사이버표적공격 변화 양상…시만텍 “체제전복 등 정치목적 공격 증가”
사이버표적공격 양상이 기밀정보를 유출하려는 산업스파이 활동에서 사보타주, 시스템 파괴, 심지어 체제 전복을 노린 정치적 목적 공격으로 변화되는 양상이 두드러지고 있다는 분석이 나왔다. 지난해가 기점으로, 정치적 목적을 가진 사이버공격이 크게 증가했다.
시만텍코리아(대표 이석호)는 2016년 사이버보안 위협 동향을 분석한 내용을 담은 ‘인터넷 보안 위협 보고서(ISTR) 22호’를 26일 공개하면서 지난해를 “사이버공격 활동 목적에 새로운 변화가 포착된 한 해”라고 규정했다.
지난해에는 정치적 파급력이 큰 사이버공격이 많이 발생했다. 수백만달러 규모의 은행 절도, 미국 대통령 선거 과정에 영향을 주기 위해 국가 지원을 받는 해킹 조직의 공격 시도가 대표적이다.
국제은행간통신협회(SWIFT ; 스위프트) 허점을 악용해 방글라데시 중앙은행을 비롯해 베트남·에콰도르·필리핀·폴란드 등 30여개국 104개 은행을 대상으로 막대한 돈을 빼내기 위한 해킹 시도가 나타났다. 이 사건은 북한 소행이거나 북한이 관련된 것으로 지목된 상태다.
시만텍은 스위프트 시스템 조작을 위해 개발된 맞춤형 악성코드에서 지난 2014년 소니픽쳐스 해킹 배후로 지목된 ‘나자로(Lazarus)’ 조직과의 연관성을 발견했다.
북한의 사이버공격 집단은 최소 9400만달러(약 1060억원)을 탈취하는데 성공한 것으로 분석되고 있다.
미 대선을 앞두고 벌어진 민주당 자료 해킹 사건은 러시아가 배후라는 것이 기정사실화 된 상태다. 이같은 사이버공격과 정보 유출 공격은 표적 단체·국가를 불안한 상태로 만들고 무력화시키려는 범죄 양상을 보여준다고 시만텍은 설명했다.
지난해에는 2012년 사우디아라비아와 카타르 에너지 부문을 겨냥해 발생한 ‘샤문(Shamon)’이라는 디스크를 지우는 악성코드 공격이 4년 만에 다시 활동을 시작하기도 했다. 2015년 12월 발생한 우크라이나 정전사태도 사이버공격과 연관돼 있다는 의심도 나왔다.
미 선거를 겨냥한 공격 캠페인이나 디스크를 지우는 ‘샤문’ 악성코드 공격 등 몇몇 캠페인의 성공은 사이버범죄자들이 다른 국가의 정치에 영향을 주고 불화를 유도하려는 시도가 점차 증가하고 있다는 것을 보여준다는게 시만텍의 분석이다.
일반 IT 툴을 무기로 삼아 공격, 이메일 활용 공격 최고치
지난해 주목할만한 또 다른 공격 양상은 사이버범죄자들이 쉽게 이용할 수 있는 IT 자원을 동원해 공격 캠페인에 복합적으로 활용하는 ‘자력형 공격’이 늘고 있다는 것이다.
지난해 시만텍은 사이버범죄자들이 제로데이 취약점이나 익스플로잇, 전문화된 악성코드를 공격에 이용하지 않고 PC에 설치되는 일반적인 스크립트 언어인 파워쉘(PowerShell)이나 흔히 사용하는 마이크로소프트(MS) 오피스 파일을 무기로 활용해 공격한 사례를 확인했다.
시스템 관리자들이 일상적인 관리 업무에 사용하는 IT 툴을 이용하면 공격 흔적을 덜 남길 수 있고 눈에 잘 띄지 않는다는 점을 노린 것으로 보인다. 시만텍은 “여러 곳에서 확인한 파워쉘 파일의 95%는 악성으로 확인됐다”고 밝혔다.
