2024-03-28 23:50 (목)
시만텍 "신용카드 정보 빼내는 ‘폼재킹’…사용자에 심각한 위협" 경고
상태바
시만텍 "신용카드 정보 빼내는 ‘폼재킹’…사용자에 심각한 위협" 경고
  • 장성협 기자
  • 승인 2019.02.26 16:39
이 기사를 공유합니다

파괴적인 은닉형 사이버 공격에 따른 기업 위협 증가 확인

FOM-1.jpg
글로벌 사이버 보안기업 시만텍은 2018년 주요 사이버 범죄 및 보안 위협 동향을 분석한 ‘인터넷 보안 위협 보고서 제24호’를 발표했다고 26일 밝혔다.

시만텍은 보고서를 통해 랜섬웨어와 암호화폐 채굴을 위한 크립토재킹의 수익 감소에 직면한 사이버 범죄자들이 대체 수입원으로 폼재킹과 같은 새로운 공격에 주목하고 있다고 설명했다.

시만텍 인터넷 보안 위협 보고서는 세계 최대 규모의 민간 보안 위협 데이터 수집 네트워크인 시만텍 글로벌 인텔리전스 네트워크의 데이터를 분석해 전 세계 보안 위협 활동에 대한 인사이트, 사이버 범죄자 동향, 공격 동기 등 사이버 보안 위협 현황에 대한 종합적인 정보를 제공한다.

시만텍 GIN은 전 세계에 설치된 1억2300만개의 공격 감지 센서를 통해 이벤트를 기록하고 매일 1억4200만개의 위협을 차단하며 157개 이상의 국가에서 위협 활동을 모니터링하고 있다.

아래는 시만텍이 공개한 보고서 내용이다.

◇일확천금을 노리는 새로운 공격 기법 ‘폼재킹’

폼재킹은 가상의 ATM 스키밍으로 사이버 범죄자들이 온라인 구매 사이트에 악성코드를 삽입해 쇼핑객의 결제 카드 정보를 탈취하는 공격 기법이다.

평균적으로 매월 4800개 이상의 웹사이트가 폼재킹 코드에 감염되고 있는데 시만텍은 2018년 엔드포인트에서 370만건 이상의 폼재킹 공격을 차단했다. 전체 탐지건 중 약 3분의 1은 연중 온라인 쇼핑이 가장 많은 11월과 12월에 발생한 것으로 나타났다.

티켓마스터와 영국항공 등 유명 온라인 결제 사이트가 몇 개월 동안 폼재킹 코드에 감염됐지만, 시만텍 조사 결과 중소 규모의 온라인 구매 사이트가 가장 광범위하게 폼재킹 공격을 당한 것으로 나타났다.

사이버 범죄자들은 신용카드 사기를 통해 개인 사용자의 금융 및 개인정보를 탈취하고 다크웹에서 판매해 2018년 한 해 최소한 수천만달러의 수익을 올렸을 것으로 추정된다.

지하시장에서 신용카드 1장이 최대 45달러에 팔리는 것을 감안하면 폼재킹에 감염된 각 웹사이트에서 신용카드를 10장씩만 탈취해도 월 최대 220만달러의 수익을 거둘 수 있다.

38만건 이상의 신용카드 정보가 유출된 영국항공 공격 사례의 경우 범죄자들은 이 공격 하나로 1700만달러이상을 벌어들였을 것으로 예상된다.

그렉 클라크 시만텍 CEO는 “폼재킹은 기업과 개인 사용자 모두에게 심각한 위협을 의미한다”며 “개인 사용자의 경우, 포괄적인 보안 솔루션을 사용하지 않으면 감염된 온라인 구매 사이트를 방문하고 있는지 알 길이 없다. 따라서 엄청난 피해를 초래할 수 있는 신원도용에 소중한 개인정보와 금융정보가 노출될 수 있다. 기업 입장에서 폼재킹의 급증은 감염 시 겪게 될 평판 및 법적 책임의 리스크는 물론이고 공급망 공격의 위험이 증가하고 있음을 보여주는 것”이라고 말했다.

◇크립토재킹과 랜섬웨어의 수익 감소

사이버 범죄자들이 개인 사용자와 기업으로부터 탈취한 프로세싱 파워와 클라우드 CPU 사용량을 이용해 암호화폐를 채굴하는 크립토재킹과 금전을 요구하는 랜섬웨어는 몇 년간 쉬운 돈벌이를 위해 사이버 범죄자들이 가장 많이 찾는 방법이었다.

