지난해 랜섬웨어와 크립토재킹 공격이 줄어든 대신 폼재킹 공격이 늘어났다. 사이버범죄자는 수익을 내려 끊임없이 공격 방식을 바꾼다.
26일 시만텍(한국지사장 이석호)은 2018년 주요 보안 위협 동향을 분석한 '인터넷보안위협보고서(ISTR) 제24호'를 발표했다. 이 보고서는 세계 1억2300만개 공격감지센서로 보안위협 데이터를 수집하는 시만텍 글로벌인텔리전스네트워크(GIN) 데이터를 분석한 결과를 담았다.
시만텍은 폼재킹(formjacking)과 같은 새로운 공격 유형이 지난해 급증했다고 밝혔다. 이 공격은 현금자동입출금기(ATM)에 특정 장치를 삽입해 신용카드 정보 탈취를 노리는 스키밍(Skimming) 공격의 온라인 버전이다. 쇼핑 사이트에 악성코드를 삽입, 결제정보 입력란에 소비자가 기재하는 각종 정보를 탈취한다. 주로 자바스크립트 기반으로 간편하게 구현된 중소 규모 사이트를 악용하므로, 해외직구를 애용하는 국내 소비자가 이러한 위협에 노출되기 쉽다.
보고서에 따르면 평균적으로 매월 4800개 이상 웹사이트가 폼재킹 코드에 감염된다. 다크웹 등 지하시장에서는 소비자 신용카드 한 장 정보가 최대 45달러에 거래된다. 지난해 영국항공(British Airways) 대상으로 폼재킹 공격을 가해 38만 건 이상 신용카드 정보를 유출시킨 사이버범죄자는 1700만달러 이상을 벌어들였을 것으로 추정된다. 시만텍은 지난해 엔드포인트에서 370만건 이상 폼재킹 공격을 차단했으며 이 중 약 3분의 1이 연말 쇼핑시즌인 11월과 12월에 집중됐다.
시만텍은 사이버범죄자가 폼재킹과 같은 새로운 공격에 주목하는 이유를 암호화폐 가치 하락과 클라우드·모바일 컴퓨팅 증가에서 찾았다. 랜섬웨어와 크립토재킹(cryptojacking) 공격이 예전만큼 돈벌이가 안 되면서 사이버범죄자는 대체수입원을 찾는다. 지난해 랜섬웨어 감염은 전년대비 20% 감소, 2013년 이후 처음으로 하락했다. 반면 사이버범죄자 입장에서 고수익을 기대할 수 있는 기업 대상 랜섬웨어 공격은 12% 늘어났다.
김봉환 시만텍코리아 SE본부 상무는 “최근 사이버공격은 빠르게 수익을 거두는 데 초점을 맞추는 양상”이라며 “폼재킹은 해외 여러 쇼핑 사이트가 써드파티 자바스크립트 라이브러리를 활용해 간편하게 구축된 점을 악용하는 경우가 많으므로, 이런 공격이 국내 쇼핑 사이트에서 일어날 가능성은 낮다. 다만 폼재킹과 소프트웨어(SW) 공급망 공격이 결합된 티켓마스터 피해 사례와 같은 경우는 국내에서도 충분히 발생할 수 있다”고 말했다.
팽동현기자 paing@etnews.com