[보안 2020] ②"한층 똑똑해진 해커가 당신을 노린다"

입력 2019.12.25 06:18 | 수정 2019.12.25 23:32

디지털 트랜스포메이션(전환)이 업계 구분 없이 진행되는 상황이다. 과거와 달리 복합적인 사이버 공격이 증가함에 따라 보안 업계의 고민도 짙어졌다. 한 해 동안 업계 이슈로 떠오른 보안 업계 평가와 내년도 전망을 정리해봤다. 보안 산업계가 2020년에도 힘찬 행보를 보일 것을 기대하며, 4회에 걸쳐 살펴본다. [편집자주]

[보안 2020] ①클라우드·블록체인·해외로 성장엔진 찾은 보안산업계
[보안 2020] ②"한층 똑똑해진 해커가 당신을 노린다"

업계 "지능화・고도화한 다양한 해킹 등장할 것"
랜섬웨어, 지급 능력 높은 대기업・공공 노린다
클릭 유도하는 스피어피싱도 치밀해져
암호화폐 거래소 타깃 해킹 조직 증가 전망

창과 방패의 싸움이 날로 치밀해지는 양상이다. 보안 업계가 인공지능(AI)과 블록체인을 포함한 차세대 기술로 보안 역량을 높이는 사이 해커도 이에 질 수 없다는 듯 해킹 방식을 고도화하는 모습이다.

보안 업계가 내놓은 2020년 보안 전망에서 떠오른 키워드는 ‘똑똑한 해커’였다. 랜섬웨어와 스피어피싱 등의 경우 기존에도 존재하던 해킹 방식이지만 점차 단계를 높인 해킹 수법을 선보여 주의가 요구된다는 설명이다.

암호화폐가 화제로 떠오르는 만큼 해당 거래소를 노리는 해커도 2020년에는 지능화한 모습을 보일 예정이다. 업계는 해커의 공격이 치밀해질수록 대응도 세밀해져야 한다는 조언을 한목소리로 내놨다.

. / 게티이미지
똑똑한 랜섬웨어, 고(高)수익 찾아 대기업・공기관 노린다

보안 업계는 다양한 랜섬웨어 이슈가 발생한 만큼 2020년에도 더 많은 랜섬웨어가 발생할 것으로 전망했다. SK인포섹과 지니언스는 랜섬웨어 공격 지점이 다양해지면서 규모도 커진다고 내다봤다. SK인포섹은 "악성 이메일뿐 아니라 관리 서버도 공격을 위해 이용할 가능성이 높다"고 지적했다.

랜섬웨어의 공격 형태가 고도화한다는 점도 업계의 공통된 의견이다. 이스트시큐리티와 안랩, 이글루시큐리티는 사이버 공격자가 개인에서 공공기관, 대기업으로 공격 대상을 옮기며 지능형지속공격(APT) 형태로 랜섬웨어를 유포한다고 설명했다. APT 공격은 해커가 미리 점친 표적 정보를 꾸준히 모아 약점을 파악한 뒤 지능적으로 공격하는 것을 말한다.

랜섬웨어 공격 대상이 변하는 이유는 사이버 공격에 따른 수익률에서 개인과 기업, 공공기관 간에 차이가 있기 때문이다. 공격 대상의 자금력이 막대할수록 공격에 따른 수익도 크게 낼 수 있기에 이같은 변화가 생긴다는 게 업계의 설명이다. 실제 올해 탐지된 랜섬웨어 공격 건수가 과거보다 감소했으나 피해 규모는 더 커진 것으로 나타났다.

랜섬웨어 피해를 막는 대안으로 꼽히던 백업 저장도 안전하지 않다는 것이 업계 지적이다. 암호화한 데이터를 빌미로 보상을 요구하는 랜섬웨어 공격 형태를 막으려면 미리 데이터를 백업해놔야 한다는 대안이 점차 힘을 잃어간다는 설명이다.

안창용 안랩 수석은 12월 한국인터넷진흥원(KISA)이 주최한 내년도 보안 전망 발표에서 "랜섬웨어 유포자가 백업 저장 파일까지 암호화해 피해를 늘리는 것이 고도화한 랜섬웨어 특징이다. 자신의 데이터가 백업 장치에 저장돼 있더라도 안심하지 말고 주기적으로 보안 점검을 해야 한다"고 조언했다.

