2017 년보안위협동향 기억해야할 2017 년보안위협 Top 랜섬웨어패러다임의변화 : 규모, 감염경로, 세대교체정상적인경로를이용한대범함, 공급망공격 돈이되는것을노린다? 돈 자체를노리다! 익스플로잇킷의숨고르기, 취약점공격은다변화모바일위협의고

CONTENTS 2017 년보안위협동향 기억해야할 2017 년보안위협 Top 5 2018 년보안위협전망 2018 년주목해야할보안위협변화 Top 5

2017 년보안위협동향 기억해야할 2017 년보안위협 Top 5 01 02 03 04 05 랜섬웨어패러다임의변화 : 규모, 감염경로, 세대교체정상적인경로를이용한대범함, 공급망공격 돈이되는것을노린다? 돈 자체를노리다! 익스플로잇킷의숨고르기, 취약점공격은다변화모바일위협의고도화 가속화 : 스미싱과사칭앱 4 5 6 7 8

2017 년보안위협동향기억해야할 2017 년보안위협 Top 5 01 랜섬웨어패러다임의변화 : 규모, 감염경로, 세대교체 국내외를막론하고 2017 년보안의화두는단연랜섬웨어였다. 2017 년랜섬웨어공격의특징 을꼽으라면 광범위한피해규모 감염경로의변화 활동중단및신종등장등으로요약 할수있다. 피해규모면에서그야말로 역대급 랜섬웨어가등장했다. 전세계 150여개국 30만대이상의시스템을감염시킨워너크라이 ( 일명워너크립터 ) 부터유럽 15개국으로확산된배드래빗 ( 일명디스크코더 ) 까지, 이제랜섬웨어는지역이나기업또는기관을넘어동시다발적으로광범위한피해를양산하고있다. 국내에서악명을떨친랜섬웨어로는관공서를타깃으로유포된비너스락커 (VenusLocker) 가있다. 또국내유명호스팅업체의리눅스서버를감염시킨에레버스 ( 또는에레보스, Erebus) 는 3천여개사이트를마비시키는등사회적충격을안겨주었다. 감염경로면에서는웹응용프로그램의취약점을이용한감염은감소한반면이메일을통한감염이폭발적으로증가했다. 록키 (Locky) 랜섬웨어가대표적이다. 전례가없던방법으로유포된랜섬웨어도등장했다. 윈도우시스템자체의취약점을이용한워너크라이와페트야 (Petya) 랜섬웨어가그것이다. 이전까지찾아보기힘든유포방법이었을뿐만아니라단순히금전을목적으로한것이아닌시스템자체를손상시키는목적으로제작된것으로밝혀져충격을주었다. 시스템파괴를목적으로한랜섬웨어의등장또한또다른패러다임의변화로볼수있다. 2017 년초부터국내외를막론하고가장많은감염을야기했던케르베르 (Cerber) 랜섬웨어가 9 월말이후자취를감추었다. 그러나케르베르의공백을메우기라도하려는듯메그니베르 (Magniber) 랜섬웨어가나타났다. 이랜섬웨어는한글윈도우에서만실행되는것이특징이다. 4

2017 년보안위협동향기억해야할 2017 년보안위협 Top 5 02 정상적인경로를이용한대범함, 공급망공격 2017 년에는공급망을이용한, 이른바 공급망공격 (Supply Chain Attack) 이지속적으로등장했다. 공급망공격이란기업또는기관에서사용하는솔루션의공급망을해킹해악성코드를유입시키는공격이다. 주로공격자가정상프로그램의업데이트서버를해킹해악성코드를삽입, 통상적인프로그램업데이트과정에서악성코드에감염되게하거나프로그램개발업체를해킹해소스코드빌드 배포등프로그램제작단계에악성코드를삽입한다. 기업이나기관이외부에서유입되는파일에대해서는경계하지만, 내부에서기존에사용하고있는프로그램과관련된파일에대해서는상대적으로느슨하게관리한다는점을노린것이다. 소프트웨어제조사를통한공격외에도유지보수업체등관련업체를통한공격또한넓은의미에서공급망공격에포함된다. 지난해페트야랜섬웨어도우크라이나세무회계소프트웨어를통해유포되었다. 국내에서는유명네트워크관리프로그램과시스템최적화프로그램인씨클리너 (CCleaner) 를이용한사례가대표적인데, 이들사례모두프로그램제작단계에서악성코드가삽입되었다. 이밖에도맥운영체제 (macos) 를노린악성코드가핸드브레이크 (HandBrake) 나엘티마플레이어 (Eltima Player) 등동영상변환프로그램에삽입돼이들프로그램의공식홈페이지를통해배포되기도했다. 5

