버라이즌의 2020 데이터 침해 보고서 : 디도스와 크리덴셜 탈취 급증

입력 : 2020-05-19 15:07

전체 데이터 침해 사고의 40%에서 디도스 공격 발견돼...공격자들의 기본 전략
멀웨어를 대체하는 크리덴셜 활용 공격...1위 멀웨어도 크리덴셜 수집하는 기능 가져

[보안뉴스 문가용 기자] 버라이즌이 ‘2020년 데이터 침해 수사 보고서(2020 Data Breach Investigations Report, DBIR)’를 발표했다. 그 무엇보다 지난 해에 비해 서비스 거부 공격이 급증한 것이 눈에 띈다.


‘서비스 거부 공격’은 총 1만 3천 번 발생한 것으로 조사됐으며, 사이버 보안 사건 전체에서 40%를 차지하는 것으로 나타났다. 즉 사이버 공격자들이 거의 기본적으로 구사하는 공격 전략의 일부가 되었다는 뜻으로 분석된다. 이 때문에 크라임웨어와 웹 애플리케이션에 대한 범죄자들의 선호도가 작년에 비해 낮아지기도 했다.

서비스 거부 공격, 혹은 디도스 공격에도 여러 가지 종류가 있는데 현재 가장 흔히 나타나는 건 쓸모없는 네트워크 트래픽을 대량으로 전송해 시스템을 마비시키는 것이라고 한다. 공격의 용량이라는 측면에서는 전년도에 비해 크게 변하지 않은, 평균 570 Mbps인 것으로 나타났다. 이 정도 규모의 디도스 공격이 현재 가장 흔하다고 버라이즌은 보고서를 통해 알렸다.

사이버 정찰(cyber espionage) 행위는 크게 줄어든 것으로 나타났다. 전년도에는 전체 침해 사고의 13.5%가 바로 이 사이버 정찰 행위로 인해 발생했지만, 2019년에는 3.2%만을 차지한 것으로 나타났다. 작년에 발표된 DBIR 보고서에는 사이버 정찰 행위가 증가한다고 나왔는데, 1년 만에 감소세로 역전된 것이라 상당히 이례적이라고 볼 수 있다.

다만 세계보건기구(WHO)와 일부 아태지역의 정부 기관을 노리는 정찰 활동은 증가했다고 한다. 버라이즌 측은 “실제적으로 사이버 정찰 행위가 줄어들었다기보다, 탐지에 실패하는 비율이 높아지거나 사건을 공개하는 사례가 줄어들고 있는 것으로 보인다”고 분석했다.

하지만 돈을 목적으로 한 침해 사고가, 정치적 목적을 가진 침해 사고보다 훨씬 더 많이 발생하는 것은 사실인 것으로 보인다. 돈을 목적으로 한 침해 행위가 전체에서 86%를 차지하고 있는 것으로 조사됐기 때문이다.

또 침해 사고의 45%는 해킹으로 인해 발생하고, 22%는 사회적 공격으로 인해 발생하는 것으로 나타났다. 22%는 멀웨어와 관련이 되어 있으며, 17%는 오류나 실수로 인해 시작된다고 한다. 권한을 가진 사용자들의 남용 혹은 오용 때문에 발생하는 침해 사고는 8%에 그쳤다. 내부자에 의한 침해 사고는 30%, 외부자에 의한 침해 사고는 70% 비율로 나타나는 것으로 조사되기도 했다. 다만 내부자로 인한 사고 발생률은 매해 증가 중에 있다고 한다.

흥미로운 사실 하나는, 멀웨어로 인한 침해 사고가 지난 5년 동안 계속해서 줄어들고 있다는 것이다. 그 요인 중 하나는 사이버 범죄자들이 크리덴셜을 범죄에 점점 더 많이 사용하기 시작했다는 것이다. 크리덴셜을 훔치는 데 점점 더 뛰어난 모습을 보이며, 암시장에서도 크리덴셜이 활발히 유통되기 때문에 굳이 멀웨어를 쓸 필요가 없는 게 현재 사이버 범죄자들의 실상이다.

