“암호화폐 가격이 하락하면서 랜섬웨어와 크립토재킹 공격으로 인한 수익이 감소하자 사이버범죄자들이 ‘폼재킹(Formjacking)’에 주목하고 있다.”

온라인 쇼핑몰에서 신용카드 정보를 빼가는 ‘폼재킹’ 공격이 지난해 전세계적으로 크게 증가한 것으로 나타났다. ‘폼재킹’은 사이버범죄자들이 수익을 거두기 위해 찾은 공격대안으로 보인다.

폼재킹 공격이 증가하는 가운데 인질로 잡은 데이터 복구 대가로 암호화폐를 요구하는 ‘랜섬웨어(Ransomware)’ 공격과 암호화폐를 채굴하는 ‘크립토재킹(Cryptojacing)’ 공격은 지난해 감소세를 나타냈다.

시만텍코리아(대표 이석호)는 26일 지난해 주요 사이버범죄 및 보안위협 동향을 분석한 ‘인터넷 보안 위협 보고서(ISTR) 24호’를 발표하면서 사이버범죄자들이 쉽게 돈을 벌기 위한 수법으로 ‘폼재킹’ 공격에 새롭게 주목하고 있다고 밝혔다.

매달 4800만개 웹사이트 폼재킹 공격에 감염

폼재킹은 가상의 ATM 스키밍(skimming)으로, 사이버범죄자들이 온라인 구매 사이트에 악성코드를 삽입해 쇼핑객의 결제카드 정보를 탈취하는 공격 기법이다.

시만텍에 따르면, 지난해 매달 평균 4800개 이상의 웹사이트가 폼재킹 코드에 감염됐으며, 370만 건 이상의 폼재킹 공격을 엔드포인트에서 차단했다. 전체 탐지 건수 가운데 약 3분의 1은 연중 온라인 쇼핑이 가장 많은 11월과 12월에 발생했다. 시만텍은 이 두 달 동안에만 100만 건 이상의 폼재킹 공격을 차단했다.

대표적인 피해 사례는 티켓마스터(Ticketmaster)와 영국항공(British Airways) 등이다. 이들 유명 온라인 결제 사이트는 최근 몇 개월 동안 폼재킹 코드에 감염됐다.

이들 뿐만 아니라 중간 규모 온라인 구매 사이트 역시 가장 광범위하게 폼재킹 공격을 당했다고 시만텍은 설명했다.

국내 온라인 쇼핑 사이트의 경우 폼재킹 공격 피해가 크게 발생하지는 않고 있다. 폼재킹 공격은 자바스크립트 기반 쇼핑몰 사이트가 주 대상이지만 국내 쇼핑몰은 이같은 방식으로 개발되지 않아서 비교적 안전하다는 게 시만텍의 설명이다.

다만 해외 쇼핑 사이트에 직접 접속해 물품을 구입하는 소비자들은 위험에 처할 수 있다. 사용자들이 폼재킹 공격을 감지하는 보안 솔루션을 사용하지 않으면 감염된 사이트를 방문하는 지 알 길이 없는 것이 문제다.

김봉환 시만텍코리아 기술총괄 상무는 “쉽고 빠르게 쇼핑몰 사이트를 만들 수 있기 때문에 미국 등 해외 온라인 쇼핑몰은 주로 자바스크립트를 사용하고 있지만 외부 공격에 취약하다”며 “국내 온라인 쇼핑몰 구조는 해외 쇼핑몰의 경우와 다르지만 해외 직구하는 소비자들은 주의해야 한다. 최근 이상행위탐지시스템(FDS) 탐지율이 급증하는 이유도 해외 사이트 이용, 해외 직구로 인한 것이 많다고 알고 있다”고 지적했다.

실제로 지난해 전세계에서 발생한 폼재킹 공격 465건 가운데 한 건 정도는 한국에서 차단됐다고 시만텍은 밝혔다.

사이버범죄자들은 신용카드 사기로 개인사용자의 금융정보와 개인정보를 탈취하고 다크웹(dark web)에서 판매해 2018년 한 해 동안 최소 수천만달러의 수익을 올렸을 것으로 추정된다.

김 상무는 “지하시장에서 신용카드 한 장이 최대 45달러(약 5만원)에 팔리고 있다”라면서 “감염된 각 웹사이트에서 신용카드 정보를 10개씩만 탈취해도 사이버범죄자들은 월 최대 220만달러(약 24억5000만원)의 수익을 거둘 수 있는 수준”이라고 말했다.

