지난해 사이버 범죄 분석..인터넷 사용시 주의사항은?

[아시아경제 박소연 기자]한국IBM은2015년 보안 동향 및 취약점, 사이버 범죄 동향을 분석하고 2016년 보안 전망을 수록한 ‘2016년 IBM X-Force 보안 동향 및 위험 보고서’를 발표했다.

이번에 발간된 보고서에는 IBM의 보안 위협 인텔리전스 플랫폼 X-Force Exchange 통해 캐나다, 호주, 영국, 프랑스, 터키, 일본 등에서 실제 발생한 주요 보안 사고 및 표적 공격 악성 코드를 분석한 결과를 담고 있다.

대규모 개인정보유출
X-Force 연구 개발 팀에 따르면 2014년 말 기준으로 10억 개 이상의 이메일, 신용카드 번호, 비밀번호, 기타 각종 개인 식별 정보(Personally Identifiable Information, PII)가 주로 유출됐고, 2015년 사이버 범죄자의 관심은 의료기관 대규모 정보유출로 이동해 1억 개 이상의 PII가 유출된 것으로 확인됐다.

공격 기술은 더 정교해져 과거 데스크톱의 브라우저 웹 인젝션처럼 모바일 플랫폼에 오버레이 악성코드를 숨겨놓고 최종 사용자의 개인 데이터를 빼내고 있는 것으로 나타났다. 특히, 아직도 악성코드(malware, 18%) 및 DDoS(15.1%)와 같은 전통적인 공격이 유효한 공격기법으로 사용되고 있는 것으로 확인되어 기본적 보안 관리의 허점을 보여줬다.

2015년 2월 발생한 1억 여개의 의료업계 환자기록 유출 사고에서는 신용카드 데이터와 사용자 계정 정보는 물론 주민등록번호 및 의료 기록 데이터까지 유출되면서 유출된 의료 기록 1개당 손실 363 달러 총 363억 여달러의 손실액이 발생한 것으로 나타났다.

의료 기록 외에도 Adult Friend Finder, Ashley Madison 같은 성인 웹사이트의 데이터가 유출되어 개인의 성적 취향 및 배우자 부정이 공개돼 피해자가 목숨을 끊는 사건이 발생해 사회적 문제를 야기하기도 했다.

악성 광고, 일명 '맬버타이징(Malvertising)'이 기승을 부린 2015년에는 Adobe Flash의 취약점을 노린 감염된 광고를 감상한 인기 웹사이트 사용자 수백만 명에게 랜섬웨어와 온갖 악성 코드가 설치되는 사건이 발생했다.

최종 사용자를 겨냥한 랜섬웨어의 성공으로 공격자가 웹사이트 운영 중단을 무기로 수백에서 수만 달러 상당의 비트코인을 요구하는 DDoS 갈취 시도도 함께 급증했다. 이에 공격받은 기업 대다수가 대가 지불을 거부하고 가동 중단을 감수하는 상황이 발생해 기업의 보안 방어 체계 재정비의 필요성을 환기한 바있다.

금융 악성 코드 관련 조직적 사이버 범죄

보안 및 리스크 관리 사이트인 CSO에서 사이버 범죄자의 평균 연령이 35세로 상당한 사이버 범죄 경력을 가진 세대이며, 특히 80%의 전문 해커는 조직 범죄에 연루되었고 조직의 일원으로 일한다고 확인됐다. 실제 범죄 집단이 운용하는 악성 코드의 작동 방식을 들여다보면 체계와 질서를 갖추고 전문적인 프로그래밍 기술뿐 아니라 변경 추적, 버전 관리, 애플리케이션 보안과 같은 전문적인 개발 프로세스까지 구현되어 있다.

