한 줄로 요약한 다윈(Charles Darwin)의 진화론이다. 2016년 보안 위협 동향도 꼭 이와 같다. 올 한해 보안 위협은 단순한 것에서 복잡다단한 것으로 진화했고, 그들만의 생태계를 통해 공생하면서도 치열한 적자생존 속에서 도태되어 사라지기거나 더 강력한 변종으로 나타났다. 또 변화하는 IT 환경에 우리보다 먼저 적응한 새로운 위협이 현실화되었다.

안랩 시큐리티대응센터(AhnLab Security Emergency-response Center, 이하 ASEC)가 수집 및 분석한 위협 정보를 중심으로 2016년 주요 위협 동향을 되짚어본다.

전세계를 집어삼킨 랜섬웨어!

 
올 한해 보안 업계뿐만 아니라 뉴스 등 언론을 통해 일반 사용자들 사이에서도 지겨울 정도로 빈번하게 등장한 보안 용어는 바로 ‘랜섬웨어(Ransomware)’다. 더 이상의 설명이 필요 없는 랜섬웨어는 지난 한해 동안 종류와 양이 폭발적으로 증가하면서 전세계적으로 막대한 피해를 입혔다. ASEC에 신고된 비율만 보더라도 연초에는 전체 보안 침해 신고의 15%에 불과하던 것이 11월 말에는 4배 가량 증가해 60% 이상을 차지했다.

2016년 랜섬웨어 동향을 자세히 살펴보면, 크고 작은 변화와 소멸을 거듭하며 결과적으로 진화하는 양상을 보이고 있다. 지난 2015년 악명을 떨쳤던 테슬라크립트(TeslaCrypt)는 올해 5월, 돌연 활동 종료를 선언했다. 또 국내에서 피해가 컸던 크립트XXX(CryptXXX)도 지난 7월 이후 잠잠해졌다. 반면 스팸 메일을 통해 유포되는 록키(Locky)나 음성으로 감염 사실을 알려주는 케르베르(CERBER)는 지속적으로 업그레이드를 거듭하고 있다. 또 파일뿐만 아니라 MBR(Master Boot Record)까지 암호화해 PC 사용 자체를 방해하는 랜섬웨어도 등장했다.

특히 올해는 랜섬웨어 제작과 유포를 대행해주는 랜섬웨어 서비스, 이른바 RaaS(Ransomware-as-a-Service)가 본격화되면서 랜섬웨어의 전세계적인 확산에 영향을 끼쳤다. 심지어 다양한 언어를 지원하는 경우도 있다. 대부분의 랜섬웨어는 영어로만 제작되어 있지만, 국내 감염율이 높았던 테슬라크립트나 크립트XXX, 록키, 케르베르 등은 영어 외에도 각국 언어로 서비스를 제공한다.

유포 및 감염 방식 또한 스펨 메일의 첨부 파일부터 드라이브 바이 다운로드(Drive-by-download), 멀버타이징(Malvertising), 최근에는 사회공학기법과 결합하거나 RDP(Remote Desktop Protocol)를 이용하는 등 다양화되고 있다.

이 밖에도 교육 및 연구 목적의 오픈소스인 EDA2, 히든티어(Hidden Tear) 등이 실제 랜섬웨어에 악용되기도 했으며, 크립트XXX나 록키, 페트야(PETYA)와 같은 유명 랜섬웨어를 모방한 사례도 등장했다. 공격자 관점에서 단기간 내에 직접적으로 금전적 이득이 발생한다는 점때문에 이후로도 랜섬웨어의 증가 추세는 수그러들지 않을 것으로 보인다.

가성비 높은 표적 공격, 경계가 없다!

특정한 대상을 선별하여 공격하는 표적 공격(target attack)은 투자 대비 성공률이 높다는 점 때문에 최근 몇 년간 뚜렷한 증가세를 나타냈다. 표적 공격은 정치적인 목적과 금전적 목적의 일반 기업을 노린 공격으로 구분할 수 있다.

