본문 바로가기
etc

시만텍 인터넷 보안 위협 보고서: 성동격서형-스파이형-잠복형 공격 등으로 끊임없이 진화

by (주)엠플 2013. 4. 25.

2013-04-17 – 시만텍(www.symantec.co.kr)이 2012년 한 해 동안의 주요 사이버 범죄 및 보안 위협 동향을 조사, 분석한 최신 보고서인 '인터넷 보안 위협 보고서(Internet Security Threat Report)' 제18호를 발표했다.

시만텍은 전세계에서 가장 포괄적인 인터넷 보안 위협 데이터 수집 체계인 '글로벌 인텔리전스 네트워크(Global Intelligence Network)'를 구성하는 약 6,900만개의 공격 센서와 500만개 이상의 유인 계정, 그리고 기업, 보안 벤더 및 5,000만명 이상의 개인 사용자로 구성된 사기방지 커뮤니티와 같은 다양한 소스를 통해 방대한 보안 빅데이터를 수집, 분석하고 있다. 이를 통해 탄생한 시만텍 '인터넷 보안 위협 보고서(ISTR)'는 기업 및 개인 사용자들에게 현재와 미래에 IT시스템을 효과적으로 보호하기 위한 방안을 제시한다.

 

이번에 공개된 '인터넷 보안 위협 보고서' 제18호에 따르면 2012년에는

▲표적공격이 전년대비 42% 증가한 가운데 소기업을 노린 표적공격도 31%에 달했으며,

▲워터링 홀(Watering Hole)과 같은 새로운 표적공격 전술의 등장

▲모바일 악성코드 58% 급증

▲기존 백신으로 탐지가 어려운 웹 기반 공격 증가

▲소셜 미디어를 통한 스팸 및 피싱 공격의 확대

▲사이버 범죄자들의 주요 돈벌이 수단으로 랜섬웨어 공격이 증가한 것으로 나타났다.

 

표적공격 42% 증가, 소기업 노린 표적공격 31%에 달해

시만텍 조사결과 2012년 표적공격은 2011년에 비해 42% 증가했으며, 규모에 상관 없이 모든 기업이 표적공격 대상이었다. 업종별로는 제조업이 전체 표적공격의 24%를 차지해 1위에 올랐으며, 직무별로는 R&D 및 영업 직원에 대한 표적공격이 각각 27%와 24%로 급증했다.

기업규모별로는 표적공격의 50%가 종업원 수 2,500명 이하의 기업을 겨냥했다. 특히 종업원 수 250명 미만의 소기업을 노린 표적공격은 2011년 18%에서 2012년에는 31%로 크게 늘었다. 소기업을 겨냥한 표적공격이 증가하고 있는 이유는 공격에 취약하고 중요한 지적재산을 가지고 있으며, 대기업을 공격하기 위한 발판으로 이용할 수 있기 때문이다. 일례로 공격자가 소기업에 잠입해 소기업 직원의 개인 정보, 이메일 계정 등을 파악한 후 이를 통해 실제 공격목표인 대기업을 겨냥한 정교한 이메일 공격전략을 개발할 수 있다.

 

새로운 표적공격 전술의 등장

또한 사이버 범죄자들은 중소기업들의 웹사이트를 감염시켜 보다 정교한 표적공격을 감행하기도 한다. 2012년 발생한 웹기반 공격의 대다수는 미리 감염시킨 소기업들의 웹사이트를 통해 이루어졌다. 사이버 범죄자들은 공격하고자 하는 표적집단이 자주 방문하는 소기업 웹사이트를 감염시킨 후 몰래 숨어서 목표물이 방문하기를 기다린다.

이러한 유형의 공격을 '워터링 홀(Watering hole)'이라고 부른다. 일례로, 올해 한 인권 단체 웹사이트의 스크립트에서 컴퓨터를 감염시킬 수 있는 코드 한 줄이 발견되었다. 공격자는 이 웹사이트 방문자들을 감염시키기 위해 인터넷 익스플로러의 새로운 제로데이 취약점을 이용했다. 시만텍 조사 결과 24시간 이내 500개 대기업과 정부 기관 관계자들이 이 사이트를 방문했고 감염 위험에 노출되었다. 공격자는 엘더우드 갱(Elderwood gang) 으로 밝혀졌다. 이들은 정교한 공격용 툴과 제로데이 취약점을 이용했는데, 이는 엘더우드 갱이 대형 범죄조직이거나 국가의 후원을 받는 단체라는 점을 시사한다.

