이 시각 주요 뉴스

여백

전혀 예상치 못한 분야 대상 사이버 범죄 발생

[스페셜 리포트] 트렌드마이크로 || 2014년 1분기 보안 위협 보고서 이광재 기자l승인2014.07.07 10:19:10l수정2014.07.07 10:18

크게

작게

메일

인쇄

신고

사용자 궁지에 빠뜨린 비트코인·PoS 시스템 관련 공격

 이번 분기에 배운 사이버 범죄 전술은 방어 전략이 얼마나 정교하든 악의적인 행동을 일삼는 이들은 그 대상이 아무리 특이해도 즉각적인 수익을 얻기 위해 항상 상대방에게 치명적인 공격을 가할 기회를 엿본다는 것이다. 
▲ 이번 분기에 배운 사이버 범죄 전술은 방어 전략이 얼마나 정교하든 악의적인 행동을 일삼는 이들은 그 대상이 아무리 특이해도 즉각적인 수익을 얻기 위해 항상 상대방에게 치명적인 공격을 가할 기회를 엿본다는 것이다.

2013년 말 트렌드마이크로는 디지털 은행 강도 사건이 실제 은행 강도 사건을 따라잡았다는 사실을 발견했다. 이는 수많은 데이터 유출 사건 및 만연한 사이버 범죄상에서도 확연하게 드러났으며 2014년 1분기에도 역시 많은 사이버 범죄자들이 과거에는 목표로 삼지 않았던 대상들에 대해 악행을 일삼고 있는 것을 관찰할 수 있었다.

그러한 예로 최근 비트코인 거래소인 마운트곡스(MtGox)가 POS 터미널을 통한 대규모 소매업체 대상 공격으로 인해 미화 4억8000만달러의 디지털 강도를 당한 사건을 들 수 있다. 이와 같이 세간의 이목을 끄는 범죄들은 비록 공격자들이 돈이라는 공통된 목표를 쫓아 보다 전략적인 계획을 동반한 동일한 기술을 사용하고 탐욕이 원인이 돼 범죄를 저질렀다는 사실은 같지만 전과는 다르게 전혀 예상하지 못했던 정보 소스를 대상으로 삼고 있었다.

오늘날과 같은 전자 거래 시대에는 개별 공격자에 의한 것이든 고도의 기술을 갖춘 사이버 범죄 집단에 의해 벌어진 일이든 대량의 데이터 유출만큼 엄청난 범죄 행위도 없다. 이제 사이버 범죄자들은 개인만을 목표로 삼는 것이 아니라 소매 점포의 PoS 터미널 같은 흔치 않은 대상들도 목표로 삼는다.

이번 분기에 발생한 가장 큰 사건들의 특징은 잘짜인 계획과 기업형 사이버 범죄 집단에 막대한 양의 돈을 도둑맞았다는 사실이다. 예를 들어 온라인 뱅킹 멀웨어에서는 사이버 범죄자들이 과거 멀웨어 전파를 위해 사용하던 주요 전술에서 새로운 행동 패턴을 보여 줬다.

비트코인 및 관련 공격은 금융 상품 공격에서 커다란 위협으로 떠오르며 그 이름을 확실히 알렸다. 모바일 위협 분야는 이번 분기에 더 많은 안드로이드 버그의 출현으로 더욱 견고해지긴 했으나 급격한 변화를 겪진 않았다. 하지만 최근 몇개월간 관찰한 소매업체 데이터 유출 사건은 맞춤형 방어 전략이 필요하다는 사실을 절실히 깨닫게 해줬다.

이번 분기에 배운 사이버 범죄 전술은 방어 전략이 얼마나 정교하든 악의적인 행동을 일삼는 이들은 그 대상이 아무리 특이해도 즉각적인 수익을 얻기 위해 항상 상대방에게 치명적인 공격을 가할 기회를 엿본다는 것이다.

