[2020년 02월 13일] - 보안 기업 소닉월(지사장 신용훈)이 연간 사이버 위협 보고서를 공개했다. 보고서에 따르면 특정 기업 및 소비자를 타깃으로 하는 탐지 회피 기법의 사이버 공격이 늘고 있다.
위협 보고서는 215개 국가 및 지역에 전략적으로 배치한 110만 개의 센서를 통해 2019년 한 해 동안 수집한 위협 정보를 통해 작성됐다. 소닉월 캡처 랩 위협 연구원들은 매일 14만 건의 멀웨어 샘플을 수집하고 분석했으며, 매일 2,000만 건의 멀웨어 공격을 차단하고 99억 건의 멀웨어 공격을 기록했다. 소닉월 캡처 랩은 공격자가 더 타깃화되고 업무적으로 더욱 중요한 시스템으로 이동하기 때문에, 기업 및 사용자들은 사이버 위협을 미리 감지할 수 있도록 공격 동향을 예의 주시해야 한다고 강조했다.
빌 코너(Bill Conner) 소닉월 사장 겸 CEO는 “사이버 범죄자들은 보다 높은 정확도와 샌드박스 기술을 통해 탐지 회피 기능을 강화하여 더욱 은밀한 공격을 설계하고, 기획하여, 배포하는 능력을 갖게 됐다. 이제 기업들은 그 어느때보다 신속하게 위험을 감지하여 대응하지 않으면, 범죄자들이 몸값으로 요구하는 협상안을 받아들일 수밖에 없는 상황에 처할 것이다”고 말했다.
2020년 소닉월 보고서의 주요 내용은 다음과 같다.
사이버 범죄자의 멀웨어 접근 방법 변화 – 과거 멀웨어 공격의 높은 비중을 차지했던 ‘무작위’ 전술의 빈도가 하락했다. 약한 피해자들을 겨냥하여 더 타깃화 되고 회피할 수 있는 기술이 늘어나고 있기 때문이다. 소닉월 조사 결과 99억 건의 공격이 발견됐으며, 이는 전년대비 6% 하락한 수치다.
피해자들에게 심각한 피해를 주는 타깃형 랜섬웨어 공격 – 랜섬웨어의 총 발생 건(1억 8,790만 건)은 2019년 9% 감소했으며, 이로 인해 여러 공공기관이 마비되고, 이메일, 웹 사이트, 전화 및 디스패치 서비스까지도 심각한 피해를 입은 것으로 나타났다.
사이버 범죄자들의 보물상자로 떠오른 사물 인터넷(IoT) - 범죄자들은 지속적으로 스마트 TV, 전동 스쿠터, 스마트 스피커 등의 기기는 물론 칫솔, 냉장고, 초인종과 같은 생활 필수 기능에 랜섬웨어를 배포하고 있다. 2019년 소닉월 캡처 랩에 따르면, IoT 멀웨어 공격이 5%가 증가한 3,430만 건을 기록했다.
지속적으로 흔들리는 크립토재킹 – 암호화폐 시장의 불안정한 변화는 크립토재킹 멀웨어를 만들려는 범죄자들에 직접적인 영향을 주고 있다. 2019년 3월 코인하이브(Coinhive)의 해체는 사이버 위협의 동력을 저하시키는 데 주요 역할을 했으며, 후반기 사이버재킹 건수는 78%까지 급감했다.
마이크로오피스 및 오피스365, PDF 문서를 타깃으로 삼는 파일리스 멀웨어 – 사이버 범죄자들은 새로운 코드 난독화, 샌드박스 감지 및 우회 기술 등을 사용하여 다양한 변종을 만들어내는 한편 전통적인 디스크 페이로드 대신 파일리스 공격을 사용하여 더 정교한 익스플로잇을 개발하고 있다. 멀웨어는 전 세계적으로 6% 감소했지만 소닉월 조사 결과 가장 신뢰가 높은 파일에서도 탈취를 감행하는 새로운 위협이 지속되는 것으로 나타났다. 실제로 마이크로소프트 오피스(20.3%)와 PDF(17.4%)는 ‘캡처ATP’에서 감지한 새로운 위협의 38%를 차지한다.
어디에나 만연하는 암호화된 위협: 사이버 범죄자들은 HTTPs 트래픽을 통해 전송된 공격을 탐지, 검사 및 완화할 수 있는 기능이나 처리 능력이 없는 방화벽 등의 전통적인 보안 통제 표준을 우회할 수 있는 암호화된 위협을 사용하고 있다. TLS/SSL 트래픽으로 전송되는 멀웨어가 전년 대비 27% 증가했으며, 이 수치는 앞으로도 계속 증가할 것으로 예상하고 있다.
진화하는 사이드 채널 공격 – 이러한 취약성은 향후 보안 기기에서 최종 사용자의 노트북에 이르는 모든 기기와 같이 패치하지 않은 기기에 영향을 줄 수 있다. 위협 행위자는 인증을 우회하거나 악성 소프트웨어에 디지털 서명을 하기 위해 디지털 서명을 발행할 수 있다. 최근 멜트 다운/스펙터(Meltdown/Spectre), 포쉐도우(Foreshadow), 포트스매시(PortSmash), MDS 등의 변종인 TPM-FAIL이 등장하며, 이러한 공격 방법을 무기화하려는 범죄자들의 의도가 수면위로 드러나고 있다.
무시할 수 없는 비표준 포트를 통한 공격 - 올해 보고서에 따르면 멀웨어 공격의 19% 이상이 비표준 포트를 이용했지만 연말에는 그 수가 15% 감소한 것으로 나타났다. 이러한 유형의 전술은 타깃화 된 기업체를 대상으로 탐지되지 않는 페이로드를 배포할 때 사용된다.
By 김현동 에디터 hyundong.kim@weeklypost.kr
〈저작권자ⓒ 위클리포스트, 무단전재 및 재배포 금지〉
