주목해야 할 보안 위협 변화의 징후 5가지

주목해야 할 보안 위협 변화의 징후 5가지 AhnLab ASEC / 2017-12-04         2017년 연초부터 굵직한 사건이 세계 곳곳에서 발생하면서 ‘랜섬웨어’가 보안을 넘어 사회적 이슈, 전 세계적 이슈로 부각됐다. 지역, 산업 분야를 막론하고 전 세계 보안 담당자들은 열일 제쳐놓고 랜섬웨어 피해를 예방하느라, 혹은 복구하느라 한 해를 다 보냈다고 해도 과언이 아니다. 일년 내내 랜섬웨어 이슈가 끊이지 않다 보니 너무 익숙해져 간혹 대수롭지 않게 여겨질 정도다. 그러나 이 순간에도 랜섬웨어는 광범위한 피해를 동반한 무차별적인 공격을 감행하고 있다. 게다가 랜섬웨어의 광풍을 틈타 기존의 보안 위협들도 수면 밑에서 조용히, 그러나 더욱 강력하게 진화하고 있다.   안랩 시큐리티대응센터(AhnLab Security Emergency-response Center)는 랜섬웨어를 비롯해 2017년 한해 동안 쉼 없이 변화해온 주요 보안 위협 다섯 가지를 정리했다.   랜섬웨어 패러다임의 변화: 규모, 감염 경로, 세대교체   국내외를 막론하고 2017년 보안의 화두는 단연 랜섬웨어였다. 올해 랜섬웨어 공격의 특징을 꼽으라면 ▲광범위한 피해 규모 ▲감염 경로의 변화 ▲활동 중단 및 신종 등장 등으로 요약할 수 있다. 피해 규모면에서 그야말로 “역대급” 랜섬웨어가 등장했다. 전 세계 150여 개국 30만대 이상의 시스템을 감염시킨 워너크라이(일명 워너크립터)부터 유럽 15개국으로 확산된 배드래빗(일명 디스크코더)까지, 이제 랜섬웨어는 지역이나 기업 또는 기관을 넘어 동시다발적으로 광범위한 피해를 양산하고 있다.   국내에서 악명을 떨친 랜섬웨어로는 우선 관공서를 타깃으로 유포된 비너스락커(VenusLocker)가 있다. 비너스락커 랜섬웨어는 비교적 상당히 유창한 한글로 작성된 스팸메일을 이용해 유포되었다. 또 국내 유명 호스팅 업체의 리눅스 서버를 감염시킨 에레버스(또는 에레보스, Erebus)는 3천여 개 사이트를 마비시키는 등 사회적 충격을 안겨주었다.   감염 경로면에서도 2016년과 상당히 달라진 양상을 보였다. 웹 응용 프로그램의 취약점을 이용한 감염은 감소한 반면 이메일을 통한 감염이 폭발적으로 증가했다. 록키(Locky) 랜섬웨어가 대표적이다. 록키 랜섬웨어는 이메일에 악성 매크로가 포함된 워드 문서 파일이나 다양한 포맷의 스크립트를 첨부하는 한편, 사회공학기법을 이용해 사용자가 첨부 문서 또는 스크립트를 실행하도록 유도했다.   전례가 없던 방법으로 유포된 랜섬웨어도 등장했다. 전통적인 웹 응용 프로그램 취약점이나 스팸메일 방식이 아닌, 윈도우 시스템 자체의 취약점을 이용한 워너크라이와 페트야(Petya) 랜섬웨어가 그것이다. 이전까지 찾아보기 힘든 유포 방법이었을 뿐만 아니라 단순히 금전을 목적으로 한 것이 아닌 시스템 자체를 손상시키는 목적으로제작된 것으로 밝혀져 충격을 주었다. 시스템 파괴를 목적으로 한 랜섬웨어의 등장 또한 또 다른 패러다임의 변화로 볼 수 있다.   올해 초부터 국내외를 막론하고 가장 많은 감염을 야기했던 케르베르(Cerber) 랜섬웨어가 9월말 이후 자취를 감추었다. 