2011년 다형성 악성코드 공격이 급증함에 따라 시만텍은 총 55억건 이상의 악성공격을 차단했다. 또한 표적공격이 기업 규모에 상관없이 전방위로 확산되면서 사이버 스파이활동이 주요 문제로 대두됐으며, 정치적 목적의 핵티비스트 공격이 늘면서 데이터 유출사고 또한 빈번하게 발생한 해였다. 이번에는 사이버 산업스파이와 표적공격에 대해 살펴보도록 하자.
방창완 기자
사이버범죄자들에게 여전히 PC는 수익성 좋은 분야이긴 하지만 모바일은 더 높은 수익성을 안겨주는 새로운 기회의 땅이다. 일례로 과금을 유발하는 휴대폰 프리미엄 문자메시지 전송 악성코드의 경우 개발자에 문자메시지당 9.99달러의 수익을 안겨준다. 2011년 발견된 모바일 보안 취약점도 전년대비 93% 증가한 315건에 달했다. 이에 따라 악성코드 개발자들이 기존 PC기반 악성코드를 모바일용으로 수정하거나 새로운 모바일 전용 악성코드를 제작하면서 지난해 처음으로 모바일 악성코드가 기업 및 개인사용자에 실제 위협으로 다가왔다.
▶ 2011년 한 해 동안 시만텍이 차단한 악성 공격은 총 55억건으로 전년대비 81% 급증
▶ 웹 기반 공격은 하루 평균 4,595건으로 전년대비 36% 증가
▶ 2011년 생성된 새로운 악성코드 변종은 4억3백만개로 전년대비 41% 증가
▶ 2011년 탐지된 모바일 취약점은 315건으로 전년대비 93% 증가
▶ 2011년 모바일 기기의 데이터 수집, 사용자 위치추적 및 과금형 프레미엄 문자메시지를 전송하는 모바일 악성코드가 실제적 위협으로 대두
▶ 2011년 탐지된 전체 취약점 수는 4,989건으로 전년대비 20% 감소
▶ 2011년 새로 발견된 제로데이 취약점 8개
▶ 2011년 2억3천2백만건의 개인정보가 유출되었으며, 사고당 평균 110만건 개인정보 유출
▶ 표적공격의 42%가 CEO, 고위 임원 및 R&D 담당 직원들을 겨냥한 반면, 58%는 영업, 인사, 비서, 언론 및 홍보와 같이 기밀정보에 직접적인 접근권한이 없는 사람들을 겨냥
▶ 스팸 양은 잇따른 봇넷 폐쇄조치로 전년 대비 34% 감소한 반면 피싱은 2010년 이메일 442.1건 당 1건에서 2011년 299건 당 1건으로 증가
▶ 이메일을 통한 악성코드 공격의 39%는 악의적 웹 페이지로의 방문 링크를 이용
▶ 웹 기반 공격은 하루 평균 4,595건으로 전년대비 36% 증가
▶ 2011년 생성된 새로운 악성코드 변종은 4억3백만개로 전년대비 41% 증가
▶ 2011년 탐지된 모바일 취약점은 315건으로 전년대비 93% 증가
▶ 2011년 모바일 기기의 데이터 수집, 사용자 위치추적 및 과금형 프레미엄 문자메시지를 전송하는 모바일 악성코드가 실제적 위협으로 대두
▶ 2011년 탐지된 전체 취약점 수는 4,989건으로 전년대비 20% 감소
▶ 2011년 새로 발견된 제로데이 취약점 8개
▶ 2011년 2억3천2백만건의 개인정보가 유출되었으며, 사고당 평균 110만건 개인정보 유출
▶ 표적공격의 42%가 CEO, 고위 임원 및 R&D 담당 직원들을 겨냥한 반면, 58%는 영업, 인사, 비서, 언론 및 홍보와 같이 기밀정보에 직접적인 접근권한이 없는 사람들을 겨냥
▶ 스팸 양은 잇따른 봇넷 폐쇄조치로 전년 대비 34% 감소한 반면 피싱은 2010년 이메일 442.1건 당 1건에서 2011년 299건 당 1건으로 증가
▶ 이메일을 통한 악성코드 공격의 39%는 악의적 웹 페이지로의 방문 링크를 이용
사이버 산업스파이 활동 구체화
표적공격(Targeted attacks)은 2010년에 하루 평균 77건에서 2011년에는 82건으로 증가했다. 또한 2011년에는 스턱스넷(Stuxnet)과 유사한 ‘듀큐(Duqu)’, 전세계 화학 및 방산업체를 공격한 ‘니트로(Nitro)’ 등의 ‘지능형 지속공격(Advanced Persistent Threat)’이 발생해 많은 이목을 집중시켰다. 이밖에 해킹그룹 어나니머스(Anonymous)와 룰즈섹(LulzSec) 등의 핵티비즘(해킹 행위를 정치∙이념적 목적으로 사용)
활동이 2011년 보안 메인 뉴스를 장식했다.
