침해사고/위협동향

핀테크 겨냥 악성코드·모바일 랜섬웨어 공격 현실화되나?…하반기 보안위협 전망

이유지

[디지털데일리 이유지기자] 올 상반기에는 개인정보 대량 유출이나 전산망 마비같은 대형 보안 사고는 발생하지 않았다. 하지만 ‘크립토락커’ 랜섬웨어 유포나 개인·금융정보를 노린 위협, 악성메일 유포 등이 국내외에서 확산됐고, 전국을 들썩이게 할 만한 보안이슈는 어김없이 계속됐다.

더욱이 작년 말 국민을 불안케 했던 한국수력원자력(한수원) 해킹 사고 여진도 이어졌다. 한수원 해킹을 주장하며 원전 등 내부정보를 공개했던 자칭 ‘원전반대그룹’이 트위터 계정과 블로그 등을 통해 여러 차례 추가 정보를 공개해 사이버심리전 양상이 지속됐기 때문이다.

상반기 가장 이슈가 된 것은 단연 ‘해킹팀’ 사건이다. 이탈리아 업체 ‘해킹팀’이 사이버 공격을 받아 공개된 내부정보로 국가정보원과의 거래가 드러나면서 민간 사찰 의혹이 불거졌다. 이로 인한 신규 보안위협도 심화됐다. 해킹팀 내부정보가 유출되면서 정교한 사이버공격에 활용할 수 있는 툴킷과 ‘제로데이’ 취약점 등이 대거 공개된 탓이다.

보안기업 안랩(대표 권치중)의 보안대응조직인 ‘ASEC(AhnLab Security Emergency response Center)’ 전문가들은 올 상반기 보안이슈 ‘톱(Top)5’로 ▲국내를 강타한 랜섬웨어 ▲지속적 금융사기 위협 증가 ▲진화하는 악성메일 유포 확산 ▲공유기 및 홈 네트워크 제품 대상 공격 증가 ▲응용프로그램 취약점 증가를 꼽았다.

아울러 5가지 올 하반기 위협 전망도 내놨다. 이는 ▲모바일 결제서비스 겨냥한 악성코드 위협 ▲모바일 겨냥 랜섬웨어 현실화 ▲악성코드 지역화·확장 ▲표적공격(APT) 정교화 ▲거세지는 응용프로그램 취약점 악용 공격이다. 이같은 하반기 위협 전망은 기존에 두드러진 보안위협의 연장선으로 보인다.

◆악성코드, 모바일 결제 서비스로 시선 돌리나=먼저 모바일 결제서비스 겨냥한 악성코드 위협은 핀테크 활성화로 인한 전자결제 플랫폼이 PC에서 모바일로 옮겨지면서 악성코드 제작자들의 공격 대상 위협이 높아졌다는 분석에 따라 지목됐다.

스마트폰이 신용카드의 역할을 대신하는 만큼, 모바일 보안의 중요성이 커질 것으로 예상된다. 현재 해외에서는 이미 애플페이에서 중복결제와 도용사고가 발생했고, 중국의 유명 결제 플랫폼인 알리페이에서 취약점이 발견된 바 있다. 아직까지 국내 핀테크 서비스에 대한 악성코드나 취약점은 발견된 바 없지만, 삼성·네이버·카카오 등의 핀테크 서비스가 속속 등장함에 따라 금전적 이익을 쫓는 공격자들의 먹잇감이 될 수 있다는 전망이 나오고 있다.

금융서비스 대상 공격은 지속적으로 증가하고 있다. 안랩의 상반기 위협 ‘톱5’에도 꼽힌대로 국내외에서 금융정보를 겨냥한 공격은 더욱 많아졌다. 개인·금융정보를 탈취하기 위한 ‘다이어(Dyre)’ 공격이 대표적이다.

국내에서는 ‘파밍(Phaming)’ 공격으로 불리는 뱅키(Banki)류의 악성코드 위협이 많이 나타났다. 보안취약점을 이용한 드라이브바이다운로드(Drive By Download) 공격부터 불필요한 프로그램(Potentially Unwanted Program)의 업데이트 모듈을 변조하는 방법까지 공격 방식이 다양해지고 있다. 이러한 뱅키류 악성코드는 안티바이러스(AV) 솔루션 탐지를 회피하기 위해 특정 응용프로그램에서 원격코드를 실행하는(DLL Planting) 기법을 이용하거나 시스템 파일에 악성 파일을 삽입하는 등 점점 변화하고 있다.

◆모바일 겨냥한 랜섬웨어 현실화?=국내에서 랜섬웨어는 지난 4월 한 커뮤니티 사이트의 배너 링크를 통해 ‘크립토락커’가 퍼지면서 크게 이슈화됐다. ‘크립토락커’ 랜섬웨어는 주로 이메일을 통해 유포되지만 취약한 웹페이지를 이용하기도 한다.

랜섬웨어는 특정 파일들을 암호화하고, 이를 복원하기 위해서는 결제가 필요하다는 경고문과 그 절차를 안내한다. 이렇게 암호화된 파일을 인질로 삼아 몸값을 요구한다. 일부는 백신 등으로 파일 복원이 가능하지만 복원 키 값을 얻지 못하면 복원할 방법이 없기 때문에 사용자들의 각별한 주의가 필요하다.

이용자가 늘어나 많은 개인정보와 데이터가 저장되는 스마트폰은 랜섬웨어 공격자들에게 매력적인 대상이다. 아직까지 국내에서는 모바일을 대상으로 하는 랜섬웨어는 발견되지 않았다. 하지만 해외에서는 다양한 종류의 안드로이드 랜섬웨어가 등장하고 있고 피해사례도 늘고 있다. 모바일 랜섬웨어는 주로 단말기의 사용을 제한하거나 불가능하게 하고 데이터를 암호화한 뒤 사용자에게 금전을 요구하는 방식을 사용한다. 주로 러시아, 유럽, 북미 등을 대상으로 하고 달러, 비트코인, 루블화 등의 화폐를 요구한다.

