2017년에는 코인 채굴, 랜섬웨어, 표적 공격, 모바일 보안, 그리고 소프트웨어 공급망을 이용한 공격 등 다양한 형태의 사이버 공격이 정보 보안의 헤드라인을 장식했습니다. ISTR 23은 사이버 보안 위협 양상을 집중적으로 살피고 있는 종합 가이드로, 지금 다운로드하실 수 있습니다.
2017년 가장 두드러졌던 변화는 암호화폐(cryptocurrency) 코인 채굴의 폭발적 증가입니다. 이 분야에 대한 관심이 증폭되면서 2017년 엔드포인트에서 코인 채굴기가 적발되는 사례가 8,500% 증가했습니다.
그림 1. 2017년 엔드포인트에서 코인 채굴기 적발 사례가 8,500% 증가함
코인 채굴기는 모네로(Monero)와 같은 암호화폐(cryptocurrency) 채굴에 이용되는 파일이나 스크립트를 말합니다. 2017년 하반기 암호화폐의 가치가 급격히 높아지면서 이런 형태의 사이버 범죄로 큰 돈을 만질 수 있게 되자 코인 채굴을 이용한 돈벌이에 나선 사이버 범죄자들이 크게 늘었습니다.
[click_to_tweet:1]
사이버 범죄자들은 코인 채굴기를 통해 피해자의 컴퓨터 처리 성능과 클라우드 CPU 사용량을 도용하여 암호화폐를 채굴합니다. 코인 채굴의 진입 장벽은 매우 낮아 사실상 몇 줄의 코딩으로도 가능하기 때문에, 코인 채굴에 나선 범죄자들은 감시의 눈을 따돌리고 다른 형태의 사이버 범죄에서는 불가능했던 활동들을 과감하게 행합니다. 코인 채굴기는 기기의 속도 저하만 불러올 뿐 미치는 영향이 미비하기 때문에, 피해자들은 그들이 자신의 컴퓨터 성능을 야금야금 갉아먹는다는 사실을 전혀 눈치채지 못한 채 속도 저하의 이유를 다른 데서 찾으려고 합니다. 하지만, 코인 채굴이 실행되는 기기는 배터리 발열과 기기 오작동이 발생하고, 조직 역시 코인 채굴로 타격을 받을 수 있습니다. 자체 확산되는 코인 채굴기로 인해 기업 네트워크가 가동 중단될 뿐 아니라, 클라우드에서 코인 채굴이 실행되면 CPU 사용량 기준의 과금이 적용되는 기업에는 재정적인 영향이 있을 수 있습니다.
악성 코인 채굴기는 주로 컴퓨터와 휴대전화를 대상으로 하지만, IoT 기기를 겨냥한 사이버 범죄자들이 점점 늘어나는 양상을 보이고 있습니다. 우리가 조사한 바에 따르면 2017년 한 해에 IoT 기기를 겨냥한 공격이 전체 600% 증가한 것으로 나타났습니다. 미라이 봇넷(Mirai botnet)때문에 주목을 받았던 2016년에 비해 언론에 보도되지는 않았지만, IoT 기기가 사이버 범죄자들의 주요 목표물인 것만큼은 여전히 분명합니다.
그림 2. 2017년 IoT 기기 공격이 600% 증가함
랜섬웨어
2017년에는 워너크라이(WannaCry) 랜섬웨어(Ransom.WannaCry)와 변종 랜섬웨어(랜섬웨어로 변장한 파괴적 와이퍼)인 페트야/낫페트야(Petya/NotPetya)(Ransom.Petya)의 등장으로 많은 미디어에서 랜섬웨어가 언급되었습니다. 하지만, 이들은 "전형적인" 랜섬웨어 공격이 아니며, 일반 사이버 범죄자가 아닌 표적 공격 그룹의 작품인 것으로 드러났습니다. 표적 공격 그룹이 교란을 일으키거나 워너크라이(WannaCry) 공격의 경우와 같이 돈벌이를 위해 유인책으로 랜섬웨어를 활용하는 신종 수법이었던 것입니다.
"기존의" 사이버 범죄 랜섬웨어 시장은 지지부진한 신종 랜섬웨어 개발과 요구 금액의 감소로 2017년 "많은 변화"를 거쳤습니다. 2016년 랜섬웨어는 높은 수익이 알려지면서 빠르게 확산되었고 데이터를 인질로 요구한 금액도 과도하게 높아졌지만, 2017년 피해자들이 기꺼이 지불을 감수하는 금액 수준을 알게 되면서 범죄자들 역시 절충점을 찾은 듯합니다. 2017년 평균 요구 금액은 2016년 평균의 절반을 밑도는 522달러였습니다.
