보안위협동향 2016년결산 2017년전망 2016 REVIEWS & 2017 PREDICTIONS
CONTENTS 보안위협동향 2016 년결산 2017 년전망 2016 REVIEWS & 2017 PREDICTIONS 2016 년결산 2016 년을집어삼킨보안위협 Top 5 2017 년전망 2017 년을휩쓸보안위협 Top 5 2017 년보안위협대응을위한제언
2016 년결산 3 2016 년결산 2016 년을집어삼킨보안위협 Top 5 01 02 03 04 05 전세계를뒤흔든랜섬웨어의진화가성비높은표적공격, 경계가없다 IoT 악성코드의선제공격익스플로잇킷의적자생존, 치열한취약점공격모바일환경에뿌리내린루팅앱 4 5 6 7 8
2016 년결산 4 2016 년을집어삼킨보안위협 Top 5 전세계를뒤흔든랜섬웨어의진화 2016년한해보안업계뿐만아니라뉴스등언론을통해일반사용자들사이에서도지겨울정도로빈번하게등장한보안용어는바로 랜섬웨어 (Ransomware) 다. 더이상의설명이필요없는랜섬웨어는지난한해동안종류와양이폭발적으로증가하면서전세계적으로막대한피해를입혔다. 안랩에접수된비율만보더라도연초에는전체보안침해신고의 15% 에불과하던것이 2016년 11월말에는 4배가량증가해 60% 이상을차지했다. 2016년랜섬웨어의동향을자세히살펴보면, 크고작은변화와소멸을거듭하며결과적으로진화하는양상을보인다. 2015년악명을떨쳤던테슬라크립트 (TeslaCrypt) 가지난해 5월, 돌연활동종료를선언했다. 또국내에서피해가컸던크립트 XXX(CryptXXX) 도 2016년 7월이후잠잠해졌다. 반면스팸메일을통해유포되는록키 (Locky) 나음성으로감염사실을알려주는케르베르 (CERBER) 는지 속적으로업그레이드를거듭하고있다. 또파일뿐만아니라 MBR(Master Boot Record) 까지암호화해 PC 사용자체를방해하는랜섬웨어도등장했다. 올해는랜섬웨어제작과유포를대행해주는랜섬웨어서비스, 이른바 RaaS(Ransomware-as-a- Service) 가본격화되면서랜섬웨어의전세계적인확산에영향을끼쳤다. 심지어다양한언어를지원하는경우도있다. 대부분의랜섬웨어는영어로만제작되어있지만, 국내감염율이높았던테슬라크립트나크립트XXX, 록키, 케르베르등은영어외에도각국언어로서비스를제공한다. 유포및감염방식또한스펨메일의첨부파일부터드라이브바이다운로드 (Drive-by-download), 멀버타이징 (Malvertising), 최근에는사회공학기법과결합하거나 RDP(Remote Desktop Protocol) 를이용하는등다양화되고있다.
2016 년결산 5 2016 년을집어삼킨보안위협 Top 5 가성비높은표적공격, 경계가없다 특정한대상을선별하여공격하는표적공격 (target attack) 은투자대비성공률이높다는특징때문에최근몇년간뚜렷한증가세를나타냈다. 표적공격은정치적인목적과금전적목적의일반기업을노린공격으로구분할수있다. 2016년 2월미국국토안보부인사정보탈취사건은러시아의소행으로의심되고있고, 지난 8월실수로유출된것으로알려진미국국가안보국 (NSA) 의해킹툴 (Shadow Brokers) 또한국가간스파이전과연관성이있다. 개인을대상으로하는표적공격도대부분정치적인목적을띠고있다. 주로홍콩, 미얀마, 시리아, UAE, 카자흐스탄등의국가에서집권당에반대하는정치인이나사회운동가등을노린표적공격이발생했다. 일반기업을노리는표적공격의단골메뉴는고객정보, 즉개인정보다. 올해도국내는물론야후, 드롭박스등에서개인정보유출사고가발생했다. 또이른바비즈니스이메일스캠 (Business email scam) 이라불리는전통적인이메일변조사기도유럽과북미지역의기업에막대한피해를입히며성행중이다. FBI 집계에따르면, 2016년이메일변조피해사례는미국에서만총 7,000건, 피해액은약 740만달러로확인됐다. 지난해국내에서발생한모기업의이메일해킹에의한무역대금 240억원피해사례의경우, 사우디국영정유업체인사우디아람코의이메일계정이해킹당한것이원인으로알려져있다.