2016년 2월 미국 국토안보부 인사정보 탈취 사건은 러시아의 소행으로 의심되고 있고, 지난 8월 실수로 유출된 것으로 알려진 미국 국가안보국(NSA)의 해킹 툴(Shadow Brokers) 또한 국가간 스파이전과 연관성이 있다. 개인을 대상으로 하는 표적 공격도 대부분 정치적인 목적을 띠고 있다. 주로 홍콩, 미얀마, 시리아, UAE, 카자흐스탄 등의 국가에서 집권당에 반대하는 정치인이나 사회운동가 등을 노린 표적 공격이 발생했다.

 
일반 기업을 노리는 표적 공격의 단골 메뉴는 고객정보, 즉 개인정보다. 올해도 국내 기업은 물론 야후, 드롭박스 등에서 개인정보 유출 사고가 발생했다. 또 이른바 비즈니스 이메일 스캠(Business email scam)이라 불리는 전통적인 이메일 변조 사기도 유럽과 북미 지역의 기업에 막대한 피해를 입히며 성행 중이다. FBI 집계에 따르면, 이메일 변조 피해 사례는 미국에서만 총 7,000건, 피해액은 약 740만 달러로 확인됐다. 올해 국내에서 발생한 모 기업의 이메일 해킹에 의한 무역대금 240억원 피해 사례의 경우, 사우디 국영 정유업체인 사우디아람코의 이메일 계정이 해킹 당한 것이 원인으로 알려져 있다.

표적 공격은 피해자가 공격 당한 사실을 인지하기까지 오랜 시간이 소요되고, 공격자는 확인하기어렵거나 짐작만 하는 경우가 대부분이기 때문에 공격의 탐지와 대응이 쉽지 않다. 특히 피해자가 기업 또는 기관 등 조직의 일원일 경우 심각한 피해로 이어질 수 있어 지속적인 주의와 상세한 모니터링이 필요하다.

IoT 악성코드의 선제공격

사물인터넷, 이른바 IoT(Internet of Things) 기술이 발달함에 따라 이와 관련된 위협 또한 진화를 거듭하고 있다. 사물인터넷 기기는 사용성과 저전력의 측면때문에 경량화된 임베디드 리눅스(Embedded Linux) 운영체제를 사용한다. 사용자 단말에 사용되는 운영체제를 관리하기 쉽지 않고, 특히 제조사가 영세할 경우 보안까지 신경 쓰기는 쉽지 않은 현실이다. 공격자들은 이 점을 놓치지 않았다.

다양한 사물인터넷 기기가 공격에 이용되었으며, 일부 악성코드의 소스코드가 공개되면서 올 한해 동안에만 1만개 이상의 사물인터넷 관련 악성코드가 발견됐다. 사물인터넷 기기를 이용한 대표적인 공격 사례로는 얼마 전 미국에서 발생한 DDoS 공격이 있다.

2016년 9월, 유명 보안 블로그인 크렙스온시큐리티(KrebsOnSecurity)와 호스팅 업체 OVH에 대해 기록적인 규모의 DDoS 공격이 발생했다. 또 지난 10월에는 미국 인터넷 호스팅 서비스업체 딘(Dyn)에 대한 DDoS 공격도 발생했다. 이 공격으로 인해 트위터(Twitter), 뉴욕타임스(The New York Times), 에어비앤비(Airbnb), 페이팔(PayPal), 넷플릭스(Netflix), 사운드클라우드(SoundCloud), 등 다수의 웹사이트에서 접속 장애가 발생했다. 이들 두 공격에는 사물인터넷 악성코드인 미라이(Mirai) 악성코드가 이용된 것으로 확인되었다.

최근 들어 사물인터넷 단말기 제조사들도 보안 문제에 대해 관심을 갖기 시작했다. 그러나 사물인터넷 기기는 한번 구입 또는 설치 후 지속적으로 관리하기가 쉽지 않다. 설치 후 대략 5년 정도 사용된다고 가정하면 향후 몇 년 동안은 사물인터넷 기기를 이용한 공격 사례가 꾸준히 발생할 수 있다.

익스플로잇 킷의 적자생존, 치열한 취약점 공격

익스플로잇 킷(Exploit Kit, 이하 EK)은 취약점을 이용한 악성코드를 대량으로 유포하는 툴로, 랜섬웨어 암시장이 활성화되면서 더욱 활개를 치고 있다. 이와 함께 익스플로잇 킷의 치열한 경쟁과 지각 변동이 나타났다.

