2019년 상반기, 랜섬웨어 사이버 공격 57만 건

기사승인 2019.10.08  09:42:16

공유

- 이스트시큐리티, ‘엔드포인트 보안 컨퍼런스’ 개최

[CCTV뉴스=최형주 기자] 이스트시큐리티가 9월 17일 기업 보안담당자들을 대상으로 하는 ‘엔드포인트 보안 컨퍼런스’를 개최하고 각종 공격과 위협 사례, 피해예방을 위한 로드맵에 대해 발표했다.

이날 발표는 이스트시큐리티 시큐리티대응센터 김윤근 차장이 진행했으며 ▲랜섬웨어 최근 동향 및 사례 ▲악성코드 최근 동향 및 사례 ▲모바일 보안위협 최근 동향 및 사례 ▲임직원들이 조심해야 하는 대표적 공격형태 ▲피해예방을 위한 로드맵 순으로 발표했다.

본격적인 발표에 앞서 김윤근 차장은 “최신 보안 트렌드를 통해 해커의 위협에 대해 살펴보고 이를 예방하는 것이 무엇보다도 중요하다”고 강조했다.

기업 보안담당자들을 대상으로 실시된 컨퍼런스(사진: 이스트시큐리티)

 

2019년 1월부터 6월, 랜섬웨어 공격 건수 57만여 건

먼저 랜섬웨어 최근 동향 및 사례 발표를 통해 이스트시큐리티가 2019년 1월부터 6월까지 차단한 랜섬웨어 공격 건수는 하루 평균 3140건이며, 6개월간 총 공격 건수는 57만여 건이었다고 밝혔다.

이 시기 가장 많이 유포된 랜섬웨어는 갠드크랩(GandCrab)이었으나, 5월 말 갠드크랩의 운영이 중단됨에 따라 유포가 급감하고, 4월 말 최초로 발견된 소디노키비(Sodinokibi)의 유포가 급증했다.

정교한 한국어와 사회공학적 기법을 사용하는 소디노키비 랜섬웨어 공격(자료: 이스트시큐리티)

소디노키비는 4월 말 Oracle Weblogic취약점(CVE-2019-2725)을 악용해 인증우회와 원격코드 실행을 통해 유포되기 시작했다. 공격을 최초 발견한 시점에서는 Weblogic취약점이 제로데이 취약점이었으나 현재는 보안패치가 제공되고 있다.

특히 소디노키비 랜섬웨어는 갠드크랩의 공격방식을 그대로 계승했다. 코드 유사성, 활용하는 서브도메인, 감염 대상 언어팩 등 여러 측면에서 갠드크랩과 매우 유사해 동일 조직의 소행으로 판단되고 있다. 

▲ 이 같은 화면을 목격한 적이 있다면 클롭 랜섬웨어에 감염된 것이다.(자료: 이스트시큐리티)

유포되고 있는 또 다른 랜섬웨어에는 클롭(Clop)이 있다. 2월 말부터 한국과 중국을 비롯한 아시아권 기업을 대상으로 유포됐으며, 2019년 상반기 기업 환경에 최대 위협이기도 했다.

클롭은 기업의 AD(Active Directory) 관리자 계정정보를 탈취해 기업 서버에 침투했으며, 침투 이후엔 실행되고 있는 다른 프로세스들을 종료하거나 시스템 점유율을 낮춰 파일 암호화 실패 확률을 줄인다. 특히 사전에 백도어를 통해 기업의 보안상태와 네트워크 구성 등을 파악해 보안 솔루션 무력화와 우회를 시도했다.

2017년 5월 전 세계를 강타한 워너크라이도 꾸준히 유포되고 있다. 당시 윈도우의 SMB 취약점을 통해 네트워크로 유포된 워너크라이는, 네트워크 상의 PC 중 해당 취약점이 있는 PC를 찾아 추가 감염 시키는 특징 때문에 여전히 탐지되고 있는 랜섬웨어다.

 

집요함의 끝, APT 공격도 꾸준

랜섬웨어 공격 외에도 꾸준히 발견되고 있는 것이 바로 APT·코인마이너·트로이목마 악성코드다.

먼저 APT는 Advanced Persistent Threats(지능적 지속 위협)의 약자로, 불특정 다수를 대상으로 유포되는 랜섬웨어와 달리 특정 대상 하나를 목표로 침입 성공까지 다양한 방식으로 공격을 멈추지 않는다.