하지만 2018년에는 암호화폐의 가치 하락과 클라우드 및 모바일 컴퓨팅의 도입 증가로 이런 공격의 효과가 떨어지면서 크립토재킹과 랜섬웨어의 공격 활동이 감소하고 수익이 하락했다.

랜섬웨어 감염은 지난해 전년 대비 20% 감소했는데 2013년 이후 처음으로 하락했는데 시만텍은 2018년 기업의 랜섬웨어 감염이 12% 증가해 전반적인 하락세와 대조적인 흐름을 보이며 기업에 지속적인 위협이 되고 있기 때문에 기업들이 방심해서는 안 된다고 설명했는데 실제로 랜섬웨어 감염 10건 중 8건 이상은 기업에 영향을 미친다.

크립토재킹 활동은 2018년 초 정점에 달했지만 연중에 52% 감소했으며 암호화폐 가치가 90%까지 떨어지고 수익성이 크게 하락했지만 낮은 진입장벽, 최소한의 간접비, 익명성 보장 등으로 여전히 공격자들의 관심을 끌고 있다.

◇클라우드 보안 피해 증가

기업이 PC 도입 초기에 범한 것과 동일한 보안 실수가 현재 클라우드 환경에서 나타나고 있는데 클라우드 워크로드나 스토리지 인스턴스를 하나만 잘못 구성해도 기업에 수백만달러의 피해나 컴플라이언스 악몽을 안겨줄 수 있다.

2018년 한 해에만 잘못 설정된 S3 버킷에서 7000만개 이상의 레코드가 도난 또는 유출됐는데 실제로 인터넷에서 공격자들은 잘못 설정된 클라우드 리소스를 식별할 수 있는 많은 툴들을 쉽게 구할 수 있다.

멜트다운, 스펙터, 포쉐도우 등과 같은 하드웨어 칩의 취약점 발견은 클라우드 서비스가 동일한 물리적 서버에서 호스팅되고 있는 타 기업 리소스의 보호 메모리 공간에 접근하는 데 악용될 수 있는 위험을 보여주고 있다.

◇자원활용 자력형 공격 툴과 소프트웨어 공급망 약점, 더욱 은밀하고 대담한 공격 촉발

자원활용 자력형과 소프트웨어 공급망 공격은 사이버 범죄자와 표적 공격 그룹이 널리 이용하는 대표적인 최신 공격 기법으로, 2018년 소프트웨어 공급망 공격은 전년 대비 78% 급증했다.

공격자들은 자원활용 자력형 공격 기법을 이용해 눈에 띄지 않고 수많은 합법적인 프로세스에서 활동을 은폐할 수 있다.

일례로 악성 파워쉘 스크립트의 사용이 2018년 1000% 증가했는데 시만텍이 매월 11만5000개의 악성 파워쉘 스크립트를 차단하고 있지만 이는 실제 전체 파워쉘 사용량의 1%도 채 되지 않는 수치다.

따라서 모든 파워쉘 활동을 차단하는 과도한 접근법은 기업에 피해를 야기할 수 있으며 많은 표적 공격 그룹이 자원활용 자력형 공격을 선호하는 것도 이 때문이다.

◇사물인터넷, 사이버 범죄자 및 공격 그룹의 공격 타깃 부상

IoT 공격은 2017년과 비슷하게 여전히 높은 수준이지만 공격 양상은 급격히 변화하고 있다.

감염된 기기 가운데 라우터와 커넥티드 카메라가 가장 많은 비중을 차지하고 있지만, 스마트 전구에서 음성인식 비서에 이르기까지 모든 기기가 공격의 추가 진입 지점을 제공하는 등 거의 모든 IoT 기기가 취약한 것으로 나타나고 있다.

표적 공격 그룹은 핵심 진입 지점으로 IoT에 점점 더 집중하고 있으며 VPN필터 라우터 악성코드의 등장은 전통적인 IoT 위협의 진화를 보여주는 것으로 기술력과 풍부한 자원을 갖춘 공격자가 만든 이 악성코드는 기기의 파괴나 삭제, 자격 증명 정보 및 데이터 탈취, SCADA 통신 가로채기 등을 수행한다.

김봉환 시만텍코리아 SE본부 상무는 “IT와 산업용 IoT가 융합하는 추세가 확산됨에 따라 다음 사이버 격전지는 운영기술” 이라며 “쓰립, 트리톤 등 점점 더 많은 공격 그룹이 운영시스템과 산업제어시스템을 겨냥한 사이버전에 관심을 보이고 있다”고 말했다.

★정보보안 & IT 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★