글로벌 사이버 보안이 어느 때보다 위협을 받는 것으로 나타나나고 있는 가운데, 이메일과 피싱을 중심으로 악성코드와 CVE 및 PUA가 기승을 부리는 것으로 나타났다.


27일 인섹시큐리티(www.insec.co.kr)와 옵스왓(www.opswat.com)는 ‘최신 사이버 보안 위협 사전 탐지 및 차단 전략 세미나’에서 글로벌 사이버 보안 위협 트렌드 6선을 발표했다.


악성코드 탐지 전문 업체 옵스왓이 선정한 보안 위협 트렌드는 ▲국가 지원을 받는 해킹 ▲빠르게 진화하는 악성코드 ▲공개된 보안취약점(CVE) 증가 ▲효과적이고 성공적인 악성코드 채널 이메일과 피싱 ▲악성코드의 시작인 PUA 기승 ▲전세계 각국의 컴플라이언스 강화 등으로, 주요 내용은 다음과 같다.


1 국가 지원을 받는 해킹.png


1. 국가 지원을 받는 해킹

2016년 미국 대선에서 러시아가 민주당을 공격했다는 의혹이 있다. 매우 오랜 시간 동안 복잡한 대규모 공격을 해서 미국 대선에 영향을 미치려는 했다는 의혹이다. 한 나라의 대통령을 뽑는 선거가 해킹에 영향을 받는다면, 매우 심각한 일이다. 최근 해킹은 돈을 벌려는 것보다 주요 기반시설을 공격하고 서비스 중단시키려는 목표를 가진 경우가 많다.

한 국가의 에너지나 물류 등 인프라를 멈추게 할 수 있는 심각한 상태로 바뀌고 있다. 어제 오늘 얘기는 아니다. 이스라엘과 미국은 스턱스넷으로 이란 핵시설을 공격했다. 국가의 지원과 조정을 받는 해킹 늘고 있어 실제로 미국의 Mondelez, Merck, DLA Piper, 우크라이나의 에너지 회사 Kyivenergo, 배송 회사 Nova Poshta, 내각 장관들의 컴퓨터, 덴마크의 Maers 등이 대표적이다.
 

2 빠르게 진화하는 악성코드.png


2. 빠르게 진화하는 악성코드

현재 수억개의 멀웨어가 있다. 멀웨어는 단순히 숫자만 많은 것이 아니라 우회기술을 교묘히 쓴다. 샌드박스 우회기술, 디버깅 우회기술, 모니터링 애뮬레이션 우회기술 등 다방면에서 쓰고 있다. 안티바이러스를 우회하는 기술은 너무 잘 알려져 있고. 너무 많은 우회 기술 있다.

가장 우려가 되는 것은 자바스크립트 난독화다. 난독화된 자바스크립트를 원상태로 돌리기 거의 불가능하고 해커를 잡는 것도 어렵다. 난독화하는 툴들이 3000원, 5000원으로 팔리고 있다. 해커들은 별 투자없이도 악성코드를 만들 수 있다. 아카이브 파일에 악성코드를 심는 것도 늘고 있다. 이 파일은 네트워크 단에서 막지 못한다. 공격자들도 랜섬웨어 트렌드를 따라가고 있다. 2015년 30종에 불과했던 랜섬웨어가 2016년 98개로 늘었다. 

3 공개된 보안취약점(CVE) 증가.png


3. 공개된 보안취약점(CVE)의 증가

지난 2년 동안 공개적으로 알려진 보안취약점(CVE, Common Vulnerabilities and Exposure)이 엄청 빠르게 증가했다. 공격자들은 게으르지 않다. 예전에는 취약점이 알려진 후 45일이 걸려야 멀웨어가 나왔는데 이제는 15일이면 나온다. 공격은 점점 더 교묘하고 효율적으로 발전했다. 앱을 직접 공격하지 않고 앱이 사용하는 라이브러리를 공격하는 사례가 늘고 있다. 라이브러리를 공격하면 그 라이브러리를 사용하는 엄청나게 많은 앱을 공격하는 효과가 있다. 공격자들도 효율성을 따진다.

문제는 많은 관리자들이 취약점 경고를 무시한다는 것이다. 통계에 따르면 54%의 관리자들이 경고를 무시한다고 한다. 왜냐하면 지금 잘 돌아가니까 일단 나눈다는 이야기를 많이 듣는다. 보안 패치나 업그레이드 하려면 일이 커진다. 스마트폰 운영체제 업그레이드도 잘 안하지 않나. 30분 동안 스마트폰 중단 되는게 불편해서 안 하는 경우가 많다.
 

4 효과적이고 성공적인 악성코드 채널 이메일과 피싱.png


4. 효과적이고 성공적인 악성코드 채널 이메일과 피싱

이메일 중 65%가 광고성 이메일이라고 한다. 그 중 5% 이상이 악성코드를 포함하고 있다. 해커들은 왜 악성코드를 이메일로 보낼까? 악성코드를 보내면 공격대상 회사의 직원 중 누군가 이메일을 열고 링크를 클릭할 확률이 50% 가까이 된다고 한다. 옵스왓도 피싱 테스트를 1주일에 한번씩 하는데 누군가는 클릭을 하더라. 아무리 교육을 해도 클릭하는 사람이 꼭 있다. 그러니까 공격자가 이용한다.

이메일 보안 표준 기술이 나왔는데 적용된 경우가 많지 않다. 세계 기준으로 30% 이하만이 이 표준을 적용했다고 한다. 피싱의 수법도 더 정교하고 복잡해지고 있다. 가짜 퍼블릭 클라우드 사이트로 연결하는 피싱, Oauth(Open Authorization)를 사용해 계정에 대한 액세스 권한을 부여한 사례가 있다. 피싱 공격자는 머신러닝으로 학습하기도 한다. 학습을 통해 공격기법과 콘텐츠를 바꾸고 진화한다.
 

5 악성코드의 시작인 PUA 기승.png


5. 악성코드의 시작인 PUA 기승

PUA(잠재적인 유해 프로그램, Potentially Unwanted Application)은 곧 악성코드라고 보면 된다. PUA의 절반이 악성코드를 배달한다. 무료로 다양한 응용 프로그램을 사용하니까 좋다고 생각할 수 있으나, PUA는 막아야 한다. PUA가 악성코드의 시작이다. 애드웨어와 멀웨어의 경계는 사라지고 있다.
 

6 전세계 각국의 컴플라이언스 강화.png


6. 전세계 각국의 컴플라이언스 강화
2017년 3월 뉴욕금융권의 사이버보안 규정이 제정됐고, 6월에 중국의 사이버보안법이 나왔다. 특히 유럽 DGPR이 내년 5월부터 작동된다. 유럽에서 사업을 진행하는 회사, 유럽 직원이 있는 회사에 전부 적용된다.


피엔에프뉴스 / www.pnfnews.com

Share