하나의 통화로까지 성장한 비트코인, 최근 사이버 범죄의 표적으로 부상
올해 초에만 약 1200만개가 존재하는 것으로 조사된 비트코인은 그 총 가치가 미화 100억달러에 달했다. 하지만 올해 2월 마운트곡스가 강도를 당하면서 그 가치는 3월 최저가를 기록하며 이번 분기 60억달러에서 80억달러 수준으로 떨어졌다. 그러나 가치의 하락 및 요동치는 환율장에도 불구하고 2013년 1분기에 암호 통화를 구매했던 비트코인 사용자들은 현재 10배 이상의 수익을 올렸다.

비트코인 기술 및 네트워크의 특성은 그 동안 급격하게 변화해 왔다. 마찬가지로 관련된 위협 역시 진화해 왔다. 과거 공격자들은 시스템을 손상시키고 손상된 시스템을 사용해 중요한 디지털 통화를 훔쳐 갔다. 그러나 오늘날에는 비트코인 거래소 및 지갑이 이러한 절도의 대상이 되고 있다.

예를 들어 올해 3월 랜섬웨어의 부가 기술이라 할 수 있는 비트크립트(BitCrypt)는 비트코인 지갑을 비롯한 다양한 암호 통화 지갑을 훔쳐냈다.
 올해 3월 랜섬웨어의 부가 기술이라 할 수 있는 비트크립트(BitCrypt)는 비트코인 지갑을 비롯한 다양한 암호 통화 지갑을 훔쳐냈다. 
▲ 올해 3월 랜섬웨어의 부가 기술이라 할 수 있는 비트크립트(BitCrypt)는 비트코인 지갑을 비롯한 다양한 암호 통화 지갑을 훔쳐냈다.

또한 마운트곡스(MtGox), 플렉스코인(Flexcoin), 신 실크로드(Silk Road) 및 폴로니엑스(Poloniex)를 비롯한 세계적인 비트코인 거래소들 몇 곳이 비트코인을 도난당하는 일도 발생했다. 물론 이는 비트코인이 더 이상 수익성이 없다는 것을 뜻하는 것은 아니다. 제대로만 이뤄진다면 비트코인의 주별 평균 시세가 가장 큰 거래소의 경우 미화 945달러에 달한다는 사실을 감안할 때 비트코인 거래를 관리하고 새로운 비트코인을 생성하는 프로세스인 비트코인 채굴 작업은 상당히 수익성 좋은 투자일 수 있다.

통화로서 기능하기 시작한지 몇 년이 지나면서 비트코인은 불법 거래를 위한 효율적인 수단이 될 수 있다는 사실이 드러났다. 2013년 후반부에 악명 높은 CryptoLocker 멀웨어의 작성자들은 자신들의 현금화 전술을 비트코인으로 전환하고 이를 몸값을 요구하며 불법 보관중인 파일이나 시스템에 대한 지불수단으로 사용하기 시작했다.

비트코인을 혁신적인 온라인 지불 수단으로 소개했던 개발자들의 원래 의도와 달리 현재 비트코인은 자금 세탁은 물론 지하 시장에서 블랙(Black)OS 같은 사이버 범죄 도구를 비롯한 불법적인 제품을 구매하는 데도 매우 효율적으로 사용할 수 있는 것으로 드러났다.

무엇보다 비트코인은 어느 은행 계좌에도 구속되지 않고 온라인상에서 유통될 수 있기 때문에 익명 구매에 매우 편리한 시스템으로 사용되고 있다.
 유통 중인 비트코인의 가치출처: blockchain.info 
▲ 유통 중인 비트코인의 가치출처: blockchain.info

유사한 핵심 전술 구사하면서도 새로운 행동 패턴 보여준 온라인 뱅킹 멀웨어
온라인 뱅킹 멀웨어는 이번 분기 악명 높은 다양한 행동들을 보여줬다. 예를 들어 1월에는 64비트 시스템을 목표로한 ZeuS·ZBOT 샘플들이 발견됐다.

이들의 루틴에는 다양한 안티 멀웨어 분석 도구의 실행을 막고 C&C서버와의 통신을 숨기는 Tor 구성 요소를 과시하는 기능이 포함돼 있었다.

