최신 보안 트렌드

요약

끊임없이 변화하는 보안 위협 환경과 인터넷 보안 전반에서 변하지 않는

유일한 진리는 바로 변화 자체입니다. 2014년은 이 사실이 여실히 입증되어

큰 파장을 일으킨 취약점, 더욱 빨라진 공격, 파일을 볼모로 하는 랜섬웨어,

과거 어느 때보다 극성을 부린 악성 코드로 점철된 해였습니다. 2013년에 대형

보안 사고가 잇달아 터졌다면 2014년에는 세간의 이목을 집중시킨 취약점이

헤드라인을 장식했습니다. 데이터 유출은 여전히 심각한 문제입니다. 유출

건수는 23% 증가했고 그 대부분은 공격자에 의한 것입니다. 하지만

2014년에는 사람들이 유출된 내용이 무엇인지보다 공격자가 어떤 방식으로

접근에 성공하는지에 주목하기 시작했습니다.

취약점은 보안 환경에서 항상 심각한 문제였으며, 시스템의 안전을 지키기

위해서는 운영 체제 및 브라우저 관련 패치가 필수적입니다. Heartbleed,

ShellShock, Poodle과 같은 취약점이 발견되고 각종 운영 체제에 널리

확산됨에 따라 이러한 취약점이 가장 중요한 주제로 부상했습니다. 이전에는

" 취약점을 노리는 보안 위협 X"가 주 관심사였지만, 이제는 "이러한 보안

위협과 공격에서 취약점 Y를 이용하는 방식"을 자세히 규명하는 것이

중요해졌습니다.

이것은 2014년에 일어난 여러 변화 중 하나입니다. 시만텍 인텔리전스

네트워크에서 수집한 데이터 및 시만텍 보안 전문가의 분석을 토대로

2014년의 또 다른 주요 동향을 간추리면 아래와 같습니다.

 

더욱 빨라진 공격자의 행보, 그에 미치지 못하는 방어 체계

시만텍의 조사에 따르면, Heartbleed 취약점 공개 후 4시간 내에 이 취약점에 대한 익스플로잇

공격이 급증했습니다. 하지만 대응 속도는 그만큼 빨라지지 않았습니다. 지능적인 공격자들은

다른 피해자의 시스템에 은밀하게 침투하기 위해 여전히 제로데이 취약점을 선호하며,

2014년에는 역사상 가장 많은 24개의 제로데이 취약점이 발견되었습니다. Heartbleed에서

드러난 것처럼, 공격자들은 벤더에서 패치를 생성해 배포하는 것보다 훨씬 빠른 속도로

취약점에 대한 익스플로잇 공격을 시작했습니다. 2014년에 최다 익스플로잇 공격의 대상이

된 3대 제로데이 취약점에 대해 벤더의 패치가 발표되기까지 걸린 시간은 각각 204일, 22일,

53일이었습니다.

이와 달리 2013년에는 평균 4일이면 패치가 제공되었습니다. 하지만 가장 우려되는 문제는

2014년의 5대 제로데이 취약점이 패치가 제공되기 전까지 총 295일간 무방비 상태로 공격에

이용되었다는 것입니다.

 

공격자들이 더 효율적이고 업그레이드된 기술을 구사하는 한편 기업은 여전히 낡은 전술에 의존

2014년에도 네트워크에 대한 고도의 스피어피싱 표적 공격이 계속되었으며, 전체적으로

8% 증가했습니다. 공격에 필요한 노력은 전년도에 비해 크게 줄어 표적 수는 20%, 이메일

발송량은 14% 감소했습니다.

워터링홀 공격의 완성도도 높아졌는데, 합법적인 웹 사이트를 감염시키고 사이트 방문자를

모니터링하며 공격하려는 기업만 표적으로 삼는 등 각각의 공격이 더욱 선별적인 형태를 띠게

되었습니다.

" 트로이 목마가 탑재된" 상용 소프트웨어 업데이트가 등장하면서 기업의 자체적인 보호가

더욱 어려워졌습니다. 공격자들은 표적이 된 기업에서 사용하는 일반적인 소프트웨어

프로그램을 찾아내 해당 프로그램의 소프트웨어 업데이트에 악성 코드를 숨겨 놓은 다음

표적이 그 소프트웨어를 다운로드하고 설치할 때까지 끈질기게 기다립니다. 즉 기업이 스스로

감염되도록 하는 것입니다.

