포티넷코리아(www.fortinet.com/kr)는 본사의 보안연구소인 포티가드랩이 최근 발간한 ‘2018년 1분기 글로벌 위협 전망 보고서’를 발표했다.

이번 보고서에 의하면 사이버 범죄자들은 보다 정교한 방식으로 멀웨어를 활용하고 있으며, 새롭게 알려진 제로데이 취약점을 이용해 빠른 속도와 방대한 규모로 공격하고 있다. 기업당 공격 탐지 건수는 13% 떨어졌고, 고유 익스플로잇 탐지 건수는 11% 이상 증가했으며, 기업의 73%가 심각한 익스플로잇 공격을 당했다.

크립토마이닝(cryptomining) 멀웨어는 13%에서 28%로 전 분기 대비 2배 이상 증가했다. 또한, 크립토재킹(cryptojacking, 웹사이트 상에서 이용자의 컴퓨팅 자원을 이용해 암호화폐를 채굴하는 공격)은 중동, 라틴 아메리카, 아프리카 지역에서 상당히 많이 발견됐다.

크립토마이닝 멀웨어는 다양한 방식으로 확산되고 있다. 사이버 범죄자들은 탐지가 어려운 브라우저에 감염된 코드를 삽입하는 파일리스(file-less) 악성 코드를 생성하며, 채굴자들은 비트코인, 모네로 등의 암호화폐는 물론, 다양한 운영체계를 타깃으로 삼고 있다.

파괴적인 멀웨어는 설계자 공격(designer attack)과 결합할 때 더욱 큰 영향력을 발휘한다. 보다 구체화된 타깃 공격의 경우, 공격자들은 공격을 시작하기 전에 조직에 대한 정찰(reconnaissance)을 실시해 공격 성공률을 높인다. 그런 다음 공격자가 네트워크에 침투한 뒤, 시나리오에 따라 가장 파괴적인 공격을 시작하기 전에 네트워크 측면으로 이동한다.

‘올림픽 파괴자(Olympic Destroyer)’ 멀웨어와 최근 발견된 ‘삼삼 랜섬웨어(SamSam ransomware)’는 사이버 범죄자가 ‘설계자 공격’과 파괴적인 페이로드를 결합해 최대의 영향력을 나타낸 사례들이다.

랜섬웨어의 양적 성장 및 정교함은 조직에게 매우 중요한 보안 과제가 되고 있다. 랜섬웨어는 사회 공학(social engineering)과 같은 새로운 전송 채널과 탐지 및 감염 시스템을 피하기 위한 다단계 공격 등의 새로운 기법을 적용하며 지속적으로 진화해 가고 있다.

올해 1월에 발견된 갠드크랩 랜섬웨어(GandCrab ransomware)는 암호화폐인 대시(Dash)를 결제 수단으로 요구하는 최초의 랜섬웨어이다. 블랙루비(BlackRuby)와 삼삼(SamSam)은 2018년 1분기에 주요한 위협 요소로 발견된 랜섬웨어 변종이다.

2018년 1분기, 사이드 채널 공격(side channel attack)이 기승을 부리긴 했으나, 가장 주요한 공격은 모바일 장치를 타깃으로 한 공격이나 라우터, 웹, 인터넷 기술에 대한 잘 알려진 익스플로잇이었다.

조직의 21%가 모바일 멀웨어에 대해 보고했는데 이는 전 분기 대비 7% 증가한 수치로 IoT 장치가 지속적으로 타깃이 되고 있다는 점을 보여준다. 또한, 사이버 범죄자들은 최근의 제로데이 공격과 같이 패치되지 않은 잘 알려진 취약점을 악용할 때 효과가 높다는 점을 인식하고 있다.

마이크로소프트는 익스플로잇의 1위 타깃, 라우터는 전체 공격 양에서 2위 타깃을 차지했다. CMS(Content Management Systems) 및 웹을 이용한 기술도 공격 대상이었다.

운영 기술(OT) 공격이 전반적인 공격 환경에서 차지하는 비율은 적지만, 위협 트렌드 측면에서 볼 때는 유의해야 한다. 이 섹터는 인터넷에 연결되기 때문에 보안과 관련된 잠재적인 파급 효과가 크다. 현재 대부분의 익스플로잇 활동은 광범위하게 유포되어 고도로 타깃화되어 있으며, 가장 보편적인 2가지 산업 통신 프로토콜을 대상으로 하고 있다.

이번 조사는 아시아 지역에서 산업제어시스템(ICS) 익스플로잇 시도가 다른 지역에서의 ICS 익스플로잇 활동 정도와 비교할 때 더 많이 확산되어 있는 것으로 나타났다.

<박시현 기자> pcsw@bikorea.net