2024-03-19 13:55 (화)
“온라인 금융 해킹기법 판매”…2017년 사이버 위협 이렇게 전망한다
상태바
“온라인 금융 해킹기법 판매”…2017년 사이버 위협 이렇게 전망한다
  • 길민권 기자
  • 승인 2016.11.17 10:51
이 기사를 공유합니다

카스퍼스키랩 “APT 공격자들, 피해자별로 새로운 공격 도구 생성할 것”

2017년 위협에 대한 카스퍼스키랩의 예측이 발표되었다. 그 중 가장 주목할 만한 사실은 2016년에 카스퍼스키랩에서 새롭게 발견해낸 APT가 피해자별로 새로운 공격 도구를 생성할 수 있는 것으로 나타나 그 동안 감염 여부를 탐지하는 방법인 ‘침해 지표 식별자’(IoC) 방식이 쇠퇴할 것으로 전망하고 있다. 상세한 보고서 전문은 데일리시큐 자료실에서 다운로드 가능하다.

카스퍼스키랩의 '글로벌 위협 정보 분석팀'(GReAT)에서는 광범위한 통찰력과 전문 지식을 기초로 매년 위협 예측을 발표했다. 2017년에는 사용 후 폐기하는 맞춤형 도구의 증가, 공격자의 정체를 파악하지 못하도록 잘못된 방향으로 유도하는 속임수 증가, 모든 것이 인터넷에 연결된 환경에서의 취약성, 정보전에서 무기로 이용되는 사이버 공격에 대한 전망을 발표했다.

▶침해 지표 식별자(IoC) 방식의 쇠퇴
꽤 오랫동안 악성 코드의 감염 특성을 공유하여 기업에서 악성 코드 감염을 인지하는 방법인 침해 지표 식별자 방식은 상당히 효과적인 수단으로 활용되어 왔다. 그런데 GReAT에서 ProjectSauron APT를 발견하며 상황이 변했다. GReAT의 분석에 따르면 맞춤형으로 제작된 악성 코드 플랫폼에서는 모든 기능이 각 피해자에 맞춰 조정 및 변경되기 때문에 강력한 ‘Yara 규칙’ 탐지와 같은 다른 보호 조치를 동반하지 않으면 피해자가 발생해도 IoC를 통해 특성을 공유하는 것만으로는 피해를 예방할 수 없는 것으로 나타났다.

▶일회성 감염의 등장
카스퍼스키랩에서 내놓은 2017년 전망에는 메모리 상주형 악성코드의 출현도 포함되어 있다. 이러한 악성코드의 특징으로는 컴퓨터 메모리에서 감염 흔적을 지워 재부팅 이후까지 남아 있는 데에 목적을 두지 않고, 일반적인 정찰과 자격 증명의 수집 용도로 활용된다는 것이다. 따라서 의심을 사거나 탐지되는 것을 극도로 기피하는 공격자들이 굉장히 민감한 환경에서 이러한 악성코드를 주로 배포한다.

카스퍼스키랩코리아 이창훈 지사장은 "악성코드의 진화는 그야말로 폭발적이지만, 이를 방어하는 쪽도 만만치는 않을 것이다. 믿을 수 있는 Yara 규칙을 보다 추가적으로 널리 도입해야 하는 때다. Yara 규칙에 힘입어 침해 대응 인력이 기업 환경 전체를 면밀히 검사할 수 있으며 알려진 공격의 일부를 찾을 수도 있다. 또한, 일회성 감염의 등장으로 인해 첨단 안티 맬웨어 솔루션에 사전 예방적이고 정교한 휴리스틱이 필요하다는 점이 크게 부각되고 있다”고 말했다.

