암호화폐 노린 ‘크립토재킹’ 8500% 증가

[CCTV뉴스=이승윤 기자] 지난해 가상화폐 가격이 급 상승 하면서 가상화폐거래소 해킹과 가상화폐 이용자 지갑을 노린 공격 등 다양한 가상화폐 보안 위협이 나타났다. 특히 가상화폐를 직접적인 공격하는 방법 이외에도 개인 또는 기업의 컴퓨터와 클라우드에 암호화폐 채굴 악성코드 설치해 전력과 CPU 리소스를 가로채 암호화폐 채굴에 이용하는 보안위협 ‘크립토재킹’ 공격이 급증했다.

시만텍은 3일 2017년 주요 사이버 범죄 및 보안 위협 동향에 대한 분석을 담은 ‘인터넷 보안 위협 보고서(ISTR, Internet Security Threat Report) 제 23호’ 발표 기자간담회에 지난해 크립토재킹 공격 8,500% 폭증했다고 밝혔다.

크립토재킹 공격은 개인 사용자과 기업 컴퓨터에 악성코드를 설치하는 공격방법으로 악성코드 감염 시 기기를 느려지고 배터리 과열을 일으키며, 경우에 따라 사용 불가 상태로 만들기도 한다. 또한 기업의 경우, 암호화폐 채굴 악성코드로 인해 기업 네트워크가 중단될 수 있으며, 클라우드 CPU 사용량을 상승시켜 높은 사용요금이 부과될 수 있는 피해가 발생할 수 있다.

공격 방법도 단 두 줄의 코드 삽입만으로도 운용이 가능해 진입장벽이 낮아 지난해 ‘크립토재킹’ 공격이 많이 발생했다. 시만텍은 보고서에서 2017년 한 해 엔드포인트 컴퓨터에서 암호화폐 채굴 악성코드(coinminer)의 탐지 건수가 1월 약 2만 건에서 12월 약 170만 건으로 무려 8,500% 가량 증가했다고 설명했다.

또한, 지난해 ‘크립토재킹’은 기업보다 개인이 소유한 기기에서 2배나 많이 탐지됐다. 시만텍은 이런 현상에 대해 암호화폐 채굴 작업이 동영상 스트리밍 사이트와 같이 오래 머무르는 사이트에서 효과적이기 때문에 기업보다는 개인사용자들에게 더 영향이 있었을 것으로 분석된다고 설명했다.

윤광택 시만텍코리아 상무는 “해커들이 랜섬웨어보다 금전적 이익을 많이 볼 수 있는 암호화폐를 타깃으로 잡으면서 ‘크립트해킹’ 공격이 급증했다”며 “특히 비트코인보다 익명성이 강화된 모네로(Monero)의 채굴이 집중되고 있다”고 말했다.

이번 시만텍 보고서에는 ‘크립토재킹’ 공격 이외에도 ▲소프트웨어 공급망(Supply Chain) 공격 ▲표적 공격 ▲악성코드 ▲ 랜섬웨어 등이 2017년 주요 보안 위협 동향으로 발표했다. 

보고서에 발표된 자세한 내용은 다음과 같다.

▲소프트웨어 공급망(Supply Chain) 이용한 악성코드 유포 200% 증가

소프트웨어 공급망을 해킹한 뒤 자동 업데이트를 악용해 악성코드를 유포하는 사이버 공격은 2017년 12건으로 2016년 4건 대비 200% 증가했다. 매달 1건의 공격이 발생한 것으로 볼 수 있다. 특히 범죄자는 공인된 소프트웨어의 업데이트를 하이재킹 함으로써, 업데이트를 실행하는 사용자의 시스템 및 네트워크를 2차 공격한다. 이와 같은 방법으로 공격자들은 보안이 뛰어난 네트워크를 공격할 수 있는 진입 경로를 확보할 수 있게 된다.

▲표적 공격 이메일 통한 스피어 피싱 기법 이용

시만텍이 현재 추적하고 있는 140개의 조직화된 범죄 집단을 비롯해, 표적 공격 그룹의 수는 증가하고 있다. 지난 해 전체 표적 공격의 71%가 고전적인 수법으로 이메일을 이용하는 스피어 피싱(spear phishing) 공격을 감행해 타깃을 감염시켰다. 표적 공격 그룹이 기업 및 조직에 침투하기 위해 이미 검증된 전술들을 이용하는 경향이 계속되면서, 제로데이 공격은 인기가 시들해지고 있다. 표적 공격 그룹 140개 중 가운데 불과 27%만이 과거에 제로데이 취약점을 이용한 것으로 알려졌다. 시만텍 조사결과 표적 공격의 90%가 정보 수집을 목적으로 하고 있는 것으로 밝혀졌다. 또한, 한국의 경우 2017년 발생한 표적 공격이 총 45건으로, 미국, 인도, 일본, 대만, 우크라이나에 이어 전 세계 6위를 기록했다.

▲모바일 악성코드 급증세 지속

2017년 신규 모바일 악성코드 변종의 수가 2016년 대비 54% 증가하는 등 모바일 공간에서의 위협은 매년 지속적으로 증가하고 있다. 시만텍은 지난 해 매일 평균 24,000개의 악성 모바일 애플리케이션을 차단했다. 문제는 오래된 운영 체제가 계속 사용되고 있다는 점이다. 실제로, 안드로이드 OS의 경우 최신 버전 업데이트 기기는 20%이며, 최신 마이너 버전까지 업데이트한 기기는 단 2.3%에 불과하다.

또한, 그레이웨어(grayware) 앱이 모바일 사용자의 개인 정보 보안을 위협하고 있다. 시만텍 조사 결과 그레이웨어 앱의 63%가 기기의 전화번호를 유출한 것으로 나타났다. 

▲비즈니스에 탁월한 사이버 범죄자, 랜섬웨어로 이익 추구

2016년 랜섬웨어 시장은 그 수익성으로 호황을 누리며 금전 요구액 또한 지나치게 높은 경향을 보였다. ‘시장 조정’ 국면에 들어선 2017년 랜섬웨어 시장에서 평균 금전 요구액은 522달러로, 2016년 1,070달러의 절반 이하로 낮아졌으며, 이는 랜섬웨어가 일상적인 악성코드로 자리매김했음을 의미한다. 많은 사이버 범죄자들이 암호화폐의 가치가 높아지면서 수익 실현의 대안으로 보고 암호화폐 채굴로 눈을 돌린 것으로 분석된다. 이와 함께, 랜섬웨어 패밀리의 수는 2016년의 98개에서 2017년에 28개로 크게 감소했지만, 랜섬웨어 변종 수는 46% 증가해 사이버 범죄자 그룹들이 예전만큼 혁신적이지는 않지만 아직도 왕성하게 활동 중임을 알 수 있다.