2015년 하반기 동안 국내 기관 중 38%가 지능형 사이버 공격의 타깃이 됐다. 이 수치는 전 세계 평균의 두 배에 달하는 수치로, 미국 평균의 세 배에 육박한다. 특히 한국 정부기관, 첨단 기술 산업, 통신업, 조선업, 건설 및 엔지니어링 산업, 항공우주산업 및 방위산업 등이 주요 공격 타깃이 되고 있으며 13개의 APT 그룹이 공격을 시도하고 있는 것으로 조사됐다. 또한 랜섬웨어 공격과 관련 한국이 세계에서 3번째로 많은 공격을 받고 있는 것으로 나타나 각별한 주의가 요구된다.
 
파이어아이(지사장 전수홍)는 14일 삼성동에 위치한 코엑스 인터컨티넨탈 호텔에서 미디어 라운드테이블을 열고, 국내 사이버 공격 트렌드를 발표했다. 이 자리에는 그레디 서머스 파이어아이 CTO가 참여해 국내 기관을 타깃으로 한 사이버 공격 현황 및 랜섬웨어 공격 트렌드에 대해서 소개하고, 이에 대응하기 위한 보안 전략을 제시했다.

 
◇APT 공격 동향
그레디 서머스 CTO는 “2015년 1월부터, 파이어아이는 한국의 클라이언트를 대상으로 한 악성코드를 발견했으며, 이는 13개의 APT 그룹과 관련이 있었다. 또한, 이와 더불어 APT로 분류되지 않은 20개의 또 다른 그룹과 연관된 악성코드를 탐지했다”며 “13개의 APT그룹 중 하나인 APT30은 중국을 기반으로 하며, 10년이 넘는 기간 동안 활발하게 사이버 공격을 감행하고 있다. APT30은 국내 기관들을 포함해 다양한 지역의 조직들을 타깃으로 하고 있으며, 내부적으로 긴밀히 협력이 가능하도록 잘 조직화된 그룹”이라고 설명했다.
 
사이버 공격에 표적이 된 국내 산업은 국내 경제에 핵심적인 역할을 하는 산업들이었다. 특히 정부기관, 첨단 기술 산업, 통신업, 조선업, 건설 및 엔지니어링 산업, 항공우주산업 및 방위산업 등이 주요 타깃이 되고 있고 그 이유로 한국이 전세계에서 인터넷이 가장 많이 보급된 나라 중 하나로, 이 같은 특성은 공격 그룹들로 하여금 타깃 조직들에 쉽게 접근할 수 있는 조건이 됐다는 것이다.
 
또한, 한국의 발전된 기술 역량은 중국 기반 지능형 위협 조직들의 주요 관심사로, 그들은 사이버 공격을 통해 한국의 발전된 기술을 확보해 중국의 첨단 기술 산업과 통신업 등 핵심 산업에 공급하려고 시도하고 있다.
 
그레디 서머스 CTO는 또 “북한 관련 APT 조직도 분석중이며 이들이 주로 사용하는 툴을 알고 있다. 이전에 소니 해킹사건시 입수한 북한의 공격툴을 확보해 분석했으며 그들의 공격 능력이 매우 뛰어나다는 것을 알고 있다”며 “북한이 중국과 러시아를 통해 다양한 공격 기법들을 전수받고 있어 이를 활용한 공격이 발생시 전혀 새로운 공격형태로 나타날 수 있어 주의해야 한다”고 경고했다.
 
전수홍 지사장 또한 “APT 공격조직은 중국과 러시아가 주도하고 있으며 북한이 중국과 러시아의 사이버해킹 능력을 전수받을 가능성이 크다”며 “북한이 APT 공격에서 중국과 러시아 다음으로 제3의 주요국가로 떠오르고 있다”고 전했다.
 
파이어아이는 남북한 긴장 상황에서 북한 기반 지능형 위협 조직이 비즈니스 방해형 공격을 통해 한국 대상 사이버 공격을 감행한 것으로 추측하고 있다. 북한 정부는 방해형 혹은 파괴형 사이버 공격과 같은 형태의 사이버 정보전을 군사 전략의 핵심 요소로 여기고 있는 것으로 짐작할 수 있다.

 
◇랜섬웨어 활동 현황
파이어아이에 따르면, 랜섬웨어 활동은 다양한 악성코드를 이용해 전세계 기관들에게 영향을 미치고 있으며, 랜섬웨어 이용 공격 역시 지속적으로 급격하게 증가하고 있다. 랜섬웨어는 랜섬웨어에 의한 대규모 침해 사례들을 통해 사이버 위협 조직들 사이에서 유명세를 탔다.
 
지하경제에서 랜섬웨어는 상품화 단계에 있으며, 모든 공격자들이 이용할 수 있는 다양한 종류로 제공되고 있다. 랜섬웨어는 종종 제휴모델을 통해서 공급되는데, 제휴모델을 통해서 공격자는 저렴한 가격 혹은 심지어 무료로 개발자로부터 랜섬웨어 페이로드를 공급받을 수 있다. 이 같은 제휴모델은 ‘서비스형 랜섬웨어(RaaS: ransomware as a service)’라고도 불린다. 제휴모델을 통해 공급된 페이로드는 개발자로 하여금 공격자가 피해자로부터 받는 몸값(ransom)에서 얻는 수익의 일부를 취할 수 있도록 설계됐다. 이러한 제휴모델은 낮은 진입장벽으로 인해 랜섬웨어가 빠르게 유포될 수 있도록 지원하고 있다.
 