지난해 발생한 전체 표적 공격의 60%가 중소기업을 대상으로 했습니다. 중소기업은 대개

보안에 투입할 리소스가 적은 편이며, 실행 파일 및 화면 보호기 이메일 첨부 파일 차단과 같은

기본적인 모범 규범도 시행하지 않는 곳이 많습니다. 그로 인해 해당 기업뿐 아니라 비즈니스

파트너까지 더 큰 위험에 빠뜨리고 있습니다.

사이버 공격자들, 기업의 예상을 뛰어넘는 방식으로 방어벽 통과

기업이 직원의 인증 정보를 도용하는 공격자와 네트워크 전반에서 의심스러운 행동의 징후를

찾는 데 주력하지만, 뛰어난 공격자들은 한 차원 높은 기만 전술을 구사하면서 기업의 자체

인프라스트럭처를 하이재킹하여 공격에 활용하기도 합니다.

2014년에 시만텍은 아래와 같은 지능적인 공격 유형을 발견했습니다.

. 감염된 시스템에 합법적인 소프트웨어를 구축함으로써 악성 코드 차단 툴에 탐지될 염려 없이

지속적으로 공격을 가합니다.

. 도용된 IP로 기업 네트워크 전반을 돌아다니기 위해 해당 기업의 관리 툴을 활용합니다.

. 널리 보급된 크라임웨어 툴을 활용하여 설령 들키더라도 정체를 위장하고 의도한 목적을

숨깁니다.

. 피해자의 네트워크와 서버 자체에 맞춤형 공격 소프트웨어를 구현합니다.

. 기업에서 훔쳐낸 사용자 이메일 계정으로 다른 사용자를 스피어피싱합니다.

. 소프트웨어 벤더의 업데이트에 은밀히 숨어들어, 즉 업데이트를 "트로이 목마에 탑재시켜"

표적으로 삼은 기업이 스스로 감염되도록 합니다.

이와 같이 온갖 은밀한 형태의 공격이 발생하는 상황에서 시만텍 사고 대응 팀이 이미 확인된

사고의 조사를 맡았다가 또 다른 공격이 진행 중임을 발견하는 경우도 드물지 않았습니다.

규모와 관계없이 그 어떤 기업도 안전하다고 확신할 수 없습니다. 2014년에 대기업(직원 수

2,500명 이상) 6곳 중 5곳이 스피어피싱 공격의 표적이 되었는데, 이는 전년 대비 40% 증가한

것입니다. 소기업 및 중견 기업에 대한 공격도 늘었으며 각각 26% 및 30% 증가했습니다.

 

대규모 공격에 이용되는 악성 코드의 증가 및 진화

불특정 다수 공격이 여전히 악성 코드의 다수를 차지하는데, 2014년에는 26% 증가했습니다.

실제로 지난해 3억 1,700만 개 이상의 새로운 악성 코드가 개발되었습니다. 매일 약 1백만

개의 새로운 보안 위협이 만들어진 셈입니다. 그중에는 기업에 직접적인 위험을 가하기보다는

엔드유저를 갈취할 목적으로 개발된 것도 있습니다. 하지만 이러한 악성 코드는 IT 팀의

골칫거리일 뿐 아니라 직원의 업무 생산성을 떨어뜨리고 IT 리소스가 더 중대한 보안 문제의

해결에 유용하게 사용될 수 없도록 만드는 원인이 됩니다.

악성 코드 개발자들은 탐지를 피하고자 다양한 수법을 구사하는데, 그중 하나는 코드를

실행하기 전에 가상 시스템이 있는지 테스트하여 보안 분석 업체를 알아내는 것입니다.

2014년에는 전체 악성 코드의 최대 28%가 "가상 시스템을 인식하는" 기능을 구비했습니다.

이는 악성 코드를 관찰하고 탐지하는 데 가상 샌드박싱을 이용하는 보안 분석 업체에 경각심을

불러일으키는 소식입니다. 가상 환경에서 어떠한 수준의 보호도 제공하지 못하기 때문입니다.

W32.Crisis와 같은 일부 악성 코드는 가상 시스템을 찾아 해당 가상 시스템까지 감염시킵니다.

 

디지털 갈취의 증가: 2014년에 크립토 랜섬웨어의 피해자 45배 증가

" 갈취"라는 표현에서는 할리우드 영화나 마피아 보스가 연상되곤 하지만 사이버 범죄자들은

이미 랜섬웨어를 통해 크고 작은 표적 모두를 갈취의 대상으로 삼으면서 수익성 있는 사업으로

발전시켜 왔습니다.