2017 년보안위협동향기억해야할 2017 년보안위협 Top 5 03 돈이되는것을노린다? 돈 자체를노리다! 2017 년한해동안비트코인 (Bitcoin, BTC) 을비롯해이더리움 (Ethereum), 모네로 (Monero, XMR) 등가상화폐 (Virtual Currency, 또는암호화폐 Crypto Currency) 시장이뜨겁게달아올랐다. 2017 년 1월초 1BTC 당 1백만원대였던비트코인은 11월말기준, 9백만원대를돌파했다. 비트코인과이더리움과같이주요가상화폐는대개컴퓨터시스템에서 채굴 (mining) 을통해획득할수있다. 가상화폐의금전적가치가급상승함에따라최근몰래다른사람의 PC를이용하여가상화폐를채굴하는 채굴 ( 마이너, miner) 악성코드 가다수발견되고있다. 윈도우업데이트파일로위장하거나압축파일형태로정상파일과함께유포되는등유포방식또한다양하다. 또한윈도우시스템뿐만아니라리눅스서버시스템에서동작하는채굴악성코드도발견됐다. 가상화폐시장규모가커지면서국내외가상화폐거래소를직접적으로공격하는사건도잇따 라발생하고있다. 가상화폐거래소를노린공격은 가상화폐탈취 거래소회원계정정보 탈취 거래소사이트에대한 DDoS 공격등으로요약할수있다. 6

2017 년보안위협동향기억해야할 2017 년보안위협 Top 5 04 익스플로잇킷의숨고르기, 취약점공격은다변화 2016년까지만해도대부분의보안위협은 웹 을통한공격에서시작됐다. 그중심에는다양한익스플로잇킷 (Exploit Kit, 이하 EK) 이존재했다. 그러나 2017 년들어익스플로잇킷의활동이축소되면서웹기반공격의존재감이상대적으로약해진분위기다. 또한 2017 년에는특정취약점이독식하기보다는새롭게알려진다양한유형의취약점이골고루활용되는양상을보였다. 국내에서는정치적 사회적이슈와맞물린취약점공격이빈번했다. 지난해초중국과의정치적관계가악화되었을당시아파치스트러츠 (Apache Struts2) 취약점 (CVE-2017-5638) 을이용한중국발공격이발생했다. 또 2017 년확인된다수의 MS오피스문서프로그램취약점 (CVE- 2017-0199, CVE-2017-8759, CVE-2017-8570, CVE-2017-11826) 은북한핵, 평창동계올림픽등의이슈를이용한표적형공격및랜섬웨어유포에활용되었다. MS오피스신규취약점중 CVE-2017-0199 취약점은러시아정부기관을노린표적형공격인핀스파이 (FINSPY) 악성코드유포사건과 2017 년을대표하는랜섬웨어라할수있는워너크라이의유포경로와밀접한관련이있는것으로알려졌다. 한편, 워너크라이랜섬웨어와함께일명 이터널블루 (EternalBlue) 라는이름의취약점 (CVE- 2017-0144) 이유명세를탔다. 윈도우운영체제의 SMB( 공유폴더 ) 취약점으로, 시스템에유입된랜섬웨어가이취약점을통해전파돼내부시스템을추가로감염시키는방식이라는점에서크게주목받았다. 해당취약점은해킹그룹 섀도우브로커 (Shadow Brokers) 가공개한다수의취약점공격툴에포함되어있었다. 7