특히 APT공격의 경우 백도어를 이용하기 때문에 탐지가 어렵고 주로 정부기관·지자체·기업·연구소들을 대상으로 임직원 이메일을 통한 사회공학적기법을 이용하거나, 취약점이 있는 소프트웨어와 네트워크 장비 등을 통해 이뤄진다.

APT공격은 사전조사-감염-백도어 설치-내부 권한 획득 및 정보 탈취-인프라 장악-데이터 유출 혹은 파괴의 순으로 진행되며, 앞서 언급한 것처럼 감지 이메일이나 써드파티 업체들에 의해 내부 시스템이 감염되면 사실상 해당 PC는 해커의 개인 PC나 다름없게 된다.

김윤근 차장은 “현재 공격자들의 주요 타깃이 되는 기업과 기관들은 망 분리 등을 통해 일정 수준 이상 대비가 돼 있다”며 “이들과 협력하는 서드파티 업체들이 상대적으로 보안에 취약한 점을 이용해 공격한다”고 주의를 당부했다.

 

코인마이너와 트로이 목마

코인마이너는 국내에선 ‘좀비 PC’로 잘 알려져 있다. 감염된 컴퓨터를 이용해 암호화폐를 채굴하는 코인마이너는 주로 모네로(Monero), 대쉬(Dash), 이더리움(Ethereum), 제트캐쉬(Zcash) 등을 채굴한다.

특히 이중 모네로는 일반 PC나 웹브라우저만을 이용해서도 채굴이 가능해 코인마이너의 대부분이 모네로를 채굴하며, 보안이 취약한 웹사이트를 이용해 별도의 악성코드 유포 없이도 브라우저를 통해 코인 마이닝을 실행한다.

코인마이너는 악성팝업광고, 랜섬웨어, 스파이웨어 등 다른 악성코드와 함께 유포되는 것이 특징이고, 2019년 2분기부터 모네로의 화폐가치가 상승하며 코인마이너 유포도 증가했다.

유포되고 있는 코인마이너에는 첫째로 워너마인(WannaMine)이 있다. 워너마인은 2017년 말 최초로 발견된 ‘파일리스 코인마이너’이며, 워너크라이 랜섬웨어와 마찬가지로 SMB취약점을 이용해 유포가 이뤄졌다.

두 번째로는 쿠키마이너(Cookie Miner)가 있다. 쿠키마이너는 코인마이너 악성코드를 기반으로 제작됐지만, 주 목적은 크롬·사파리 등 브라우저에 저장된 쿠키정보나 개인정보, 금융거래 정보·암호화폐 지갑 정보 등을 훔치는 것이다.

세 번째로는 코인하이브 마이너(Coinhive Miner)가 있다. 이 마이너는 마이크로소프트 공식 앱 스토어에 등록된 애플리케이션을 통해 유포됐다. 구글 태그 관리자(GTM) 라이브러리를 악용해 마이닝 스크립트를 활성화한다. 현재 해당 애플리케이션들은 스토어에서 삭제됐다.

또한 코인마이너는 ‘이모텟(Emotet)’ 트로이목마 악성코드도 함께 유포하는 경우가 많다. 이모텟은 최근, 조건에 맞춰 공격을 수행할 수 있도록 변경돼 유포도 크게 증가했다.

이모텟은 감염기기 정보를 수집해 공격에 가장 효과적인 모듈을 설치하며, 이때 코인마이너도 함께 설치한다. 특히 이모텟은 다른 사이버 범죄단체의 악성코드 유포에 협조하고 있는 정황도 계속 발견되고 있다.

 

꾸준히 위협해오는 ‘스미싱’

최근 스미싱 공격을 살펴보면 대부분은 택배회사를 사칭한 공격이 주를 이룬다. 전체적인 공격 건수는 많이 줄었지만 청첩장, 돌잔치, 본인인증 등으로 위장한 스미싱 공격은 현재도 빈번히 일어나고 있어, 국내에선 가장 큰 위협 중 하나다.

아이폰은 안드로이드보다 스미싱 공격 위협에서 상대적으로 안전하다. 그러나 아이클라우드에 저장된 정보를 노리는 피싱공격은 현재도 다양한 방식으로 발생하고 있다. 안전하다는 이미지가 있음에도 불구하고 아이폰 또한 피싱에 따른 피해가 꾸준히 발생하고 있다.

카카오톡 피싱의 경우 지인을 사칭해 대화를 시작한다. 예를 들면 휴대폰을 잃어버리거나 고장이라며 전화를 통한 본인 확인을 하지 않도록 유도한다. 그리고 급전이 필요하다며 문화상품권 구매를 유도하고 핀번호를 요구한다.