사이버범죄자들이 가장 선호하는 공격 수단은 이메일로 나타나 일반 사용자들에게 큰 위협이 되고 있다. 이메일 131건 당 1건의 이메일에 악성 링크 또는 악성 첨부문서가 포함된 것으로 나타나 최근 5년 중 가장 높은 수치를 기록했다.
또한 정교한 스피어피싱 이메일에 의존하는 ‘업무 송금 유도 이메일 사기(BEC, Business Email Compromise scam)’ 수법으로 지난 3년간 기업에서 빼낸 금액이 30억달러(3조3795억원)에 달하는 것으로 나타났다. 매일 400개 이상의 기업이 표적이 되고 있다.
랜섬웨어 푸는 대가 평균 122만원으로 증가, 클라우드·IoT 위협 커져
랜섬웨어는 전세계적인 문제로 떠올랐다. 범죄자들에게는 여전히 수익성이 높은 비즈니스다. 시만텍은 2016년 한 해 100개 이상의 신규 랜섬웨어 패밀리(동일한 범주의 변종 악성코드 집합)를 발견했다. 전세계 랜섬웨어 공격은 36%나 증가한 것으로 나타났다.
공격자들이 랜섬웨어 공격 대상으로 삼은 국가 1위는 ‘미국’이다. 시만텍이 랜섬웨어 피해자가 금전 요구에 지불할 용의가 있는지 파악한 결과, 전세계 평균이 34%인 것에 비해 미국인은 64%가 금전 요구에 지불할 용의가 있다고 답변했다. 2016년 랜섬웨어 범죄자들이 평균적으로 요구한 금액은 평균 1077달러(122만원)로 2015년 294달러(33만원)에서 약 3.7배 수준으로 증가했다.
기업들의 클라우드 서비스 의존도가 증가함에 따라 관련 위협도 증가하고 있다. 지난해 한 서비스 사업자는 인증시스템이 구동되지 않은 상태에서 사용자들이 과거의 DB를 인터넷 상에 올리는 바람에 수십만 개의 클라우드 데이터베이스가 장악됐고, 금전요구를 받은 사례가 있었다.
문제는 조직 내에서 마나 많은 클라우드 앱이 사용되고 있는지조차 제대로 파악하지 못하고 있다는 점이다. 시만텍에 따르면, 정보관리책임자(CIO)들은 평균 최대 40개의 클라우드 앱을 사용하고 있을 것이라고 응답했으나 실제 기업들이 사용하고 있는 클라우드 앱은 평균 928개에 달했다.
이러한 인식과 현실간의 차이는 클라우드 서비스 접속과 관련한 기업의 정책·절차의 부재로 이어질 수 있고, 클라우드 앱이 위험한 환경에 놓일 수 있다.
사물인터넷(IoT) 기기는 상대적으로 보안이 취약해 공격자에게 손쉬운 표적이 되고 있다.
2016년에는 IoT를 겨냥한 최초의 대형 보안 사고가 발생했다. 라우터, 보안 카메라 등 IoT 디바이스로 구성된 미라이(Mirai) 봇넷이 사상 최대 규모의 디도스(DDoS) 공격을 감행했다.
시만텍의 분석에 따르면, 2016년에 IoT 디바이스에 대한 공격 시도가 2배나 증가했으며, 또한 공격 시도가 최고로 활발한 때에는 평균적인 IoT 디바이스의 경우 2분마다 한 번씩 공격을 받은 것으로 조사됐다.
윤광택 시만텍코리아 CTO는 “과거에는 경제적목적의 사이버공격이 주를 이룬 반면, 지난해에는 체제 전복과 사보타주 활동 등 정치적 의도를 가진 표적 공격이 증가해 공격 동기 변화가 두드러졌다”라며 “공격자들만 알고 있는 제로데이 취약점이나 전문 악성코드가 아닌, 손쉽게 이용할 수 있는 IT자원과 사회공학적 기법으로 공격 효과를 극대화하는 ‘자력형 공격’이 늘고 있다는 것에도 주목해야 한다”고 강조했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