그렇기 때문인지 가장 많이 사용되는 멀웨어의 유형이 비밀번호 수집기인 것으로 나타났다. 크리덴셜을 수집해주는 멀웨어가 가장 인기가 높은 멀웨어라는 것은, 크리덴셜을 멀웨어 대신 이용하기 시작했다는 범죄자들의 사정과 무관할 수 없다. 그 다음으로는 앱 데이터를 수집해주는 멀웨어와 랜섬웨어가 많이 사용된다고 버라이즌 측은 밝혔다.

랜섬웨어 공격은 계속해서 증가 중에 있으며, 계속해서 매체의 헤드라인에 실리기도 한다. 랜섬웨어가 이렇게 증가하는 건, 그 무엇보다 ‘공격이 쉬워졌기 때문’이라고 버라이즌은 주장하고 있다. 다크웹에서 랜섬웨어 공격을 대행해 주거나, 사용하기 간편한 랜섬웨어를 판매하는 사람들이 늘어났다는 것이 그 주장의 근거다. 즉 복잡한 해킹 기술을 익히지 않아도 랜섬웨어 공격을 누구나 할 수 있다는 것이다.

산업별로 침해 사고를 집계했을 때도 이전과 다른 모습들이 드러났다. 예를 들어 POS 공격의 경우 이전에는 데이터 침해 사고가 가장 많이 일어났었는데, 최근에는 멀웨어와 웹 애플리케이션 공격도 비슷한 수준을 차지하고 있다. 즉, POS를 노리는 기법들이 보다 다양화 되었다는 것이다. 도소매 산업과 POS를 노리는 공격자들의 술수들이 다채로워지고 있다는 뜻인데, 이는 곧 ‘돈을 노리는 공격자’들의 행태가 집요하게 이어진다는 걸 나타낸다.

그 외에 교육 산업에서는 피싱 공격이 전체 침해 사고의 28%를 차지했다. 해킹 공격으로 인한 침해는 23%로, 2위를 차지했다. 현재 교육 산업을 가장 크게 위협하는 멀웨어는 랜섬웨어인 것으로 나타났다. 교육 기관 내 전체 멀웨어 공격의 80%가 무려 랜섬웨어와 연루되어 있었다. 랜섬웨어 역시 돈을 목적으로 한 해커들이 주로 활용하는 도구다.

의료 산업에서의 침해 사고도 전년(2018년) 304건에 비해 작년(2019년) 521건으로 꾸준한 증가 추세에 있음이 드러났다. 금융과 보험 산업의 경우는 피싱 공격과 웹 애플리케이션 공격이 가장 많았다. 주로 도난당한 크리덴셜을 활용한 공격들이다. 외부 공격자로 인해 생긴 침해 사고는 63%, 악성 내부자로 인한 침해 사고는 18%, 내부자의 실수로 인한 침해 사고는 9%인 것으로 나타났다.

긍정적인 면도 있었다. 공격을 탐지하는 데 걸리는 시간이 계속해서 줄어들고 있는 것이다. 그러나 아직 충분히 줄어든 상황은 아니라고 버라이즌은 경고했다. “탐지 속도가 빨라지고 대응 시간이 단축되고 있다는 건 충분히 좋은 현상입니다. 하지만 아직 더 향상되어야 한다는 것을 잊지 말아야 합니다.”

3줄 요약
1. 버라이즌의 2020년 침해 사고 보고서 나옴. 디도스 공격 증가세가 눈에 띔.
2. 사이버 정찰 행위 줄어들었는데, 이는 탐지를 못하거나 공개를 하지 않아서일 가능성 높음.
3. 현재 사이버 공격자들은 크리덴셜 적극 활용 중. 덕분에 멀웨어 공격 줄어듦.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 3

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 4

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 5

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...