안랩, ‘2016년 하반기 보안 위협 전망’ 발표

[시큐리티월드 김성미 기자] 안랩이 ‘2016년 하반기 보안 위협 전망’을 발표했다. 안랩은 하반기 보안 위협으로 ①공용 소프트웨어 타겟 공격 ②악성코드 서비스(MaaS) 활성화 ③랜섬웨어 피해 증대 ④핀테크 서비스에 대한 모바일 보안 위협 ⑤사회기반시설을 노리는 사이버 테러 위협 지속 등 5가지를 꼽았다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
안랩은 지금까지 국내에서 발견된 표적 공격을 살펴보면, 주로 중앙관리 솔루션과 웹, 이메일 등을 통해 악성코드가 유포됐으며, 앞으로는 내부에서 사용되는 공용 소프트웨어를 통한 유포로 범위가 확장될 것이라고 예상했다.

그 예로 올 초 발생한 보안업체와 ERP업체의 디지털 서명 도용 사건을 꼽았다. 공격자가 탈취한 인증서로 서명된 악성 프로그램을 작성해 기업 내부에서 공용으로 사용하는 소프트웨어와 운영서버로 공격범위를 한정해 유포함으로써 악성코드가 장기간 잠복할 수 있었다.

유출된 인증서로 변조한 공용 소프트웨어를 내부 서버를 통해 배포해 네트워크 신뢰 구간을 공격하면 관리자와 사용자의 의심을 사지 않고 시스템을 장악할 수 있어 발견이 어려울 뿐만 아니라 피해도 크다. 따라서 이런 공격 증가에 대한 각별한 주의가 필요하다.

토르를 통한 익명화와 다크웹 사용이 간편해 지면서 사이버 블랙마켓을 통한 악성코드 서비스(Malware-as-a-Service, 이하 MaaS)도 활성화 되고 있다. 안랩은 공격에 필요한 요소를 여러 형태로 접목한 MaaS를 통해 공격 범위와 스펙트럼이 다양해 질 것으로 전망했다.

올 상반기 스팸과 익스플로잇 킷을 통한 악성코드 유포가 급증했는데, 랜섬웨어도 대표적인 MaaS 사례다. MaaS는 유지보수에서 발생하는 기술적 문제점과 공격을 실행하기 위해 필요한 전문지식을 모두 위탁하는 형태를 취하고 있다.

이는 공격자가 되기 위한 진입장벽이 낮아졌다는 것을 의미한다. 이에 따라 서비스 제공자간 경쟁도 심화돼 공격 요소들의 가격이 낮아지고 기능과 종류도 다양해지고 있다. 악성코드를 주문·제작하는 것은 물론 유포에 필요한 제로데이 취약점, 난독화 서비스, 익스플로잇 킷, 스팸 네트워크까지 유료로 사용할 수 있다.

안랩은 랜섬웨어 위협은 상반기와 유사한 양상을 보이며 늘어날 것으로 예측했다. RaaS(Ransmoware-as-a-Service)가 활성화되고 랜섬웨어가 거대한 시장을 형성함에 따라 더욱 다양한 랜섬웨어가 출현할 것으로 전망했다.

최근 들어 네커스 봇넷이 록키와 서버 유포를 재개했고, 활동을 종료한 앵글러(Angler) EK의 자리는 뉴트리노(Neutrino) EK가 빠르게 대체하고 있다. 의료기관을 노린 삼삼(SamSam)과 같이 제조업을 포함한 다른 산업 분야로 공격 대상을 확대할 가능성도 있다.

브렉시트(Brexit)로 비트코인 가격이 급등한 만큼 비트코인을 요구하는 랜섬웨어 활동도 더욱 활발해질 것으로 전망했다. 안랩은 핀테크가 사회 전반으로 확대된 만큼 간편결제 서비스를 이용하기 위한 금융정보를 노리는 악성 앱도 등장할 가능성이 있다고 내다봤다.

사회 혼란을 일으킬 수 있는 사회 기반 시설에 대한 사이버 테러 위협도 지속될 가능성이 높다. 사이버 테러는 일반 테러나 군사적 공격보다 추적과 보복이 어렵기 때문에 테러 단체나 국가 단위에서 시도된다.

대부분의 사회기반시설을 인터넷에 직접 연결하니 않은 망분리 상태로 운영되지만, 인터넷에 연결된 시스템도 있는 데다 사용자가 보안 정책을 어기는 경우도 많아 공격자가 이같은 취약점을 찾아내 공격할 가능성이 있다. 따라서 공격을 무력화하거나 피해를 최소화하기 위한 꾸준한 사전 예방과 대응이 필요하다.
[자료 제공 : 안랩 페이스북(www.facebook.com/ahnlab.uxd)

[글 시큐리티월드 김성미 기자(sw@infothe.com)]

[월간 시큐리티월드 2016년 10월호 통권 237호(sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>