"올해 악성메일 공격 건수, 전년比 두 배"

올해 탐지되는 악성메일 공격 건수가 지난해 두 배를 기록할 것이라는 전망이 나왔다.

SK인포섹 보안 전문가 그룹 '이큐스트(EQST)'의 분석 결과다. 올 상반기에만 17만1천400건의 악성메일이 탐지됐다. 지난해 1년간 탐지된 16만3천387건을 이미 넘었다. 하반기 동일한 추세를 보인다면 연간 탐지 예상 규모는 총 34만여건이 된다. 지난 2015년과 비교하면 5배 수준이다.

SK인포섹은 이큐스트 미디어 간담회를 열고 올해 상반기 보안 트렌드를 소개하면서 이같이 밝혔다.

■취약점·랜섬웨어 악용 공격 증가...침해사고 절반 '개인정보 유출'

이큐스트에 따르면 올해 상반기 동안 월별 공격 발생 이벤트 건수는 총 25만여건으로 나타났다. 전년 동기 수치인 11만건 대비 2.27배로 늘었다.

이날 발표를 맡은 김성동 이큐스트 침해사고대응팀장은 "2월, 5월에 많은 이벤트가 발생했다"며 "2월의 경우 랜섬웨어 '클롭'과 윈도 시스템 관리 도구 AD 관련 공격, 서버 메시지 블록(SMB) 프로토콜 SMBv2 취약점을 악용한 공격이 많았고, 5월은 4월 발견된 웹로직 취약점을 활용한 공격이 주를 이뤘다"고 설명했다.

해킹 사고 원인 중 가장 많은 비중을 차지한 건 이메일로, 35%를 기록했다. 소프트웨어·서버 취약점을 통한 해킹 사고와 보안 설정 미흡으로 인한 해킹 사고가 각각 21% 수준으로 뒤를 이었다.

악성 이메일 유입 제목 유형은 '견적서'가 20%로 가장 많았다. '대금 청구서', '계약서', '입고관리대장' 등이 10~12%를 기록하면서 그 뒤를 이었다. 그외 메일 제목에 일련번호처럼 임의의 숫자를 포함해 필터링 우회를 시도하는 유형도 존재했다.

악성코드 유형은 랜섬웨어가 38%로 가장 많은 비중을 차지했다. 이모텟(EMOTET), 트릭스터(TRICKSTER) 등 트로이목마 악성코드가 28%, 비트코인 채굴 목적의 악성코드가 24%, 백도어 악성코드가 9%로 나타났다.

업종별로 보면 국내에서 개발, 보안, IT 운영 업종에서 침해사고가 가장 많이 발생, 25%의 비중을 차지했다. 호스팅·포털 서비스 업종과 공공 정부 기관이 약 19%를 기록해 뒤를 이었다. 국외에서는 SNS와 공공 및 정부기관이 각각 20%를 기록해 가장 많은 침해사고 발생 업종으로 조사됐다.

침해사고의 절반 가량은 개인정보 유출로 이어졌다. 국내에서는 44%, 국외에서는 57% 수준으로 집계됐다. 랜섬웨어 감염이 국내 16%, 국외 26%를 기록, 그 다음으로 많았다. 그 외 국내 침해사고의 8%가 암호화폐를 채굴하는 데 악성코드 감염 PC를 활용하는 크립토재킹으로 나타났다. 가상화폐 탈취 공격은 국내 4%, 국외 13%로 나타났다.

■"해킹 조직 '차드' 공격으로 반도체 공장 일주일 운영 중단"

이날 이큐스트는 실제 침해사고 조사를 맡았던 공격 '차드(CHAD)'에 대해서도 설명했다. 차드는 공격자가 사용한 비밀번호 'chapchap'의 앞 두 글자와 공격 통로로 사용된 액티브디렉토리(AD)의 약어를 합한 단어다.

차드 공격은 지난해 처음 발견됐다. 이메일 침투, AD 서버 장악, SMB 전파 등 대규모 공격에서의 공통 분모를 갖는 것으로 조사됐다.

이큐스트에 따르면 올해 초까지 4개 기업이 차드 공격으로 연달아 피해를 입었다. 지난해 7월, 8월, 10월, 11월 공격 사례가 발견됐다. 공격자는 최초로 피해를 입은 A사를 거점으로 삼고 대역 스캐닝, 정보 수집을 통해 감염 시스템 범위를 넓혔다. 지난 2월에는 A사를 상대로 추가 악성행위를 수행한 사실도 포착됐다.

차드 공격에서는 트로이목마, 프록시 봇, 백도어, 다운로더 등 다양한 종류의 악성코드가 사용된 것으로 조사됐다. 각 공격에 사용된 악성코드들은 기능이 유사하면 매우 높은 코드 유사도를 보였다.