금전을 목적으로 하는 모바일 랜섬웨어도 국내 사용자를 대상으로 등장할 가능성이 크다. 안랩측은 “유명 보안 백신 앱을 사칭하거나 금융 앱을 사칭하며 스미싱을 통해 전파될 수 있다. 또한 해외처럼 음란물을 이용한 전파도 충분히 가능하다. 기존 방법과 유사하게 단말기 사용 제한 및 암호화 등의 방법을 사용하여 추적이 어려운 방식으로 금전을 요구할 것으로 보인다”고 내다봤다.

◆악성코드 지역화 및 확장=악성코드의 지역화는 지난 10년간 꾸준히 지속되고 있다.

지난 5월 일본에서 발생한 개인정보 유출에 이용된 악성코드는 철저히 일본인에 맞게 제작된 대표적인 사례이다.

일부 악성코드 제작자들은 수익을 늘리기 위해 공격 지역을 확장하고 있다. 국내 인터넷 뱅킹 사용자를 노리던 악성코드 제작자들이 일본 지역으로도 확장하고 있다. 주로 유럽 지역 인터넷 뱅킹 사용자를 노린 ‘다이어(Dyre)’는 아시아 지역 은행을 공격 대상에 추가하더니 올해 봄부터는 국내 은행도 공격 대상에 포함시켰다. 주로 미국, 유럽 지역을 목표로 하던 랜섬웨어도 한국어와 일본어로 확장했다.

악성코드의 지역화는 철저한 현지화 전략과 함께 수익을 극대화하기 위해 지역과 언어를 확대하는 방향으로 변모하고 있다.

◆표적 공격(APT) 정교화=지능형지속위협(APT) 등 표적 공격은 국가 간 사이버첩보와 기업 간 산업스파이 행위와 관련해 지속적으로 진화할 것으로 예상된다.

미연방인사관리처(OPM), 독일 연방의회 해킹 등의 사건을 통해 특정 주체가 후원하는 표적 공격의 가능성이 계속 제기되고 있다. 이런 공격의 경우 상용 및 오픈소스 소프트웨어의 제로데이 취약점을 바탕으로 제작된 맞춤형 악성코드가 사용될 확률이 높다.

이런 맞춤형 악성코드 기반 공격은 안티바이러스 업체인 카스퍼스키를 대상으로 한 ‘듀큐(Duqu) 2.0’ 공격이나 해킹팀 데이터 유출 사고의 경우처럼 보안전문가 그룹 및 기업도 방어에 어려움을 겪을 만큼 고도화된 공격이다. 때문에 특정 기관이나 기업이 표적이 될 경우에는 큰 피해를 입을 것으로 예측된다.

특정 인물이나 집단을 겨냥한 표적형 악성 메일인 ‘스피어 피싱’도 더욱 정교하고 고도화된 형태로 등장하고 있어 사용자의 세심한 주의가 필요하다.

◆점점 거세지는 응용 프로그램 취약점 악용 공격=최근 일어나는 보안 사건들에서 빠질 수 없는 키워드는 단연 ‘취약점’이다. 특히, 제로데이 취약점은 용어 자체에도 발견부터 해결책(패치)이 나오기 전에 공격에 이용되고 있다.

그동안 대표적인 응용 프로그램인 오라클의 자바 취약점을 이용한 공격이 활발했다면, 지난해 하반기부터 올 상반기까지는 어도비의 플래시 플레이어 취약점들이 그 명성을 이어가고 있다.

올 상반기 이슈가 됐던 국내 커뮤니티를 통한 랜섬웨어 유포 사건에 이용된 취약점(CVE-2014-0515)을 비롯해 최근에는 이탈리아 업체 해킹팀 정보노출 공격에 이용된 것으로 알려진 취약점(CVE-2015-5119)을 비롯해 다수의 제로데이 취약점이 세상 밖으로 모습을 드러냈다. 과거 제로데이 기간이 짧았던 것에 비해 최근 공격들은 사건이 발생하기 전까지는 쉽게 알려지지 않기 때문에 그 사용 시간을 가늠하기 힘든 실정이다.

올 하반기에도 어도비 플래시 플레이어와 같은 응용 프로그램 취약점을 이용한 크고 작은 보안 사건들은 지속될 것으로 예상된다. 피해를 최소화할 수 있도록 전문가의 노력과 사용자의 각별한 주의가 필요하다.

이밖에도 올 상반기 ‘톱5’ 위협으로 지목된 것처럼 인터넷에 연결된 기기에 대한 공격은 앞으로 더욱 증가할 것으로 예상된다. 최근 인터넷 공유기뿐 아니라 IP 카메라(베이비 모니터), CCTV 등의 취약점이 발견되고 있고, 이들에 대한 공격도 증가하고 있다.

국내에서도 인터넷 공유기의 보안 취약점을 이용해 DNS 주소를 변경, 사용자가 유명 사이트로 접속할 때 가짜 웹 사이트로 유도하거나 악성코드를 배포하는 일이 꾸준히 발생하고 있다. 제조업체에서는 취약점이 해결된 최신 펌웨어를 제공하고 있지만 대부분의 사용자들이 펌웨어 업데이트의 중요성을 간과하거나 업데이트 방법을 알지 못해 그대로 사용하는 경우가 많아 위험성이 있다.

<이유지 기자>yjlee@ddaily.co.kr

이유지
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널