본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

2017년은 각종 사이버 보안 위협과 신,변종 랜섬웨어, 악성코드의 공격이 증가(Risen)한 해였습니다. 이스트시큐리티 시큐리티대응센터(ESRC)는 올해 되돌아 봐야 할 보안이슈 Top 5로 RISEN을 선정하였습니다.



1) 끊임없이 진화하는 랜섬웨어 : Ransomwares prevailing


랜섬웨어가 해커들에게 많은 돈을 벌어다 주는 주요 수익원으로 자리잡은 지 벌써 몇 년이 흘렀지만, 2017년에도 랜섬웨어의 위협은 여전히 사이버 범죄에서 큰 비중을 차지했습니다. 특히 그동안 랜섬웨어의 공격대상이 불특정 다수였다면, 그 대상이 점차 특정 기업/기관으로 변해가고 있는 추세입니다. 그 이유는 개인에 비해 기업/기관이 랜섬웨어에 감염되어 중요 파일이 암호화 되면 그 피해가 막대하기 때문에, 랜섬 비용을 해커에게 지불하여 암호화된 문서를 복구하고자 할 가능성이 높은 타깃을 공격자가 노리고 있다고 볼 수 있습니다.


대다수의 랜섬웨어는 금전적인 수익을 목적으로 하지만, 올해에는 Petya(페트야) 랜섬웨어처럼 시스템 파괴를 목적으로 복호화가 불가능하도록 제작한 와이퍼 악성코드(Wiper Malware)가 등장하기도 하였습니다. 또한 5월에는 WannaCry(워너크라이) 랜섬웨어를 시작으로 이전에는 거의 활용되지 않았던 네트워크 전파 기능 취약점을 악용해 감염 확산이 빠른 랜섬웨어 공격이 발생하기도 하였습니다. 랜섬웨어 공격은 더욱 새로운 형태로, 더욱 교묘한 방식으로 계속해서 이어지고 있습니다.

 

2) IoT(사물 인터넷) 기기 타깃 공격의 증가 및 고도화 : IoT targeted attacks


2016년 말, Mirai(미라이) 악성코드의 등장 이후 IoT 디바이스를 타깃으로 하는 악성코드들의 숫자가 급속도로 증가하고 있으며, 계속해서 그 공격 기법이 고도화되고 있습니다. 기존 Mirai 악성코드가 취약한 비밀번호를 사용하는 IoT 기기를 공격하는 상대적으로 단순한 공격 방식을 택했다면, 2017년에는 본격적으로 취약점을 악용한 공격이 주를 이루었습니다.


올해 초, Mirai 악성코드와 유사한 기술을 사용하여 IoT 기기들을 영구적으로 망가뜨려 버리는 (PDoS, Permanent Denial of Service) Brickerbot(브리커봇) 악성코드가 발견되었으며, 취약점이 있는 IoT 기기들을 타깃으로 하는 Amnesia(암네시아), Linux.ProxM, IoT_reaper 등의 악성코드들이 지속적으로 등장하였습니다. 특히 Amnesia 악성코드는 리눅스 기반 임베디드 기기에서 동작하는 악성코드로는 처음으로 가상화된 환경에서 실행중인지를 검사하여 우회하려는 등, 공격 기법이 점차 고도화 됨을 보여주었습니다.


최근 사물인터넷 기기 타깃 공격들이 취약점을 통하여 유포되는 만큼, 관련된 감염 기기의 수 또한 매우 빠르게 증가하였고, 그에 따라 IoT를 이용한 DDoS 공격의 위협도 급격히 증가하고 있어 취약한 기기에 대한 보안이 재조명되고 있습니다.


3) 유명 SW업데이트 서버를 노린 공격의 증가 : Server targeted attacks


2017년에는 전 세계적으로 유명 SW업데이트 서버를 해킹하여 악성코드를 유포하는 대규모 공격이 증가했습니다. 우크라이나 소프트웨어 벤더 사의 서버가 해킹 당해, 수 많은 공공기관들이 Petya(페트야) 랜섬웨어에 감염된 사례가 있었습니다. 또한 글로벌 백신 사의 다운로드 서버 해킹으로 악성코드가 포함된 버전으로 바꿔 치기 된 프로그램이 정상 프로그램을 위장하여 한 달 동안 수 백만명의 사용자들을 감염시키기도 했습니다. 여기에는 2단계 페이로드가 포함되어 있었으며, 해당 페이로드는 세계적인 거대 IT기업들을 감염시키기 위한 백도어를 포함하고 있는 것으로 확인되었습니다.


공격자들은 유명 SW 업데이트 서버 노려 단 시간에 전 더 많은 사용자들을 감염시킬 수 있었고, 다시 말해 보다 효율적인 공격이 가능했습니다.


4) 가상 화폐 인기 급상승으로 거래소를 노리는 공격의 증가 : Exchange targeted attacks


가상 화폐에 대한 식을 줄 모르는 관심과 늘어나는 투자자 수에 따라, 해킹이 어려운 가상 화폐 자체보다는 가상 화폐를 거래하는 거래소를 타깃으로 하는 공격이 빠르게 증가하고 있습니다. 국내에서도 최대 가상 화폐 거래소의 해킹 사태로 3만명에 달하는 회원 정보가 유출된 바 있으며, 이로 인해 다수 고객이 금전적인 2차 피해를 입었습니다. 뿐만 아니라, 한 거래소는 해킹으로 3,831 비트코인을 도난 당했으며, 21억원 어치의 가상 화폐가 탈취당한 거래소도 존재했습니다.


가상 화폐 거래소를 노린 공격들은 물론 관련 피해도 현재까지 계속 진행되고 있어, 대책이 시급한 상황입니다.


5) NSA 해킹툴의 공개와 높아지는 위협 : NSA hacking tool hacked


지난 여름, 유명 해커 그룹 Shadow Brokers가 미국 국가안보국(NSA)이 보유하고 있던 다수의 해킹 툴과 기밀 정보를 해킹했다고 주장했습니다. 이후 그들은 Windows의 취약점을 공격하는 NSA 해킹 툴을 공개하였고, 전세계 온라인 범죄자들이 취약한 PC를 해킹하는 데 이를 악용하기 시작했습니다.


그 중 SMB취약점을 이용해 Windows의 시스템을 손상시키는 취약점 공격 도구 EternalBlue(이터널블루)는 올해 7월 WannaCry(워너크라이) 랜섬웨어에 사용되어 전 세계적으로 약 80억 달러(약 8조 9000억 원)에 달하는 피해를 입혔습니다. 또한 최근 러시아를 시작으로 우크라이나와 유럽을 큰 혼란에 빠지게 한 BadRabbit(배드래빗) 랜섬웨어 또한 NSA 해킹 툴을 사용한 것으로 드러났습니다.


Shadow Brokers는 이후에도 해킹 툴의 소스 코드와 패스워드를 공개하겠다고 위협했으며, 실제로 몇 차례에 걸쳐 공개된 해킹 툴로 인해 워너크라이 공격과 같은 악용 사례가 다수 발생하고 있습니다. 해킹 툴을 통해 공격 당할 가능성이 있는 취약점에 대한 패치는 꾸준히 진행되고 있으나, 최신 보안 패치를 진행하지 않은 사용자가 많기 때문에 앞으로도 지속적인 공격과 피해가 발생할 것으로 예상됩니다.