| 악성 트래픽의 절반 이상은 러시아에서 나온다 | 2017.02.27 |
전체 악성 트래픽의 60% 이상은 러시아에서부터
랜섬웨어 공격 대부분도 러시아에서...일부는 우크라이나 .jpg) 악성 트래픽의 절반 가까이가 노출된 HTTP와 HTTPS 포트들을 검색하는 행위로부터 파생했고, 아마도 악성 행위자들이 해당 포트들을 발견한 후 취약한 소프트웨어를 찾아 익스플로잇해 멀웨어를 퍼트린 것으로 보인다. 그런 식으로 기기나 시스템을 감염시키고 나서는 그 기기나 시스템을 프록시처럼 활용해 추가 공격을 하는 것도 가능해진다. SMTP 포트를 검색하는 트래픽도 높은 비중을 차지했다. “러시아 IP로부터 오는 공격을 받은 나라가 굉장히 많았다는 걸 우린 알고 있습니다. 이번 연구 결과로서 그 실체가 확연히 드러났죠.” 에프시큐어의 설명이다. “악성 트래픽이 가장 많이 도착한 곳은 미국이었습니다. 즉 인터넷 공간에서 벌어지는 악성 행위 중 절반 이상이 러시아가 미국을 공격하는 것이라고 볼 수 있습니다.” 더불어 랜섬웨어 공격 역시 러시아에서 가장 많이 출발한다고 에프시큐어의 수석 연구원인 미코 히포넨(Mikko Hypponen)은 귀띔했다. “러시아에서 랜섬웨어를 사용해 범죄를 저지르는 전문 갱단만 100개가 넘어갑니다. 이중엔 위치를 숨기기 위해 우크라이나에서 지부를 운영하는 곳도 있고요.” 카스퍼스키 랩의 연구 결과 중에서도 이와 비슷한 내용이 있다. “지난 12개월 동안 발견된 랜섬웨어 패밀리들 중 80%가 러시아어를 구사하는 사이버 범죄 갱단 및 개인 해커들에 의해 제작된 것입니다. 랜섬웨어 공격자들은 사이버 범죄 경험이 풍부한 사람들이기도 하지만 아마추어 해커들도 많습니다. 이게 무슨 뜻이냐면 랜섬웨어 공격을 용이하게 해주는 킷을 구하는 게 쉽다는 겁니다. 러시아어로 된 것이 특히 많다는 것이겠죠.” 히포넨은 랜섬웨어 공격이 앞으로도 더 심해질 거라고 예측한다. “랜섬웨어 공격이 쉬워진다는 건 탈중앙화가 일어난다는 겁니다. 즉 여기저기서 누구나 자유롭게 공격을 한다는 것이지요. 공격에 일정한 패턴이나 줄기 없이 마구잡이로 아무나 피해자로 만든다는 건데, 범죄자들끼리 경쟁까지 하게 되니까 더욱더 거칠고 악독한 방법들이 개발될 것이라고 봅니다.” 현재 랜섬웨어 공격자들은 편리한 사용자 인터페이스까지 갖추고 있어 자신들이 실시한 공격 캠페인이 어느 정도 성공률을 기록하고, 어느 정도 수익을 거두었나 분석하고 평가할 수도 있다고 한다. 이는 더 탄탄한 후속 공격의 밑거름이 된다. 또한 피해자들이 더 쉽게 돈을 낼 수 있도록 도와주는 기능들도 점점 발전하고 있다. 그래서 현재 피해자들이 공격자들에게 돈을 내는 비율이 16%에 달한다고 한다. 다른 보안 전문가들도 랜섬웨어에 대해서는 거의 대부분 ‘증가할 것’이라고 보고 있다. 공격자들이 더 적극적이고 대범하게 공격하는 것은 물론, 기술력도 더 뛰어나게 변할 것이라는 예측이다. “예전부터 협박 범죄를 일삼은 범죄자들 사이에서는 유명한 사실이 하나 있죠. 한 번 당한 사람은 또 당한다는 겁니다. 이걸 랜섬웨어 공격자들도 알아가고 있어요. 그래서 같은 피해를 두 번 세 번 당하는 사람도 늘어가고 있습니다.” 소포스 랩스(Sophos Labs)의 보안 연구 책임자인 제임스 린(James Lyne)의 설명이다. 그래서 최근 랜섬웨어는 암호화뿐만 아니라 데이터를 훔쳐내거나 손상을 주고, 심지어 디스크를 죄다 지우는 기능까지 가지고 있다. 추가 공격을 감행하기 위해서다. 사용자의 데이터들이 점점 더 위험해지고 있다. [국제부 문가용 기자(globoan@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
