“기업 73%, 심각한 익스플로잇 공격 당해”
상태바
“기업 73%, 심각한 익스플로잇 공격 당해”
  • 김선애 기자
  • 승인 2018.06.14 10:15
  • 댓글 0
이 기사를 공유합니다

포티넷, 익스플로잇·패치 안된 시스템 노리는 공격 증가…암호화폐 채굴·랜섬웨어 극성

사이버 공격 도구가 신·변종 악성코드에서 익스플로잇으로 옮겨가는 징조가 분명하게 나타나고 있다. 포티넷의 ‘2018년 1분기 글로벌 보안 위협 전망 보고서’에 따르면 이 기간 동안 기업당 공격 탐지 건수는 13% 떨어졌지만, 익스플로잇을 탐지한 건수는 11% 이상 증가했으며, 기업의 73%가 심각한 익스플로잇 공격을 당한 것으로 알려졌다.

또한 제로데이 공격과 같이 패치되지 않은 잘 알려진 취약점을 악용할 때 효과가 높다는 점을 인식하고 있다. 마이크로소프트는 익스플로잇의 1위 타깃, 라우터는 전체 공격 양에서 2위 타깃을 차지했다.
제로데이 공격은 패치가 발표됐음에도 패치를 하지 않은 시스템을 노린다. 따라서 패치만 해도 상당한 보안 효과가 있는데, 단순한 패칭보다는 사이버 위생이 더 중요하다는 사실에도 주목해야 한다.

조사에 의하면 봇넷 감염의 58.5%가 같은 날에 탐지되고 치료됐다. 봇넷의 17.6%는 연속 2일간, 7.3 %는 3 일간 지속되었으며, 약 5 %는 일주일 이상 지속됐다. 한 예로 안드로메다 봇넷은 2017 년 4 분기에 사라진 듯 했으나, 1분기 데이터를 보면 양과 유행 정도 모두에서 현저히 증가했다는 것을 알 수 있다.

크립토마이닝, 전 분기보다 2배 늘어

사용자 컴퓨터를 해킹해 그 리소스로 암호화폐를 몰래 채굴하는 크립토마이닝과 크립토재킹도 크게 증가하고 있다. 크립토마이닝은 사용자 PC를 해킹하는 방법이며, 크립토재킹은 웹사이트를 감염시킨 후 방문자 PC 리소스를 몰래 이용하는 공격 방식이다.

이 기간 동안 크립토마이닝은 28%를 차지해 전 분기보다 2배 이상 늘어났으며, 크립토재킹은 중동, 라틴 아메리카, 아프리카 지역에서 상당히 많이 발견된 것으로 나타났다.

크립토마이닝 멀웨어는 다양한 방식으로 확산되고 있는데, 사이버 범죄자들은 탐지가 어려운 브라우저에 감염된 코드를 삽입하는 파일리스 악성 코드를 생성하며, 채굴자들은 비트코인, 모네로 등의 암호화폐는 물론, 다양한 운영 체재를 타깃으로 삼는다. 그들은 향후 성공률을 높일 수 있는 가능성에 따라 다른 위협의 확산 기법을 유연하게 채택하고 조정한다.

타깃 시스템을 파괴하는 멀웨어도 성행하고 있다. 이전에는 장기간 네트워크에 머물면서 사이버 스파이 역할을 하는 공격이 대다수를 이뤘지만, 평창동계올림픽에서 나타난 ‘올림픽 파괴자’를 비롯해 삼삼 랜섬웨어 등이 파괴적인 공격으로 꼽힌다. 이러한 공격은 목표 조직을 정밀하게 정찰하고 취약점을 찾아내 공격 성공률을 높인다.

랜섬웨어는 워너크라이 이후 다소 줄어든 것으로 보이지만, 여전히 공격자들의 중요 수익원으로 꼽히고 있다. 이전보다 한층 더 정교해진 사회공학 기법을 사용하며, 보안 시스템을 피하기 위한 다단계 공격 등의 새로운 기법을 적용하며 지속적으로 진화해 가고 있다.

1월에 발견된 갠드크랩 랜섬웨어 암호화폐인 대시(Dash)를 결제 수단으로 요구하는 최초의 랜섬웨어이다. 블랙루비와 삼삼은 2018 년 1분기에 주요한 위협 요소로 발견된 랜섬웨어 변종이다.

OT 타깃 공격 ‘위험’

운영 기술(OT) 공격이 전반적인 공격 환경에서 차지하는 비율은 적지만, 위협 트렌드 측면에서 볼 때는 상당히 유의해야 한다. 이 섹터는 인터넷에 연결되기 때문에 보안과 관련된 잠재적인 파급 효과가 크다.

현재 대부분의 익스플로잇 활동은 광범위하게 유포되어 고도로 타깃화 돼 있으며, 가장 보편적인 2가지 산업 통신 프로토콜을 대상으로 하고 있다. 이번 조사는 아시아 지역에서 산업제어시스템(이하 ICS) 익스플로잇 시도가 다른 지역에서의 ICS 익스플로잇 활동 정도와 비교할 때 더 많이 확산돼 있는 것으로 나타났다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.