기업 서버를 감염시켜 몰래 암호화폐를 채굴하는 악성코드가 지난해 극성이었다는 분석 결과가 나왔다.
SK인포섹(대표 안희철)은 지난 18일 서울 종로 SK서린빌딩 수펙스홀에서 '이큐스트 미디어 데이'를 통해 이같은 내용을 포함한 ‘2018년 5대 사이버 위협 전망’을 발표했다.
이날 발표를 맡은 이재우 이큐스트 그룹장은 "암호화폐 가격이 올라가자 해커들이 암호화폐를 채굴하는(마이너) 악성코드를 기업 서버와 PC에 무작위로 삽입하는 공격 사례가 많았다"고 언급했다.
그에 따르면 해커는 기업 서버와 PC의 원격관리포트, 오픈소스SW 취약점 악용코드를 사전 제작하고 그 영향을 받는 공격대상을 지속적으로 탐색한다. 공격대상이 확인되면 암호화폐 채굴 악성코드를 설치하고, 시스템 자원을 도용해 채굴한 암호화폐를 준비된 해커의 지갑 주소로 송금한다.
이 그룹장은 "시스템 사용자가 평상시와 달리 급증하는 CPU 등 리소스 점유율을 보고 연락을 해 와서, 우리가 현장에서 확인해 보면 거기 설치된 마이너 악성코드를 발견한 사례가 있었다"며 "최근에는 감염 피해자의 눈을 피하도록 컴퓨터 사용이 적은 시간대를 노려 동작하는 변종 마이너까지 나왔다"고 덧붙였다.
이큐스트(EQST)그룹은 사이버 위협 분석 ? 연구를 비롯해, 실제 해킹 사고 현장에서 침해사고 대응을 맡고 있는 조직이다. SK인포섹은 이들을 하이테크 전문가 그룹으로 소개한다. 이날 발표에서는 지난해(2017년) 주요 보안 사고 해킹 기법과 공격 흐름을 짚고 올해(2018년) 주목할 5가지 위협 전망을 제시했다.
이큐스트그룹은 2017년 주요 보안사고 및 공격 사례 7가지를 꼽았다. 게임사와 IT기업 시스템관리서버를 겨냥한 APT공격, 사드(THADD) 배치로 발단이 된 중국 해커의 아파치 스트럿츠 취약점 공격, 호스팅업체에 피해를 입혔던 랜섬웨어 공격, 암호화폐 채굴수익을 노린 악성코드 공격, 원격관리 소프트웨어(SW) 해킹 공격, 보안솔루션 우회 공격, SW공급망 취약점 공격이 언급됐다.
이큐스트그룹은 이어 올해 5가지 위협 전망을 제시했다. 관리서버 취약점을 이용한 APT공격, 취약점 자동화 공격도구의 제로데이(Zero-Day)화, 범용SW를 노린 자동화 공격, SW공급망의 취약한 구조를 노린 공격, 대규모 랜섬웨어 감염을 노린 공격이 지난해에 이어 올해도 위협적일 것이라 내다봤다.
이 그룹장은 "공격의 피해를 늘리기 위해 해커들의 공격기법이 날로 지능적이고, 대범해지고 있다"며 "SK인포섹은 해킹 위협에 대한 지속적인 연구를 통해 효과적인 대응 방안을 마련해 나갈 것"이라고 말했다.
이큐스트그룹이 제시한 5가지 위협 전망의 세부 내용은 다음과 같다.
■ 관리서버의 신규 취약점을 이용한 APT공격
2011년부터 관리서버를 공격해 내부망에 악성코드를 전파하려는 시도가 지속 증가 추세다. 관리서버는 일반적으로 패치 및 자산관리, 파일 배포 등에 쓰인다. 해커는 이 기능으로 악성파일을 배포하고 PC를 장악할 수 있다. 공격 효과가 높아 APT 공격에 지속적으로 사용된다.