. / 카스퍼스키랩 제공
사칭의 귀재 스피어피싱, 신뢰를 역이용하는 지능화 공격 펼쳐

‘스피어피싱(Spear Phishing)’이 한층 더 똑똑해지는 점도 2020년 주요 보안 이슈로 꼽힌다. 스피어피싱은 악성 파일을 첨부한 이메일을 특정 대상에 발송해 사이버 공격을 시도하는 방식을 말한다.

보안 업계에 따르면 한글(HWP)과 워드(DOC) 등의 문서 형식을 기반으로 한 스피어피싱은 전통적인 방식이지만 효과가 높은 공격 방식이다. 2020년에도 문서 파일의 취약점을 활용한 공격이 점차 지능화한 모습을 보이며 범행을 지속할 것이라는 전망이 나온다.

일례로 올해 4월 특정 해커는 대북 단체를 공격 대상으로 삼고자 통일부를 사칭하는 스피어피싱을 벌였다. 9월과 10월에도 각각 투자 기관통일연구원을 사칭해 특정 공격 대상을 정조준하는 사례가 발생했다. 문서 파일을 열어볼 수밖에 없게끔 교묘한 수법을 활용해 점차 지능화한 공격을 펼친다는 분석이다.

공격자가 국내외 웹 서버를 해킹하거나 호스팅 서비스를 받아 이메일 서버를 자체 구축해 발신지를 실제 공식 도메인처럼 조작하는 스피어피싱도 성행한다. 신뢰를 역으로 이용하는 똑똑한 범행이 증가하는 모습이다.

문종현 이스트시큐리티 이사는 12월 KISA 행사에 참여해 "최근 청와대 행사를 사칭한 스피어피싱이 발견됐다. 연초에는 통일부 출입 대상 77명에게 스피어피싱으로 해킹 메일이 들어가기도 했다"며 "스피어피싱은 이메일 주소 하나만 알아도 공격 대상의 시스템을 해커의 통제 아래 둘 수 있어 자주 쓰이는 방식이다"고 지적했다.

워드 문서 파일의 내용을 빈 문서로 보이게끔 한 후 ‘콘텐츠 사용’ 버튼을 눌러 내용을 보도록 유도하는 스피어피싱 방식. 해당 버튼을 누르면 여러 개의 악성 파일이 사용자 서버를 침투한다. / 이스트시큐리티 제공
암호화폐 노리는 손길도 치밀한 범행 벌인다

암호화폐 거래소를 노리는 지능형 해킹이 늘어나는 점도 빠질 수 없는 2020년도 주요 보안 이슈다. 암호화폐 가치가 빠르게 늘어나면서 해커에게 매력적인 표적이 된다는 업계 지적이다. 암호화폐 거래소 임직원과 이용자를 대상으로 다양한 공격을 시도해 암호화폐를 갈취하는 모습이 전망된다.

이글루시큐리티는 "공격자는 적은 비용으로 많은 암호화폐를 거둬들이고자 한층 고도화한 표적형 공격을 감행한다"며 "앞으로 공격자가 더 많은 암호화폐를 거둬들이고자 공격 방식을 변화하고 치밀하게 전개할 것으로 예상된다"고 짚었다.

올해만 해도 11월 한국의 암호화폐 거래소인 업비트에서 시가 590억원에 달하는 이더리움의 이상 거래 정황이 확인되면서 해킹 의혹에 시달렸다. 최근 3년간 암호화폐 거래소에서 발생한 8건의 해킹 사고에서 7건이 암호화폐 유출 피해였으며 총 1200억원 규모의 피해가 발생한 바 있다.

정영석 잉카인터넷 이사는 "다수 민간기업과 금융권보다 암호화폐 거래소가 보안에 적게 투자하는 경향이 있다. 메이저 거래소도 안전하지 않지만 중소 규모의 암호화폐 거래소는 최소한의 보안 조치가 미흡한 상태다"고 지적했다. 그는 "특정 기관을 사칭하거나 피싱 메일이 올 때 주의해서 대응해야 한다"며 "채굴형 악성코드는 PC를 잘 점검해야 이같은 해킹의 피해를 방지할 수 있다"고 조언했다.


키워드