2016 년결산 6 2016 년을집어삼킨보안위협 Top 5 IoT 악성코드의선제공격 사물인터넷, 이른바 IoT(Internet of Things) 기술이발달함에따라이와관련된위협또한진화를거듭하고있다. 사물인터넷기기는사용성과저전력의측면에서경량화된임베디드리눅스 (Embedded Linux) 운영체제를사용한다. 사용자단말에사용되는운영체제를관리하기쉽지않고, 특히제조업체가영세할경우보안까지신경쓰기는쉽지않은현실이다. 공격자들은이점을놓치지않았다. 2016년 9월, 유명보안블로그인크렙스온시큐리티 (KrebsOnSecurity) 와호스팅업체 OVH 에대해기록적인규모의 DDoS 공격이발생했다. 또지난 10월에는미국인터넷호스팅서비스업체딘 (Dyn) 에대한 DDoS 공격도발생했다. 이공격으로인해트위터 (Twitter), 뉴욕타임스 (The New York Times), 에어비앤비 (Airbnb), 페이팔 (PayPal), 넷플릭스 (Netflix), 사운드클라우드 (SoundCloud), 등다수의웹사이트에서접속장애가발생했다. 이들두공격에는사물인터넷악성코드인미라이 (Mirai) 악성코드가이용된것으로확인되었다. 다양한사물인터넷기기가공격에이용되었으며, 일부악성코드의소스코드가공개되면서지난한해동안에만 1만개이상의사물인터넷관련악성코드가발견됐다.
2016 년결산 7 2016 년을집어삼킨보안위협 Top 5 익스플로잇킷의적자생존, 치열한취약점공격 익스플로잇킷 (Exploit Kit, 이하 EK) 은취약점을이용한악성코드를대량으로유포하는툴로, 랜섬웨어암시장이활성화되면서더욱활개를치고있다. 이와함께익스플로잇킷의치열한경쟁과지각변동이나타났다. 2016년상반기랜섬웨어유포순위 1위로악명을떨쳤던앵글러 (Angler EK) 와뉴클리어 (Nuclear EK) 가활발히활동하다갑자기사라졌고, 앵글러의자리를물려받았던뉴트리노 (Neutrino EK) 역시하반기들어활동이감소했다. 반면선다운 (Sundown EK), 매그니튜드 (Magnitude) 등은지속적으로활동하고있다. 익스플로잇킷의다단계리다이렉션 (Redirection) 기법은웹사이트광고서버를이용해랜섬웨어등악성코드를유포하는멀버타이징 (Malvertising) 공격에주로이용되고있다. 다양한스크립트형식의 다운로더나익스플로잇킷을이용한랜섬웨어유포는현재도지속적으로발생하고있으며, 윈도우쉘프로그램인파워쉘 (Powershell) 을이용한악성코드도다수발견되었다. 또한익스플로잇킷이활기를띠면서이들이주로이용하는인터넷익스플로러 (Internet Explorer, IE), 플래시 (Flash), 자바 (Java) 등의취약점을비롯해다양한취약점공격이더욱거세졌다. 특히문서파일과관련된 EPS(Encapsulated PostScript) 취약점과오픈타입폰트 (Open Type Font) 취약점을이용한악성코드유포증가했다. 또, 윈도우 (Windows) 운영체제의정상기능의설계상결함을이용한코드인젝션 (injection) 기법의아톰바밍 (AtomBombing) 은모든버전의윈도우운영체제에영향이있는것으로알려져충격을주었다.