랜섬웨어 거래 시장은 기존에 악성코드 개발자들이 업그레이드된 페이로드 공급을 조건으로 공격자들의 수익을 일부 취하는 제휴 네트워크 형태에서 원스톱숍(one-stop shops) 방식으로 발전하고 있다. 원스톱숍은 익명 네트워크인 토르 네트워크를 서비스 거래 플랫폼으로 이용해 랜섬웨어 개발자들은 공격자들에게 맞춤화된 서비스를 제공하고, 공격자들은 주문 제작한 랜섬웨어 페이로드를 공급받고 개발자들에게 일정 비율의 수수료(percentage fee)를 지급하는 방식이다.
 
◇랜섬웨어 공격 타깃
유포 단계에서의 랜섬웨어는 피해자가 어떤 대응을 할 수 있건, 어떤 산업이 공격에 영향을 받건, 개인 혹은 사업이 공격에 영향 받건 등과 상관 없이 무차별적으로 유포 대상을 감염시킨다. 또한, 공격자는 공격시 대상을 타깃 국가의 위치 등과 같이 방대한 공격 조건을 설정해 공격을 감행한다. 이러한 트렌드는 모든 기관들이 랜섬웨어 공격으로 인해 운영 상의 현저한 방해 혹은 데이터 파괴 등의 위험에 처할 수 있다는 것을 의미한다.
 
현재 랜섬웨어 공격은 주로 윈도우 운영체제를 이용하는 기기를 대상으로 하고 있으며, 안드로이드 기기 역시 주요 타깃이다. 파이어아이는 윈도우와 안드로이드 외에도 다른 운영체제를 타깃하는 랜섬웨어 사례 역시 포착했지만, 영향 받는 시스템의 종류는 느리게 증가했다.
 
◇랜섬웨어 공격 트렌드
파이어아이에 따르면, 랜섬웨어 공격의 최신 트렌드는 공격자가 네트워크에 몰래 잠입해 권한 확보, 핵심 시스템 판별, 백업 데이터 삭제 후, 관리자 계정을 이용해 액티브 디렉토리(Active Directory) 환경에 접근 해 랜섬웨어를 네트워크에 유포하는 패턴이다. 이러한 방법은 전체 네트워크를 파괴하지 않았던 기존의 무차별적 랜섬웨어 공격과 상반되는 것이다.
 
랜섬웨어 공격의 급증은 사이버 범죄자들의 지하 경제에서 이루어지는 새로운 랜섬웨어종 도입 혹은 새로운 랜섬웨어 변종의 유포 그리고 OS X와 같은 또 다른 운영체제나 디바이스 플랫폼 공격 시도와 관련 있을 수 있다.
 
파이어아이는 랜섬웨어 활동이 2차례 독일의 병원 공격 및 LA 소재 헐리우드 장로 병원(Hollywood Presbyterian Medical Center)과 같이 성공적인 공격 사례가 증가함에 따라 더 많은 사이버 범죄자들을 유혹할 것으로 예측하고 있다.
 
그레디 서머스 파이어아이 CTO는 “많은 한국 기관들이 국가의 지원을 받는 APT조직의 표적이 되고 있지만, 한국의 조직들은 아직까지 사이버 보안에 있어 방어에만 치중하는 전략을 취하고 있다. 더 이상 방어만으로 조직화된 사이버 군대의 공격에 대응하는 것은 불가능하다는 것을 깨달아야 할 때”라며 “지능화되는 사이버 공격에 효과적으로 대응하기 위해서는 공격 전, 공격 당시, 그리고 공격 후 모든 단계에서 조직을 보호할 수 있는 보안 전략이 필요한 시점”이라고 전했다.
 
파이어아이의 주요 랜섬웨어 분석 내용은 다음과 같다.
◇크립토락커(Cryptolocker)
모든 파일 암호형 랜섬웨어 변종 중 가장 수익성이 좋은 랜섬웨어로 크립토락커는 2013년에 처음 탐지됐다. 게임오버 제우스(Gameover Zeus) 봇넷을 통해 유포되며, 300-500 달러의 몸값을 요구한다. 2014년 클리앙을 공격해 당시 피해자들은 웹사이트 방문만으로 랜섬웨어에 감염됐다.
 
◇크립토월(Cryptowall)
크립토락커가 발견된 몇 개월 후 출몰하였으며, 크립토락커와 유사한 양상을 보였다. 2014년 6개월 만에 100만달러의 부당 수익을 올렸다.
 
◇CTB라커(CTB-Locker)
2014년에 발견된 최초의 파일 암호화 방식의 랜섬웨어로 토르네트워크를 이용한 익명의 네트워크에서 이용됐다. 비공식 포럼에서 사이버 범죄자들을 대상으로 판매되고 있다.
 
◇톨락커(TorLocker)
2014년에 일본 사용자를 타깃으로 제작된 랜섬웨어로, 현재는 존재하지 않는 온라인 블랙마켓, 에볼루션(Evolution)에서 판매됐다.
 
◇크립토오보(Kryptovor)
감염된 PC로부터 파일을 훔쳐가는 악성코드로 2014년에는 랜섬웨어적 요소가 발견됐다. 러시아에 있는 비즈니스 업체를 타깃으로 하고 있으며, ‘Krypto’는 암호를 의미하며 ‘Vor’는 도둑이라는 뜻이다.
 
◇테슬라클립트(TeslaCrypt)
2015년 2월 처음 발견된 랜섬웨어 변종으로 가장 활발하게 활동하고 있다. 앵글러(Angler) 익스플로잇 킷을 통해 유포된다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com