2015년에 일어난 금융 악성 코드 관련 사이버 범죄 사고를 살펴보면 Dyre, Shifu, Dridex, CoreBot, URLZone2와 같은 이름이 자주 등장하는데, 그 배후에는 해당 트로이목마를 개발하여 독자적으로 사용하는 폐쇄적인 글로벌 조직이 자리하고 있다. 이는 Shifu 작전이 일본에서 시작해 영국으로 건너갔고, Dyre 트로이 목마 운용자가 타깃으로 한 은행 URL이 호주 및 뉴질랜드의 비즈니스 뱅킹, 기업 뱅킹, 재무 관리, 우량 고객 전문 포털까지 연결되었던 사례에서 잘 드러난다.

이외에도 X-Force 연구 개발팀은 한 해 동안 금융 관련 공격 캠페인을 분석해 주요 사이버 범죄 집단이 동유럽에 위치하거나, 이 지역을 중심으로 활동하는 조직이 인프라, 서비스를 비롯하여 범죄에 필요한 물품을 공급하는 비밀 서비스 업체와 손잡을 때가 많다고 발표했다. 이는 “CaaS(Crimeware as a Service)”의 출현을 시사하며, 실제로 2016년 1월 초 나타난 Dridex 트로이 목마는 표적이 된 브랜드 별로 은행 사이트 복제본을 미리 만들어 사용하는 Dyre의 리디렉션 기술과 유사한 공격으로 밝혀졌다.

모바일 악성 코드의 기승
2015년 트로이 목마가 PC에서 구사하는 것과 동일한 사기(fraud) 시나리오를 모바일 기기에서 구현하는 모바일 운영체제 상의 오버레이 악성코드가 등장했다. 이는 모바일 기기를 범죄자를 위한 “만능 장치”로 바꿔 애플리케이션만으로 피해자의 인증 정보를 실시간으로 수집하고 SMS로 전송된 2중 인증 코드를 수신하고 인증 확인 전화까지 자신의 번호로 연결해 사기 거래를 성공적으로 마칠 수 있는 악성코드다.

보고서에 따르면 현재 오버레이 악성 코드는 지하 경제의 모바일 전문 개발자들이 작성하여 판매하고 있으며, 임대 또는 구입하는 악성 코드, 봇넷 관리 패널, 애플리케이션 사용자 지정, 필수 운영 자원(호스팅, 서버, IP 전화 번호), 24시간 기술 지원 서비스가 포함되어 있는 것으로 확인 됐다. 오버레이 악성 코드는 차세대 모바일 위협의 비약적인 성장으로 간주되며, 이 새로운 기술이 아무런 제재 없이 빠르게 확산 되고 있는 것 또한 큰 문제가 되고 있다.

대표적인 오버레이 악성코드로는 은행 애플리케이션 창에 오버레이 화면을 표시하도록 설계된 다단계 구글 안드로이드 트로이 목마 SlemBunk가 있다. SlemBunk의 코드 및 배포 방법론은 드라이브 바이 다운로드 공격 및 위장을 위한 합법적인 APK(Android Application Package)를 사용하는 등 매우 전문적이며, 치밀하게 계획된 진화형 위협으로 드러났다.

IBM의 보안연구소 X-Force 연구 개발 팀은 1997년부터 소프트웨어 제품의 취약점을 추적하면서 20여 년간 보안 소프트웨어 개발 상황을 연구해왔다. 사이버 보안 취약점, 익스플로잇(Exploit), 활성 공격, 바이러스 및 기타 악성 코드, 스팸, 피싱, 악성 웹 컨텐츠 등을 포함한 최신 보안 위협 동향을 조사하고 모니터링해 고객 및 일반 대중에게 새로운 중대한 위협에 대해 알리고 보안 컨텐츠도 제공하고 있다. X-Force 연구 개발 팀에서 20년 이상 취약점 데이터를 수집해 온 X-Force 데이터베이스의 항목 수는 2016년 1분기에 10만개를 넘어설 것으로 예상된다.

박소연 기자 muse@asiae.co.kr