또 같은 3월 BANLOAD 변종은 악성 루틴을 실행하기 전에 보안 플러그인을 확인하는 특이한 감염 방식을 사용했다. 더불어 CPL(Control Panel) 멀웨어 및 독특한 ‘시간차’ ZeuS·ZBOT 다운로더는 기술면에 있어 여느 온라인 뱅킹 멀웨어와는 전혀 다르다는 사실이 발견됐다.
 알려진 비트코인 공격 현황(2014년 1분기)출처: Bitstamp, Vircurex, Poloniex, Flexcoin, new Silk Road 
▲ 알려진 비트코인 공격 현황(2014년 1분기)출처: Bitstamp, Vircurex, Poloniex, Flexcoin, new Silk Road

계속해 지역화 진행중 ‘랜섬웨어’
2013년 10월 CryptoLocker의 등장은 사이버 범죄가 어떤 식으로 그 기술을 연마하고 새로운 도구를 개발하기보다는 기존 도구를 향상시키는지 보여준 매우 좋은 예다.

CryptoLocker의 과거 모니터링 자료를 기준으로 할 때 이번 분기에 멀웨어는 보안 연구원들에게 독특한 과제를 제시했다. 무엇보다 정교한 사회 공학 전술과 암호화 기술 및 카운트다운 타이머로 무장한 이 멀웨어는 희생자들을 불안에 떨게하며 돈을 지불하도록 압박했다.

이미 광범위하게 펴져 있던 랜섬웨어는 이번 분기 사이버 범죄자들이 자신들을 세계적으로 알릴 방법을 찾아내면서 심지어 더욱 발전돼 희생자가 어느 곳에 위치해 있든 효과적으로 사람들을 위협해 굴복시키는 모습을 보여줬다.
 비트코인 채굴 및 지갑 절도 멀웨어 
▲ 비트코인 채굴 및 지갑 절도 멀웨어

랜섬웨어는 구체적인 국가를 공격 대상으로 삼는 것 외에도 BitCrypt의 등장과 함께 비트코인 절도 등을 비롯한 여러 악행들을 일삼았다. 구체적인 예로 ransomware-cum-cryptocur rency-stealer가 있는데 여기에는 비트코인 지갑을 비롯한 다양한 암호 통화 지갑의 자금들이 포함돼 있었다.

랜섬웨어 공격은 CryptoLocker 탐지가 늘어나면서 2013년 3분기에 특히 크게 증가했다. 2013년 3분기에 미국은 전체 합계의 약 30%를 차지하며 이의 영향을 가장 많이 받는 국가중 1위에 올랐고 일본과 인도가 그 뒤를 따랐다.

또한 Trend Micro Smart Protection Network의 피드백에서도 BitCrypt(CRIBIT으로 탐지됨) 희생자의 40%가 미국에 기반을 두고 있는 것으로 나타났다.
 온라인 뱅킹 멀웨어의 영향을 가장 많이 받은 국가※ 평소와 마찬가지로 온라인 뱅킹 멀웨어 관련 공격을 가장 많이 받은 국가는 미국이었다. 인도는 크게 발전한 뱅킹 산업의 영향으로 자국 내 온라인 뱅커의 수가 급격하게 늘어나면서 3위로 서서히 부상하고 있다. 그리고 모바일 뱅킹 거래량도 온라인 송금(인도 내 타발환 발생 수단 중 2위) 건수에 따라 증가했다. 
▲ 온라인 뱅킹 멀웨어의 영향을 가장 많이 받은 국가※ 평소와 마찬가지로 온라인 뱅킹 멀웨어 관련 공격을 가장 많이 받은 국가는 미국이었다. 인도는 크게 발전한 뱅킹 산업의 영향으로 자국 내 온라인 뱅커의 수가 급격하게 늘어나면서 3위로 서서히 부상하고 있다. 그리고 모바일 뱅킹 거래량도 온라인 송금(인도 내 타발환 발생 수단 중 2위) 건수에 따라 증가했다.