2016 년결산 8 2016 년을집어삼킨보안위협 Top 5 모바일환경에뿌리내린루팅앱 2016년에는안드로이드기반의스마트폰을루팅 (Rooting) 하는악성앱이다수발견되었다. 특히 2016년 7월부터 10월까지 3개월간안랩이수집한루팅악성앱의수는 2016년상반기 6개월대비약 30% 가량증가했다. 2016년상반기에는주로루팅을통해광고행위또는사용자몰래앱을설치하는악성앱유형이주를이뤘고, 하반기에들어서며금융정보탈취를목적으로하는루팅앱도나타났다. 중국에서제작된악성앱들은대부분추가적인앱설치또는광고노출을통한수익을위해루트권한획득을시도하는것으로확인됐다. 루팅을시도하는악성앱들은안드로이드운영체제의취약점을이용해스마트폰의권한을획득한다. 상반기에발견된악성앱갓리스 (Godless) 는안 드로이드운영체제 5.1 버전 (Lollipop) 이하에서루트권한탈취를위해다수의취약점을이용했다. 이처럼안드로이드운영체제의취약점을이용한악성앱이증가함에따라구글은안드로이드보안강화를위해다각도로노력을기울이고있다. 지난 2015년스테이지프라이트 (Stage fright) 취약점이발견된이후매달안드로이드운영체제보안업데이트를제공하는한편, 각스마트폰제조사들의업데이트대응순위를공개하고있다. 또지난해공개된안드로이드운영체제 7.0 버전 (Nougat) 은루팅을통해시스템변조를시도할경우부팅자체를불가능하게했다. 문제는, 스마트폰제조사또는단말기의생산연도에따라보안업데이트가제공되지않는경우가있다는점이다.
9 2017 년전망 2017 년을휩쓸보안위협 Top 5 01 02 03 04 05 랜섬웨어, 돈 모이는곳정조준하나대중화된공격툴을이용한사이버범죄의고도화 가속화고도화된위장술로내부침입및시스템장악시도멈추지않는사회기반시설공격 사이버테러 Internet of Things vs. Threat of Things 10 11 12 13 14 2017 년보안위협대응을위한제언 15~19
10 2017 년을휩쓸보안위협 Top 5 랜섬웨어, 돈 모이는곳정조준하나 2016년한해동안가파른성장세를보였던랜섬웨어 (Ransomware) 는공격자관점에서즉각적으로금전적이득을취할수있는유용한범죄수단으로자리잡았다. 특히기업의경우, 비즈니스중단이나고객정보와같은중요데이터를잃을수있다는부담때문에결국몸값 (ransom) 을지불하는사례가적지않다. 여기에랜섬웨어제작및유포의서비스화 (Ransomware as a Service, RaaS) 등랜섬웨어자체가수요자와공급자가유기적으로활동하는하나의시장을형성하기에이르렀다. 랜섬웨어의위협은올해더욱고도화되고공격범위도확장될전망이다. 금전적이득이목적이라면 돈 이모이는곳으로향하는것이당연지사. 지금까지금전적인피해를야기하는사이버범죄는가짜홈페이지를통해사용자정보를탈취하는피싱과파밍이주도했지만이제랜섬웨어가그중심에있다해도과언이아니다. 특히스피어피싱등과결합한랜섬웨어의경우, 기업간무역거래대금을노린범죄조직이다년간활동중이기때문에각별한주의가요구된다.
