국내 보안 전문가들 "한국 겨냥 맞춤형 위협 증가 경고"

내년에는 올해보다도 더 국내 IT환경에 맞춤형 공격이 이뤄질 것으로 전망된다. 웹호스팅 업체나 클라우드 서비스가 악성코드 유포를 위한 거점으로 악용되는 한편, 국내 군 관련 기관, 커뮤니티 등을 노린 워터링홀 공격수법이 보다 정교해질 것으로 예상된다. 올해 처음 등장한 한글화된 랜섬웨어 역시 내년에 보다 많은 피해자들을 만들어낼 가능성이 높다.

15일 한국인터넷진흥원(KISA) 주도로 국내 주요 보안분석가들이 참여하고 있는 사이버 위협 인텔리전스 네트워크가 올 한 해 동안 발생했던 보안위협들을 정리하며 내년에는 우리나라를 겨냥한 맞춤형 공격이 더욱 거세질 것이라고 전망했다.

이스트소프트 문종현 부장에 따르면 우리나라 군, 정부기관 주요 담당자 등을 대상으로 한 사이버 공격은 내년에 더욱 정교화될 것으로 예상된다. 올해는 특히 워터링홀 공격수법을 통해 기본정보를 수집한 뒤 더 구체적인 공격대상을 노려 기밀데이터 등을 훔쳐내려는 시도가 많았다. 워터링홀은 번역하면 물구덩이라는 뜻으로 공격대상들이 관심을 가질만 한 웹사이트에 악성코드를 심어놓은 뒤 이곳에 방문하기만해도 악성코드에 감염되도록하는 수법이다.

예를들면 공격집단이 우주항공기술을 훔치고 싶어한다면 관련된 담당자들이 자주 드나들법 한 우주항공 관련 주요 웹사이트나 망원경을 판매하는 전자상거래 사이트 등에 악성코드를 심는 방식이다. 웹사이트에 방문한 불특정 다수를 대상으로 금융정보탈취 등을 목적으로 한 드라이브바이다운로드 수법과는 구분된다는 설명이다.

문 부장은 "지난 8월에 발견된 워터링홀 공격의 경우 대부분 대북, 탈북자, 군 관련 웹사이트들이 공격대상이 됐다"며 "어도비 플래시 최신 취약점 등을 활용하고, 탐지를 피하기 위해 취약점을 악용한 공격코드(익스플로잇 코드)를 특정 시간대에만 삽입해 침해사고발생 뒤 분석을 어렵게 하려는 시도들이 확인됐다"고 밝혔다.

내년에도 이러한 경향은 더 심화될 것으로 예상된다. 공격자가 정부기관 주요 인물의 이메일 계정을 확보한 뒤에 이를 수신하는 공격대상에게 어제 보낸 업무관련 이메일과 연장선상에 있는 것처럼 보이는 문구와 함께 첨부파일을 보냈을 때 안 열어볼 사람이 없다는 지적이다. "특히 한컴오피스 한글 문서프로그램과 관련된 취약점이 가장 많이 악용되고 있는데 이 경우 국내 기업 내부에 침투하기 위한 마스터키를 갖고 있게 되는 것이나 마찬가지"라고 지적했다.

하우리 CERT팀 최상명 실장은 "올해 국내서 대규모 악성코드 감염기법이 자동화되고 있다"고 지적됐다. 이탈리아 해킹팀에 대한 해킹을 통해 유출된 플래시 관련 제로데이 취약점 등이 외부로 공개되면서 이를 악용한 공격 외에도 올 한 해 동안 발견된 플래시 관련 제로데이 취약점은 16건에 달하는 역대 최대다. 한컴오피스 한글2014에서 작동하는 최신 취약점들도 여전히 악용되고 있다고 덧붙였다. 웹사이트 제작툴인 워드프레스에 발견된 취약점을 악용해 이 툴로 제작된 웹사이트들을 노린 공격도 증가하고 있다.