드디어 드러난 Tor의 어두운 단면
전세계적인 서버 네트워크인 Tor의 주된 목적은 온라인 개인정보 보호 도구의 R&D(연구 개발)를 촉진하는 것이다. 하지만 Tor가 제공하는 익명성은 액세스하고 사용하기 편한 Tor를 사이버 범죄자들이 악의적인 계획을 실행하기 좋은 매력적인 플랫폼으로 만들었다. 또 과거 Tor와 자주 연관됐던 Deep Web도 검색 엔진 크롤러를 우회할 수 있는 능력 때문에 사이버 범죄자들이 익명 상태를 보장받을 수 있어 사이버 범죄에 자주 악용되고 있다.

특히 지난 3월에는 CRIGENT에서 잘 알려진 2개의 온라인 익명성 도구(이 중 하나는 Tor 스크립트를 전파하는 데 윈도 파워셀을 사용하면서 이 Tor를 악용했던 사실이 밝혀졌다. 앞서 언급한 64비트 ZeuS·ZBOT 변종 역시 C&C 서버와의 통신을 숨기는 데 Tor를 사용했었다.

Tor 클라이언트는 설치가 쉽기 때문에 사이버 범죄자들이 추가 구성 파일을 배포하지 않고도 복잡한 행동을 수행할 수 있었다. 또한 Tor가 제공하는 숨은 서비스들 역시 사이버 범죄자들에게는 매우 매력적인 요소로 Tor의 악용을 더욱 부추길 것이다.
 랜섬웨어의 영향을 가장 많이 받는 국가 
▲ 랜섬웨어의 영향을 가장 많이 받는 국가

패치하지 않은 버그를 더 큰 위험에 빠뜨릴 ‘제로데이’ : 익스플로잇과 윈도XP 지원 종료
이번 분기에는 브라우저, 브라우저 플러그인, 기타 소프트웨어 취약점에 대한 다양한 제로데이 익스플로잇이 발견됐다. MS 오피스 2010은 3월 보안 게시판(MS 워드의 제로데이 취약점에 대한 패치 포함)에서도 알 수 있듯이 공격 가능한 대상인 것으로 드러났다.

2월 초에는 또 다른 빈번한 공격 대상인 어도비 플래시 플러그엑스(PlugX: 스텔스 메커니즘으로 유명한 원격 액세스 도구)를 전파하는 데 악용됐다. 그리고 같은 달 발표된 MS 시큐리티 애드비저리(Advisory) 2934088에서는 버전9 및 10 사용자들에게 표적 공격에 사용되는 인터넷 익스플로러 제로데이 익스플로잇에 대해 경고했다. 이는 각기 인터넷 익스플러러 버전 11과 8을 지원하고 있는 윈도8.1 및 윈도XP를 제외한 대부분의 윈도 버전에 영향을 미친다는 점에서 MS에게 매우 심각한 문제가 됐다.
 OS 시장 점유율, 2014년 3월출처: Netmarketshare.com 
▲ OS 시장 점유율, 2014년 3월출처: Netmarketshare.com

인터넷 익스플로러 9 및 10 공격에 사용되는 것과 같은 제로데이 익스플로잇은 ASLR(Address Space Layout Randomization)과 DEP(Data Execution Prevention) 같은 완화 기술을 회피할 수 있기 때문에 큰 문제가 됐다.

게다가 이러한 완화 기술을 피할 수 있는 능력은 최근 공격에서 그 효과가 매우 크다는 사실이 입증되며 앞으로 사이버 범죄자들이 자신들의 익스플로잇을 점차 플랫폼에 구애 받지 않는 형태로 발전시켜갈 것이란 사실을 확신케 했다.
다행히 이번 분기에 발견된 제로데이 익스플로잇은 윈도XP에는 영향을 미치지 않았다. 하지만 그것이 앞으로 XP 사용자들이 피해를 입지 않을 것이란 뜻은 아니다.

또한 인터넷 익스플로러 8보다 높은 버전이 해당 플랫폼과 호환이 되지 않는다는 사실은 그리 큰 도움이 되지도 않는다. 이는 오히려 윈도XP 사용자들이 구식의 더욱 취약한 브라우저 버전과 함께 뒤쳐지게 될 것이란 뜻일 뿐이다.