특히 카카오톡 피싱은 경찰이 적은 금액에 대해서는 수사를 잘 안 한다는 점을 착안해 소액을 요구하는 경우가 많고, 고객센터에서 문화상품권 결제 취소가 불가능하도록 주말에 많이 발생한다.

SMS피싱은 결제 승인이 됐다는 가짜 문자메시지를 사용자에게 보낸다. 문자메시지에 찍힌 휴대폰 번호 연결 시 사기범들에게 연결되며, 사기범들은 경찰로 위장해 피해자에게 입금을 요구한다.

또한 금융감독원 사이트로 위장한 피싱사이트로 접속을 유도한 후 사이트에서 계좌번호·공인인증서 비밀번호·보안카드 번호 등 개인의 금융 관련 정보 입력을 요구한다.

악성앱도 대표적인 모바일 보안위협 중 하나다. 보통 흥미를 유발하는 문자를 보내 피해자가 성인사이트로 접속하도록 한 후, 성인물로 위장한 악성앱 설치를 유도한다.

성인물로 위장한 악성앱(자료: 이스트시큐리티)

악성앱은 통화를 녹취하고 계정정보를 수집해 공격자의 이메일로 전송하며, 특정 게임 로그인 계정과 화면 잠금 정보 등을 수집한다. 악성앱 공격의 경우 트위터를 C&C(Command & Control)서버로 활용하기도 하는데, 악성 C&C서버를 차단하는 기관들이 트위터 사이트는 차단하지 못한다는 점을 이용하는 공격 방식이다.

 

해커들의 최종목표는 ‘시스템 접근 권한’

임원들이 조심해야하는 공격 형태의 첫 번째는 ‘사회공학적 기법’ 공격이다. 해커는 공격을 위해 조직원의 선한 태도, 의욕, 나태, 태만을 이용한다. 특히 10년이 넘도록 이메일을 통한 공격은 가장 많이 사용되는 효과적 공격방식이다.

모든 해커들의 최종 목표는 조직 내 특정 시스템에 대한 접근권한을 얻는 것이다. 직접적으로 임원진 등 조직 관계자를 노리는 공격도 많지만, 최근엔 상대적으로 보안이 취약한 해당 조직의 협력회사를 노리는 경우도 증가하고 있다.

두 번째 공격 형태는 사용 중인 소프트웨어나 운영체제의 취약점을 이용하는 방법이다. 흔히 ‘제로데이 취약점’이라 일컬어지는 심각한 취약점들은 제조사가 보안 업데이트를 내놓지만, 이용자들이 최신 패치 업데이트에 소홀한 점을 이용해 공격을 시행한다.

일부 해커 집단은 공격에 유용한 취약점들을 묶은 ‘취약점 키트’를 다크웹 상의 블랙마켓 등에 유통하고 있고, 이를 통한 공격이 개인과 기업의 피해로 이어진다. 그러나 이러한 취약점은 사용 중인 소프트웨어나 운영체제의 최신 패치만으로도 해결된다.

피해예방을 위한 보안 수칙에 대해 발표하는 김윤근 팀장(사진: 이스트시큐리티)

피해예방을 위해서는?

김윤근 팀장은 “피해 예방을 위해서는 보안수칙을 준수해 사전에 이를 예방하는 것이 가장 중요하다”고 밝혔다.

이날 발표된 보안수칙으로는 ▲중요자료 별도매체에 주기적 백업 ▲사용 중인 OS/SW 최신 버전 업데이트 ▲보안인식교육을 통한 주기적 최신 사례 공유 ▲사용 중인 브라우저 플러그인 상태 점검 ▲안티 랜섬웨어 기능을 탑재한 백신 솔루션 사용 ▲메일 첨부파일은 먼저 의심하고 미리보기 기능을 활용 등이다.

김윤근 팀장은 “이 보안수칙들은 너무 흔하고 뻔하지만, 필수적으로 적용한다면 가장 효과적인 보안 수칙”이라며, “특히 APT공격의 경우 빠르게 증상을 감지해 초기에 조치한다면 피해를 크게 줄일 수 있다”고 말했다.

 

최형주 기자 hjchoi@cctvnews.co.kr

<저작권자 © CCTV뉴스 무단전재 및 재배포금지>
default_news_ad4

인기기사

오피니언

1 2 3
item35

섹션별 인기기사 및 최근기사

조이뉴스 인기기사

item42
#top
default_bottom_notch