최 실장은 "내년의 경우 대규모 악성코드를 유포하기 위해 상대적으로 보안대응이 잘 갖춰져 있는 대형 웹사이트를 직접 공략하기 보다는 여기에 포함된 배너광고와 같은 플랫폼에 악성코드를 심어 유포하는 전략이 여전히 유효할 것으로 보인다"고 밝혔다. "오픈X와 같은 오픈소스 기반 광고제작플랫폼 등이 취약점을 발견하기 쉽기 때문에 광범위한 공격에 악용될 가능성이 높을 것"이라고 덧붙였다.

사용자 인증이나 애플리케이션에 대한 무결성 검증이 강화되면서 아예 개발자들의 소스코드나 인증서를 탈취한 뒤 소프트웨어나 애플리케이션 등의 자동 업데이트에 악성코드를 포함시켜 유포하는 방식도 등장할 것으로 보인다.

올해 국내서도 피해자들을 내고 있는 랜섬웨어는 내년에 보다 많은 피해자들을 발생시킬 것으로 예측된다. 국내 보안분석가들에 따르면 올해만해도 연구실 내 임상실험정보 등을 저장한 PC, 노트북이 랜섬웨어에 감염돼 암호화된 뒤 복구불능이 되는 등 사례가 나오고 등장했다. 심지어 담당자가 이 문제로 인해 퇴사조치 당하는 일까지 생길 정도로 문제가 심각해지고 있다는 설명이다.

안랩 박태환 팀장은 "지난 4월 국내 커뮤니티 사이트를 통해 랜섬웨어가 유포되면서 대규모 피해자를 양산하기 시작했다"며 "초기에 문서나 그림파일 위주로 암호화 시켰던 것에서 최근에는 스마트폰 잠금화면을 해제하지 못하게 만들어버리는 수법까지 등장하고 있다"고 밝혔다. 이어 박 팀장은 "공격자들이 익명네트워크인 토르를 악용하면서 최초유포지를 추적하기 어렵게 하고 있다"고 말했다.

KISA 분석1팀 임진수 팀장은 "침해사고조사를 나가보면 국내 영세 웹호스팅 업체들이 악성코드 유포, DDoS 공격, 금융정보유출 등을 위한 명령제어서버(C&C서버) 형태로 악용하고 있다"고 밝혔다. 심지어 클라우드 서비스까지 C&C서버로 악용되는 사례들이 나오고 있는 실정이다.

임 팀장은 "단타성으로 순식간에 치고 빠지는 공격이 늘어나는 추세"라며 "1시간 정도만 웹사이트에 익스플로잇 코드를 삽입해 방문자 PC, 노트북 감염을 유도한 뒤 흔적을 지우는 수법들이 등장하고 있다"고 설명했다. 이렇게 되면 침해사고에 대한 조사를 나가더라도 공격자들을 추적하고 필요한 대응조치를 취하기 어려워진다는 것이다.

이와함께 잉카인터넷 정영석 이사는 "실행파일(exe) 형태 대신 데이터파일만 남긴 뒤 실행파일을 없애고 메모리 상에서만 복원해서 백신을 우회하는 일명 '파일리스 패턴의 악성코드'가 확산될 것이라고 내다봤다.

빛스캔 문일준 대표는 애플 iOS 개발툴인 X코드를 악용해 정상앱을 통해 악성코드를 유포하는 사례들이 확인되면서 iOS 영역에 대한 보안위협이 확대되는 것과 함께 각종 핀테크 서비스를 겨냥해 각종 인증정보를 탈취하려는 시도가 확대될 것"이라고 전망했다.

NSHC 문해은 팀장은 "사물인터넷(IoT)과 관련해 이미 중국에서는 공유기 취약점을 악용한 자동공격툴 22종이 발견됐을 정도"라며 "스마트TV, 냉장고, 다리미, 전자렌지 등 생활밀착형 IoT 기기를 노린 공격이 더 거세질 것"이라고 밝혔다.