2017 년보안위협동향기억해야할 2017 년보안위협 Top 5 05 모바일위협의고도화 가속화 : 스미싱과사칭앱 대출등사회공학기법을이용해공격대상과전화통화를진행하며악성앱을설치하도록유도 했다. 이렇게설치된악성앱은스마트폰에저장된민감한개인정보를유출하고전화및문자 메시지의수 발신을차단하는등의악의적인행위를수행한다. 이밖에도스마트폰전화번호부에있는사람들에게문자메시지를전송해응답이있으면금전 결제를요청하는내용의문자메시지를재발송하는유형의스미싱피해사례가보고되었다. 또한, 구글공식앱스토어인구글플레이 (Google Play) 에유명앱으로위장한 사칭앱 이지속적으로나타나고있다. 이들사칭앱은잘알려진공식앱의아이콘과매우유사한아이콘으로위장하고앱이름에특수문자를살짝추가하거나라벨을변경해사용자를속여설치를유도한다. 이러한사칭앱은설치전에개발자정보를꼼꼼히확인하면피해를예방할수있다. 8

2018 년보안위협전망 2018 년주목해야할보안위협변화 Top 5 01 02 03 04 05 사이버범죄의서비스화 : 플랫폼기반의보안위협맞춤생산타깃공격의새로운트렌드 공급망공격 의증가문서파일을이용한공격의고도화와파일리스공격공격대상플랫폼 디바이스의다변화모바일악성코드유포경로의다양화 10 11 12 13 14

2018 년보안위협전망 2018 년주목해야할보안위협변화 Top 5 01 사이버범죄의서비스화 : 플랫폼기반의보안위협맞춤생산 랜섬웨어위협이본격화된것이 2016년이라면, 2017 년은랜섬웨어가극적으로변화한해라할수있다. 연초부터전세계에걸쳐대규모피해를야기한랜섬웨어가등장한것은물론수많은변종이과거와는비교할수없는속도로연달아나타났다. 이러한극적변화의가장큰동력은랜섬웨어제작및유포서비스 (Ransomware-as-a-Service, 이하 RaaS) 이다. RaaS가사이버암시장에안정적으로자리잡으면서전문적인 IT 지식없이도비교적쉽게랜섬웨어공격을할수있게됐으며, 하루가멀다하고신 변종랜섬웨어가쏟아져나오는실정이다. RaaS의성공으로 (?) 이제 RaaS를넘어 사이버범죄의서비스화 (Crime-as-a-Service, 이하 CaaS) 가현실화되고있다. CaaS의가장큰특징은사이버범죄조직이마치기업과같이개발, 판매, 유통, 그리고마케팅까지세분화된형태를갖추고있다는것으로, 사이버범죄의대중화를가져올플랫폼이라해도과언이아니다. 2018년에는이러한기업형사이버범죄조직의증가로, CaaS가활성화 본격화되면서신 변종랜섬웨어뿐만아니라보안이취약한가상화폐 ( 암호화폐 ) 거래소공격등금전을노린공격이더욱증가할것으로보인다. 10

2018 년보안위협전망 2018 년주목해야할보안위협변화 Top 5 02 타깃공격의새로운트렌드 공급망공격 의증가 지난해여러차례성공한바있는공급망공격 (Supply Chain Attack) 이 2018 년에도계속될전 망이다. 공급망공격은기업이나기관에서사용하는제품또는서비스의공급과정에악성코드 를유입시키는방식이다. 대부분의기업및기관이이메일이나웹사이트등외부에서유입되는파일에대해서는민감하게대응하지만기존에사용하고있던프로그램및관련파일에대해서는신뢰하기쉽다는점을노린것이다. 공격자입장에서는다양한보안체계를갖추고있는기업이나기관을직접공격하는것보다공격대상이신뢰하는대상을이용하는우회적인방법이더수월할수있다. 게다가이를통해공격대상의내부로침입해네트워크상의시스템까지장악할수도있기때문에더큰효과를얻을수있다. 따라서프로그램제조사및서비스제공업체의악성코드감염예방노력이그어느때보다중 요하다. 기업및기관에서도내부에서사용중인프로그램또는서비스에대해지속적으로검 증하고관리하는노력이필요하다. 11