 

모바일 악성코드 58% 급증

예상대로 2012년에는 2011년에 비해 모바일 악성코드가 58% 급증해 전체 악성코드의 59%를 차지했다. 2012년 모바일 OS에서 발견된 취약점 수는 415개로 2011년 315개와 비교해 32% 증가했다. 이중 애플 iOS에 대한 취약점이 387개로 가장 많았지만 흥미롭게도 발견된 애플 iOS용 악성코드는 단 한 개에 불과했다.

반면 안드로이드 OS의 취약점은 단 13개에 불과했지만 안드로이드를 겨냥한 악성코드는 103개로 가장 많았다. 이는 안드로이드 OS가 높은 시장 점유율과 개방성, 그리고 악성코드를 내장한 앱을 다양한 방식으로 배포할 수 있다는 점 등으로 인해 모바일 공격의 주요 표적이 되고 있음을 시사한다.

 

기존 백신으로 탐지가 어려운 웹기반 공격 증가

2012년 웹기반 공격은 약 3분의 1 가량 증가했다. 공격자들은 주로 소기업들의 웹사이트에 잠입해 사이트 운영자나 피해자 모르게 툴킷과 악성코드를 설치한다. 특히 공격자들은 PHP 스크립트 등을 이용해 공격자의 웹사이트에서 자동으로 돌연변이 악성 코드를 생성해 매번 기존 유형과 조금씩 다른 형태로 공격하는 서버측 다형성 공격을 이용하기 때문에 기존의 시그니처 기반 백신에만 의존하는 기업들은 이러한 은밀한 공격을 방어할 수 없다.

이러한 웹 기반 공격은 성공률도 높다. 대다수 기업과 개인 사용자들의 시스템은 어도비 플래시 플레이어, 아크로뱃 리더와 같은 브라우저 플러그인과 오라클 자바 플랫폼에 대한 최신 패치가 설치되어 있지 않기 때문이다. 개인 사용자의 경우 관심 부족을 탓할 수 있지만 일부 대기업은 업무에 중요한 시스템을 운영하는데 이전 버전의 브라우저 플러그인이 필요해 최신 버전으로의 업그레이드가 어려운 경우도 있다. 이 같은 보안 업데이트 패치 관리의 애로사항과 낮은 패치 설치율로 인해 기업들은 웹 기반 공격에 취약하게 노출되어 있다.

실제 웹 스캔을 통해 악성코드를 호스팅하는 웹사이트를 찾아내는 '노턴 세이프 웹 데이터' 기술을 기반으로 시만텍은 악성 웹사이트의 61%가 악성코드에 감염된 일반 웹사이트임을 확인했다. 소비재, 산업재 및 서비스 분야 업체들의 웹사이트가 주로 감염 대상이었으며, 기타 보안 투자가 적은 많은 중소기업들의 웹사이트도 주요 공격대상이었다.

 

소셜 미디어를 통한 스팸 및 피싱 공격의 확대

2012년 전세계 스팸량은 스팸메일 발송에 이용되는 봇넷들이 잇따라 폐쇄되면서 전체 이메일에서 스팸이 차지하는 비중이 69%로 하락했다. 전체 이메일에서 피싱이 차지하는 비율 역시2011년 299건당 1건에서 2012년 414건당 1건으로 감소한 것으로 나타났다. 전체 이메일에서 바이러스가 포함된 이메일도 291건당 1건으로 2011년 239건당 1건 보다 다소 감소했다.

이메일을 통한 스팸, 피싱 및 악성코드 공격이 감소하고 있는 이유는 사이버 범죄자들이 이메일에서 소셜 미디어와 같은 다른 온라인 커뮤니케이션 채널로 활동 무대를 옮기고 있기 때문으로 풀이된다. 이들 모바일 소셜 채널은 사이버 공격을 인식하기 어렵고 자신의 개인신상 공개에 관대한 10대와 젊은 성인들을 대상으로 하기 때문에 공격 효과를 극대화할 수 있다.

