암호화폐 채굴 공격이 급증했다. 보안업체인 시만텍이 탐지한 암호화폐 채굴 악성코드(Coinminer)는 2017년 1월 2만건에서 12월 170만건으로 8500% 증가한 것으로 나타났다.

그중에서도 사용자가 웹사이트를 탐색하는 동안 브라우저에서 암호화폐를 채굴하는 방식인 ‘크립토재킹(Cryptojacking)’은 더욱 폭발적으로 증가하는 추세다. 2017년에만 전년 대비 무려 3만4000% 급증했다.

지난해 암호화폐의 가치가 천문학적으로 상승하자 사이버범죄자들이 막대한 수익을 쫓아 암호화폐를 채굴하려는 이른바 ‘크립토재킹 골드러시’가 일어났다

시만텍코리아(대표 이석호)는 2017년 주요 사이버범죄와 보안위협 동향을 분석한 ‘인터넷 보안 위협 보고서(ISTR) 제 23호’를 3일 발표했다.

크립토재킹 공격 대상, 개인·기업·클라우드·IoT 기기까지 확대

컴퓨터에 설치되는 암호화폐 채굴 악성코드는 전력과 CPU 리소스를 가로채 암호화폐 채굴에 이용한다. 이 악성코드가 PC나 서버에 설치되면 기기를 느리게 만들고 배터리 과열을 일으킬 수 있다. 경우에 따라 사용 불가 상태로 만들기도 한다.

특히, 브라우저를 기반으로 한 크립토재킹 공격이 크게 증가하고 있다. 크립토재킹은 암호화폐(cryptocurrency)와 하이재킹(hijacking)의 합성어다. 웹사이트에 스크립트 한 두 줄만 추가하면 바로 채굴이 가능하다.

크립토재킹은 지난해 12월 기업보다 개인이 소유한 기기에서 암호화폐 채굴 악성코드가 2배나 많이 탐지됐다. 이는 암호화폐 채굴 작업이 동영상 스트리밍 사이트와 같이 오래 머무르는 사이트에서 효과적이기 때문에 기업보다는 개인사용자들에게 더 영향이 있었을 것으로 분석된다.

암호화폐 채굴 악성코드나 크립토재킹 공격은 계속 증가할 것으로 보인다. 이로 인한 피해자 3명 중 2명은 개인사용자이지만 기업을 겨냥한 공격도 증가하고 있다. 성능이 좋은 리눅스 서버나 클라우드 서비스도 채굴에 이용될 가능성이 점쳐지고 있다. CPU 사용량을 기반으로 과금되는 클라우드 서비스가 악용되면 이용 기업은 경제적 타격을 받을 수 있다.

사물인터넷(IoT) 기기도 크립토재킹 공격에 악용될 것으로 보인다. 시만텍 조사에 따르면, IoT를 겨냥한 공격은 2016년 약 6000개에서 2017년에 약 5만개로 증가했다. 사이버 범죄자는 네트워크에 연결된 IoT 기기의 특성을 악용해 대규모 채굴을 시도할 수 있다. 또한 맥(Mac) OS를 겨냥한 암호화폐 채굴 공격 또한 80% 증가해 맥 컴퓨터도 더 이상 안전지대가 아니다.

윤광택 시만텍코리아 최고기술책임자(CTO)는 “크립토재킹은 작년 9월부터 크게 급증했으며 올해에도 더욱 증가하는 추세”라며 “개인사용자뿐만 아니라 악성코드 감염 컴퓨터와 IoT 기기로 구성된 봇넷을 채굴에 이용하거나 보다 성능 좋은 컴퓨팅 자원을 사용하기 위해 기업 서버와 클라우드가 크립토재킹 표적이 될 것으로 전망된다”고 말했다.

암호화폐 채굴 호황에 랜섬웨어 시장은 조정 국면

호황을 누리던 랜섬웨어 비즈니스 시장은 조정 국면에 들어선 것으로 분석됐다.

지난 2016년 랜섬웨어는 범죄자들에게 높은 수익성을 안겨다줬다. 대가로 요구하는 금전 규모(금액)도 지나치게 높았다. 평균 금전 요구액은 2014년 372달러, 2015년 294달러 수준에서 2016년 1071달러로 급증했다.

조정 국면에 들어선 2017년 랜섬웨어 시장에서 평균 금전 요구액은 522달러로, 2016년의 절반 이하로 낮아졌다.

이는 랜섬웨어가 일상적인 악성코드로 자리매김했음을 의미한다. 많은 사이버범죄자들이 암호화폐 가치가 높아지면서 이를 수익 실현 대안으로 보고 암호화폐 채굴로 눈을 돌린 것으로 분석된다.

