Home / TECH / Security / 안랩, 2013년 7대 보안 위협 트렌드 발표

안랩, 2013년 7대 보안 위협 트렌드 발표

▲보안 위협의 고도화와 대규모화 ▲국제적 지능형 지속 공격(APT) 그룹의 국내 진출 현실화 ▲스미싱 모바일 악성코드의 폭발적 증가 ▲관리자 계정정보를 직접 노리는 악성코드 변형 확산 ▲국지화되는 소프트웨어 취약점 악용 ▲진화하는 인터넷 뱅킹 악성코드 ▲랜섬웨어 고도화.

안랩이 밝힌 올해 2013년 보안 위협 트렌드 7가지다. 

이호웅2안랩 시큐리티대응센터 이호웅 센터장은 “올해 보안위협의 트렌드는 악성코드의 고도화와 피해대상 및 대규모화, 금전을 노린 조직범죄화로 요약할 수 있다. 이런 상황에서 보안은 어느 한 주체의 책임이나 의무가 아니다. 더욱 강력한 사이버 보안을 위해 개인, 기업, 기관 모두 다각적이고 입체적인 대응을 해나가야 한다.”라고 강조했다

1. 보안 위협의 고도화 및 대규모화

2013년에는 대규모 보안 위협이 두 차례나 발생하는 등 보안위협이 고도화 및 대규모화 되는 경향을 보였다. 3월 20일, 금융/방송사를 대상으로 발생한 대규모 보안사고와 6월 25일에 발생한 정부, 공공기관에 대한 하드디스크 파괴와 디도스(DDoS, 분산서비스거부)공격을 병행한 보안 위협은 단순 좀비 PC를 사용한 2009년 7.7 디도스, 2011년 3.4 디도스와 달리 APT(Advanced Persistent Attack, 지능형 지속 공격)공격이 국내 기반 시설에 동시다발적 피해를 준 사례였다.

특히, 이전의 불특정 다수에 대한 무차별적인 악성코드의 유포와 달리, 특정 프로그램의 업데이트 기능 취약점, 웹 취약점, 스피어피싱 이메일(특정 표적에 최적화된 내용의 악성 메일) 등을 이용하고, 내부 내부 침투 이후 장기간 분석으로 각 피해 사의 내부 인프라를 이용한 공격을 수행했다. 또한, 분석 및 복구가 어렵게 단기간 내 악성코드를 업그레이드하는 등 공격과정에서 지능적인 모습을 보였다.

2. 국제적 APT 공격그룹의 국내 진출 현실화
2013년에는 국제 APT 공격그룹의 국내활동이 활발한 해였다. 국내 국방기술과 제조 관련 기업의 첨단기술 유출을 목적으로 하는 공격그룹과 2011년부터 지속적으로 게임머니 상승과 게임 인프라 구축 기술 유출을 목적으로 하는 공격 그룹 등의 활동이 보고 되었다.

국내에서 활동이 보고된 APT 공격그룹은 다양한 공격 방법과 치밀한 침투 시나리오, 표적 별로 특화된 악성코드를 사용하는 특징을 보여주었다. 이와 같은 고도화된 공격 기법을 사용하는 국제적 사이버 산업스파이 그룹은 공격 목적에 따라 국가/군사 기관과 범죄 집단의 지원을 받고 있는 것으로 추정되며, 다국어에 대한 처리가 가능한 인력으로 구성된 것으로 보인다. 풍부한 자본과 체계적인 공격조 구성, 기술력을 바탕으로 여러 국가의 고급 정보를 유출하는 시도가 국내에서도 발생해 APT 공격이 현실화되는 단면이 나타났다.

3. 스미싱 모바일 악성코드의 폭발적 증가
지난해 30여 건에 불과했던 스미싱 악성코드는 2013년에는 11월까지만 4천 6백여 건이 확인되었다. 초기에는 소액결제 시 인증 문자를 유출하는 기능으로 시작했으나 최근에는 스마트폰에 설치된 은행 앱의 종류를 식별하고 설치된 은행 앱을 악성 앱으로 교체해 사용자가 스스로 금융정보를 입력하도록 유도하는 파밍 형태가 많이 발견되고 있다. 최근에는 보이스피싱으로 악성 앱 설치를 유도하는 결합 형태도 확인되었다. 정부와 보안 업체들은 다양한 방법을 통해 스미싱 악성코드의 피해를 예방하기 위해 노력하고 있으나, 스미싱 악성코드 코드는 꾸준히 발견되고 있으며 스마트폰 사용자의 금전 피해도 계속해서 늘어나고 있다. 사용자의 악성앱 설치를 유도하기 위한 스미싱 문구도 특수 시즌 활용, 기관사칭, 관혼상제, 사회적 이슈, 불안감 조성 등 사람들의 호기심을 자극하는 사회공학적 기법과 최근에는 기 유출된 개인정보를 조합하는 등 다양한 형태로 빠르게 진화하고 있는 추세다.

4. 관리자 계정정보를 직접 노리는 악성코드 변형 확산
올해 초부터 발견된 ‘관리자 계정정보 유출 악성코드’의 변형이 인터넷 익스플로러(IE) 제로데이 취약점(CVE-2013-3897)을 이용해 올 여름에는 급속히 국내에 유포되는 등 관리자 계정을 직접 노린 보안위협이 오래 지속되었다. 특히 IE 취약점을 이용한 경우, 사용자가 해당 취약점이 존재하는 IE를 사용하는PC로 악성코드를 유포하는 웹사이트에 접속하기만 해도 감염되는 방식이다. 탈취된 계정을 이용하여 서버를 장악하면 기업 내부에 침투 또는 민감한 정보를 훔쳐낼 수도 있으며 해당 웹 사이트를 악성코드 유포지나 경유지로도 사용될 수 있다. 이 악성코드는 주요 계정 정보 유출, 기업 내부 침입, 디도스 등 다양한 목적으로 악용이 가능해 이용자 피해 방지를 위해 한국인터넷진흥원(KISA), 네이버, 안랩이 공동 대응을 진행하기도 했다.

