올 상반기에는 암호화폐를 채굴하는 크립토 재킹 공격 대상이 확대됐다. 랜섬웨어 공격 방식은 고도화했다.
안랩(대표 권치중)은 '상반기 보안 위협 Top 5'를 발표했다. △크립토재킹 공격 대상 확대 △랜섬웨어 공격 방식 고도화 △지속되는 지능형 위협 공격 △취약점을 이용한 공격 지속 △특수 이벤트 악용한 사이버 공격 등이 주를 이뤘다.
한창규 안랩 시큐리티대응센터(ASEC) 실장은 “상반기에 채굴 악성코드 등 암호화폐 관련 위협이 크게 증가했다”면서 “랜섬웨어가 업그레이드를 반복하며 다양한 변종으로 피해를 양산했다”고 말했다. 이어 “이러한 경향은 하반기에도 이어질 전망으로 기업, 기관, 일반 사용자 주의가 필요하다“고 말했다.
지난 연말부터 등장한 채굴 악성코드 크립토재킹은 올해 지속 증가하며 공격 대상도 확대됐다. 2017년에는 보안이 취약한 웹 서버나 나스(NAS) 서버 등 기업 하드웨어 시스템을 노린 형태였다. 상반기에는 개인 PC를 이용해 암호화폐를 채굴하는 공격이 활발했다. 악성코드에 감염된 PC가 암호화폐 채굴로 CPU 점유율 100%를 기록하는 피해가 발생했다. 운용체계(OS)나 웹 브라우저 종류 상관없이 보안에 취약한 웹서비스를 이용할 경우 크립토재킹에 감염된다.
랜섬웨어 공격은 고도화했다. 4월 이후에는 랜섬웨어 공격자가 복호화가 불가능한 랜섬웨어 제작을 지속적으로 시도했다. 갠드크랩 랜섬웨어가 대표적이다. 취약점 공격 도구인 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit)을 이용해 작년 하반기에 유포된 매그니베르(Magniber) 랜섬웨어 변종이 올해 새롭게 나타났다.
매그니베르 랜섬웨어와 같이 웹 사이트 광고를 이용한 멀버타이징 기법 외 전통적 스팸 메일을 이용했다. 업무나 저작권 침해 관련 제목과 내용으로 위장한 사회공학기법이 사용됐다.
국내 기관과 기업을 비롯해 주요 인사를 표적한 지능형 위협 공격(APT)이 계속됐다. 표적 IT 인프라를 파악해 침투하는 공급망 공격(Supply Chain Attack)의 수위도 여전하다. 공급망 공격은 기관이나 기업에서 사용하는 소프트웨어 개발과 배포 과정에 개입해 악성코드를 삽입, 유포하는 방식이다.
취약점이 존재하는 소프트웨어는 공격자가 가장 선호하는 수단이다. 공격자는 알려지지 않은 제로데이(zero-day) 취약점을 찾아낼 뿐만 아니라, 보안 패치가 배포된 취약점이라도 패치를 적용하지 않은 사용자를 공격했다.
특수 이벤트를 악용한 사이버 공격도 빈번했다. 평창 동계올림픽과 러시아 월드컵 등에 대한 관심을 악용해 개인정보를 탈취하거나 금전적 피해를 입힌 사이버 공격이 잇따랐다.
김인순 보안 전문기자 insoon@etnews.com