작년 한 해 피싱 공격 줄어들고 OT 공격은 2000% 늘어나

입력 : 2020-02-12 11:35

피싱 공격이 줄어든 이유...클라우드 설정 실수로 너무 많이 퍼줘서
OT 공격은 2000% 증가...올해도 OT를 겨냥한 공격 끊임없이 발생할 듯

[보안뉴스 문가용 기자] 공격자들 사이에서 피싱 공격의 인기가 사그러들고 있다는 조사 결과가 나왔다. 이미 다크웹에서 거래되고 있는 크리덴셜들과, 널리 알려진 취약점들을 활용했을 때, 피싱 공격으로 누군가를 속이는 것보다 훨씬 간단하게 침투에 성공할 수 있을 뿐만 아니라 발각도 잘 되지 않는다는 걸 깨달았기 때문이라고 한다.


이러한 내용의 보고서를 발표한 건 IBM의 엑스포스(X-Force) 팀이다. 이들은 보고서를 통해 현 시점에서 공격자들 사이에 가장 인기가 높은 기법이 무엇인지, 멀웨어가 어떤 식으로 변하고 있는지, 가장 잘 익스플로잇 되는 오류가 무엇인지 등을 공개했다.

먼저 피싱 공격은 2019년 한 해 동안 전체 사이버 공격의 31%를 차지했다고 한다. 2018년 피싱 공격은 약 50%를 차지하고 있었다. 꽤나 급하게 수치가 떨어진 걸 확인할 수 있다. 반면 알려진 취약점을 익스플로잇 하는 행위는 2018년 8%에서 2019년 30%로 크게 치고 올라왔다. 훔친 크리덴셜을 활용하는 수법은 전체 공격의 29%를 차지하고 있었다.

엑스포스 팀 부문 부회장인 웬디 화이트모어(Wendi Whitemore)는 “알려진 취약점을 익스플로잇 하거나 훔친 크리덴셜로 로그인 하는 공격자는 방어자 입장에서 탐지하기가 까다롭다”고 설명한다. “또한 공격자 입장에서는 공격이 간단해진다는 장점도 있습니다. 어떤 기업이나 패치를 제 때 할 수 없는 상황을 겪을 때가 있고, 그러면서 취약점에 대해 잊어버리는 경우가 태반입니다. 잊힌 취약점은, 익스플로잇이 되더라도 눈에 띄지 않습니다.”

공격자들이 특히 좋아하는 취약점 유형은 원격 코드 실행(RCE)을 가능하게 해주는 것들이었다. 2019년에는 CVE-2017-0199와 CVE-2017-11882가 높은 인기를 구가했다고 한다. 둘 다 패치가 배포된 지 오래이지만, 공격자들은 지속적으로 익스플로잇을 시도했다. 특히 스팸 캠페인을 통해 익스플로잇 되는 사례가 많았다.

현재 공격자들 사이에서는 크리덴셜을 구하지 못해 공격하지 못하는 사례가 거의 없다고 한다. 자원이 넘쳐난다는 것이다. 엑스포스 팀에 따르면 2019년 한 해 동안에만 85억 건의 기록들이 유출됐으니 그럴 만도 하다. “대부분의 유출 사고는 클라우드 환경설정 오류 때문에 발생했습니다. 즉, 저희가 그들에게 공격 자원을 퍼다 준 꼴입니다.” 화이트모어는 “공격에 사용할 수 있는 자료가 너무나 많다보니 누구나 푼돈으로 다크웹에서 구할 수 있게 된 상태”라고 설명한다.

IBM이 2019년 상반기 동안 발견한 공격의 절반 정도는 랜섬웨어와 연루되어 있는 것으로 나타났다. 2019년 하반기에는 10% 정도로 떨어졌다. 하지만 4사분기에 와서 다시 67% 증가하는 모습을 보이기도 했다. “최근 랜섬웨어 공격의 특징은 이모텟(Emotet)이나 트릭봇(Trickbot)과 같은 다운로더를 통해 이뤄진다는 것입니다. 이렇게 하면 공격 성공률이 더 높은 것으로 알려져 있습니다.”

엑스포스 팀과 이번 조사를 함께한 인테저(Intezer)는 보고서를 통해 “공격자들이 새로운 코드 개발에 투자하고 있다”고 지적하기도 했다. “2019년에는 특히 뱅킹 트로이목마와 랜섬웨어의 코드베이스가 뛰어나게 향상됐습니다. 암호화폐 채굴 코드도 꾸준하게 새로운 모습을 나타냈고요.”

새로운 코드가 가장 많이 눈에 띄었던 건 뱅킹 트로이목마였다(45%). 랜섬웨어가 36%로 2위를 차지했다. 인테저와 엑스포스 팀은 “이렇게 멀웨어를 향상시켜 놓았으니, 앞으로 계속 활용될 것”이라고 예견했다. 즉 뱅킹 트로이목마와 랜섬웨어가 계속 새로운 사고 소식을 만들어낼 것이라는 뜻이다.

하지만 가장 눈여겨 봐야 할 것은 운영 기술(OT)에 대한 공격이 1년 만에 무려 2000% 증가했다는 것이다. “ICS에 대한 공격자들의 관심이 대단히 높습니다. 2020년에도 이 현상이 지속될 것으로 보입니다. 현재까지는 SCADA 및 ICS 하드웨어에서 이전에 발견된 취약점을 통해 공격이 발생했는데요, 앞으로는 이런 방법에 더해 비밀번호를 마구 대입해보는 시도가 증가할 것으로 보입니다.”

3줄 요약
1. 작년에 크리덴셜을 너무 많이 퍼줘서 피싱 공격이 줄어들었을 지경.
2. 크리덴셜 가지고 로그인 하면 공격도 쉽고, 탐지 회피도 쉬워짐.
3. OT 시스템에 대한 공격은 무려 2000%나 증가함. 올해 ICS 부문에서 사고 많이 날 듯.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 2

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 3

  MS의 로우코드 플랫폼 파워페이지스, 사용자...

• 4

  최고의 ‘보안 강연자’를 선발하다... IS...

• 5

  개인정보 유출 사고 대응방안 논의... 공공...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...