지난 상반기 랜섬웨어 유포 1순위로 악명을 떨쳤던 앵글러(Angler EK)와 뉴클리어(Nuclear EK)가 활발히 활동하다 갑자기 사라졌고, 앵글러의 자리를 물려받았던 뉴트리노(Neutrino EK) 역시 하반기들어 활동이 감소했다. 반면 선다운(Sundown EK), 매그니튜드(Magnitude) 등은 지속적으로 활동하고 있다.

익스플로잇 킷의 다단계 리다이렉션(Redirection) 기법은 웹사이트 광고 서버를 이용해 랜섬웨어 등 악성코드를 유포하는 멀버타이징(Malvertising) 공격에 주로 이용되고 있다. 다양한 스크립트 형식의 다운로더나 익스플로잇 킷을 이용한 랜섬웨어 유포는 현재도 지속적으로 발생하고 있으며, 윈도우 쉘프로그램인 파워쉘(Powershell)을 이용한 악성코드도 다수 발견되었다.

또한 익스플로잇 킷이 활기를 띠면서 이들이 주로 이용하는 인터넷익스플로러(Internet Explorer, IE), 플래시(Flash), 자바(Java) 등의 취약점을 비롯해 다양한 취약점 공격이 더욱 거세졌다. 특히 문서 파일과 관련된 EPS(Encapsulated PostScript) 취약점과 오픈타입 폰트(Open Type Font) 취약점을 이용한 악성코드 유포 증가했다. 또, 윈도우(Windows) 운영체제의 정상 기능의 설계상 결함을 이용한 코드 인젝션(injection) 기법의 아톰바밍(AtomBombing)은 모든 버전의 윈도우 운영체제에 영향이 있는 것으로 알려졌다.

모바일 환경에 뿌리내린 루팅 앱

2016년에는 안드로이드 기반의 스마트폰을 루팅(Rooting)하는 악성 앱이 다수 발견되었다. 특히 지난 7월부터 10월까지 3개월간 안랩이 수집한 루팅 악성 앱의 수가 2016년 상반기 6개월 대비 약 30% 가량 증가했다. 악성 앱이 갈수록 급증하고 있음을 알 수 있다.

악성 앱은 주로 사용자 몰래 앱을 설치하거나 모바일 백신 제품의 탐지 및 삭제를 우회하고, 개인정보를 탈취하거나 광고를 노출하는 등의 악의적인 행위를 위해 루트 권한을 이용한다. 2016년 상반기에는 주로 루팅을 통해 광고 행위 또는 사용자 몰래 앱을 설치하는 악성 앱 유형이 주를 이뤘고, 하반기에 들어서며 금융정보 탈취를 목적으로 하는 루팅 앱도 나타났다. 중국에서 제작된 악성 앱들은 대부분 추가적인 앱 설치 또는 광고 노출을 통한 수익을 위해 루트 권한 획득을 시도하는 것으로 확인됐다.

루팅을 시도하는 악성 앱들은 안드로이드 운영체제의 취약점을 이용해 스마트폰의 권한을 획득한다. 상반기에 발견된 악성 앱 갓리스(Godless)는 안드로이드 운영체제 5.1 버전(Lollipop) 이하에서 루트 권한 탈취를 위해 다수의 취약점을 이용했다.

이처럼 안드로이드 운영체제의 취약점을 이용한 악성 앱이 증가함에 따라 구글은 안드로이드 보안 강화를 위해 다각도로 노력을 기울이고 있다. 지난 2015년 스테이지 프라이트(Stage fright) 취약점이 발견된 이후 매달 안드로이드 운영체제 보안 업데이트를 제공하는 한편, 각 스마트폰 제조사들의 업데이트 대응 순위를 공개하고 있다. 또 올해 공개된 안드로이드 운영체제 7.0 버전(Nougat)은 루팅을 통해 시스템 변조를 시도할 경우 부팅 자체를 불가능하게 했다. 문제는, 스마트폰 제조사 또는 단말기의 생산 연도에 따라 보안 업데이트가 제공되지 않는 경우가 있다는 점이다. 따라서 구 버전의 운영체제를 사용하고 있는 스마트폰은 보안에 대해 각별한 주의가 필요하다.

[출처 : 안랩(www.ahnlab.com)]