• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

익스플로잇 킷 활동 급격하게 줄어들었다 2017.02.24

제로데이 취약점 줄어든 것에 영향 받은 듯
러시아 일당 50명 검거 후 앵글러는 사실상 멸종

[보안뉴스 문가용 기자] 최근 익스플로잇 킷 활동이 크게 줄어들었다는 반가운 조사 결과가 나왔다. 물론 이것이 장기화될 조짐인지 일시적인 현상인지는 아무도 모른다. 다만 수사기관들의 활동이 늘어나고 제로데이 버그의 수가 최근 줄어든 것이 이런 결과를 낳은 것으로 보인다. 이는 보안 전문업체인 트렌드 마이크로에서 조사해 발표한 내용이다.


트렌드 마이크로에 의하면 2015년에는 익스플로잇 킷 활동이 2천 7백만 건이었던 것에 비해 2016년에는 8백 8십만 건으로 크게 줄어들었다. 가장 유명한 축에 속하는 앵글러(Angler) 익스플로잇 킷만 하더라도 2016년 1사분기에는 3백 4십만 건의 공격에 활용되었는데, 4사분기에는 거의 한 건도 보고된 바가 없을 정도다.

트렌드 마이크로는 작년 앵글러 익스플로잇 킷 일당으로 의심되는 러시아인 범죄자가 50여명 체포된 사건이 주요 이유라고 보고 있다. “그 사건이 있은 직후부터 앵글러의 사용량이 급격하게 떨어졌습니다. 앵글러는 2015년 발생한 익스플로잇 킷 관련 범죄에서 57%의 점유율을 보이던 골칫거리였는데 말이죠.”

그밖에 유명한 익스플로잇 킷으로는 뉴트리노(Neutrino)와 뉴클리어(Nuclear)가 있다. 이 둘은 2016년 한 해 동안 왕성한 활동력을 보였다. 그런데 이 둘도 크게 활동량이 줄어들었다. 아직 그 이유가 명확하지는 않지만 제로데이 취약점이 줄어든 것에 영향을 받은 듯 하다. 2016년에 발견된 제로데이는 한 해 전의 그것에 비해 현격히 적다고 한다.

보안 전문업체인 프루프포인트(Proofpoint)의 위협 첩보 책임자인 패트릭 윌러(Patrick Wheeler)는 “익스플로잇이 가능한 취약점과 제로데이의 수명 자체가 빠르게 줄어들고 있다”고 설명한다. 프루프포인트 역시 최근 첩보가 줄어들었다는 현상에 주목하고 있다. “익스플로잇 킷 활동이 작년 1월부터 9월까지 93%나 줄어들었어요. 상상도 못한 현상입니다.”

현재 앵글러의 위치는 RIG라는 익스플로잇 킷이 차지하고 있다. 그러나 그래봐야 도토리 키 재기 수준일 뿐, 전체 앵글러 익스플로잇 킷의 활동량 자체는 2015년의 그것에 전혀 미치고 있지 못하다. “아마 익스플로잇 킷이라는 공격법 자체의 효용성이 줄어든 것이라고 봅니다. 해커들의 공격법이란 것도 흥망을 거치기 때문에 익스플로잇 킷이 사라지는 것도 그리 놀라울 것은 없습니다.”

그렇다면 익스플로잇 킷이 사라진 자리에 다른 공격 방식이 들어섰을 가능성이 높다는 뜻이 된다. “악성 이메일의 양이 크게 늘었습니다. 모바일 및 사물인터넷 기기용 익스플로잇 킷도 엄청나게 늘어났고요. 그래서 ‘사이버 공격’은 전체적으로 오히려 증가했습니다.” 트렌드 마이크로의 존 클레이(Jon Clay)는 “익스플로잇 킷이 줄어들었다고 해서 변하는 건 아무 것도 없다”며 “솔직히 보안 업계가 잘 해서 줄어든 게 아니라 공격자들이 줄여주었기 때문에 줄어든 것”이라고 설명한다.

“취약한 시스템을 공격할 수 있는 방법은 아직도 무수히 많습니다. 취약한 시스템 자체는 2015년과 비교도 할 수 없을 정도로 늘어났고요. 익스플로잇 킷이 줄어들었다는 건 모래 사장에서 모래 한 삽 정도 없어졌다는 것과 다를 바 없는 소식입니다.”

게다가 “주류 익스플로잇 킷이 줄어든 대신 범죄 집단이나 해커가 스스로 개발하는 익스플로잇 킷은 여전히 등장하고 있다.” 러크(Lurk)나 폰스톰(Pawn Storm)이라는 사이버 스파이 단체가 자신들만의 ‘커스텀 킷’을 제법 개발하고 있는 편이다. “어쩌면 ‘공공 익스플로잇 킷’의 유행이 끝나고, ‘사설 익스플로잇 킷’의 시대가 오고 있는 것일지도 모릅니다.”

보안 전문업체인 디지털 셰도우즈(Digital Shadows)의 마이클 매리엇(Michael Marriot) 역시 익스플로잇 킷의 공격이 줄어들었다는 것 자체만으로는 그 어떤 의미를 갖지 못한다는 데에 동의한다. “이 현상을 조금 더 관찰해야 유의미한 결론에 도달할 수 있을 것 같습니다. 지금 섣부른 결론을 내리는 건, 말 그대로 섣부른 것입니다.”

그는 또한 “최근 선다운(Sundown)이라는 익스플로잇 킷의 소스코드가 유출되었다는 것도 염두에 두어야 한다”고 주장한다. “미라이 소스코드가 공개되고 미라이 공격이 발생하기 시작했죠. 선다운의 경우도 그렇게 될 수 있습니다. 서툰 해커들이 장난을 치거나 실험해보느라 여러 시스템에 피해를 줄 수 있어요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>