11 2017 년을휩쓸보안위협 Top 5 대중화된공격툴을이용한사이버범죄의고도화 가속화 불과몇년전까지만해도사이버공격은전문적인 IT 지식을가진해커또는해킹그룹의전유물로여겨졌다. 그러나최근사이버암시장뿐만아니라일반인터넷상에서도랜섬웨어제작서비스인 RaaS 를비롯해다양한스팸메일발송서비스등을이용할수있어, 전문적인 IT 관련지식이없더라도악성코드를제작하고사이버공격을시도할수있게됐다. 이렇게대중화된사이버공격이더많은범죄에악용될것으로전망된다. 동시에사이버범죄자를특정인또는그룹으로한정지을수없게됨에따라이에대한대응및수사등이더욱어려워질전망이다. 공격자들은스팸메일첨부파일과홈페이지방문시자동으로설치하는드라이브바이다운로드 (Drive-by-download) 공격을지속할뿐아니라소프트웨어보안패치를적용하지않는사용자들이더많다는사실에주목하고소프트웨어보안취약점을악용하는익스플로잇킷을더욱적극적으로활용하는등기존공격기법의업그레이드에주력할것이다. 지속적으로증가하는익스플로잇킷기반의공격에대비하기위해정기적으로웹사이트위 변조여부를확인하고, 특히웹쉘을이용한공격에각별한주의를기울여야한다.
12 2017 년을휩쓸보안위협 Top 5 고도화된위장술로내부침입및시스템장악시도 2010년전후로발생한기업해킹은기업기밀이나기업이보유하고있는개인정보를탈취하기위한목적이대부분이었다. 그러나최근에는단순한정보유출을넘어기업내부인프라를장악하기위한공격으로변화했다. 이를위해특히올해는기업및기관의내부인프라에성공적으로침입하기위해다양한속임수를더한공격기법이등장할것으로보인다. 이런방식으로특정기업의내부시스템장악을장악하면이를공격거점으로삼아해당기업의서비스이용에필요한정상적인프로그램으로위장하여광범위한다수의 PC에악성코드를설치할수있다. 또이렇게감염된 PC와연결된네트워크상의다른시스템을통해또다른기업의내부시스템장악까지시도할수있어이영역에대한공격은여전히지속될것으로보인다. 이러한공격을통해감염된시스템을거점으로기업내부인프라에침입하여내부정보를수집및검색함으로써시스템계정정보를획득한다. 주요계정정보의수집과활용을반복함으로써내부관리시스템운영에관련된권한을탈취하고마침내전체인프라를장악한다.
13 2017 년을휩쓸보안위협 Top 5 멈추지않는사회기반시설공격 사이버테러 2017년에는국내뿐만아니라전세계적으로정치적 경제적이해관계대립이더욱심화될전망이다. 국가간이념적갈등또한깊어져타국의기관과기업을겨냥한사이버테러역시사라지지않을전망이다. 특히사회기반시설공격이성공할경우사회적혼란과공포를야기함으로써자신들의선전효과를극대화할수있으며, 종교적 정치적갈등은쉽게해결되기어렵기때문에사회기반시설공격은앞으로도지속될전망이다. 최근공격의대상 (target) 은기존의다수시민들이이용하는온라인서비스를겨냥하던것에서서비스종류나규모에관계없이거의모든기업과기관으로확대되고있다. 사회기반시설공격등사이버테러의배후는주로테러단체이거나적대적인관계를맺고있는국가로추정된다. 공격동기또한금전적이득보다는종교적 이념적 정치적갈등에서찾을수있다. 대부분의사회기반시설내시스템은외부인터넷에직접적으로연결되지않는망분리환경에서안전하게운영되고있다. 그러나단하나라도인터넷망에연결된시스템이존재하거나인터넷망과내부망을연결하는지점이존재할경우보안위협으로부터완벽하게자유롭다고할수없다. 또불편함등을이유로보안정책을어기는내부직원이있을수있다. 공격자들은이러한취약점을찾아내기위해다양한방법을동원해지속적으로공격을시도하고있다.
