멀웨어 사용하지 않는 공격, 가격 효율이 더 높은 듯
랜섬웨어 산업 급증해...비트코인 광풍이 한 몫 한 것으로 나타나

[보안뉴스 문가용 기자] 보안 업체 카본 블랙(Carbon Black)이 발표한 2017년 위협 보고서에 따르면 파워셸이나 윈도우 관리 도구(WMI)를 활용한 파일레스 공격이 올 한 해 일어난 모든 사이버 공격의 52%를 차지했다고 한다. 멀웨어를 기반으로 한 공격을 파일레스 공격이 넘어선 건 올 해가 처음이다.


카본 블랙의 보안 전략가 릭 맥엘로이(Rick McElroy)는 “공격 방법의 유행은 ‘얼마나 가격 대비 효율적인가’로 결정이 난다”고 말한다. 즉, 파일레스 공격이 멀웨어 공격보다 ‘싸게 먹힌다’는 의미다.

멀웨어 공격은 사이버 공격자들이 1) 페이로드를 만들거나 구입하고 2) 사용자 시스템에 페이로드를 뿌리기 위한 공격을 먼저 성공시켜야 한다. 파일레스 공격은 OS에 탑재되어 있고, 신뢰를 받고 있는 툴들(그러므로 경계하지 않는 것들)을 활용해 메모리에 접근하는 것으로 파워셸, WMI, 웹 브라우저, 오피스 애플리케이션 등이 대표적으로 이용된다.

파일레스 공격이 처음 발견된 건 2014년이라고 알려져 있다. 그러더니 작년부터 유행의 조짐이 보이기 시작했고, 올해는 급기야 멀웨어 공격을 넘어선 것이다. 카본 블랙에 따르면 파일레스 공격은 매달 6.8%의 성장률을 기록하기도 했다. 멀웨어 공격과 파일레스 공격을 전부 합했을 때 올 한해 사이버 공격의 월 평균 성장률은 13%였다.

가장 많이 활용된 멀웨어 패밀리는 크립틱(Kryptik), 스트릭터(Strictor), 네무코드(Nemucod), 에모텟(Emotet), 스키야(Skeeyah)인 것으로 나타났다. 이 멀웨어들에 가장 많이 당한 분야는 금융, 의료, 도소매였다.

하지만 가장 큰 성장 곡선을 그린 건 랜섬웨어라고 카본 블랙은 밝혔다. “올 한 해 동안 50억 달러 규모의 산업으로 성장했습니다. 작년에만 해도 8억 5천만 달러 수준에 그쳤었는데 말이죠. 공격의 빈도수와 절대양도 증가했지만, 범인들이 공격 한 회 당 얻어가는 이득도 올라갔어요. 양과 질 모두 높아진 것이죠. 비트코인의 광풍 역시 랜섬웨어의 성장에 큰 기여를 했습니다.”

금융, 의료, 도소매 분야 외에도 랜섬웨어 공격자들은 정부 기관, 기술 기업, 비영리 단체, 법조계도 자주 노린 것으로 나타났다. 또한 올해 가장 많이 발견된 랜섬웨어 패밀리는 스포라(Spora), 크립트xxx/엑스루트(Cryptxxx/Exxroute), 록키(Locky), 케르베르(Cerber), 제나솜(Genasom)인 것으로 집계됐다.

카본 블랙은 ‘표적형 랜섬웨어’가 대세가 될 것이라고 예측했는데, 이는 카본 블랙만의 예감은 아니다. 이에 대해서는 이미 본지가 기사(http://www.boannews.com/media/view.asp?idx=65680&mkind=1&kind=1)를 통해 상세히 다룬 바 있다.

또한 카본 블랙의 맥엘로이(McElroy)는 랜섬웨어 공격자들이 앞으로 리눅스 시스템을 더 많이 노릴 것으로 보인다고 예측하기도 했다. “생각보다 많은 기업들에서 리눅스를 OS로 사용하고 있거든요. 모바일 OS와 사물인터넷도 리눅스를 기반으로 한 것이 많고요. 리눅스 공격법을 연구하면서 앞으로 랜섬웨어는 점점 더 PC에서 다른 엠베디드 기기들로 옮겨갈 것입니다.”

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>