물론 인터넷 익스플로러를 목표로 삼는 위협을 피하기 위해 100% 안전하다고는 할 수 없겠지만 그 밖의 취약한 브라우저를 목표로 삼는 각종 공격에 대항하는 대체 브라우저를 사용할 수는 있다.

하지만 보안 소프트웨어가 구식 플랫폼을 보호할 수는 있겠지만 새롭게 발견된 취약점을 수정할 수는 없기 때문에 익스플로잇 공격에는 항상 노출된 상태일 수밖에 없을 것이다.

모바일 위협 환경, 모바일 멀웨어·고위험 앱수 200만개로까지 증가시킨 앱 ‘리패키징’ : 지하 경제의 성장·툴킷 가용성
모바일 멀웨어 및 고위험 앱은 지난해보다 더욱 가파르게 성장하며 이번 분기 200만건을 넘어섰다. 이와 같은 성장의 원인중 하나는 모바일 멀웨어를 개발해 배포하는 데 사용할 수 있는 악성 도구 및 서비스에 대한 수요 증가다.

이러한 악성 앱의 대표적인 예로는 한 때 유명했던 앱의 트로이 목마 버전인 Flappy Bird(FAKEINST 변종으로 발견됨)를 들 수 있으며 이 앱은 이번 분기 타사 앱 스토어를 통해 전파됐었다.

또한 이러한 현상은 OPFAKE·FAKEINT 변종(트렌드랩의 리패키징 앱 조사에서 발견)이 이번 분기 모바일 멀웨어 목록에서 상위를 차지했던 이유일 수도 있다.

프리미엄 서비스 악용 프로그램을 꺾은 애드웨어
이번 분기 프리미엄 서비스 악용 프로그램(2013년 안드로이드 위협중 가장 일반적인 형태)은 안드로이드 위협을 넘어서지 못했다. 애드웨어는 그 발생 건수에서 최근 프리미엄 서비스 악용 프로그램을 넘어섰으며 이는 프리미엄 서비스 악용 프로그램이 사이버 범죄자들의 손에 들어갈 수도 있다는 사실이 확인된 후 premium-text-service-billing(프리미엄 텍스트 서비스 과금) 비율이 감소했다는 주요 서비스 제공업체들의 최근 발표에 따른 것일 수 있다.

사이버 범죄자들은 최근 프리미엄 서비스 악용 프로그램을 덜 ‘수익성 높은’ 공격 도구로 인식하면서 애드웨어를 전파해 더 많은 사용자들을 공격하는 것으로 그 방향을 전환했다.

모바일 위협 환경을 더욱 발전시킨 버그들
오늘날 모바일 위협 환경이 더 성장했다는 것을 보여주는 또 하나의 흔적은 안드로이드 플랫폼에서 발견된 취약점의 수가 크게 증가했다는 것이다. 이는 수많은 안드로이드 기기 사용자들이 더 많은 위험에 처했다는 뜻이기도 하다. 지난 3월 트렌드랩은 버전 4.0 이상에 영향을 미치며 기기를 끝없이 반복되는 리부팅 상태에 빠뜨려 렌더링할 수 없게 만드는 안드로이드 버그를 분석했다.
 상위를 차지한 안드로이드 멀웨어들 
▲ 상위를 차지한 안드로이드 멀웨어들

이와 함께 같은 3월 트렌드랩은 최소 1만개의 앱을 사용자 정의된 특정 기기 권한을 우회해 사용자 데이터 유출 위험에 노출시킬 수 있는 취약점을 발견했다. 이번 분기에는 iOS도 지난 2월 버전 7에서 발견된 ‘goto fail’ SSL(Secure Sockets Layer) 보안 문제를 강조하며 취약점을 발표했다.

애플은 즉각 이 결함을 패치한 보안 업데이트 iOS 7.0.6을 발표했다. 만약 이 결함을 패치하지 않으면 취약한 기기가 공유 네트워크에 접속할 경우 의도치 않게 데이터가 노출되거나 세션을 하이재킹 당할 수 있다.