그 밖의 2017년 주요 위협 예측은 다음과 같다.
△위장 전술로 인해 공격자의 특성 식별 효과 반감: 국제 관계에서 사이버 공격의 비중이 커지면서 보복 등의 정치적 대응을 결정할 때 그 공격의 특성 식별은 중요한 역할을 할 것이다. 그러나 지나치게 특성에만 의존하다 보면 공격 출처를 잘못된 방향으로 유도하는 ‘위장 전술’이 보편화되는 것은 물론이고 범죄자가 오픈 소스나 상용 악성 코드를 선택하는 경우가 늘어날 위험이 있다.

△정보전의 확산: 2016년, 해킹한 정보를 공격적인 목적으로 악용되는 기조에 대한 우려가 등장했다. 이러한 공격은 2017년에 증가할 것으로 전망되며, 해킹된 정보는 조작이나 선별적인 폭로를 거쳐 대중이 편향되거나 왜곡된 정보를 받아들이도록 조작하는 데 활용될 위험이 있다.

△이와 함께 카스퍼스키랩에서는 자경단 해커의 등장 또한 점치고 있다. 이들은 대의를 위해서 데이터를 해킹한다고 주장한다

△사이버 사보타주에 대한 취약성 증가: 중요도가 높은 인프라 및 제조 시스템이 제대로 보호되지 않은 상태로 인터넷에 연결되어 있는 환경이라면 해커의 공격 대상이 되기 쉽다. 특히 첨단 기술을 보유하고 있는 환경이거나 지역간 갈등과 정치적인 긴장감이 고조되는 시기에는 이러한 경향이 더욱 두드러진다.

△모바일로 옮겨가는 스파이 범죄: 모바일 운영 체제를 노리는 스파이웨어가 증가할 것이다. 보안 업체들이 분석을 위해 모바일 운영 체제에 대한 완벽한 접근 권한을 확보하는 것이 쉽지 않다는 점이 모바일 스파이 범죄에 있어 장점으로 작용한다.

△금융 공격의 상품화: 카스퍼스키랩은 2016 SWIFT 은행 범죄와 유사한 공격이 ‘상품화’될 것으로 전망한다. 지하 세계 포럼이나 서비스형(as-a-service) 체계를 통해 온라인 금융 범죄에 특화된 리소스가 판매될 것이다.

△결제 시스템의 보안 위협: 카스퍼스키랩에서는 결제 시스템이 점차 널리 보급되는 가운데 범죄자들의 관심 또한 결제 시스템에 쏠릴 것으로 예측하고 있다.

△랜섬웨어의 무너진 ‘신뢰’: 랜섬웨어는 꾸준한 증가세를 보일 것으로 전망된다. 그러나 랜섬웨어 세계에도 낮은 수준의 해커가 점점 더 많이 유입되는 현 상황을 고려하면 대가를 지불해도 온전한 상태의 정보를 복구하기 힘들 수 있을 것으로 예상되므로 앞으로는 피해자가 무조건적으로 해커의 협박을 믿는 일은 줄어들 것이다. 이러한 경향은 무작정 대가를 지불하고 정보를 복구하려는 피해자들에게 인식 전환을 가져오는 계기가 될 수도 있다.

△사물인터넷 장치 보안: IoT 장치 제조업체가 안전하지 않은 장치를 끊임없이 공급해 여러 문제를 발생시키고 있는 현 상황에서 해커 자경단이 보복 조치로 해킹을 시도해 대량으로 IoT 장치를 감염시킬 위험이 있다.

△범죄에 활용되는 디지털 광고 도구: 광고에서 주로 이용되는 추적 및 타겟팅 도구가 내년에는 사회 운동가 및 반체제 인사로 추정되는 인물들의 감시에 활용될 것이라는 전망도 나왔다. 마찬가지로 IP, 브라우저 지문 채취, 검색 관심사, 로그인 방법 선호도를 결합 분석하여 효율적으로 대상을 골라내는 광고 네트워크는 최신 공격툴을 보호하는 동시에 표적을 정확하게 공략하고 싶어 하는 첨단 사이버 스파이 해커의 손에 이용될 것이다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★