언론보도로 집계해본 2분기 사이버 위협 키워드 넷

올해 2분기 사이버 위협 동향 키워드 : 랜섬웨어, SWIFT, IoT, 산업제어 시스템 등

[보안뉴스 민세아] 지난 1분기에는 랜섬웨어, 북한, 애플-FBI가 주요 사이버 위협 동향 키워드로 꼽힌 바 있다. 그렇다면 올해 2분기를 대표하는 키워드는 무엇일까?

한국인터넷진흥원(이하 KISA)이 국내외 26개의 언론사 및 보안 관련 웹사이트를 대상으로 관련 언론보도 304개를 분석한 결과를 토대로 2016년 2분기의 키워드를 랜섬웨어, SWIFT, 복호화, IoT, 산업제어 시스템으로 꼽았다. 다음은 KISA에서 지난 3일 발간한 ‘2016년 2분기 사이버 위협 동향 보고서’의 주요 내용이다.

끊이지 않는 위협, 랜섬웨어
1분기 주요 사이버 위협으로 거론된 랜섬웨어가 2분기에도 가장 많은 이슈가 됐다. 다만, 2분기에는 복호화와 관련된 기사나 블로그 글이 1분기보다 더욱 증가함에 따라 랜섬웨어에 대한 보안업체들의 대응이 더 적극적으로 변했다는 것을 확인할 수 있다는 게 KISA 측의 설명이다.

테슬라크립트(Teslacrypt) 개발자가 직접 마스터 키를 공개해 이슈가 되기도 했지만, 최근에는 보안 및 백신 업체들이 다양한 복호화 도구를 제작, 배포하고 있다. 그러나 이러한 노력은 공격자들이 변종 랜섬웨어를 만들게 하는 결과를 낳았다.

이 때문에 일부 전문가들은 복호화 연구나 복호화 도구들이 빠르게 변하는 랜섬웨어에 대한 근본적인 대책이 되지 못할 것이라고 예상하고 있다.

국내 언론에서 많이 언급된 CryptXXX 및 로키(Locky), 서버(Cerber) 등의 랜섬웨어들은 실제로 변종이 출현했고, 유포 비율도 증가했다. 특히, 6월에는 국내 커뮤니티 사이트의 광고 배너를 통해 CryptXXX 랜섬웨어가 빠르게 유포되기도 했다. 해당 침해사고에서는 오픈소스 기반 광고 플랫폼인 OpenX를 악용하는 멀버타이징 공격기법이 사용돼 DBD(Drive-By-Download) 형태로 랜섬웨어 유포가 이루어졌다.

CryptXXX 랜섬웨어는 기존 랜섬웨어와 달리 실행파일(EXE) 형태가 아닌 동적 라이브러리(DLL) 형태로 유포되고 있어 일반 사용자가 감염 사실을 알기 어렵다는 특징이 있다.

국내의 경우 플래시 취약점 등을 악용하는 DBD, 사회공학적 기법을 악용하는 APT 형태의 이메일, 토렌트 등 다양한 방법으로 랜섬웨어 유포가 이루어지고 있다.

전 세계를 떠들썩하게 만든 SWIFT 시스템 해킹
2016년 2분기에는 SWIFT 시스템을 해킹해 은행부정거래를 행한 침해사고가 대대적으로 보도됐다. 특히, 단발성의 해킹사고 보도가 아닌 방글라데시, 베트남, 에콰도르, 우크라이나의 침해사고와 관련된 사례가 여러 차례에 걸쳐 소개됐다.

이 사건에서 성공적으로 빼돌려진 액수는 총 8천 1백만 달러였다. 이마저도 중간에 발견되어 그친 액수이며, 이상거래가 발견되지 않았다면 10억 달러에 달하는 피해액이 발생했을 것으로 예측된다.

해당 사고들은 2분기에 집중적으로 언론을 통해 이슈화됐지만, 실제 사고 발생 시점은 에콰도르의 경우 2015년 1월, 베트남의 경우 2015년 12월, 방글라데시의 경우 2016년 2월 등 작년부터 올해 초까지다. 현재도 계속해서 우크라이나 사고는 조사가 진행 중이며, 은행 한 곳이 아니라 러시아 지역의 10여개 은행에 영향을 미친 것으로 알려졌다.