38만건 이상의 신용카드 정보가 유출된 영국항공 공격의 경우, 범죄자들은 이 공격 하나로 1700만 달러(약 190억원) 넘게 벌어들였을 것으로 추정된다.

시만텍은 올해에도 폼재킹 공격은 계속될 것으로 전망하고 있다.

랜섬웨어·크립토재킹 감소했지만 공격 멈추진 않았다

랜섬웨어와 크립토재킹은 최근 몇 년 간 사이버범죄자들에게 높은 수익을 안겨다준 손쉬운 돈벌이였다. 지난해에는 암호화폐의 가치 하락과 클라우드 및 모바일 컴퓨팅의 도입 증가로 이러한 공격 효과가 떨어지면서 전반적인 공격 활동이 감소했다.

랜섬웨어 감염은 지난해 전년 대비 20% 감소했는데, 2013년 이후 처음 하락세를 나타냈다. 그렇다고 기업들이 방심해서는 안된다. 개인 기업의 랜섬웨어 감염은 12% 증가해 전반적인 하락세와 대조적인 흐름을 보이며 기업에 지속적인 위협이 되고 있는 상황이다.

실제로 랜섬웨어 감염 10건 중 8건 이상은 기업에 영향을 미친다. 반면에 개인사용자 대상 랜섬웨어 공격은 2016년 최대치를 나타냈다 2017년 전체의 41%, 2018년 전체의 19%로 꾸준히 감소하고 있다.

김 상무는 기업 대상 공격이 늘어난 이유로 “주로 윈도우를 사용하고, 중요 파일이 백업되지 않았을 가능성이 크고 공격이 성공하면 더 큰 수익을 거둘 수 있다”며 “몸값 지불 여부를 비즈니스 관점에서 결정할 것으로 보기 때문”이라고 설명했다.

지난해 초정점에 달했던 크립토재킹 공격은 한 해 동안 52%나 줄어들었다. 2018년 1월 800만건에 달한 크립토재킹 이벤트 차단 건수가 12월 말에는 400만건 이하로 뚝 떨어졌다.

시만텍은 2018년 12월 한 달 동안 엔드포인트에서 350만 건의 크립토재킹 활동을 차단했다.

이는 암호화폐 가치가 90%까지 떨어지며 수익성이 크게 하락했음에도 크립토재킹은 낮은 진입장벽, 최소한의 간접비, 익명성 보장 등으로 여전히 공격자들의 관심을 끌고 있다는 것을 보여준다.

지난해 소프트웨어 공급망 공격도 크게 증가했다. 표적공격 유형인 소프트웨어 공급망 공격은 전년 대비 78% 급증했다. 공격자들은 공격대상 시스템을 활용하는 이른바 ‘자원활용 자력형(Living off the Land)’ 공격 기법을 이용해 눈에 띄지 않고 수많은 합법적인 프로세스에서 활동 은폐를 시도하고 있다.

대표적인 사례가 악성 파워쉘(PowerShell) 스크립트의 사용이다. 지난해 무려 1000%나 증가했다. 시만텍은 매달 11만5000개의 악성 파워쉘 스크립트를 차단하고 있지만, 이는 실제 전체 파워쉘 사용량의 1%도 채 되지 않는 수치이다.

합법적 프로세스이기 때문에 파워쉘 활동을 차단하는 접근법은 오히려 기업에 피해를 야기할 수 있기 때문에 많은 표적 공격 그룹이 자원활용 자력형 공격을 선호하고 있다는 것이 시만텍의 관측이다.

자원활용 자력형 공격과 소프트웨어 공급망 약점 공격 외에 공격자들은 기업에 침투하기 위해 스피어피싱과 같은 전통적인 공격 방법 사용을 늘리고 있다. 여전히 표적 공격의 주요 동기는 정보 수집이지만, 비즈니스 운영의 중단 및 방해를 목표로 한 악성코드를 이용한 공격 그룹도 2018년에 25% 증가했다.

이밖에도 설정 오류 등과 같은 실수로 인한 클라우드 보안 피해가 증가했고, 취약한 사물인터넷(IoT) 기기 대상 공격이 늘어났다.

김 상무는 “IT와 산업용 IoT가 융합하는 추세가 확산됨에 따라 다음 사이버 격전지는 운영기술(OT)”이라고 설명하며, “쓰립(Thrip), 트리톤(Triton) 등 점점 더 많은 공격 그룹이 운영시스템과 산업제어시스템을 겨냥한 사이버전에 관심을 보이고 있다”고 전했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network