시만텍은 “줄었다”, 카스퍼스키는 “늘었다”
하지만 둘 다 결론은 “사이버상에서의 범죄는 지금도 증가중”

[보안뉴스 문가용] 시만텍(Symantec)이 2015년의 금융 관련 보고서인 Financial Threat 2015를 발표했다. 해당 보고서에 따르면 2015년 한해 동안 금융기관에서 확인된 트로이목마의 탐지율이 73% 줄어들었다고 한다. 대신 표적형 멀웨어 공격이 급증했다.

금융기관을 겨냥한 멀웨어가 줄어들었다고 해서 희망을 느끼기엔 많이 이르다. 큰 틀에서 보자면 2014년에 비해 2015년에 발견된 멀웨어의 수는 232% 증가했기 때문이다. 시만텍의 최고 위협 분석가인 캔디드 우에스트(Candid Wueest)는 “안심할 때는 아니”라며 “트로이목마를 금융업를 위협했던 과거의 유물로 취급하는 건 매우 부주의한 것”이라고 경고했다.

“누구나 이번 조사 결과만 보면 상황이 좋아지고 있다고 인식하겠죠. 아니요. 절대 그렇지 않습니다.” 금융업계에서 트로이목마가 사라지고 있다는 건, 그 자체로 받아들일 것이 아니라 ‘다른 공격은 여전히 늘어나고 있는 상황’과 함께 이해해야 한다는 것. “생각해볼 수 있는 가능성은 탐지 기술을 우회하는 기술이 늘어났거나 다른 방식의 공격법을 찾아냈다는 겁니다. 그 편이 더 자연스러운 해석입니다.”

또한 해커들이 주로 공격하는 부분도 달라졌다는 점도 주목해야 한다고 우에스트는 강조한다. “여태까지는 은행이나 금융기관의 고객을 주로 노렸었는데, 최근엔 기관 자체를 직접 노리는 공격이 많습니다. 최근 방글라데시 중앙은행 사건을 보세요. 은행을 곧바로 노리니 얼마나 큰 피해가 발생합니까? 해커 입장에선 수익이 늘어난 것이고요.”

샘플당 가지고 있는 URL 패턴의 평균 수는 283이었다고 시만텍은 밝히고 있다. 이는 전년 대비 405% 증가한 수치다. “간단히 말해 사실상 모든 금융기관이 표적이 될 수 있다는 뜻입니다. 확실히 트로이목마가 줄었다는 사실만으로는 유용한 의미를 도출하기 힘들다는 지표가 되지요.”

트로이목마 탐지율이 낮아졌다는 건 긍정적인 측면에서 보안 소프트웨어의 기능이 늘어났다는 가능성도 열어두게 된다. “보통 트로이목마 같은 경우는 보안 솔루션이 탐지했을 경우 다운로드 자체를 방지하거든요. 보안 솔루션들이 너무 강력해져서 트로이목마가 제대로 발을 붙이지 못했을 가능성도 분명히 존재합니다.”

게다가 2015년에는 FBI와 유럽 사법기관의 공조로 사이버 금융 범죄자들이 사용하는 봇넷 등을 다수 폐쇄시킨 전적도 있다. 드리덱스(Dridex) 네트워크와 다이어(Dyre) 그룹이 좋은 예다. 이들의 영향력이 워낙 컸기 때문에 작년의 성공적인 폐쇄작전 수차례가 이번 조사에 영향을 끼쳤을 가능성 또한 농후하다.

하지만 카스퍼스키(Kaspersky)는 이번 조사결과 자체에 동의하기 힘들다는 입장이다. “우리가 조사한 바로는 트로이목마 감염은 전년대비 증가추세이고 그것은 현재진행형이기도 합니다.” 수석 보안 연구원인 커트 봄가트너(Kurt Baumgartner)의 설명이다.

“트로이목마를 ‘속아서’ 설치하는 사용자들이 얼마나 많은데요. 게다가 그 수는 계속해서 증가 중이죠. 속지 말라고 그렇게 교육을 하고 소문을 내도, 속는 사람이 더 늘어나는 기이한 현상이라니... 범죄자들의 수법이 갈수록 치밀해지고 있다는 소리입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>