일반적으로 표적공격은 표적으로 삼은 기업 또는 조직에 침투하기 위해 정교한 맞춤형 악성코드와 인간의 심리를 공략하는 사회공학적 기법을 이용하며, 공격 성공률을 높이기 위해 공격대상자를 사전에 조사 분석한다. 반면 APT 공격은 보다 장시간에 걸쳐 스파이활동을 수행하는 고도의 표적공격으로, 주로 정부나 산업의 중요 정보와 시스템을 겨냥한다.
일반적으로 표적공격은 표적으로 삼은 기업 또는 조직에 침투하기 위해 정교한 맞춤형 악성코드와 인간의 심리를 공략하는 사회공학적 기법을 이용하며, 공격 성공률을 높이기 위해 공격대상자를 사전에 조사 분석한다. 반면 APT 공격은 보다 장시간에 걸쳐 스파이활동을 수행하는 고도의 표적공격으로, 주로 정부나 산업의 중요 정보와 시스템을 겨냥한다.
지능형 지속공격(APT)
최근 언론에 자주 오르내리고 있는 APT 공격은 실제 존재한다. 예를 들어 2011년 3월 발생한 APT 공격으로 미 방산업체의 24,000개 파일이 유출됐다. 유출된 파일은 미 국방부의 무기체계 개발과 관련된 것이었다.
이 때문에 각국 정부기관들은 APT 공격을 매우 심각하게 받아들이고 있다. 미 국방부는 사이버 보안 연구개발에 최소 5억 달러를 배정했고, 영국 정부는 지속적으로 진화하는 사이버 위험과 국가안보 위협에 대처하기 위해 6억5,000만 파운드 예산의 국가 사이버 보안 프로그램을 골자로 한 사이버안보전략을 발표했다.
모든 APT 공격은 주요 공격수단으로 표적공격을 이용하며, 이밖에 드라이브바이다운로드(Drive-by-downloads), SQL 인젝션, 악성코드, 피싱, 스팸 등 다양한 공격기법들을 종합적으로 이용한다. APT 공격이 일반 표적공격과 다른 점은 다음과 같다.
1. APT 공격은 공격대상만을 위한 고도의 맞춤형 툴과 제로데이 취약점, 루트킷 기법 등의 침입 기술을 사용한다.
2. APT 공격은 보안 탐지를 회피하기 위해 은밀히 잠복한 상태에서 지속적으로 공격을 가한다.
3. APT 공격의 주요 목적은 군사, 정치, 경제 분야의 국가 기밀정보를 수집하기 위함이다.
4. APT 공격에 동원되는 제로데이 취약점이나 루트킷 기법 등은 충분한 자금과 인력 지원을 필요로 한다는 점으로 미루어 볼 때 APT 공격은 군 또는 국가 정보기관의 지원을 받는 것으로 보인다.
5. 따라서 APT 공격은 일반 기업체가 아닌 정부기관, 방산업체, 글로벌 제조업체, 국가 핵심 기간산업 운용업체 및 관련 협력사 등 전략적으로 중요한 기관을 표적으로 삼을 가능성이 크다.