그러나 케르베르의 공백을 메우기라도 하려는 듯 메그니베르(Magniber) 랜섬웨어가 나타났다. 이 랜섬웨어는 한글 윈도우에서만 실행되는 것이 특징이다.   정상적인 경로를 이용한 대범함, ‘공급망 공격’   2017년에는 공급망을 이용한, 이른바 ‘공급망 공격(Supply Chain Attack)’이 지속적으로 등장했다. 공급망 공격이란 기업 또는 기관에서 사용하는 솔루션의 공급망을 해킹해 악성코드를 유입시키는 공격이다. 주로 공격자가 정상 프로그램의 업데이트 서버를 해킹해 악성코드를 삽입, 통상적인 프로그램 업데이트 과정에서 악성코드에 감염되게 하거나 프로그램 개발 업체를 해킹해 소스코드 빌드•배포 등 프로그램 제작 단계에 악성코드를 삽입한다.   기업이나 기관이 외부에서 유입되는 파일에 대해서는 경계하지만, 내부에서 기존에 사용하고 있는 프로그램과 관련된 파일에 대해서는 상대적으로 느슨하게 관리한다는 점을 노린 것이다. 소프트웨어 제조사를 통한 공격 외에도 유지보수 업체 등 지원 업체를 통한 공격 또한 넓은 의미에서 공급망 공격에 포함된다.   앞서 언급한 페트야 랜섬웨어도 우크라이나 세무회계 소프트웨어를 통해 유포되었다. 국내에서는 유명 네트워크 관리 프로그램과 시스템 최적화 프로그램인 씨클리너(CCleaner)를 이용한 사례가 대표적인데, 이들 사례 모두 프로그램 제작 단계에서 악성코드가 삽입되었다. 이 밖에도 맥 운영체제(macOS)를 노린 악성코드가 핸드브레이크(HandBrake)나 엘티마 플레이어(Eltima Player) 등 동영상 변환 프로그램에 삽입돼 이들 프로그램의 공식 홈페이지를 통해 배포되기도 했다.     돈이 되는 것을 노린다? “돈” 자체를 노리다!   2017년 한해 동안 비트코인(Bitcoin, BTC)을 비롯해 이더리움(Ethereum), 모네로(Monero, XMR) 등 가상화폐(Virtual Currency, 또는 암호화폐 Crypto Currency) 시장이 뜨겁게 달아올랐다. 2017년 1월 초 1BTC 당 1백만원 대였던 비트코인은 11월 말 현재 9백만원대를 돌파했다.   비트코인과 이더리움과 같이 주요 가상화폐는 대개 컴퓨터 시스템에서 ‘채굴(mining)’을 통해 획득할 수 있다. 그러나 가상화폐의 금전적 가치가 급상승함에 따라 최근 몰래 다른 사람의 PC를 이용하여 가상화폐를 채굴하는 ‘채굴(마이너, miner) 악성코드’가 다수 발견되고 있다. 윈도우 업데이트 파일로 위장하거나 압축파일 형태로 정상 파일과 함께 유포되는 등 유포 방식 또한 다양하다. 또한 윈도우 시스템뿐만 아니라 리눅스 서버 시스템에서 동작하는 채굴 악성코드도 발견됐다.   가상화폐 시장 규모가 커지면서 국내외 가상화폐 거래소를 직접적으로 공격하는 사건도 잇따라 발생하고 있다. 가상화폐 거래소를 노린 공격은 ▲가상화폐 탈취 ▲거래소 회원 계정 정보 탈취 ▲거래소 사이트에 대한 DDoS 공격 등으로 요약할 수 있다.   익스플로잇킷의 숨 고르기? 취약점 공격은 다변화   2016년까지만 해도 대부분의 보안 위협은 ‘웹’을 통한 공격에서 시작됐다. 