컴퓨터에서 모바일 기기로 옮겨간 다양한 위협들
이번 분기 비트코인 채굴 멀웨어는 새로운 능력과 루틴을 소개했다. 특히 이들은 감염된 기기에 암호 통화 채굴기를 설치하는 이른바 ANDROIDOS_KAGECOIN. HBT라는 멀웨어들이 등장하면서 모바일 기기를 공격 대상으로 삼기 시작했다.

그리고 이를 통해 사이버 범죄자들은 감염된 모바일 기기의 컴퓨팅 리소스를 비트코인, 라이트코인, 도기코인을 채굴하는 데 사용할 수 있다. 또한 감염은 배터리 수명을 짧게 해 궁극적으로는 기기 수명을 단축할 수 있다.

이와 같은 위협의 또 다른 예는 TORBOT과 DENDROID다. ANDROIDOS_TORBOT.A는 사용자가 일정수준의 익명성을 유지할 수 있도록 Tor를 사용해 원격 서버에 액세스하는 최초의 모바일 멀웨어 변종이다. 이는 일단 연결이 되면 전화를 걸어 특정 번호에 대한 텍스트 메시지를 가로채거나 전송할 수 있다. 반면 ANDROIDOS_ DENDROID.HBT는 지하 시장에서 크라임웨어로 판매되며 기기 사용자의 동의 없이 텍스트 메시지를 가로챈다거나 전화 내용을 녹음하고 사진을 찍는 등 전형적인 컴퓨터 멀웨어를 연상시키는 루틴들을 보여준다.

표적 공격 캠페인·사이버 공격, 맞춤형 방어 전략 중요성 강조 ‘PoS 시스템’ 정보 유출 위험
이번 분기 트렌드랩은 미국의 대규모 소매 및 접객업의 정보 유출이 사용자에게 어떠한 영향을 미치는가를 관찰했다. 그리고 앞서 언급한 정보 유출이 발생하고 고객의 개인 정보가 신용카드사기 범죄자들에게 팔릴 경우 수많은 고객이 즉각적인 위험에 노출된다는 사실을 발견했다.

그러나 그러한 사례는 미국에 국한되지 않았다. 이번 분기에는 한국 사용자들의 지불카드 정보 역시 PoS 터미널을 통해 도난당하는 사건이 발생했다. 2014년 1분기 내내 트렌드랩은 특이한 공격 대상인 PoS 터미널과 종종 보안에 있어 간과되곤 하는 도구들이 얼마나 공격에 중요하게 사용되는 지를 관찰했다.

소매업체 및 접객업체에서 대금을 지불 받고 회계, 영업 추적 및 재고 관리에 관한 운영 정보를 제공하는데 사용되는 PoS 시스템은 비용을 절감하고 생산성을 증가시킨다. PoS 시스템은 그 이점을 통해 소매업체나 접객업체의 비즈니스에 상당히 뛰어난 업무 효과를 제공한다. 따라서 PoS 시스템 소유자는 사이버 범죄자들이 돈을 목적으로 끊임없이 탐구를 거듭하며 기기를 손상시킬 방법을 모색할 것이란 점을 감안해 특별히 보안에 더욱 신경써야 한다.

그렇다면 해커는 어떻게 Pos 기기에 잠입할까? 트렌드랩에서 PoS 시스템 침해에 관해 작성한 보고서에 따르면 해커들은 데이터를 훔칠 수 있는 여러 취약한 부분들을 공략하는 것으로 나타났다. 따라서 트렌드랩에서는 PoS해킹, 네트워크 통신 해킹 및 특정 서버 공격을 비롯한 대규모 침입이 발생할 수 있는 가능성 높은 몇 가지 시나리오들을 작성했다.

특정 서버를 대상으로 삼는 경우 공격자들은 고객 정보를 훔치기 위해 연결된 PoS 기기에 멀웨어를 배포할 수 있는 업데이트 메커니즘을 파악하려고 할 수 있다. 최근 몇개월 동안 트렌드랩은 공격자들에게 신용카드 정보를 수집해 전송할 수 있는 몇 가지 PoS 멀웨어들을 찾아냈다.

