법제도/정책

“사이버위협 은닉·우회기법 진화 가속…새해, 한국 타깃공격 더 증가”

이유지

- KISA·보안업체 참여‘사이버위협 인텔리전스 네트워크’, 2016년 주요공격동향 전망

[디지털데일리 이유지기자] 사이버위협의 지능화, 공격방법 정교화 추세는 새해에도 더욱 가속화된다. 탐지·방어체계를 회피하기 위해 ‘단타성’ 시간차 공격을 벌이거나 IT신기술을 이용해 공격자원을 수시로 교체하는 방식부터 악성코드 등을 활용한 공격 활동을 은닉·은폐·우회하는 새롭고도 다양한 기법이 나타날 것으로 예상된다.

한국을 목표로 한 맞춤형 사이버위협도 더욱 기승을 부릴 전망이다.

한국인터넷진흥원(원장 백기승)과 주요 보안기업 6곳이 참여하는 ‘사이버 위협 인텔리전스 네트워크’는 15일 회의를 열고 ‘2016년 7대 사이버 공격 전망’을 발표했다.

‘사이버 위협 인텔리전스 네트워크’는 사이버위협 민·관 공동 대응체계를 강화하기 위해 지난해 12월 구성, 지난 1년간 운영돼 왔다. 보안업체는 빛스캔, 안랩, 이스트소프트, 잉카인터넷, 하우리, NSHC가 참여하고 있다.

이들이 선정, 발표한 내년 7대 사이버공격 전망은 ▲한국에 특화된 보안위협 가세 ▲대규모 악성코드 감염기법 지능화 ▲악성코드 은닉기법 다양화 ▲랜섬웨어의 진화 ▲모바일 위협의 전방위 확대 ▲사물인터넷기기 확산과 위협 증가 ▲IT인프라의 공격자원화이다.

◆한국 맞춤형 공격 확산=내년에는 한국을 타깃으로 사이버공격이 크게 증가할 것으로 전망됐다. 사회혼란을 야기하거나 후속공격으로 연결시키기 위한 정보유출형 타깃 공격은 더욱 심각해질 것으로 보인다.

공격자들은 국내에서 사용하는 애플리케이션의 신규 취약점을 악용하고 국내 보안위협·탐지 인프라에 대한 면밀한 정찰을 벌이며 다양하고도 지능적인 우회공격 수법을 사용할 것으로 예상된다.

최신 취약점을 이용한 ‘워터링홀(Watering Hole) 기법’을 통한 정보수집 활동이 증가했고, 공공기관과 기업에서 많이 쓰는 한컴오피스(hwp) 취약점을 악용한 공격은 올해에도 많이 시도됐다. 특히 한컴오피스 관련 취약점은 올해 가장 많이 발견됐으며, 아래아한글 2014 버전에서 동작하는 최신취약점도 발견돼 악성코드를 감염시키는데 악용되기도 했다.

◆대규모 악성코드 감염기법 지능화=올해에는 지능적이고 대규모 공격에 제로데이 취약점이 악용되는 사례가 크게 증가했다. 어도비 플래시 플레이어의 제로데이 취약점은 올해 역대 최대로 등장했다. 또 많이 사용하는 오픈소스 웹사이트 제작도구인 워드프레스의 제로데이 취약점이 지속적으로 등장하면서 이를 악용한 자동화된 대규모 공격에 의한 악성코드 유포지나 웹 기반 명령제어(C&C) 서버로 악용되는 사례도 급증했다.

내년에도 많은 사람들을 감염시키기 위해 지능화된 공격수법이 나타날 것으로 보이는 가운데, 기업의 보안 대응력 강화로 인한 우회 공격기법이 더욱 증가할 것으로 전망된다.

배너가 광고플랫폼 등 국내 웹 환경에 연동된 서비스의 취약점을 악용해 우회 침투하거나 응용프로그램 자동 업데이트 서비스 체계를 공격해 대규모 악성코드 감염을 시도할 것으로 관측됐다.

엔드포인트 관리 솔루션 업체나 모바일 애플리케이션 개발자를 직접 공략해 소스코드나 파일 서명 인증서를 탈취하는 방법으로 광범위한 공격을 시도할 가능성도 제기됐다. 이같은 방법으로 보안 솔루션 업데이트뿐 아니라 모바일 애플리케이션(앱) 배포 및 업데이트 체계를 이용한 배포를 시도할 수 있다는 경고가 나왔다.

◆악성코드 은닉기법 다양화=악성코드 은닉기법이 더욱 고도화, 다양화될 것으로 보인다.

이미 루트킷과 레지스트리 수정 기법을 활용, 커널 드라이브를 설치한 후 메모리를 수정해 악성프로세스를 은닉하거나 레지스트리 폴더 옵션을 변경해 숨기는 방법이 많이 사용되고 있다. 백신 탐지와 치료를 우회하기 위해 미리 실행중인 프로세스를 확인하거나 정상파일을 악성으로 은밀히 교체하는 기법이 발견됐다.

앞으로 시스템에 자신의 흔적을 남기지 않기 위해 메모리에서 악성코드를 실행하고, 파일시스템에 있는 바이너리 PE 헤더 데이터를 제거하는 파일리스 패턴 형태의 악성코드가 증가할 것이란 예상이 나왔다. 이 경우 악성코드가 파일로 존재하지 않고 메모리 영역에 침투하기 때문에 감염 여부를 발견하기 어렵고 치료가 불가능할 수 있다.

메모리 패치, 암호화, 압축, 안티디버깅 등의 파일은닉 기술이 더욱 고도화되고, 암호화된 트래픽에 공격코드를 은폐시켜 보안 솔루션 등과 같은 장비를 우회하는 공격 기법이 주를 이룰 것으로 분석된다.