그림 3. 2017년 사이버 범죄자들은 요구 금액의 절충점을 찾음
2017년에는 변종 랜섬웨어가 46% 증가하였는데, 이는 기반이 견고한 사이버 범죄 그룹들은 여전히 조용한 활동을 이어가고 있음을 보여줍니다. 하지만 신종 랜섬웨어는 적발 건수가 크게 감소하여, 신종 랜섬웨어 개발 능력을 상실한 사이버 범죄자들이 다른 곳으로 관심을 돌리고 있는 것을 알 수 있습니다. 2017년 랜섬웨어 공격자들이 다변화를 꾀하면서 몇몇 온라인 뱅킹 위협 요소들은 부흥기를 맞이하기도 했으며, 암호화폐의 가치가 높아짐에 따라 많은 사이버 범죄자들이 코인 채굴에도 주력하게 되었습니다.
표적 공격
올해의 ISTR에서 Symantec은 표적 공격 그룹의 도구와 전술, 동기를 집중 연구했습니다. 현재 적극적으로 관찰하고 있는 대상 그룹은 140여개로, 2017년에 전체 표적 공격 활동이 10% 증가한 것으로 나타났고 이러한 그룹의 90%는 정보 수집을 목표로 활동하는 반면, 10%의 그룹은 어떤 형태로든지 파괴적 활동에 가담했다는 사실을 알아냈습니다.
본사 분석에 따르면 많은 공격 그룹들이 “자급자족” 도구와 기법을 여전히 선호합니다. 제로 데이 공격을 선호하는 이들은 계속 감소하고 있으며, 제로 데이 기법을 사용한 적이 있는 표적 공격 그룹은 27%에 불과합니다.
과거에는 해마다 4차례의 공격이 발생한 반면, 2017년에는 매달 평균 1건의 공급망 공격이 보고되었습니다.
이러한 동향과 어느 정도 연관성이 있는 현상이 바로 2017년에 나타난 '소프트웨어 업데이트 공급망 공격의 증가'입니다. 이 공격 유형에서는 아무런 의심 없이 피해자들을 감염시키기 위해 공급망에 멀웨어를 심어 놓습니다. 이 공격은 페트야/낫페트야 멀웨어에 대한 최초 감염 매개체의 역할을 하며, 이터널블루 익스플로잇(EternalBlue exploit) 및 다른 방법을 통해 전 세계로 확산되기 전에 기업 네트워크에 발판을 마련하려는 목적으로 트로이 목마 바이러스가 숨어있는 우크라이나 회계 소프트웨어 업데이트를 사용했습니다. 과거에는 해마다 4차례의 공격이 발생한 반면, 2017년에는 매달 평균 1건의 공급망 공격이 보고되었습니다. 이 유형의 공격에서 공격자들은 소프트웨어 공급망의 느슨한 연결 지점을 이용하여 철통 보안되는 네트워크에 침입합니다.
그림 4. 2017년 공급망 공격이 200% 증가함
모바일
2017에는 모바일 환경을 위험에 빠트리는 요인들이 계속 증가했습니다. 새로운 변종 모바일 멀웨어가 54% 증가했고 평균 24,000개의 악성 모바일 애플리케이션이 매일 차단되었습니다. 그레이웨어의 위협 역시 2017년에 증가했습니다. 그레이웨어는 완전히 악성은 아니지만 문제의 소지가 있는 앱을 포괄하는 개념으로, 이 유형의 위협이 2016년 대비 20% 증가했습니다.
기기 수, 특히 구형 모바일 운영 체제로 실행되는 Android 기기의 수가 늘면서 모바일 보안을 보장하는 문제 역시 심각해지고 있습니다. Android 최신 버전을 실행하는 모바일 기기가 20%에 불과하므로, 기기의 80%는 업데이트에 포함된 보호 기능을 놓치고 있는 셈입니다.
더 자세한 정보가 필요하세요?
본 내용은 ISTR 23의 조사 결과를 바탕으로 합니다. 사이버 보안 위협 양상에 대해 더 자세히 알아보려면 지금 바로 ISTR 23을 다운로드하십시오.
거주 지역의 Symantec 보안 전문가와 함께 조사 결과를 살펴볼 수도 있습니다.
미주 웹 세미나에 등록하려면 여기를 클릭
EMEA 웹 세미나에 등록하려면 여기를 클릭
APJ 웹 세미나에 등록하려면 여기를 클릭