예를 들어 ALINA나 Trackr는 시스템의 메모리를 스캔해 그 콘텐츠가 정규 표현과 일치 하는지를 확인한다. 왜냐하면 그럴 경우 시스템 내에 훔칠 수 있는 카드 정보가 존재한다는 뜻이기 때문이다.

그 밖에 파괴적인 PoS 멀웨어로는 Tor 네트워크를 사용하는 것으로 알려진 FYSNA와 C&C 서버에 훔친 데이터를 업로드하는 vSkimmer 또는 HESETOX가 있다.

앞서 언급한 PoS 기기 사용과 관련된 위험들은 카드를 통해 대금을 지불 받는 기업이라면 왜 더더욱 맞춤형 방어 전략을 구현해야 하는지를 확실히 알려준다. 이러한 맞춤형 방어 전략은 특히 해당 업체의 네트워크와 해당 업체에서 정보를 생성하고 사용하며 처리하는 방식에 부합하는 것이어야 한다. 하지만 지금 무엇보다 심각한 것은 2014년 1분기에 2013년 전체 기간의 7배에 달하는 멀웨어가 나타났다는 사실이다.

이미 알고도 당한 반사 공격
해커들은 올 1월 NTP(DDoS 공격을 실행하기 위해 컴퓨터의 시간을 동기화하는데 사용되는 시스템)의 취약점을 악용했다. NTP 서버는 플러딩에 매우 민감한 것으로 알려져 있고 일반적으로 공용으로 사용되는 데다 종종 모든 연결을 수용하기 때문에 취약한 경우는 공격당하기가 매우 쉽다.

이번 사건은 전례 없는 규모로 수행된 지속적이고 광범위한 DDoS 실행에 무너진 사건이었다. 무엇보다 이후 반사 공격은 ‘아주 흔한’ 공격이 돼 모든 산업에 영향을 미치고 있다. 그러나 IT 관리자들이 완화책으로 서비스 실행 방식을 재구성하거나 서버를 업그레이드할 수 있다면 전혀 희망이 없는 것은 아니다.

시에스타 캠페인과 표적 공격 지속적 증가
표적 공격이 계속해서 전 세계 기업들을 괴롭히고 있다. 이번 3월 발견된 시에스타 캠페인이 그 일례다. 이 캠페인은 그 이름처럼 ‘Sleep’과 ‘Download: <download URL>’라는 2개의 암호화된 명령중 하나를 실행하며 다양한 업계의 여러 기관들을 대상으로 삼았다. 일부 조직에서는 스푸핑된 개인의 이메일 주소에서 메일이 발송됐다.

시에스타 캠페인의 대상은 소비재 및 서비스, 에너지, 금융, 건강 관리, 미디어 및 통신, 공공행정, 안보 방위, 교통 운송을 포함한 광범위한 산업 분야에 걸쳐 있다.

디지털라이프와 만물 인터넷, ‘임시’ 앱마저도 취약한 오늘날의 현실
2013년 ‘임시’ 앱(익명으로 콘텐츠를 공유하고 비공개 메시지를 전송하며 미디어를 공유하고자 하는 사용자들의 열망을 충족시킨 차세대 앱)은 사용자 정보 보호 수단의 하나로 등장하며 앱 에코시스템에 선풍적인 바람을 일으켰다.

하지만 안타깝게도 그러한 앱의 일종인 스냅챗(Snapchat)은 이번 분기 전혀 다른 상황을 연출했다. 공격자들이 460만건 이상의 사용자 정보를 보관하고 있는 데이터베이스에서 데이터를 유출하는 데 이 API를 악용한 것이다.

스냅챗팀은 또 다시 이 앱의 API를 악용하려는 향후 시도를 막기 위해 사용자들에게 추가 보안을 제공하는 업데이트를 발표했다. 그러나 해당 업데이트가 영향을 받는 사용자들에게 안도감을 줄 수는 있었겠지만 신뢰받는 앱에서도 심지어 개인정보보호 및 익명성을 보장하던 앱에서마저도 우려하던 현상이 발생했다는 점에서 스냅챗의 API 악용은 걱정스러운 일이 아닐 수 없다.