해커는 관리 서버 신규 취약점을 연구해 해당 서버를 공격 중이다. 공격 흔적을 나중에 발견해도 이용된 취약점을 알아내기 어렵다. 취약점을 사전에 발견해도 관리 서버를 개발하는 국내 업체의 개발 및 경영 환경때문에 때문에 패치에 시간이 걸린다.
2018년에도 관리 서버에 대한 공격이 지속 될 것으로 보이며, 단순한 권한 획득이 아닌 제로데이처럼 신규 취약점을 통해 공격을 시도할 것으로 보인다.
■ 취약점 자동화 공격 도구 제로데이화
취약점을 사용한 자동화 공격 툴 등장 시점은 과거 신규 취약점이 발표된 후 약 2~3일 뒤였다. 최근에는 취약점이 발표되기도 전에 자동화 공격 도구(Tool)가 발견되기도 한다. 반면 새 취약점이 발표되면 보안장비를 패턴 업데이트하는데 평균 1주일이 걸린다.
제로데이 취약점 공격과 자동화 공격 도구를 이용한, 일명 제로데이 패키지 공격이 동시다발적으로 행해지면 피해 규모가 커질 수 있다. 대처하기도 어려워진다. 공격자는 적은 노력으로 매우 큰 효과를 볼 수 있다. 제로데이 패키지 공격이 계속 시도될 전망이다.
■ 범용 SW 자동화 공격
공격자들은 외부에 공개된 범용 SW를 스캐닝(Scanning)하고, 발견된 보안 취약점 및 취약 계정을 통해 침투 한 후 악성코드를 설치하거나 자동화된 공격을 시도한다. 오픈소스SW를 노린 공격도 늘고 있다.
이큐스트그룹이 오픈소스SW를 별도 망에 설치하고 테스트한 결과, 5시간 이내에 악성코드가 설치되는 걸 확인했다. 불특정 다수가 쓰는 범용 SW는 공격 표적으로 삼을 대상이 많고, 자동화된 공격으로 큰 피해를 입힐 수 있기 때문에 심각한 위협이 될 수 있다.
■ SW공급망 허점 공격
SW공급망은 개발사, 총판, 리셀러, 협력업체, 구매회사로 이어지는 매우 복잡한 구조를 가지고 있다. 때문에 SW 배포 과정에서 보안에 취약한 지점이 존재한다. 해커는 이 구조적인 취약점을 노려 악성코드를 설치하거나 원본 파일을 악성코드로 변경하는 공격을 감행한다.
보안 수준이 높은 회사라 할지라도 악성코드로 변경된 SW의 악성 유무를 확인하기는 매우 어렵다. SW공급망에 대한 공격이 늘어날 것으로 예상된다.
■ 대규모 랜섬웨어 감염을 위한 구조적 취약점 공격
대규모 시스템에 악성코드를 감염시켜 중요한 데이터를 인질 삼아 금전을 요구하는 랜섬웨어 공격은 계속 증가할 것으로 예상된다.
관련기사
- SK인포섹, JB금융그룹 통합보안관제센터 구축2018.01.19
- SK인포섹 "싱가포르 보안관제서 400만달러 매출 낼 것"2018.01.19
- 지니언스-SK인포섹, 위협 인텔리전스 협업 나서2018.01.19
- SK인포섹, 클라우드 사업자-고객 사이 보안관리 책임진다2018.01.19
해커는 클라우드에서 사용되는 파일 공유 기능이나 파일 서버를 공격해 랜섬웨어에 감염시키려는 시도를 하고 있다. 특히 파일 배포 기능이 있는 관리서버나 자원을 공유해서 사용하는 서버 환경의 경우에는 랜섬웨어 감염 위협수준이 높다.
지난해 보안 사고 중에서 가상데스크톱환경(VDI) 서버 내에 있는 가상머신(VM) 데스크톱 전체가 감염돼 시스템 전체를 초기화 했던 사례가 있었다. 올해에도 이러한 구조적 취약점을 이용한 공격이 늘 것으로 예상된다.
