한국어로 표현하면 '암호화폐 도둑채굴'에 가까운 크립토재킹(cryptojacking) 위협이 올해 상반기 증가했고 하반기에도 지속될 것이란 관측이 나왔다.
안랩(대표 권치중)은 이같은 내용을 포함한 2018년 상반기 5대 보안 위협을 3일 발표했다. 주요 위협으로 크립토재킹 공격 대상 확대, 랜섬웨어 공격 방식 고도화, 지능형 위협 공격 지속, 취약점 악용 공격 지속, 특수 이벤트 악용한 사이버 공격, 5가지를 꼽았다.
■ 크립토재킹 공격 대상 확대
크립토재킹은 암호화폐(cryptocurrency)와 납치(hijacking)를 뜻하는 영어 단어를 합친 말이다. 작년말부터 등장한 채굴 악성코드의 악성 동작을 의미한다. 채굴 악성코드는 컴퓨터를 감염시켜 사용자 몰래 그 자원을 암호화폐 채굴에 이용하는 일종의 자원 도둑질이다.
안랩은 올해 크립토재킹이 지속 증가했고 공격 대상도 확대됐다고 지적했다. 2017년엔 보안이 취약한 웹서버, 네트워크스토리지(NAS) 서버 등 기업 하드웨어시스템을 노린 형태가 주를 이뤘다. 올해 상반기엔 일반 사용자 PC를 이용해 암호화폐를 채굴하는 공격이 활발했다.
채굴 악성코드에 감염된 PC는 그로 인해 CPU 점유율이 포화돼 다른 작업을 처리하기 어려울만큼 느려지는 피해를 입게 된다. 안랩은 보안에 취약한 웹서비스를 이용하면 운영체제(OS)나 브라우저 종류와 상관없이 감염될 수 있어 사용자의 주의가 필요하다고 당부했다.
■ 랜섬웨어 공격 방식 고도화
작년 하반기 매그니튜드(Magnitude) 익스플로잇킷을 이용해 유포된 매그니베르(Magniber) 랜섬웨어의 변종이 올해 새로 출현했다. 국내서 1분기까지 피해가 발생했다. 4월 이후 랜섬웨어 공격자들이 복호화 불가능한 랜섬웨어 제작을 지속 시도하고 있다. 갠드크랩(GandCrab) 랜섬웨어가 대표적이다. 그 변종이 꾸준히 발견되고 있어 주의가 필요하다. 2018년 7월 24일 기준 4.2버전까지 변종이 나왔다.
랜섬웨어 유포 방법도 다양화됐다. 매그니베르 랜섬웨어가 쓴 기법으로 웹사이트 광고를 이용한 멀버타이징이 있다. 전통적인 스팸 메일을 이용하되 업무나 저작권 침해 관련 제목과 내용으로 위장한 사회공학기법도 쓰였다. 첨부 파일 또한 .doc나 .js 등 다양한 확장자명을 이용한다. 국내 사용자들이 많이 사용하는 .egg 확장자명을 가진 압축파일을 이용한 랜섬웨어 유포도 잇따르고 있다.
■ 지속되는 지능형 지속 위협(APT) 공격
안랩에 따르면 국내 기관과 기업 주요 인사를 표적으로 삼은 지능형지속위협(APT) 공격이 올해 상반기 이어졌다. 하반기에도 지속될 전망이다. 공격 표적 IT인프라를 파악하고 수행하는 공급망(Supply Chain) 공격도 여전하다. 공급망 공격은 기업과 기관 소프트웨어 개발 및 배포 과정에 개입해 악성코드를 삽입, 유포하는 방식을 뜻한다.
안랩은 공급망 공격을 방지하려면 소프트웨어 제조사들이 현재 개발, 배포 체계에 보안 문제 여부를 수시 점검해야 한다고 조언했다. 이를 개발 프로세스에 포함시켜야 한다고 강조했다. 상용 소프트웨어를 이용하려는 기관과 기업의 보안 담당자들이 최신 보안 위협과 침해 사고에 관심을 갖고 내부 환경을 점검하는 노력이 필요하다고 덧붙였다.
■ 취약점 악용 시도
2018년 1월 컴퓨터 중앙처리장치(CPU) 취약점이 공개돼 세계 각지 거의 모든 컴퓨터 시스템이 해당 취약점 공격에 잠재적으로 노출됐다. 주요 소프트웨어 업체, 보안업체, CPU 제조사가 취약점 해결을 위해 노력했고 현재까지 이를 악용한 공격이 확인되지는 않았다.
안랩은 모든 소프트웨어에 취약점이 존재할 수밖에 없고, 취약점이 존재하는 소프트웨어는 공격자가 선호하는 수단이라고 지적했다. 알려지지 않은 제로데이 취약점을 찾아낼뿐아니라 이미 보안 패치가 배포됐지만 그걸 적용하지 않은 환경의 사용자도 노린다는 설명이다.
안랩은 "따라서 개인은 물론 기관 및 기업은 내부에서 사용 중인 소프트웨어의 최신 보안 패치를 신속히 적용하기 위한 관리 방안을 마련해야 한다"고 강조했다.
■ 특수 이벤트 악용 공격
연초 개최된 평창 동계올림픽과 6월에 개최된 러시아 월드컵 등 글로벌 스포츠 이벤트가 이어졌다. 국제 행사에 쏠린 사람들의 관심을 악용해 개인정보를 탈취하거나 금전 피해를 입히는 사이버 공격이 발생했다.
관련기사
- 안랩 'V3' 탄생 30년...누적 다운로드 2800만 건 달해2018.08.03
- 안랩, 2분기 영업이익 46억원…전년比 24% 증가2018.08.03
- 안랩, 2018년 하반기 채용 전제형 인턴 모집2018.08.03
- 안랩, 아태지역 RSA컨퍼런스서 EDR·보안관제 소개2018.08.03
평창 동계올림픽 개막을 앞둔 1월에 정부 기관에서 올림픽 관련 정보를 담은 걸로 위장해 악성파일을 첨부 발송한 메일이 발견됐다. 동계올림픽 관련 이벤트 프로그램으로 위장한 악성코드도 발견됐다.
안랩 측은 "평창 동계올림픽 사이버침해대응팀은 이상 징후에 안랩 등 민간 기업과 공조해 대응했다"며 "국가적인 보안 침해나 교묘한 지능형 위협 공격등 대규모 보안 사고의 피해를 최소화하기 위해서는 국가 기관 및 민간 보안 업체들의 적극적인 공조가 중요하다"고 밝혔다.