2. APT 공격은 보안 탐지를 회피하기 위해 은밀히 잠복한 상태에서 지속적으로 공격을 가한다.
3. APT 공격의 주요 목적은 군사, 정치, 경제 분야의 국가 기밀정보를 수집하기 위함이다.
4. APT 공격에 동원되는 제로데이 취약점이나 루트킷 기법 등은 충분한 자금과 인력 지원을 필요로 한다는 점으로 미루어 볼 때 APT 공격은 군 또는 국가 정보기관의 지원을 받는 것으로 보인다.
5. 따라서 APT 공격은 일반 기업체가 아닌 정부기관, 방산업체, 글로벌 제조업체, 국가 핵심 기간산업 운용업체 및 관련 협력사 등 전략적으로 중요한 기관을 표적으로 삼을 가능성이 크다.
APT 공격이 지속적으로 발생함에 따라 다른 사이버범죄자들이 이를 통해 새로운 공격기술을 학습하고 있다는 점도 문제다. 실제 최근 서버측 다형성 공격이 기승을 부리고 있고, 소셜 네트워크와 사회공학적 기법을 접목한 표적 공격도 일반화되고 있다. 또한 APT 공격이 주요 지적재산을 겨냥하고 있다는 사실은 산업스파이 활동에서 사이버범죄자들이 정보 브로커로 활동할 수 있다는 점을 시사한다. APT 공격이 대다수 기업에 영향을 미칠 가능성은 상대적으로 낮지만 표적공격의 희생양이 될 가능성은 매우 높다. 따라서 APT 공격에 대한 최상의 방어책은 표적공격 전반에 대해 철저한 방어체계를 갖추는 것이다.
표적공격
이번 보고서는 표적공격이 기업 규모에 관계없이 산업 전 분야로 확산되고 있다는 점을 보여준다. 표적공격의 3분의 2는 특정 분야의 단일 또는 소수 기업에 집중되고 있고, 그 중 절반 이상이 국방 및 항공우주 산업을 겨냥하고 있다. 표적공격은 각 공격마다 평균 2종의 취약점을 이용한 것으로 나타났다. 그 중에서 제로데이 취약점이 막강한 파괴력을 가진다.
이번 보고서는 표적공격이 기업 규모에 관계없이 산업 전 분야로 확산되고 있다는 점을 보여준다. 표적공격의 3분의 2는 특정 분야의 단일 또는 소수 기업에 집중되고 있고, 그 중 절반 이상이 국방 및 항공우주 산업을 겨냥하고 있다. 표적공격은 각 공격마다 평균 2종의 취약점을 이용한 것으로 나타났다. 그 중에서 제로데이 취약점이 막강한 파괴력을 가진다.
하지만 대기업만이 표적공격의 대상은 아니다. 표적공격의 절반 이상이 직원수 2,500명 미만의 기업을 겨냥했다. 직원수 250명 미만의 사업장을 겨냥한 표적공격도 18%에 달했다. 대부분의 소기업은 대기업과 협력관계에 있지만 상대적으로 방어체계가 취약하기 때문에 소기업을 공격 발판으로 삼아 대기업을 공격하기 위한 의도로 분석된다.
또한 표적공격 대상의 42%는 고위 간부, 임원 및 R&D 직원들이었지만 58%는 기밀정보에 직접적인 접근권한이 없는 인사, 영업, 언론 및 홍보담당 직원들이었다. 이러한 간접적인 공격형태는 방어체계를 잘 갖춘 조직에 침투하는데 매우 효과적일 수 있다. 예를 들어, 인사 및 채용 담당자들은 표적공격의 6%를 차지했는데, 이는 이력서와 같은 이메일 첨부파일을 낯선 외부인들로부터 정기적으로 받고 있기 때문인 것으로 보인다.
또한 표적공격 대상의 42%는 고위 간부, 임원 및 R&D 직원들이었지만 58%는 기밀정보에 직접적인 접근권한이 없는 인사, 영업, 언론 및 홍보담당 직원들이었다. 이러한 간접적인 공격형태는 방어체계를 잘 갖춘 조직에 침투하는데 매우 효과적일 수 있다. 예를 들어, 인사 및 채용 담당자들은 표적공격의 6%를 차지했는데, 이는 이력서와 같은 이메일 첨부파일을 낯선 외부인들로부터 정기적으로 받고 있기 때문인 것으로 보인다.
저작권자 © 디지털포스트(PC사랑) 무단전재 및 재배포 금지
