시만텍(www.symantec.co.kr)은 14일 ‘인터넷 보안 위협 보고서(Internet Security Threat Report)’ 제 20호를 발표하고 2014년 한 해 동안의 주요 사이버 범죄 및 보안 위협 동향에 대한 분석 결과를 공개했다.

이날 시만텍은 2014년 정보보호시장의 화두를 ‘고도의 취약점 공격과 지능형 공격 전술’이라는 분석을 내놨다.

이번 보고서에 따르면 ▲지능형 사이버 공격 전술 확대 ▲광범위한 제로데이 공격 ▲사이버 협박을 위한 랜섬웨어 진화 ▲소셜 미디어 및 모바일 플랫폼 공격 증가 ▲악성코드 증가 ▲사물인터넷(IoT) 보안 위협 부상 등이 주목해야 할 보안 위협으로 나타났다.

◆새로운 지능형 사이버공격 전술 확대=시만텍 조사에 따르면 2014년 한 해 특정 대상을 목표로 스피어피싱 이메일을 이용해 네트워크에 잠입하는 지능형 표적공격 캠페인은 전년 대비 8% 증가하는 양상을 보였다.

스피어피싱 공격은 기업의 규모와 상관 없이 전반적으로 증가한 것으로 나타났다. 2014년 한 해 동안 직원 2500명 이상의 대기업 6개 중 5개 기업이(83%) 스피어피싱 공격의 표적이 됐으며, 이는 2013년 43% 대비 무려 40% 포인트나 증가한 규모다. 중소기업도 예외가 아니었다. 중견기업(251명~2500명)은 63%, 소기업(직원 250명 이하)은 45%가 공격의 표적이 됐다.

주목할 부분은 스피어피싱의 총량은 줄었다는 점이다. 윤광택 시만텍코리아 이사는 “스피어피싱 이메일의 수는 줄었으나 표적공격 캠페인은 오히려 증가했다. 이는 기업을 정확히 타격하는 공격자들이 많아졌다는 것을 뜻한다”고 설명했다.

또한, 표적 공격에 사용된 스피어피싱 이메일을 분석한 결과, MS오피스 다큐먼트(.doc) 형태의 워드 파일(38.7%)과 범용실행파일(.exe) 형태의 실행 파일(22.6%)이 가장 많이 이용된 것으로 나타났다.

사이버 공격의 기술은 날로 발전하고 완성도가 높아지고 있다. 사이버 범죄자들은 표적집단이 자주 방문하는 웹사이트를 감염시켜 방문자의 컴퓨터에 악성코드를 심는 워터링홀(Watering hole) 공격 기법을 한층 발전시켜 더욱 선별적인 공격을 감행하고 있다.

윤 이사는 ”실제 기업이 사용하는 소프트웨어 업데이트 파일 안에 트로이목마를 탑재해 숨긴 뒤 표적이 다운로드 해 설치하기를 기다리는 공격 기법 드래곤플라이(DragonFly)라는 조직을 통해 발견되기도 했다”고 전했다.

한편 국내에서는 지난 2011년 SK커뮤니케이션즈의 개인정보유출 사건에 업데이트 서버 장악을 통한 해킹기법이 사용된 바 있다.

◆점차 증가하는 제로데이 공격=사이버 공격자들이 피해자의 컴퓨터에 몰래 잠입하기 위해 제로데이 취약점을 활용하는 경향이 늘어나고 있다.

2014년에는 총 24건의 제로데이 공격이 발견되며 사상 최고치를 기록했다. 반면, 소프트웨어 기업들이 패치를 개발, 배포하는데 걸리는 시간은 2013년 평균 4일에서 2014년 평균 59일로 오히려 증가해 대응 속도가 느린 양상을 보였다.

특히, 지난 해 심각한 피해를 입혔던 하트블리드(Heartbleed)는 취약점이 발견된 후 4시간 이내에 이를 이용한 공격이 크게 증가한 것으로 나타나 취약점에 대한 패치 개발 속도보다 훨씬 더 빠르게 공격자들이 행동한다는 사실을 다시 한번 입증했다.

윤 이사는 “과거 제로데이 취약점이 공격자들에게 악용되기까지는 수일이 걸렸다. 하지만 이제는 취약점이 공개되는 순간 이에 대한 내용증명(PoC) 코드가 순식간에 등장한다”며 “하트블리드, 쉘쇼크와 같은 취약점 공격이 앞으로도 등장할 수 있을 것으로 예측된다”고 말했다.

◆보다 고도화된 랜섬웨어, ‘크립토 랜섬웨어’ 급증=사이버 협박을 위한 랜섬웨어 공격 역시 전년 대비 113% 증가하며, 두 배 수준으로 크게 늘어났다. 지난 해에는 특히 PC를 사용할 수 없게 만든 후 사법 당국으로 위장해 돈을 요구하는 전통적인 랜섬웨어와 달리 피해자의 파일, 사진 등 데이터를 암호화하고 암호 키를 주는 대가로 돈을 직접적으로 요구하는 크립토 랜섬웨어(Crypto-ransomware)가 무려 45배나 늘어난 것으로 나타났다.

크립토 랜섬웨어는 새로운 공격 표적을 찾으면서 작년에는 안드로이드 모바일 기기에서 처음으로 크립토 랜섬웨어가 발견되는 등 그 공격 범위를 넓혀가고 있다.

이외에도 ISTR 보고서에는 ▲안드로이드 악성 애플리케이션 급증(전체 앱의 17%) ▲개인사용자를 노리는 악성코드의 확산 ▲사물인터넷(IoT) 보안위협 증가 등이 지난해 유효했던 보안위협이라 지적했다.

시만텍 보안사업 부문 한국 총괄 박희범 대표는 “사이버 공격자들은 한층 정교하고 지능화된 공격 기법을 기반으로 목표 대상에 더 민첩하고, 더 은밀하게 공격을 감행하는 반면, 이를 방어해야 하는 기업과 조직은 상대적으로 대응 속도와 능력이 떨어져 그 격차가 현저하게 벌어지고 있다”며 “이와 더불어 크립토 랜섬웨어, 소셜 미디어 및 모바일 악성코드, IoT 보안 위협 등 개인사용자들을 노리는 보안 위협도 빠르게 진화하고 있어 이에 대한 보안 의식 제고와 함께 대응 방안을 시급하게 마련해야 할 것”이라고 강조했다.

한편 이번 보고서는 시만텍의 ‘글로벌 인텔리전스 네트워크(Global Intelligence Network)’를 구성하는 전세계 157여 개국에 설치된 5760만대의 센서에서 수집된 보안 빅데이터를 분석한 결과다.

<이민형 기자>kiku@ddaily.co.kr

<시만텍 ISTR 20호 인포그래픽>