◆랜섬웨어 위협 지속, 추척 차단 기법 진화=2013년 9월에 등장한 ‘크립토락커’는 2014년 1월에 국내에 처음 유입됐다. ‘크립토락커’는 지난 4월 유명 인터넷커뮤니티에서 대량 유포된 것을 시작으로 국내에서도 많은 피해자가 양산되면서 랜섬웨어가 보안 분야에서 이슈화되고 있다.

PC에 저장된 파일을 암호화한 후 금전을 요구하는 랜섬웨어 위협은 2016년에도 지속될 전망이다. 최근 랜섬웨어는 PC에 저장된 사진과 동영상은 물론 기업 내에서 사용하는 문서나 개발소스까지도 위협하는 요소로 자리잡았다. 화면잠금 기능을 동작하는 랜섬웨어도 등장했다.

랜섬웨어는 PC뿐만 아니라 모바일 환경까지도 위협하고 있다.

공격자들은 공격 위치 추적을 차단하기 위해 토르(Tor) 네트워크를 이용한 자금결제를 안내하고 있다. 암호화를 진행하는 C&C서버도 다양하게 구축한 후 수시로 변경하는 등 네트워크 차단정책을 우회하고 있어 추적이 힘든 상황이다.

◆iOS 기기 보안위협 증가, 모바일 위협 전방위 확산=모바일 위협은 내년 전방위로 확산될 것으로 전망된다. 이미 애플 iOS 모바일 기기에서 사용할 수 있는 앱 개발도구(Xcode)가 비공식 경로로 배포되는 과정에서 변조돼 사용자들이 악성코드에 감염되는 일이 발생했다.

올해에는 안드로이드 랜섬웨어인 ‘심플로커’도 등장했는데, 이는 리패키장된 후 정상 앱으로 위장해 유포됐다

앞으로 iOS 보안위협은 더욱 확대될 것으로 보인다. iOS 보안 메커니즘을 모두 제거할 수 있도록 기기를 탈옥시킨 후 원격 접근 트로이목마를 설치해 정보를 탈취하거나 iOS용 가짜 개발자 인증서를 통해 악성앱 설치를 유도하는 공격이 증가할 수 있다.

핀테크나 간편결제 서비스를 노린 파밍 공격도 나타나고 있어 주목된다. 내년에는 인터넷전문은행 업무 개시를 앞두고 간편 송금·자산관리·대출·결제 서비스 등이 모바일에서 다양하게 이뤄지면서 본인인증 정보를 탈취하거나 금융거래·신용카드 관련 개인정보를 탈취하는 공격이 전방위 확산될 것으로 예상된다.

◆사물인터넷 기기 취약점 악용공격 증가=사물인터넷(IoT) 공격 양상이 올해 한층 구체화됐다. 국내 제조사 공유기 22종을 대상으로 하는 자동 공격 도구가 발견됐고, 공유기 취약점을 공격해 DNS를 공격·변조해 악성코드를 전파하는 공격도 다수 발견됐다.

해외에서는 홈CCTV, IP 카메라에서 다수의 보안 취약점·백도어가 발견됐다. 스마트카 해킹 시연부터 냉장고, 스마트TV, 로봇청소기, 세탁기 등 생활말착형 IoT 기기 보안위협의 범위가 확산됐다.

2016년에도 기기간 게이트웨이 역할을 하는 공유기는 지속적인 공격대상이 될 것으로 예상된다. 웨어러블 제품과 서비스 대상 취약점 공격이 증가하고, 스마트홈 해킹을 통한 사이버범죄도 현실화될 것으로 관측됐다. 드론을 대상으로 한 취약점 공격도 새해 주요 이슈로 등장할 것으로 지목됐다.

◆방어자 교란 공격증가, IT인프라 공격자원으로 활용=공격자들은 방어자를 교란시키거나 은폐를 위한 다양한 방법을 사용하고 있다.

많은 사용자를 감염시키기 위해 웹사이트 방문자가 급증하는 특정 시점에만 악성링크를 삽입하고 악성링크를 시간차를 두고 공격하는 방법을 사용해, 순식간에 ‘치고 빠지는’ 단타성 공격을 벌이는 수법을 사용하고 있다. 또한 악성코드 유형을 수시로 변경해 실제 공격을 숨기고 침입 흔적을 남기지 않기 위한 고도화된 루트킷을 사용하고 있다.

공격자들은 급격하게 발전하는 다양한 신규 IT기술을 사이버공격에 역이용해 공격자원으로 사용하고 있다. 특히 공격자원이 차단될 경우를 대비해 IP를 신속히 변경할 수 있는 진화된 여러 기술(클라우드·DDNS·Fast·Flux)을 사이버공격에 접목시켜 공격자원을 빠르게 교체하고 있다.

최근 사이버침해사고대응체계가 프로파일링 및 인텔리전스 기반으로 강화됨에 따라 보다 신속하게 교체 가능한 일회성 공격자원을 활용하는 패턴이 극대화될 것으로 보인다.

백기승 KISA 원장은 이날 “사이버공간을 안전하게 지키기 위해서는 협업이 중요하다. 민간과의 협력으로 사이버보안 위협 분석과 대응을 강화하기 위해 작년 12월부터 ‘사이버 위협 인텔리전트 네트워크’를 운영해 왔다”면서 “협력을 바탕으로 사이버위협 대응 경험과 역량을 산업으로 확산시키고, 참여기업들의 기술과 수익 증진에도 기여할 수 있도록 모색할 것”이라고 말했다.

<이유지 기자>yjlee@ddaily.co.kr

이유지
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널