세인트시큐리티, “올해 다양한 플랫폼을 노린 악성코드 공격 나타날 것”
상태바
세인트시큐리티, “올해 다양한 플랫폼을 노린 악성코드 공격 나타날 것”
  • 이승윤 기자
  • 승인 2019.01.04 10:22
  • 댓글 0
이 기사를 공유합니다

김기홍 대표, “개발환경 변화에 따른 취약점 주의해야”

[CCTV뉴스=이승윤 기자] 오늘날 사이버 공격자들은 국가기관과 기업들을 상대로 사이버 공격을 시도해 단 한번만 성공하면 큰 피해를 줄 수 있기 때문에 지속적으로 악성코드를 활용해 사이버 공격을 시도하고 있다. 특히 사이버 공격을 대응하기 위해 차세대 방화벽과 보안 솔루션을 구축하고 있는 기관과 기업의 방어망을 뚫기 위해 해커들은 신/변종 악성코드를 생성해 우회 공격을 하고 있다. 신/변종 악성코드 대응하기 위해서는 해당 공격을 빠르게 파악해 안티 바이러스에 업데이트 하는 것이 중요하다. 그렇다면 지난해 어떤 신/변종 악성코드가 나타났을까? 위협 인텔리전스 서비스 멀웨어스닷컴(Malwares.com)을 운영하고 세인트시큐리티 김기홍 대표에게 지난해 신종 악성코드 현황과 올해 악성코드에 대한 전망을 들어봤다.

세인트시큐리티 김기홍 대표

 

Q.지난해 악성코드 발생현황은 어떠한가

2018년 상반기에는 암호 화폐에 대한 사람들의 관심이 높아지면서, 코인 마이너 악성코드가 대량으로 발생했다. 하반기에는 암호 화폐 가치가 많이 하락하는 영향 때문인지 코인 마이너 악성코드는 상당수 줄어들었다. 지난해 이메일, 웹, 문서 등을 이용한 지능형지속공격(APT) 공격은 기업, 기관을 대상으로 꾸준히 발생했으며, 원격 제어, 정보 유출, 시스템 파괴 등의 기능을 가지고 공격을 시도했다.

백도어(Backdoor) 생성, 개인정보 수집, 광고 창 등을 불법적으로 띄우는 애드웨어(Adware) 등은 꾸준히 그 발생 정도를 유지하면서 발견되고 있다. 이러한 일반적인 악성코드 유형과 함께 지난해 유달리 눈에 띄는 부분은 리눅스, IoT 관련 악성코드들이 많이 발생하고 있다는 점이다. 리눅스와 IoT 관련 악성코드가 많이 발생하는 것은 초 연결 시대로 진화하는 사회적 환경 변화가 주요 원인으로 보인다.

Q.지난해 발생한 악성코드 공격 중 신종 악성코드의 비율은 어느 정도인가

지난해 세인트시큐리티가 자체적으로 운영하고 있는 위협 인텔리전스 서비스 멀웨어스닷컴에 수집된 새로운 악성코드는 1억 1700만 건으로 분석됐다. 이 중에 약 67%인 7900만 건이 기존에 알려지지 않은 신/변종 악성코드였다. 10개 중에 7개는 신/변종 악성코드라는 이야기이다. 과거의 경우 신종 악성코드는 한번 개발되면 2~3일, 길게는 7일씩 유통이 됐으나, 최근에는 자동화된 악성코드 제작 도구 등을 이용해서 악성코드를 유포하기 때문에 하루만에도 새로

운 악성코드가 나타나고 있다. 즉 현 시점의 악성코드 생태계를 말한다면 제로 데이(Zero Day)악성코드의 시대는 지났고 제로 아워(Zero Hour)악성코드 시대가 도래한 것이라고 말할 수 있다. 같은 공격 기법의 악성코드라고 할 지라도 몇 시간 단위로 악성코드 구성 자체를 바꾸어서 유포하고 공격하기 때문이다. 이런 악성코드를 방어하기 위해서는 수동적인 악성코드 대응보다는 능동적으로 악성코드 유포에 적극적으로 대응할 필요가 있다.

Q.신종 악성코드는 주로 어떤 공격 형태를 가지고 있으며, 국내는 어떤 형태로 나타나고 있는가

현재 조사된 신종 악성코드의 대부분은 APT 공격에 사용하는 기법이 많이 나타나고 있으며, 랜섬웨어, 채굴 형태의 악성코드는 신종 악성코드 보다는 단순히 파일 구성만 바꾼 변종 악성코드 공격이 많이 나타났다. APT 공격은 여전히 다양한 신종 공격을 나타나고 있다. APT 공격에 사용되는 유포방식은 메일이 가장 많았으며, 문서형 악성코드, 파일리스 악성코드 형태로도 나타나고 있다.

신종 악성코드에서 중점적으로 봐야할 점은 지난해를 기점으로 윈도우 기반 악성코드 보다 리눅스, IoT 장비, 네트워크 장비 등에 코인 마이닝을 수행하는 공격이 많이 생겨났다는 것이다. 리눅스나 IoT 장비, 네트워크 장비 같은 경우 사용자들이 한번 설치하면 지속적으로 관리 하지 않고 계속해서 사용하는 경우가 대부분이기 때문에 이런 공격 형태가 나타나고 있다고 분석되고 있다.

국내의 경우는 신종 악성코드에 대한 정확히 수는 파악할 수 없지만, 원격 접속 도구(RAT) 악성코드 공격이 지속적으로 발생하고 있다는 것이 분석되고 있으며, RAT 공격중 ‘DarkKomet’과 ‘Nanocore’ 경우는 지금도 발견되고 있다. 또한 미라이(Mirai)와 가프짓(Gafgyt) 등과 같은 IoT 봇넷 공격도 꾸준히 나타나고 있다.

Q.올해는 어떤 신종 악성코드가 나타날 것으로 예상되는가

올해는 멀티 플랫폼(Linux + IoT)을 지원하는 봇넷 활성화와 도커(Docker), 쿠버네티스(Kubernetes)등 개발과 서비스 환경의 변화에 맞춘 취약점 공격, 오픈소스(OpenSource)로 돼 있는 프레임워크에 대한 공격, 클라우드 접근 정보 탈취를 목적으로 하는 APT 공격 등의 악성코드 공격이 나타날 것으로 예상된다. 또한, 지속적으로 제기되고 있는 클라우드(Cloud)에 대한 보안 이슈는 운영적인 측면에서의 접근 권한을 타깃으로 하는 악성코드에 대한 보안 이슈로 확대될 것으로 보인다.

Q. 신종 악성코드에 대응하기 위해 기업과 일반 사용자들은 어떤 대응 대책이 필요한가

먼저 외부에 노출될 수 있는 IoT 기기나 각종 서버에 대해 직접 접근이 불가능하도록 보완이 필요하며 추가로 외부에서 해당 기기에 대한 세부 정보(서버 종류, 버전 등)를 확인할 수 없도록 조치가 필요하다. 또한, 클라우드 접근 시 다중 인증을 이용하도록 세부 권한 설정에 주의해야 하며, 도커, 쿠버네티스 등으로 개발환경이 변화함에 따라 놓칠 수 있는 개발환경의 취약점에 주의해야 한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.