공격 대상 유인하는 데 사용된 실종된 MH370기, 수색 관련 사항과 기타 사회 공학 기술
트위터나 기타 소셜 미디어에서 악성 링크와 마주치는 일은 더 이상 드문 일이 아니다.

트렌드랩은 이번 분기에 ‘무료 팔로어 구매’ 신용사기부터 실종된 MH370기의 수색과 관련된 피싱 공격에 이르기까지 매우 심각한 위협들이 소셜 미디어 사용자를 공격 목표로 삼는 것을 관찰했다. 사이버 범죄자들은 페이스북에서 가짜 동영상을 보여주며 사용자들을 유인하기 위해 과장 광고를 활용했다.

이는 비극적인 사건이나 각종 재해에 관한 자료들을 게재하는 것이 여전히 효과적인 속임수라는 사실을 다시 한번 증명해줬다.

이번 분기 또 하나의 효과적인 사회 공학적 사기 기술이 그 위험이 충분히 예견됐던 소프트웨어의 향후 예정 릴리스에 영향을 미쳤다. 그 하나의 예로 이번 분기 사이버 범죄자들은 GTA 5(Grand Theft Auto V)의 PC 베타 버전을 자랑하는 내용의 이메일을 대량으로 전송하며 게임의 인기를 악용했다.

메일 내용의 문법적 실수라든가 정식 버전과는 상당히 다른 모습을 토대로 지나치게 단순한 신용사기임을 알 수 있었음에도 PC 버전 발표에 대한 기대는 들뜬 게이머들을 유혹하기에 충분했다.

왓츠앱(WhatsApp) 사용자들 역시 앱의 PC 버전이 생긴다는 생각에 쉽게 사기를 당했다.

GTA 5 베타 사기와 마찬가지 방식이었지만 심지어 왓츠업 사기에서는 왓츠업 PC 버전이 존재조차 하지 않았고 희생자들은 뱅킹 멀웨어에 감염됨 시스템으로 인해 어려움을 겪어야 했다.

새롭게 등장한 IoE 기기에서 더 많은 결함 발견
IoE(만물 인터넷) 시장의 일부 기기들을 철저하게 조사한 결과 보안 연구원들은 커다란 결함을 발견했다. 다양한 기술을 장착한 테스라의 모델 S 세단은 프리미엄급 성능에 대한 새로운 표준을 확립하고 완벽한 모바일 연결 기능을 통합했다는 측면에서 미디어의 많은 관심을 받았다.

하지만 동시에 이는 해당 자동차를 해킹에 취약하게 만들 수도 있는 기능이기도 하다. 또한 연구자들은 필립스 스마트TV와 같은 인터넷에 연결된 스마트TV들도 분석했으며 업체에서 미라캐스트(무선 영상 전송 기술)에 대한 기본 암호를 일부 2013 모델의 펌웨어에 하드코딩했다는 사실을 발견했다.

이는 특정 범위 안에 있는 사람이라면 누구나가 원격에서 TV에 액세스할 수 있다는 뜻이다. IoE 트렌드는 사용자들에게 온라인화할 수 있는 것은 무엇이든 해킹당할 수 있다는 사실을 끊임없이 알려야 한다.

자동차와 TV뿐만 아니다. 보안 연구자들이 라우터를 통해 정전 명령을 내리는 악성 스크립트를 삽입한 결과 스마트 라이트 역시 해킹에 취약한 것으로 증명됐다.

또한 SANS테크놀로지 인스티튜트 강사가 올해 초 증명한 내용에 따르면 보안 감시 카메라에서 비디오를 녹화하기 위해 심지어 DVR까지도 해킹할 수 있었다.



이광재 기자  voxpop@techworld.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

이광재 기자의 다른기사 보기
여백
여백
여백
여백
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2019 CCTV뉴스. All rights reserved .