새해 사회 혼란을 야기하고 후속 해킹으로 연결하는 정보 유출형 표적 공격이 더욱 심각해질 전망이다. 해커는 클라우드 서버를 정보 유출지로 운영하는 등 공격자원 교체 주기를 빠르게 바꾼다.
한국인터넷진흥원(원장 백기승)은 지난해 국내 주요 보안 기업 6곳과 ‘사이버 위협 인텔리전스 네트워크’를 구성했다. 사이버 위협 인텔리전스 네트워크는 15일 KISA에서 회의를 열고 ‘2016년 7대 사이버 공격 전망’을 발표했다.
KISA는 최신 클라우드 등 IT인프라가 공격자원으로 악용된다고 경고했다. 해커는 신속히 IP를 변경하는 패스트 플럭스(DDNS·Fast-Flux) 기술을 이용한다. 대응과 탐지가 어렵게 치고 빠지는 일회성 공격자원 활용이 빈번하다.
이스트소프트는 공격자가 특정인을 표적으로 정보를 수집하고 선별해 대상을 감염시킨다고 밝혔다. 악성코드에 감염된 PC에서 빼낸 자료를 체계적으로 분류해 다시 공격에 악용한다. 국내서 주로 사용하는 한컴오피스와 보안 솔루션, 광고와 기업용 관리 프로그램 등 취약점 사용을 경고했다.
하우리는 배너와 광고플랫폼 등 국내 웹 환경에 연동된 서비스 취약점 악용을 지적했다. 보안 체계가 갖춰진 웹 서비스를 우회해 침투하고 응용 프로그램 자동 업데이트 서비스 체계를 공격해 대규모 감염을 유도한다. 악성 앱을 공식 마켓플레이스에서 배포하고 업데이트하는 사례도 증가할 전망이다.
잉카인터넷은 악성코드가 파일로 존재하지 않고 메모리 영역에 침투해 감염 여부를 알기 어려운 시기라고 강조했다. 악성코드가 메모리 패치, 암호화, 압축, 안티 가상머신(VM), 안티 디버깅 등 다양한 은닉 기술을 쓴다. 암호화한 트래픽이 공격 코드를 숨겨 보안 솔루션을 우회하는 기법이 주를 이룬다.
안랩은 PC와 모바일 랜섬웨어를 경고했다. 화면을 잠그는 모바일 랜섬웨어 확산이 예상된다. 해커는 공격 위치 추적을 차단하기 위해 토르(Tor) 네트워크를 이용한 자금결제를 안내한다. 각종 문서나 이미지 파일을 암호화하는 명령&제어(C&C) 서버도 수시로 변경해 네트워크 차단 정책을 우회한다.
빛스캔은 애플 iOS 보안 위협 확대를 점쳤다. iOS 보안 매커니즘을 모두 제거하도록 기기를 탈옥시킨 후 원격 접근 트로이목마를 설치해 정보를 탈취한다. iOS용 가짜 개발자 인증서를 이용해 악성앱 설치를 유도한다. 2016년 인터넷전문은행이 문을 연다. 해커는 본인인증 정보를 탈취하거나 금융거래 관련 개인정보를 탈취하는 공격을 감행한다.
NSHC는 사물인터넷(IoT) 확산에 따라 기기 간 게이트웨이 역할을 하는 공유기 공격도 계속된다고 밝혔다. 공유기 펌웨어 변조와 업데이트 공격이 시도될 전망이다. 웨어러블 제품과 서비스 취약점을 악용한 공격도 늘어난다. 아마존, 알리바바 등이 드론을 이용한 택배 계획을 발표했다. 드론 취약점을 노린 공격이 새 이슈로 등장한다.
백기승 KISA 원장은 “지난해부터 민·관이 힘을 합쳐 사이버 위협을 선제적으로 대응했다”며 “새해에는 참여 기업 경험과 역량을 산업으로 발전시켜 상업적으로 활용하도록 노력하겠다”고 말했다.
김인순기자 insoon@etnews.com