키워드로 꼽은 2018년 사이버 공격 전망은

내년에는 공격자들이 돈을 벌 수 있는 수단으로 랜섬웨어를 적극적으로 악용하기 위해 보다 지능화된 공격 수법을 쓰는가 하면 갈수록 거래가격이 오르고 있는 암호화폐를 훔치기 위해 거래소나 투자자들을 노린 공격이 거세질 전망이다.

이와 함께 소프트웨어를 개발-공급-유통하는 과정에서 악성코드를 심어 보안기능을 우회하는 공격과 함께 보안에 취약한 사물인터넷(IoT) 기기를 노려 대규모 봇넷을 만들고, 심지어 오프라인 범죄에 악용하며 기업/기관 내 중앙관리용 SW 취약점이나 내부 관리자의 부주의를 노린 표적공격으로 대규모 피해를 입힐 가능성이 커졌다.

이밖에도 내년 2월로 예정된 평창동계올림픽, 4월 총선 등 사회적 이슈를 기회 삼은 공격, 웹사이트를 통한 악성코드 감염, 유포 수법이 다양해지고 있다는 점도 주의해야할 대목이다.

8일 서울 가락동 IT벤처타워에서 한국인터넷진흥원(KISA)과 국내 보안기업들이 참여하고 있는 사이버위협인텔리전스네트워크는 2018년 7대 사이버 공격 전망에 대해 이 같이 발표했다.

■ 지능화된 랜섬웨어

올해 인터넷나야나 랜섬웨어 감염 사건이 불러온 충격은 내년에도 지속될 전망이다.

이스트시큐리티 문종현 이사는 "갈수록 가격이 오르는 비트코인은 돈을 벌기 위해 해킹을 시도하는 랜섬웨어와 뗄 수 없다"며 "내년에는 랜섬웨어 공격이 상당히 거세질 것으로 본다"고 말했다.

올해 등장한 워너크라이는 일종의 웜처럼 작동해 전 세계에 보안업데이트가 이뤄지지 않은 PC를 찾아 감염시키면서 국내외에 심각한 피해를 입혔다.

인터넷나야나가 운영하는 서버 153대가 감염되면서 13억원이나 들여 암호화키를 받아 복구를 시도할 수밖에 없게 만들었던 에레버스는 랜섬웨어가 개인을 노린 범죄를 넘어 기업을 노린 지능형 범죄로 진화하고 있다는 점을 보여줬다.

문 이사는 "기업들이 리눅스 서버를 쓰는 경우가 많은 만큼 IDC나 호스팅 기업들의 경우 랜섬웨어로 인해 암호화가 되면 서비스를 접어야하는 상황까지 오게 된다"고 말했다.

지난 추석 때 출몰한 올크라이는 웹하드와 함께 광고 프로그램(PUP)의 프로세스를 해킹해 악성코드를 심는 방법으로 랜섬웨어에 감염되게 했다.

"하루에도 수십개, 수백개 변종들이 나오고 있고, 완전히 새로운 형태로 알려지지 않은 제로데이 취약점을 악용하거나 정상 SW를 해킹해 변조하는 공급망 공격, 돈을 요구하는 것처럼 위장했지만 실제로는 데이터를 암호화하고 시스템을 파괴하는 목적을 수행하는 등 다양한 형태의 랜섬웨어가 등장할 것"이라고 문 이사는 예상했다.

■ 암호화폐 노린 거래소와 개인 공격 늘어날 것

랜섬웨어에 더해 수많은 자금이 유입되고 있는 암호화폐 거래소 혹은 암호화폐를 보유한 개인 사용자의 PC나 모바일 기기 등을 노린 공격도 늘어날 것으로 예상된다.

안랩 안창용 책임 연구원은 "암호화폐를 보유한 개인들을 대상으로 한 피싱 사례가 발견됐으며 국내 거래소 직원을 대상으로 한 표적공격이 등장했다는 점으로 봤을 때 이와 관련된 공격시도가 더 자주 일어나게 될 것으로 보인다"고 말했다.

이밖에도 사행성 게임 정보 탈취, 국내서 적발된 ATM 해킹으로 인한 카드 정보 유출과 부정결재 등도 주의가 필요하다.

■ SW개발-공급-유통망 통한 대규모 악성코드 감염

공격자들이 아예 많은 사용자들이 쓰는 SW가 개발, 공급, 유통되는 단계 중 어느 한 곳을 노려 대규모 악성코드 감염을 노린 사례들이 발견되고 있어 내년에도 주의가 필요하다.

하우리 보안분석팀 최정식 팀장은 "과거에는 SW에서 발견된 취약점을 악용한 공격이 이뤄졌다면 지금은 지속적인 공격으로 SW개발업체를 직접 해킹해 개발단계에 있는 프로그램에 백도어를 심어 해당 프로그램이 실행될 때 악성코드가 유포되도록 하는 수법까지 등장하고 있다"고 밝혔다.

"아예 프로그램 개발서버, 배포서버 등에 저장된 실행파일을 악성코드를 담은 파일로 바꿔치기해서 유포하고 있다"는 설명이다.

