시스코 탈로스 분석가 “사이버공격자 ‘데이터’와 ‘돈’ 집중 표적…암호화폐 ‘피싱’ 주의”

“데이터는 사이버공격자들의 새로운 표적이 됐다. 그리고 돈이 몰리는 곳으로 사이버공격자들이 쫓아가고 있다.”

시스코 사이버위협 인텔리전스·리서치 조직인 ‘탈로스(TALOS)’ 분석가가 지목한 최근 사이버공격자들의 동향이다.

얼 카터(Earl Carter) 시스코 탈로스 글로벌 보안위협 분석 총괄이사는 20일 방한해 기자들과 만난 자리에서 최근 주목해야 할 사이버위협으로 랜섬웨어와 암호화폐(가상화폐) 관련 위협을 꼽았다.

카터 이사에 따르면, 사용자 컴퓨터에 담기는 ‘데이터’가 공격자들의 집중 표적이 됐다. 랜섬웨어를 통한 데이터 공격이 대표적이다. 이같은 공격 방식은 계속 진화되고 있다.

랜섬웨어 악성코드는 보안에 취약한 사용자 컴퓨터를 감염시켜 담긴 데이터를 인질로 삼아 돈을 요구한다. 지난해에도 국내외에서 수많은 피해를 입히면서 공격자들에게 막대한 수익을 안겨준 공격 방식이다.

돈을 노린 공격은 최근 암호화폐 사용자를 대상으로 이동, 확대되고 있다.

카터 이사는 “공격자들은 암호화폐 월렛(지갑)에 돈이 많이 들어있다는 점을 노린다”라면서 “공격자들은 ‘블록체인’에서 철자 몇 개만 바꾼 가짜 피싱 웹사이트를 만들어 구글 검색 상단에 노출시킨 다음 접속자들의 개인정보를 빼가고, 다시 정상 사이트로 연결시킨다. 여기서 개설하는 월렛을 장악해 돈을 빼간다”고 말했다.

시스코 탈로스가 한 가짜 블록체인 사이트의 도메인네임시스템(DNS) 정보를 분석한 결과 수십만명의 사용자가 이같은 잘못된 도메인에 접속한 것으로 나타났다.

카터 이사는 “우크라이나 지역을 대상으로 한 ‘코인호더(COINHOARDER)’ 공격을 분석한 결과, 암호화폐 월렛 하나당 200만달러의 금전 피해가 발생한 것을 확인했다”라면서 “이같은 공격으로 3년간 5000만달러 규모의 금전 피해를 입었을 것”이라고 추산했다.

그는 암호화폐 관련위협으로 채굴형 악성코드가 증가하고 있다는 점도 지목했다.

채굴 관련공격은 랜섬웨어처럼 피해자를 직접 관여시킬 필요가 없고 외부 감시도 자유롭다. 초기 감염이 이뤄지면 최소한의 노력만으로 높은 경제적 이득을 안겨준다. 적발 확률도 낮고 수익금이 영구적으로 들어온다는 잇점이 있다.

탈로스는 암호화폐 ‘모네로’ 채굴 악성코드의 경우 평균 하루 0.28달러에 달하는 모네로를 시스템에서 생산하는 것으로 분석했다. 이는 200명의 피해자를 거느린 공격자가 하루 560달러, 1년에 20만4400달러의 이득을 취하는 셈이다. 감염된 시스템 수백만개로 이뤄진 봇넷은 1년에 1억달러에 달하는 이득을 챙길 수 있게 되는 셈이다.

카터 이사는 “검색광고 상단에 노출되는 가짜 가상화폐·블록체인 사이트를 막거나 사용자들에게 경고할 방법은 아직까지 없다”라면서 “누구나 원하면 도메인을 만들 수 있기 때문에 암호화폐 거래소 등을 운영하는 기업 스스로가 허위 도메인을 모니터링, 파악해 스스로 폐쇄시키는 조치를 해야 한다“고 설명했다.

그는 “시스코 엄브렐러는 허위 정보가 포함돼 있는 도메인이 감지되면 해당 기업에 잠재위협 요인을 알려주는 서비스를 제공하고 있다”고 덧붙였다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network