이 사고는 금융 시스템에 대한 직접적인 공격이라는 점과 송금 시스템에 대한 명확한 이해를 바탕으로 이루어졌다는 점이 주목할 부분이다. 은행 해킹에 사용됐던 악성코드는 은행에서 사용되는 SWIFT 시스템의 허점을 정확히 파고든 악성코드로, 특정 은행에서 사용되고 있는 SWIFT 시스템을 정확히 알지 않고는 만들 수 없는 악성코드라는 점에서 좀 더 큰 파장을 일으켰다.

최초 감염방식과 방글라데시 중앙은행의 접속 크레덴셜이 어떻게 유출되었는지 또한 아직 확인되지 않고 있으며, 이 때문에 SWIFT Alliance와 방글라데시 은행 간의 책임 공방이 계속되고 있는 중이다.

SWIFT Alliance에서는 각 은행에 내부 보안 시스템 점검을 권고하고 있으나 모든 은행에서 동일한 적용이 불가능하므로 실효성에 의문이 제기되고 있다. 글로벌 보안기업 시만텍(Symantec)의 연구진들은 방글라데시와 베트남 SWIFT 사고가 소니픽쳐스를 해킹한 라자루스(LAZARUS) 해커그룹임을 증명하는 간략한 분석을 블로그에 게시하기도 했다.

IoT 디바이스 이용한 보안사고 현실로?
IoT 관련 이슈는 아직까지 실제 사고로 이어진 사례보다는 그 위험성과 취약점에 대한 사례가 더 많다. 하지만 이미 악성 프로그램들에 의해 IoT 디바이스들을 활용한 봇넷 구축사례나 DDoS 공격 등 관련 사고가 구체화되고 있는 추세다.

미국 미시건 대학교 연구원들은 삼성전자의 스마트 홈 플랫폼인 스마트싱스(SmartThings)에서 다수의 취약점을 찾아 시연 동영상과 함께 발표했다. 대표적인 예로 현관문에 공격자를 위한 비밀번호를 추가하는 시연을 했다. 또한, 배터리 잔여량을 나타내는 스마트 앱 등이 비정상적으로 높은 권한을 승인 없이 취득할 수 있었으며, 이를 악용해 가짜 화재경보나 가스경보를 울리게 할 수 있었다.

아마존에서 판매한 CCTV에서 악성코드가 발견됐다는 사례는 4월 중순에 보도됐는데, 당시 기사에는 CCTV가 DDoS 봇넷에 악용될 수 있음을 경고하는 문구가 있었다. 이와 함께 6월 말, DDoS 공격을 수사하는 과정에서 CCTV 2만 5천대로 구성된 봇넷이 발견됐다.

이 두 가지 사항이 실제 관계가 없다고 해도 이는 IoT와 관련된 보안사고가 실제적인 사이버위협이 될 수 있다는 것을 보여주는 사례다. 그 외 NAS, CCTV, 공유기, 프린터 등에서의 기본 계정 및 비밀번호 미변경으로 인한 악용 위험성이 언론에 보도되기도 했다.

국내외 기타 이슈들
국내에서는 시큐어코딩 부재로 인해 허술하게 만들어진 웹사이트들이 기초적인 XSS 공격에 당하는 사고가 여전히 많았다. 또한, 악성코드 유포를 위해 언론사 또는 게임 관련 사이트를 노리는 경우도 비일비재했다. 3,800여개의 웹 사이트를 해킹한 16세 고교생이 검거돼 이슈가 되기도 했으며, 2분기에는 네이버 계정 탈취를 위한 피싱이 등장한 것도 또 하나의 특징이다.

국외에서는 산업제어 시스템(ICS)과 원격감시 제어 시스템(SCADA) 관련 이슈들이 활발히 논의되고 있는 점에 주목할 수 있다. 이들은 발전/제철/플랜트/공장 자동화 등에서 쓰이는 제어 및 감시 시스템들인데, 실존하는 물리적 장치를 제어하는 중요한 시스템이기에 사이버 범죄자들의 APT 공격 대상으로 주목받고 있다.

약 300개의 산업제어 시스템 관련 사고를 상세 분석한 IT 관리 컨설팅 업체의 최근 발표에 의하면, 2015년은 산업제어 시스템에 대한 공격이 가장 많았던 해였으며 2014년에 비해 15% 증가한 것으로 분석됐다. 이는 산업현장의 통제 시스템에 대한 공격인 만큼 물리적인 피해가 가능하다는 점에서 심각성이 매우 높다는 지적이다.
[민세아 기자(boan5@boannews.com)]

[출처] http://www.boannews.com/media/view.asp?idx=51441&page=1&kind=1