5. 국지화되는 소프트웨어 취약점 악용
올 한 해에도 교회, 학교, 관공서, 호텔, 택배 및 웹하드 등 우리가 손쉽게 접근하는 다수의 국내 온라인 사이트들이 악성코드 배포처로 이용되었는데, 이는 인터넷 이용 시 필요한 상용 소프트웨어의 취약점을 해커들이 지속적으로 이용하는 경향이 지속되었기 때문이다. 특히, 프로그래밍 언어의 일종인 언어인 자바(Java)와 마이크로소프트(MS)사의 인터넷 익스플로러(IE), 플래시파일 재생 도구인 플래시 플레이어(Flash Player)와 같은 프로그램의 취약점을 이용하는 공격사례가 다수 발견 되었다.

이와함께, 몇 년 전부터는 국내에서 많이 사용하는 문서 편집 프로그램과 같은 로컬 소프트웨어의 취약점을 악용하는 사례도 점차 증가세에 있다. 국내에서도 다양한 애플리케이션을 이용하는 공격이 활발하게 지속하고 있기 때문에 사용자들은 백신 업데이트, 보안패치 설치 등 각별한 주의가 필요하다.

6. 진화하는 인터넷 뱅킹 악성코드
전자금융사기수법은 피싱, 파밍, 보이스 피싱, 스미싱, 메모리 해킹 등 PC/모바일을 가리지 않고 매우 다양해졌다. 특히, 올해 6월과 9월에 발견된 온라인 게임핵 악성코드(온라임 게임계정 탈취 기능)에서 기존에 없었던 국내 인터넷 뱅킹 사이트 대한 정보유출 기능이 확인되었다. 해당 악성코드에서 사용한 각 뱅킹 사이트 별 ‘메모리 해킹을 통한 보안모듈 무력화’ 및 ‘이체정보 변조’의 기능은 기존의 뱅킹 악성코드에서 볼 수 없었던 새로운 기법으로, 진화하고 있는 인터넷뱅킹 악성코드의 트렌드를 보였다.

‘메모리 해킹을 통한 보안모듈 무력화’ 악성코드는 사용자가 금융거래를 위해 금융기관 사이트 방문 시 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)하여 정상 작동 과정에서 정보를 유출한다. 해당 악성코드의 최초 발견 이후 무력화를 시도하는 보안모듈도 지속해서 추가되었으며, 보안모듈 업데이트마다 악성코드도 변경되는 치밀함을 보였다.

9월에 발견된 ‘이체정보 변조’ 악성코드는 기존 메모리 해킹(수정)방식에, 인터넷뱅킹 거래 시에 공격자가 원하는 특정 은행 계좌번호와 이체 금액으로 변경하는 기능이 더해졌다. 사용자가 인터넷뱅킹을 시작할 때만 동작해 금융정보 유출을 하는 것은 물론이고, 사용자가 특정 은행에서 금전을 이체할 때 1)받는 사람의 계좌번호를 공격자의 계좌번호로 몰래 바꾸고, 2)사용자의 계좌 잔액을 파악(공격자가 설정한 기준금액에 맞거나 더 많을 시)한 후 이체하는 금액도 사용자 몰래 수정한다.

2가지 형태의 공격에 대한 예방을 위해서 인터넷 뱅킹 사용자는 비정상적으로 은행거래가 종료(강제 로그아웃)된 경우, 인증서를 갱신하거나 금융기관을 통해 해당 계좌에 대한 거래중지를 요청하고 악성코드 감염 여부를 확인하는 것이 필요하다. 또한, 이체작업 후에는 반드시 이체내용을 확인하여 잘못된 계좌로의 이체가 이루어 졌는지 점검해야 한다.

7. 랜섬웨어 고도화
전 세계 여러 나라에서 랜섬웨어(Ransomeware) 피해가 발생하고 있는 가운데, 국내에서도 고도화된 랜섬웨어가 발견되는 등 랜섬웨어가 새로운 보안 위협으로 등장했다. 랜섬웨어는 PC 부팅 시 암호를 요구하거나 PC 내 파일을 암호화해 시스템을 정상적으로 사용하지 못하게 하고 돈을 요구하는 악성코드의 종류이다.

2013년 하반기에 사용자 사진, 동영상, 문서 등을 암호화하는 크립토락커(cryptolocker)가 여러 나라에서 피해를 줬다. 감염되는 순간 암호해제를 할 수 있는 키를 서버에 생성하고 암호 해제를 위해서 돈을 요구한다. 달러, 유로 등을 비롯, 최근 논의가 활발한 비트코인으로도 결제를 요구했다. 특정 시간에 돈을 입금하지 않거나 사용자가 악성코드 제거를 시도하면 서버에 생성한 키를 파괴해 복구를 못 하게 하는 등 결제와 악성행위 측면에서 고도화되고 있는 모습을 보였다.
국내에는 대규모 피해는 확인되지 않고 있지만, 세계적으로 가짜 백신 프로그램으로 결제를 요구하는 방식보다 시스템을 사용하지 못하게 하고 협박하는 방식이 널리 퍼지는 추세다

추천 기사

포티넷코리아, ‘인텐트-기반 네트워크 보안’ 솔루션으로 국내 보안 시장 ‘정조준’

[서준석 테크수다 PD seopd@techsuda.com] “2018년까지 국내 보안 시장에서 1등이 되겠다” 조현제 포티넷코리아 지사장이 4월 12일 …

avatar
wpDiscuz