실제로 지난 6월 우크라이나 정부가 페트야 랜섬웨어에 감염됐던 사건은 정상적인 회계프로그램 안에 악성코드를 심어 배포하는 공급망 공격으로 통해 대규모 유포된 것으로 확인됐다.

이밖에도 주요 기업에서 사용하고 있는 원격관리나 시스템관리용 SW들이 공격에 악용되면서 피해가 커졌다.

최 팀장은 "의료, 금융, 전력 등 산업기반시설에서는 SW개발사에서 제공하는 정상적인 파일이라고 하더라도 계속적인 모니터링이 필요하다"고 강조했다.

■ IoT 기기 해킹해 대규모 봇넷 구성…오프라인 범죄로 이어질 수도

전 세계 수많은 IoT 기기들이 인터넷을 통해 서로 연결돼 있는 만큼 이들이 공격 당해 대규모로 분산서비스거부(DDoS) 공격을 감행할 수 있는 봇넷이 만들어지는 추세다. 미라이 봇넷이 대표적이다.

이에 더해 IP카메라나 네트워크로 연결된 프린터 등이 해킹돼 오프라인 범죄에까지 악용될 가능성이 커졌다.

NSHC 문해은 팀장은 "올해 IoT 보안서 가장 큰 키워드는 봇넷"이라며 "미라이를 포함해 봇넷 전성시대라고 할만큼 여러가지 변종들이 나왔다"며 "앞으로는 이 기기들을 해킹하는데 제로데이 취약점이 악용되거나 봇넷에서 끝나지 않고 IP카메라, 홈라우터 등에 연결된 PC 내부에 들어가는 진입점이 될 수 있다"고 말했다.

이어 그는 "아직 공격자들이 비즈니스 모델을 만들지는 못했지만 환경이 잘 맞아 떨어진다면 금전적인 이득을 얻는 방식이 등장할 것"이라고 예상했다.

■ 해킹 대목…평창동계올림픽-총선 등 대비해야

국내외에서 큰 이벤트가 일어나면 그에 따른 해킹도 기승을 부린다.

잉카인터넷 정영석 이사는 "지난 대선 때 문재인 1번가를 사칭하거나 문재인 펀드 사칭 메일 발송, eFine 교통범칙금 사칭 이메일 등 사용자가 열어볼 수밖에 없게 만드는 형태의 공격이 내년에도 피해를 입힐 것"이라고 예상했다.

정 이사에 따르면 선거 때마다 불거졌던 DDoS 공격과 함께 선거관련 설문조사를 가장한 스미싱, 악성 문서파일을 악용한 공격과 함께 동계올림픽에서는 관련 네트워크에 대한 공격, 올림픽 당첨 사칭 메일 등 기술적인 난이도는 낮지만 사용자가 호기심에 열어볼 수밖에 없는 형태로 공격이 일어나게될 것으로 전망된다.

■ 중앙관리SW-암호화 통신 악용 대규모 악성코드 유포 늘어날 것

기업에서 사용되는 중앙관리SW와 함께 암호화 통신을 악용하거나 암호화폐 관련 피싱 사이트 등을 통한 대규모 악성코드 유포에 대해서도 주의가 필요하다.

KISA 김무열 선임연구원은 "올해 큰 이슈 중 하나가 기업 내 중앙관리SW 자체 취약점을 악용한 공격이었다"며 "중앙관리SW 서버가 해킹되면 수많은 정보가 지속적으로 빠져나갈 수 있다"고 말했다.

이같은 외부적인 문제에 더해 내부에서 시스템관리자들이 계정관리를 제대로 하지 않아 코드서명 인증서가 유출되는 등 수법도 문제가 됐다.

김 연구원은 "내녀에도 중앙관리SW나 관리 미흡을 노린 표적공격이 증가할 것으로 보인다"고 밝혔다.

웹 상에서 악성코드를 유포시키는 방법도 더 진화될 전망이다.

빛스캔 오승택 팀장은 "올해는 액티브X 취약점을 악용한 공격, 네이버 계정정보 탈취를 노린 가짜 사이트, 유명 웹하드를 악용한 금융정보 탈취 악성코드가 증가했다"며 "내년에는 보안기능을 피하기 위해 암호화 통신을 사용하거나 암호화폐 탈취를 위한 피싱 사이트, 스크립트를 난독화해 분석을 방해하는 등 수법이 증가할 것"이라고 봤다.

■ 취약점 관리 최우선 대응해야

KISA와 7개 보안기업 전문가들이 참여하고 있는 사이버위협인텔리전스네트워크는 이 같은 전망에 대해 3가지 대응방안을 제시했다.

먼저 취약점에 대한 관리다. 침해사고의 근본 원인이 되는 취약점에 대해 집중 관리체계를 구축하고 취약한 기업이나 영세 중소기업에 대한 점검을 확대한다는 생각이다.

관련기사

두번째로 IoT 분야에 대해서는 IP카메라 등에 대한 보안성 강화 장치를 마련하고 분석 및 대응 기법에 대한 전문성을 높이며 사용자 보안인식을 강화할 예정이다.

끝으로 랜섬웨어에 대해서는 악성코드 유포경로 탐지 범위를 확대하고 랜섬웨어 복구기술 연구 및 유관기관 협력을 통한 지원을 강화한다.