14 2017 년을휩쓸보안위협 Top 5 Internet of Things vs. Threat of Things 사물인터넷 (Internet of Things, IoT) 기술의발전과확산은더욱가속화될전망이다. 문제는아직사물인터넷의보안이슈에대한인식이부족해보안에취약한제품의판매가지속될것이라는점이다. 그리고이를노린사물인터넷악성코드또한빠르게증가할것으로예상된다. 실제로지난해미국에서는미라이 (Mirai) 라는악성코드에감염된사물인터넷기기를이용한대규모 DDoS 공격이발생한바있다. 사물인터넷기기는한번판매또는설치되면사후관리가이루어지기어렵고, 대부분수년간초기상태그대로사용된다는특징이있다. 사용자입장에서는사물인터넷기기제조사가제공하는보안패치를적용하는것외에는마땅히방법이없다. 그러나현재대부분의사물인터넷기기제작업체는보안문제를고민할정도의여유 (?) 가없거나기술력이부족한실정이다. 또사용성의측면에서저전력과저비용이핵심인사물인터넷기기의특성상보안강화를위한기능추가나가격을인상하는것은현실적으로어렵다. 따라서빠르게확산되고있는사물인터넷기기와관련된보안위협을방지하기위해서는제조사뿐만아니라보안업체와정부기관의유기적인협력이필요하다. 또다양한국가에서앞다퉈사물인터넷기술과제품개발을서두르고있어개별국가의규제만으로는사물인터넷기기에의한광범위한보안위협을해결하기어렵다. 각국의정부와관련협회, 제조사의전방위적인협업을통해사물인터넷기기에대한최소한의점검체계구축과실질적으로적용가능한보안강화조치가이드마련이시급하다.
15 2017 년보안위협대응을위한제언 2017 년주목해야할보안트렌드 사이버암시장에는악성코드제작및유포서비스가자리잡았고, 이를기반으로새로운범죄생태계가조성되고있다. 이제이생태계는경제원칙에따라더욱다양한악성코드를생산해낼것이고, 왕성한활동을통해영역확장에나설것이다. 또한자본주의적상호경쟁의시장논리에따라차별화된악성코드제작및유포서비스를위한투자와노력이계속될것이며, 이로써올해보안위협은더욱고도화될전망이다. 이와함께기업과기관의보안에대한접근방식에도변화의조짐이엿보인다. 보안이슈나필요에따라도입했던보안솔루션들의정보를하나로통합수집및관리하기위한요구가발생할것으로전망된다. 보안업체는수집된정보를효과적으로처리하고최신위협에대응하기위해자동화, 머신러닝등다양한기술의접목을시도할것으로보인다.
16 2017 년보안위협대응을위한제언 Trend 1. 보안영역의중심에등장한머신러닝 다양하고방대한데이터를분석하기위한새로운기술연구속에서등장한데이터마이닝, 머신러닝등의기술이보안영역에서도새롭게자리잡는한해가될것으로보인다. 나날이복잡다단해지는보안위협에대응하기위해다수의보안솔루션이도입되었지만, 이들을관리하는인력에는양적으로, 또질적으로한계가있기마련이다. 사람의지식으로축적된것을기술로풀어내는과정을통해그간인력기반으로해결하려던보안의영역을기술기반으로대체하는다양한시도가진행될것이다. 이를통해전통적인보안체계에서는무의미한것으로간주되거나간과되었던부분에서새롭게유의미한정보를발견하는사례도나타날것이다. 머신러닝등새로운기술과의접목을통해전문적인지식을가진분석가못지않은결과물을산출할것이고, 동시에이를통해절감된리소스는새로운분야또는비즈니스에투입되는선순환구조를형성할것이다.