 

새로운 돈벌이 수단으로 떠오른 랜섬웨어 공격

랜섬웨어를 통한 사이버 공격이 큰 수익성을 보장함에 따라 2012년에는 랜섬웨어가 큰 골칫거리로 떠올랐다. 사람들에게 가짜 안티바이러스 소프트웨어 구매를 유도하는 스케어웨어와는 달리 랜섬웨어는 사용자의 컴퓨터를 잠그거나 데이터를 암호화한 후 잠금 해제를 조건으로 돈을 요구한다. 랜섬웨어는 매우 정교한 공격이고 제거가 어려우며 때로는 안전모드에 상주하면서 원격 지원 시도를 막기도 한다.

랜섬웨어 공격자들은 피해자의 지불 결제율을 높이기 위해 사회공학적 기법을 활용하기도 한다. 잠금 화면에 현지 사법당국을 위장한 허위 경고문을 표시하거나 피해자의 사진을 촬영해 잠금 화면에 이 이미지를 게재하여 피해자에게 겁을 주기도 한다. '몸값'은 일반적으로 50~400 달러 사이이고, 금액을 지불해도 컴퓨터 잠금 해제를 하지 않는 경우가 많기 때문에 사용자들은 주요 감염 경로인 성인사이트나 해적판 소프트웨어를 유통하는 불법 사이트 접속을 피해야 한다.

시만텍코리아의 정경원 대표는 "표적공격이 성공하기 위해서는 표적으로 삼은 사용자에 대해 잘 알고 있어야 하는데, 공격자들은 공격 대상자의 이메일 주소와 직업, 전문적 관심 분야, SNS나 자주 방문하는 웹사이트 등의 정보를 사전에 조사, 취합함으로써 표적공격의 성공률을 높인다"며, "일단 표적공격이 성공하면 피해자의 기기에 오랫동안 잠복하면서 마치 조지 오웰의 빅 브라더처럼 피해자의 일거수일투족을 감시하고 필요한 정보를 빼내는 만큼 기존 보안 탐지 기술 외에 다수의 심층적인 상호 보완적 보안 체계를 구축해야 한다"고 강조했다.

 

기타 시만텍 '인터넷 보안 위협 보고서' 제 18호의 주요 내용은 다음과 같다.

  • 2012년 데이터 침해사고당 유출된 평균 개인정보 수는 604,826건, 기업이 보고한 데이터 침해사고의 88%는 외부자에 의한 공격 때문
  • 2012년 표적공격은 2011년 대비 42% 증가. 업종별로는 제조업이 전체 표적공격의 24%로 1위 차지, 직무별로는 R&D 및 영업 직원에 대한 표적공격이 각각 27%와 24%로 급증
  • 기업규모별로는 표적공격의 50%가 종업원 수 2,500명 이하의 기업을 겨냥. 종업원 수 250명 미만의 소기업을 노린 표적공격도 2011년 18%에서 2012년 31%로 급증
  • 2012년 발견된 제로데이 취약점은 14개로 2011년 8개에 비해 증가
  • 2012년 탐지된 전체 취약점 수는 5,291개로 2011년 4,989개보다 다소 증가. 모바일 취약점 역시 2011년 315개에서 2012년 415개로 32% 증가
  • 2012년에는 모바일 악성코드가 2011년에 비해 58% 증가해 전체 악성코드의 59%를 차지
  • 2012년 발견된 모바일 악성코드 변종은 최소 3,906개
  • 소셜 미디어를 겨냥한 전형적인 공격 유형 가운데 가짜 경품 사기가 전체 공격의 절반이 넘는 56% 차지
  • 2012년 전체 이메일에서 스팸이 차지하는 비중 69%, 전체 이메일에서 피싱이 차지하는 비중도 2011년 299건당 1건에서 2012년 414건당 1건으로 감소
  • 2012년 전체 이메일에서 바이러스가 포함된 이메일은 291건당 1건으로 2011년 239건당 1건 보다 다소 감소. 이메일에 첨부된 악성코드 중 23%에 악성 웹사이트로 연결되는 URL 링크 포함

시만텍 '인터넷 보안 위협 보고서(Internet Security Threat Report)' 제18호에 대한 보다 자세한 정보와 자료는 아래 링크를 통해 확인할 수 있다.

댓글