이와 함께 랜섬웨어 패밀리(동일한 범주의 변종 악성코드 집합) 수는 2016년의 98개에서 2017년에 28개로 크게 감소했지만, 랜섬웨어 변종 수는 46% 증가해 사이버범죄자 그룹들이 예전만큼 혁신적이지는 않지만 아직도 왕성하게 활동 중임을 알 수 있다.

한국, 작년 45건 표적공격 받아…SW 공급망 공격 급증

시만텍은 크립토재킹과 랜섬웨어 공격 외에도 표적공격과 소프트웨어(SW) 공급망(Supply Chain) 공격, 모바일 악성코드 급증 등을 2017년 주요 위협으로 꼽았다.

시만텍은 지난해까지 140개의 조직화된 표적공격 그룹을 추적했다. 확인된 표적공격 그룹 수는 2015년 87개에서 2016년 121개에서 계속 늘어나고 있다.

대다수가 자금 지원 등을 받는 국가 지원 공격그룹으로 추정되는 표적공격 그룹은 다른 사이버범죄조직처럼 만들어졌다 사라지지 않고 꾸준히 활동하는 경향을 보인다는 게 시만텍의 분석이다.

지난해 전체 표적공격의 71%는 이메일을 이용하는 고전적인 수법인 ‘스피어피싱(spear phishing)’ 공격으로 표적을 감염시켰다. 표적공격 그룹이 기업 조직에 침투하기 위해 이미 검증된 전술들을 이용하는 경향이 계속되면서 제로데이 공격은 인기가 시들해지고 있다. 표적공격 그룹 140개 중 가운데 불과 27%만이 과거에 제로데이 취약점을 이용한 것으로 분석됐다.

표적공격은 90%가 정보수집을 목적으로 하고 있다. 파괴(11%)나 금전(9%) 목적의 공격 비중은 낮은 상황이다.

표적공격 그룹이 가장 많이 공격하는 대상은 미국이다. 그 다음 인도, 일본, 대만, 우크라이나 순으로 나타났다. 한국은 2017년 총 45건의 표적공격이 발생해 세계 6위를 기록했다.

SW 공급망을 해킹한 뒤 자동 업데이트를 악용해 악성코드를 유포하는 사이버공격은 2017년 12건으로 2016년 4건 대비 200% 증가했다. 매달 1건의 공격이 발생한 셈이다.

사이버범죄자들은 공인된 SW 업데이트를 하이재킹해 업데이트를 실행하는 사용자 시스템과 네트워크를 2차 공격한다. 이같은 방법으로 공격자들은 보안이 뛰어난 네트워크를 공격할 수 있는 진입 경로를 확보할 수 있게 된다.

이러한 공급망 공격의 대표 사례는 2017년 발생한 페트야/낫페트야(Petya/NotPetya) 악성코드다. 페트야는 우크라이나 회계 소프트웨어를 진입 경로로 이용해 다양한 방법으로 기업 네트워크 전반에 악성코드를 확산·유포했다.

모바일 악성코드 급증세 지속 

시만텍이 탐지한 지난해 전체 신규 변종 악성코드는 6억6994만7865개로 전년 대비 87.7% 증가했다. 맥(Mac) OS 신규 변종 악성코드도 지난해 크게 늘어났는데, 전년 대비 80.1% 많아진 139만261개를 탐지했다.

2017년 신규 모바일 악성코드 변종 수는 2016년 대비 54% 증가했다. 모바일 위협은 매년 지속적으로 증가하고 있다.

시만텍은 지난해 매일 평균 2만4000개의 악성 모바일 애플리케이션을 차단했다. 문제를 더 심각하게 만드는 것은 오래된 OS가 계속 사용되고 있다는 점이다. 실제로 안드로이드 OS의 경우 최신 버전 업데이트 기기는 20%이며, 최신 마이너 버전까지 업데이트한 기기는 단 2.3%에 불과하다.

완전히 악성은 아니지만 문제를 일으킬 여지가 있는 그레이웨어(grayware) 앱 또한 모바일 사용자의 개인 정보 보안을 위협하고 있다.

시만텍 조사 결과, 그레이웨어 앱의 63%가 기기의 전화번호를 유출한 것으로 나타났다. 2017년 그레이웨어는 20%나 증가했으며, 이 문제는 계속될 것으로 보인다.

윤 CTO는 “암호화폐의 막대한 수익성을 노리고 개인과 기업의 시스템에 무단으로 침투해 전력과 리소스를 훔치는 크립토재킹이 폭발적으로 증가하고, 견고한 보안망을 뚫기 위해 SW 공급망을 이용해 악성코드를 유포하는 공격이 대두되는 등 사이버보안 위협 지형에 거대한 변화가 일어나고 있다”며, “범죄자들이 상업화〮조직화되는 경향이 가속화되면서 가성비가 뛰어난 진화된 수법을 이용하고 있는 만큼, 새로운 차원의 통합적인 보안 대응 방안이 필요하다”고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network