17 2017 년보안위협대응을위한제언 Trend 2. 보안영역의세분화와통합된관리및대응에대한요구 사물인터넷 (IoT) 과클라우드로대변되는 IT 변화의시대를맞아다양한플랫폼과서비스에따른세분화된보안요구가증가할것이다. 다양한연구결과와직접적인체험을통해어느정도최신기술에대한이해를마련한기업들은각산업분야에맞는기술과서비스를업무에적용해나가고있다. 이과정에서당연히보안이라는요소에대한검토가동반되어야할것이며, 각각의환경에적합한보안기술과솔루션을선택해나가는한해가될것이다. 특히각각세분화되어있는보안의영역을전체적으로관리및모니터링하며이를토대로실질적이고효과적인대응을수행할수있는통합보안에대한요구가구체화될전망이다. 특히위협정보의시각화가필수적이며발견된문제점을해결하기위한실질적인대응이보안의주요한항목으로자리할전망이다.
18 2017 년보안위협대응을위한제언 Trend 3. 공격도구의대중화, 악인 의구분이모호한시대 불과몇년전까지만해도사이버공격은전문적인 IT 지식을가진해커또는해킹그룹의전유물로여겨졌다. 그러나최근사이버암시장뿐만아니라일반인터넷상에서도스팸메일발송서비스를비롯해랜섬웨어제작서비스인 RaaS(Ransomware as a Service) 등을어렵지않게구할수있어전문적인 IT 지식이없는사람도사이버공격을시도할수있게됐다. 여기에주요응용프로그램의보안취약점을이용하는익스플로잇킷 (Exploit Kit) 을다방면으로활용하는공격기법이업그레이드되면서사이버공격이더많은범죄에악용될가능성을높이고있다. 악성코드제작및유포대행서비스로인한사이버공격의대중화로인해공격자를더이상특정인또는특정그룹으로한정지을수없게됐다. 즉, 사이버공격대응은물론공격주체에대한수사에많은어려움을겪게될전망이다. 따라서보안취약점을이용한사이버공격에노출되는범위를최소화하기위해서는보안패치의중요성에대한사용자인식제고가요구된다. 기업및기관의경우, 임직원들의보안패치적용을강제하고관리하기위한방안마련이나솔루션도입에대한투자를고려할필요가있다.
19 2017 년보안위협대응을위한제언 결론 : 결국, 모든것은 사람 으로귀결된다 최근국내외에서발생하고있는해킹사고의대부분은조직내특정개인이나그룹을표적으로삼아공격을수행하고최종목적을달성하는타깃공격의형태를띄고있다. 공격기법또한특정인또는그룹에게만이메일을보내첨부파일을실행하도록유도하는스피어피싱 (Spear Phishing) 이나특정인이주로이용하는웹사이트를해킹하여악성코드를유포하는워터링홀 (Watering Hole) 공격등이주를이룬다. 일련의최신해킹사례에서주목해야할점은표적공격도결국 악성코드 유입에서출발하며, 제대로관리되지않은 PC나서버가교두보역할을한다는점이다. 보안위협을사전에차단하기위해다양한솔루션을구축하거나전문화된서비스를이용하는것도필요하지만, 이보다더중요한것은이를어떻게활용하고운영하는가이다. 솔루션도입만으로충분하다고성급하게판단하는보안관리자나책임자뿐만아니라 나하나쯤은괜찮겠지 라는안일한사용자의보안인식으로인해보안침해사고는지속적으로발생할수밖에없다. 결국모든것의시작과끝에는사람이있다. 2017 년에는각솔루션과서비스체계에대한점검및효과적인운용을위한노력과더불어변함없는보안의취약점인 사람 에대한교육과관리등구체적인노력이요구된다. 조직내일반사용자부터보안관리자, 기업책임자까지, 사람에의한보안문제를최소화하기위한노력이지속적으로이뤄져야한다.
보안위협동향 2016 년결산 2017 년전망 2016 REVIEWS & 2017 PREDICTIONS 발행처 주식회사안랩 집 편 필 집 안랩시큐리티대응센터 (ASEC) ASEC 대응팀 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 T. 031-722-8000 F. 031-722-8901 2017 AhnLab, Inc. All rights reserved. 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. AhnLab.com ASEC Blog 보안정보 Facebook
보안위협동향 2016 년결산 2017 년전망 2016 REVIEWS & 2017 PREDICTIONS