그 중심에는 다양한 익스플로잇킷(Exploit Kit, 이하 EK)이 존재했다. 그러나 2017년 들어 익스플로잇킷의 활동이 축소되면서 웹 기반 공격의 존재감이 상대적으로 약해진 분위기다. 또한 올해는 특정 취약점이 독식하기 보다는 새롭게 알려진 다양한 유형의 취약점이 골고루 활용되는 양상을 보였다.   국내에서는 정치적•사회적 이슈와 맞물린 취약점 공격이 빈번했다. 올해 초 중국과의 정치적 관계가 악화되었을 당시 아파치 스트러츠(Apache Struts2) 취약점(CVE-2017-5638)을 이용한 중국발 공격이 발생했다. 또 올해 확인된 다수의 MS오피스 문서 프로그램 취약점(CVE-2017-0199, CVE-2017-8759, CVE-2017-8570, CVE-2017-11826)은 북한 핵, 평창 동계 올림픽 등의 이슈를 이용한 표적형 공격 및 랜섬웨어 유포에 활용되었다. MS오피스 신규 취약점 중 CVE-2017-0199 취약점은 러시아 정부기관을 노린 표적형 공격인 핀스파이(FINSPY) 악성코드 유포 사건과 2017년을 대표하는 랜섬웨어라 할 수 있는 워너크라이의 유포 경로와 밀접한 관련이 있는 것으로 알려졌다.   한편, 워너크라이 랜섬웨어와 함께 일명 ‘이터널블루(EternalBlue)’라는 이름의 취약점(CVE-2017-0144)이 유명세를 탔다. 윈도우 운영체제의 SMB(공유폴더) 취약점으로, 시스템에 유입된 랜섬웨어가 이 취약점을 통해 전파돼 내부 시스템을 추가로 감염시키는 방식이라는 점에서 크게 주목 받았다. 해당 취약점은 해킹 그룹 ‘섀도우브로커(Shadow Brokers)’가 공개한 다수의 취약점 공격 툴에 포함되어 있었다. 공개된 이후 워너크라이 외에도 페트야 랜섬웨어 및 다수의 악성코드 유포에 활용되었는데, 이는 지난 2015년 이탈리아 업체 해킹팀(Hacking team)의 데이터 유출 사건으로 촉발된 제로데이 취약점 노출 사태를 연상시킨다.   모바일 위협의 고도화•가속화: 스미싱, 그리고 사칭 앱   지속적으로 성장(?)해온 모바일 위협은 2017년 들어 더욱 고도화•가속화되는 양상을 보였다. 기존에는 스팸 메시지에 첨부한 링크를 통해 악성 앱을 다운로드하도록 유도하는 방식이 주를 이뤘지만, 2017년에는 보이스피싱과 연계한 방식이 등장했다. 대출 등 사회공학기법을 이용해 공격 대상과 전화 통화를 진행하며 악성 앱을 설치하도록 유도했다. 이렇게 설치된 악성 앱은 스마트폰에 저장된 민감한 개인 정보를 유출하고 전화 및 문자 메시지의 수•발신을 차단하는 등의 악의적인 행위를 수행한다. 이 밖에도 스마트폰 전화번호부에 있는 사람들에게 문자 메시지를 전송해 응답이 있으면 금전 결제를 요청하는 내용의 문자 메시지를 재발송하는 유형의 스미싱 피해 사례가 보고되었다.   또한, 구글 공식 앱 스토어인 구글플레이(Google Play)에 유명 앱으로 위장한 ‘사칭 앱’이 지속적으로 나타나고 있다. 이들 사칭 앱은 잘 알려진 공식 앱의 아이콘과 매우 유사한 아이콘으로 위장하고 앱 이름에 특수 문자를 살짝 추가하거나 라벨을 변경해 사용자를 속여 설치를 유도한다. 이러한 사칭 앱은 설치 전에 개발자 정보를꼼꼼히 확인하면 피해를 예방할 수 있다.