2018 년보안위협전망 2018 년주목해야할보안위협변화 Top 5 03 문서파일을이용한공격의고도화와파일리스공격 수년전부터.exe와같은실행 (PE) 파일형태의악성코드외에워드, 엑셀등 MS 오피스문서나한글파일과같은비실행 (non-pe) 파일을이용한악성코드가지속적으로늘어나고있다. 백신등보안솔루션의탐지를피하기위한공격자들의노력이다. 비실행파일을이용한공격은올해더욱고도화될것으로전망된다. 지금까지는주로악성비주얼베이직 (Visual Basic) 매크로코드를삽입한형태였던반면, 최근 XML 내코드실행, DDE 기능또는문서내개체삽입등을이용해악성코드를실행하는방식이늘어나고있다. 최종적으로악성행위를수행하는파일또한기존과같이시스템에존재하는형태보다는프로세스메모리에인젝션되어동작하는파일리스 (Fileless) 방식이증가할것으로예상된다. 12

2018 년보안위협전망 2018 년주목해야할보안위협변화 Top 5 04 공격대상플랫폼 디바이스의다변화 최신보안위협동향에민감한보안관계자라면더이상리눅스 (Linux) 를안전한운영체제라고말하지않을것이다. 여전히윈도우에비해상대적으로악성코드위협이적은운영체제라고할수있지만, 이또한지금까지의얘기일뿐이다. 리눅스시스템에서동작하는악성코드의숫자뿐만아니라종류도증가하고있기때문이다. 지난해국내웹호스팅업체와대형 IDC 업체의리눅스서버가랜섬웨어에감염돼대규모피해를입은바있다. 또최근에는리눅스시스템에서가상화폐를채굴하는악성코드까지등장했다. 안랩시큐리티대응센터가 2017 년 1월부터 11월말까지국내에서탐지한리눅스악성코드는 327 개에달한다. 리눅스와마찬가지로한때안전하다고여겨졌던맥OS(macOS) 를노리는악성코드도지속적으로증가하고있다. 2018년에는윈도우뿐만아니라리눅스, 맥OS, 그리고안드로이드운영체제를노리는악성코드가지속적으로증가할전망이다. 이는곧리눅스나안드로이드운영체제를사용하는스마트디바이스, IoT 기기또한보안위협에노출될수있다는의미다. 지난해안랩시큐리티대응센터가탐지한리눅스악성코드중하나인미라이 (Linux/Mirai) 악성코드는대표적인 IoT 기기관련악성코드다. 웨어러블디바이스등대부분의 IoT 기기는상대적으로보안이취약하고관리가잘이루어지 지않는다. 모바일기기뿐만아니라인터넷연결이가능한웨어러블디바이스, 가정용 IoT 기기 등의보안위협대응방안을모색해야하는시점이다. 13

2018 년보안위협전망 2018 년주목해야할보안위협변화 Top 5 05 모바일악성코드유포경로의다양화 2018 년에는모바일악성코드유포경로가더욱다각화될것으로전망된다. 나날이증가하는 모바일악성코드에의한피해를최소화하기위한기업및기관의노력으로최근스마트폰사용 자의보안인식등이강화되고있다. 이에따라공격자들은모바일환경에침입하기위한다양한공격방식을꾸준히개발하고있 다. 특히최근에는주요공식마켓에악성앱을등록하기위해 OS 제공업체의보안검사기법 을우회하는방식도지속적으로등장하고있다. 이러한추세는 2018 년에도이어져스미싱, 악성이메일, 유명앱사칭등기존방식과더불어 안드로이드공식앱마켓에악성코드를포함한앱을직접등록하는등다양한방식으로모바일 악성코드를유포하는경로를확대할것으로보인다. 14

발행처 주식회사 안랩 집 필 안랩 시큐리티대응센터(ASEC) ASEC대응팀 편 집 안랩 콘텐츠기획팀 경기도 성남시 분당구 판교역로 220 T. 031-722-8000 F. 031-722-8901 2018 AhnLab, Inc. All rights reserved. 본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다. AhnLab.com ASEC Blog 보안정보 Facebook