2014년에 랜섬웨어 공격이 113% 증가했는데, 특히 크립토 랜섬웨어 공격이 4,000%

이상 증가했습니다. 훔쳐낸 컨텐트에 대해 벌금을 부과하는 사법당국 행세를 하던 기존의

랜섬웨어와 달리 크립토 랜섬웨어는 피해자의 파일, 사진, 기타 디지털 미디어를 볼모로 잡고

공격자의 의도를 숨김 없이 드러냅니다. 피해자는 300달러 ~ 500달러 상당의 비용을 지불해야

파일을 해독할 키를 받을 수 있는데, 물론 이 역시 파일이 제대로 해독된다는 보장은 없습니다.

2013년에는 전체 랜섬웨어 공격에서 크립토 랜섬웨어의 비율은 극히 적었습니다(0.2%,

즉 500건 중 1건). 그러나 2014년에 발견된 크립토 랜섬웨어 수는 그 45배에 달합니다. 크립토

랜섬웨어의 주 공격 대상은 Windows 장치이지만, 시만텍은 다른 운영 체제를 노리는 버전도

증가하고 있음을 확인했습니다. 특히 모바일 디바이스에 대한 크립토 랜섬웨어가 지난해

Android에서 처음 모습을 드러냈습니다.

 

사이버 범죄에 소셜 네트워크와 앱이 활용되기 시작

사이버 범죄에서는 여전히 이메일을 주요 공격 벡터로 사용하고 있지만 점차 소셜 미디어

플랫폼으로 이동하는 추세입니다. 시만텍의 조사에 따르면, 2014년에 소셜 미디어 스캠의

70%가 사용자의 직접적인 공유에서 비롯된 것이었습니다. 이렇듯 스캠이 빠른 속도로

확산되면서 사이버 범죄자들에게 좋은 돈벌이가 되고 있는데, 사용자들이 친구가 올린

게시물에서 마우스 버튼을 누를 가능성이 높기 때문입니다.

모바일을 노린 공격도 기승을 부렸습니다. 사이버 보안 위협을 PC의 문제로만 인식하고

스마트폰에서 기본적인 보안 예방 조치도 갖추지 않은 사용자가 많기 때문입니다. 시만텍은

2014년에 전체 Android 앱의 17%(총 약 1백만 개)가 사실상 위장한 악성 코드임을

밝혀냈습니다. 또한 원래는 악성 코드가 아니지만 사용자의 행동을 추적하는 등 사용자를

번거롭게 하고 뜻하지 않게 피해를 주는 그레이웨어 앱이 전체 모바일 앱의 36%를

차지했습니다.

사물 인터넷은 새롭게 부상한 문제가 아닌 현재 진행형

시만텍은 2014년에도 PoS(Point of Sales) 시스템, ATM, 가정용 라우터에 대한 공격이

계속되었음을 확인했습니다. 이 모두 네트워크에 연결되어 있고 운영 체제가 내장된

장치임에도 불구하고 사물 인터넷(IoT)의 일부로 간주되지 않을 때가 많습니다. 사물

인터넷으로 인정받는지 여부와 관계없이 이러한 장치에 대한 공격은 더 이상 PC만 위험하지

않다는 것을 재차 확인해줍니다. 또한 자동차 및 의료 장비를 노리는 사이버 공격의 가능성은

모든 사람들이 우려할 만한 문제입니다.

사물 인터넷 보안 위협은 스마트폰이 제어 지점의 역할을 하게 되면서 더욱 가중됩니다.

시만텍의 조사에 따르면, (대개 웨어러블 장치에 연결되는) 건강 관련 앱의 52%가

개인정보처리방침을 갖추지 않았을 뿐 아니라 20%는 개인 정보, 로그인 정보, 암호를 일반

텍스트 형태로 전송합니다.

또한, 스마트폰 사용자들의 보안 의식 수준이 낮은 것으로 나타났습니다. 노턴 설문 조사 결과,

사용자 4명 중 1명이 애플리케이션을 다운로드할 때 본인의 전화기에 액세스하도록 허용했다는

사실을 몰랐음을 인정했습니다. 게다가 66%는 단지 공짜 앱을 받기 위해 스스럼없이 개인

정보를 제공하는 것으로 드러났습니다.