국내를 강타한 올해 보안위협은 ‘다사분주(多事奔走)’로 정리됐다.

안랩(대표 권치중 www.ahnlab.com)은 올 한해 국내 보안 위협의 주요 흐름을 분석해 ‘2015년 5大 보안 위협’ 이슈를 발표, 이같이 밝혔다.

다사분주란, 여러 가지로 일이 많아 몹시 바쁨을 표현하는 말로, 안랩은 “올해의 보안 위협 주요 특징이 ‘기존 위협 심화 및 랜섬웨어 같은 추가적 신종 위협 등장’등 끊임없는 위협이 발생한 것”이라며, 이같은 양상을 다사분주로 말할 수 있다고 밝혔다.

안랩이 선정한 올 한해 주요 보안 이슈는 ▲증가하는 랜섬웨어 위협 ▲금융 정보 노리는 보안위협 기승 ▲기술적 정교함을 더한 ‘웹 익스플로잇 툴킷’ 기승 ▲스미싱 감소와 모바일 애드웨어의 급증 ▲네트워크에 연결된 디바이스에 대한 보안위협 심화 등이다.

◆증가하는 랜섬웨어 위협 = 올해 4월 국내 유명 커뮤니티에서 시작된 한글버전 크립토락커 유포를 기점으로 랜섬웨어가 뚜렷한 증가세를 보였다.

국내에서는 크립토락커(CryptoLocker)와 크립토월(CryptoWall), 테슬라크립트(TaslaCrypt)의 샘플 수집이 많았으며, 해외에서 큰 피해를 발생시킨 비트크립트(BitCrypt) 및 코인볼트(CoinValut), 트롤데시(TrolDesh) 등은 국내에서는 거의 발견되지 않았다.

특히 초기의 랜섬웨어가 주로 문서파일과 이미지 파일 등을 암호화하던 것에서 벗어나, 현재는 실행파일(.exe)을 포함한 140여개 이상의 확장자까지 암호화 대상이 늘어났다.

데이터 암호화 방식 외에 화면 잠금 방식으로 PC 구동자체를 불가능하게 하는 랜섬웨어도 등장했다.

피해를 예방하기 위해서는 개인 및 조직·기업의 PC사용자는 백업 이외에도 백신 최신 업데이트나 수상한 첨부파일 및 URL 실행 자제 등 기본 보안 수칙을 생활화 하는 자세가 필요하다.

또한 웹사이트 등 IT관리자들도 자신의 웹사이트나 서비스가 악성코드 배포에 사용되고 있지 않은지 항상 주의해야 한다.

◆금융 정보 탈취 노리는 보안위협 기승 = 세계 1000여개 은행과 기업을 노렸던 ‘다이어(Dyre)’ 악성코드가 2015년 중반에는 최신 운영체제와 브라우저에서도 정보를 탈취하는 등 진화한 모습으로 국내에 상륙했다.

또 진짜와 구별이 어려운 파밍사이트로 사용자를 유도해 금융정보를 노리는 뱅키(Banki)류의 악성코드도 하반기에는 배포방식을 바꾸는 등 여전히 기승을 부리고 있다.

올해 중반 포스(POS, Point of Sale, 카드 결제용 단말기)) 단말기 해킹 사건이 발생하는 등 금융정보 탈취 보안위협은 포스 시스템까지 노리고 있다.

따라서 포스 서비스 제공 기업은 포스 단말기 전용 보안시스템 도입 등 고객 보호를 위한 적극적인 대응이 필요하다.

해외에서는 ‘체리피커(Cherry Picker)’, ‘모드포스(ModPOS)’ 등 주요 POS 악성코드가 발견되기도 했다.

◆정교해지는 ‘웹 익스플로잇 툴킷’ 기승 = 웹 익스플로잇 툴킷(Web Exploit ToolKit)은 다수의 취약점을 악용해 사용자 PC에 악성코드를 감염시키기 위한 공격도구로, 공격자들은 이를 이용해 악성코드를 손쉽게 유포할 수 있다.

올해에도 ‘앵글러(Angler) 툴킷’이 국내 유명 커뮤니티에서 유포된 랜섬웨어(Ransomware)에 사용되는 등 웹 익스플로잇 툴킷은 다양한 보안위협의 중심에 있었다.

공격자들은 최근 웹 익스플로잇 툴킷을 이용한 악성코드 배포경로 추적을 더 어렵게 만들기 위해 다양한 블로그 제작툴이나 콘텐츠 관리 시스템 등 ‘멀버타이징(Malvertising, 동적 콘텐츠를 생성하는 광고 사이트를 악성코드 배포에 이용하는 방식)’을 악용하기도 했다.

백신의 탐지를 우회하려는 시도도 더욱 정교화돼 웹 익스플로잇 툴킷은 사용자에게 큰 보안위협으로 다가왔고, 방어 면에서는 심각한 방해요인으로 작용했다.

◆스미싱은 감소, 모바일 애드웨어는 급증 = 2012년 이후 매년 2배 이상 급증세를 보이던 모바일 뱅킹 악성코드는 전년도와 비슷한 수를 유지했고 모바일 악성코드의 유포방법으로 이용되던 스미싱은 2015년 하반기 들어 감소추세를 보였다.

이는 미래부, KISA(Korea Internet & Security Agency, 한국인터넷진흥원), 경찰청 등 관련 기관의 적극적인 스미싱 메시지 및 네트워크 차단 노력, 보안업체 및 이동통신사 등 민간업체들의 이용자 보호조치, 언론보도 및 캠페인을 통한 국민 보안의식 증진 등으로 인한 결과로 풀이된다.

반대로 개인 정보 수집, 과도한 광고 노출, 앱 바꿔치기 등의 악성행위를 하는 ‘모바일 애드웨어’의 수가 전년도 대비 약 2.5배 가량 증가했다.

특히 최근 애드웨어는 일반 앱과 다름없이 설치되던 기존의 방법에서 다른 앱을 사칭하거나 루트 권한을 획득해 삭제를 방해하는 등 한층 교묘해진 수법으로 스마트폰 사용자를 노리고 있다.

피해를 줄이기 위해서는 모바일 전용 백신설치 및 백신 내 환경설정에서 PUA(Potentially Unwanted App)탐지 활성화, 공식 마켓 이용, 앱 평판 확인 등 스마트폰 사용에 각별한 주의가 필요하다.

◆네트워크에 연결된 디바이스 대상 보안위협 심화 = 2014년에 이어 2015년 초부터 국내 유명 제작사의 유·무선 공유기의 취약점을 노린 해킹시도가 지속적으로 발견됐다.

공유기의 취약점을 이용해 관리 권한을 획득하면 공유기와 연결된 모바일기기/PC를 동시에 공격(ex. 파밍사이트로 연결 등)가능해 위험도가 높다.

네트워크에 연결된 장비에 대한 보안위협은 공유기뿐 아니라 사물인터넷 디바이스로까지 공격범위를 넓히고 있다. 대표적인 사물인터넷 디바이스인 IP카메라, NAS(Network Attached Storage, 네트워크 스토리지), CCTV 등은 일반 컴퓨터와 유사한 운영체제를 가지고 있어 공격자들이 손쉽게 접근할 수 있다.

인터넷 공유기나 사물인터넷 관련 디바이스 등 항상 ‘연결’된 상태의 제품을 사용한다면, 각 제조사에서 제공하는 펌웨어 업데이트나 관리비밀번호 수시 변경하는 등 보안취약점을 개선하기 위해 노력해야 한다.

<김동기 기자>kdk@bikorea.net