·통합·고급 분석·리스크 기반 의사결정 등을 우선시 하는 보안 패브릭을 구현하면 시스템 속도와 규모에 따른 포괄적인 보호가 가능해진다”라고 덧붙였다.

가빈 추(Gavin Chow) 포티넷 APAC 네트워크 및 보안 전략가는 “공격자가 알려진 취약점을 통해 쉬운 타깃을 찾고 있다는 사실에 주목해야 한다”면서 “알려진 취약점은 이미 해결책이 나와 있으나 위험을 인식하지 못하는 시스템 이용자들이 계속해서 위험에 노출되고 있다”고 설명했다. 보고서 핵심 내용은 다음과 같다.

사이버 공격 수법, 속도와 규모 면에서 진화
사이버 범죄자는 보다 정교한 방식으로 멀웨어를 활용하고 있으며, 새로운 제로데이 취약점을 이용해 빠른 속도와 방대한 규모로 공격하고 있다. 2018년 1분기 기업당 공격 탐지 건수는 13% 떨어졌고, 익스플로잇 탐지 건수는 11% 이상 증가했다. 기업 73%가 심각한 익스플로잇 공격을 당했다고 밝혔다.

1) 크립토재킹(Cryptojacking) 증가: 멀웨어는 지속적으로 진화하고 있으며, 예방이나 탐지가 점점 어려워지고 있다. 크립토마이닝(Cryptomining) 멀웨어는 13%에서 28%로 전분기 대비 2배 이상 증가했다. 또한, 크립토재킹은 중동, 라틴 아메리카, 아프리카 지역에서 상당수 발견됐다. 크립토마이닝 멀웨어는 다양한 방식으로 확산되고 있다. 사이버 범죄자는 탐지가 어려운 브라우저에 감염된 코드를 삽입하는 파일리스 악성코드를 생성하며, 채굴자들은 비트코인, 모네로 등 암호화폐는 물론, 다양한 운영 체제를 타깃으로 삼는다. 그들은 향후 성공률을 높일 수 있는 수법에 따라 위협 확산 방법을 유연하게 채택하고 조정한다.

2) 최대 영향력을 발휘하는 타깃 공격: 파괴적인 멀웨어는 설계자 공격(designer attack)과 결합할 때 상당한 영향력을 발휘한다. 보다 구체화된 타깃 공격의 경우, 공격자들은 공격을 시작하기 전에 조직에 대한 정찰을 실시, 공격 성공률을 높인다. 이후 네트워크에 침투하고, 시나리오에 따라 가장 파괴적인 공격을 시행하기 위해 네트워크 횡적 움직임을 수행한다. ‘올림픽 디스트로이어(Olympic Destroyer)’ 멀웨어와 ‘삼삼 랜섬웨어(SamSam Ransomware)’는 사이버 범죄자가 설계자 공격과 파괴적인 페이로드를 결합해 영향력을 극대화한 사례다.

3) 계속되는 랜섬웨어 공격: 랜섬웨어의 양적 성장 및 정교함은 조직에게 매우 중요한 보안 과제가 되고 있다. 랜섬웨어는 사회 공학적 수법을 비롯해 탐지 시스템을 피하기 위한 다단계 공격 등 새로운 수법을 써가며 지속적으로 진화해 가고 있다. 지난 1월 발견된 갠드크랩 랜섬웨어(GandCrab ransomware)는 암호화폐인 대시(Dash)를 결제 수단으로 요구하는 최초의 랜섬웨어이다. 블랙루비(BlackRuby)와 삼삼은 2018년 1분기에 주요 위협으로 발견된 랜섬웨어 변종이다.

4) 다중 공격 벡터: 2018년 1분기 사이드 채널 공격(side channel attack)이 기승을 부렸으나 가장 주된 공격은 모바일 장치를 타깃으로 한 공격과 라우터·웹·인터넷 기술에 대한 잘 알려진 익스플로잇이었다. 조직 21%가 모바일 멀웨어에 대해 보고했는데 이는 전분기 대비 7% 증가한 수치로 IoT 장치가 지속적인 타깃이 되고 있다는 점을 보여준다. 또한, 사이버 범죄자들은 제로데이 공격처럼 패치되지 않은 취약점을 악용할 때 효과가 높다는 점을 인식하고 있다. 마이크로소프트는 익스플로잇의 1위 타깃, 라우터는 전체 공격 양에서 2위 타깃에 올랐다. CMS(Content Management Systems, 콘텐츠 관리 시스템) 및 웹을 이용한 기술도 공격 대상이었다.

5) 패치만 하는 것보다 더 탁월한 방법 ‘사이버 위생’: 통신이 감지된 연속 일수를 기준으로 봇넷 감염이 얼마나 지속되는지 측정해보면 단순 패치보다 사이버 위생이 더 중요하다는 사실을 알 수 있다. 조사에 의하면 봇넷 감염의 58.5%가 같은 날 탐지되고 치료됐다. 봇넷 17.6%는 연속 2일간, 7.3%는 3일간 지속됐으며, 약 5%는 일주일 이상 지속됐다. 일례로, 안드로메다(Andromeda) 봇넷은 2017년 4분기에 사라진 듯 했으나, 1분기 데이터를 보면 양과 유행 정도 모두에서 현저히 증가했다는 것을 알 수 있다.

6) 운영 기술(OT)에 대한 공격: OT 공격이 전반적인 공격 환경에서 차지하는 비율은 적지만, 위협 트렌드 측면에서 볼 때는 상당히 유의해야 한다. 이 섹터는 인터넷에 연결되기 때문에 보안과 관련된 잠재적인 파급 효과가 크다. 현재 대부분의 익스플로잇 활동은 광범위하게 유포돼 고도로 타깃화돼 있으며, 가장 보편적인 2가지 산업 통신 프로토콜을 대상으로 하고 있다. 이번 조사는 아시아 지역에서 산업제어시스템(ICS) 익스플로잇 시도가 다른 지역에서의 ICS 익스플로잇 활동 정도와 비교할 때 더 많이 확산돼 있는 것으로 나타났다.
[오다인 기자(boan2@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)