잉카인터넷, 2014년 보안동향 예측 발표

잉카인터넷 ISARC 대응팀은 2013년 발생한 각종 주요 보안 이슈와 사례를 종합 분석하여 2014년 발생 가능한 보안위협 예측자료를 다음과 같이 발표한다. 2013년은 2012년과 비슷한 양상의 보안 위협들이 다수 발생하였다. 특히, 3.20과 6.25 등 북한의 사이버전으로 규정된 공격이 연이어 발생하여 심각한 보안위협으로 대두되었다. 그외 사이버범죄는 고도화되고 지능적인 양상을 보였다.

이번 보안 동향은 잉카인터넷 ISARC 대응팀을 통해 2013년 등장하였던 대표적인 보안 위협들을 되짚어보고, 2014년에 출현 가능한 위협 요소들을 예측하여 사전에 대처할 수 있는 기초 자료로 활용하는데 그 취지가 있으며, 각 계 보안 의식 제고에 대한 공감대 형성을 이루는데 그 주 목적이 있다.

2013년 국내에서 발생한 주요 보안위협은 정도의 차이가 있을 뿐 예년과 거의 유사한 양상을 보였다. 다만, 금융사와 언론사를 공격한 3.20 사이버테러와 청와대 등 국가기관과 언론사 등을 공격한 6.25 사이버전이 연이어 발생하면서 북한의 사이버공격이 갈수록 과감해지고 있다는 것을 보여주었다. 그외 ▶Drive By Download 수법으로 온라인 게임계정 탈취 목적의 악성파일과 인터넷 뱅킹 이용자를 노린 파밍기반의 사이버범죄형 악성파일이 부쩍 기승을 부렸다. 실제 계좌 예금탈취 사고 등이 다수 보고된 바 있다. ▶안드로이드 스마트폰 이용자를 노린 스미싱을 통해서 소액결제사기와 스마트뱅킹용 악성파일도 급증하였다. ▶표적공격 형태를 지칭하는 지능형지속위협(APT)이 본격적으로 가시화 되었고, HWP, CELL 등의 한컴오피스 취약점을 이용한 한국 맞춤형 문서파일 표적공격이 기승을 부렸다. ▶사회공학기법을 이용하거나 Zero-Day 취약점을 이용한 공격은 공통분모로 꾸준히 사용되고 있다.

■ 잉카인터넷 ISARC 대응팀 2014년 보안 위협 전망

01. 북한의 사이버공격 정교화와 가속화

2013년은 한국의 보안위협 기록 역사상 최초로 "사이버전"이라는 표현이 실제로 이용되었다. 과거 북한의 공식적인 사이버테러 기록으로는 2009년 7.7 DDoS 대란이 대표적이고, 그 이후에도 여러차례 발생한 바 있다. 특히, 2013년은 3.20과 6.25 등 그 위험수위가 점차 높아졌고, 공격수법과 파괴범위도 꾸준히 증가하고 있는 추세이다. 2014년 북한의 사이버공격은 갈수록 노골적이며, 과감해 질 것으로 예측된다. 특히, 은밀하게 활동하는 인터넷 기반의 정찰 및 침투활동을 극대화할 것이고, 국가기관 및 주요 산업시설 등을 상대로 정교하고 지능화된 정보수집 활동을 펼칠 것으로 전망된다.

02. 전자금융사기와 사이버범죄의 산업화

2012년 말부터 2013년 상반기 까지는 안드로이드 스마트폰 이용자를 대상으로 한 문자사기 이른바 스미싱이 급격한 사회문제로 대두되었다. 한국의 스마트폰 소액결제시스템의 허점을 교묘하게 파고들어 안드로이드 악성앱(APK)이 이용자 단말기에 설치되게 한 후 승인문자를 갈취하여 불법적으로 소액결제를 이용한 범죄수법이다. 피해자에 따라 최대 30만원 상당의 스마트폰 요금이 과금되어 여러가지 부작용이 발생하였다. 그외에 인터넷 뱅킹용 악성파일(KRBanker)이 Drive By Download 방식으로 보안취약점이 존재하는 불특정다수의 이용자에게 감염되어 hosts 파일을 변조하거나 메모리 코드를 변조하는 등의 수법으로 발전하여 많은 피해를 발생시켰다. 2014년은 인터넷 뱅킹을 노린 사이버범죄와 더불어 스마트 뱅킹용 안드로이드 악성앱이 기술적으로 발전하고 유포범위도 넓어질 것으로 예상된다. 따라서 이용자들은 물리적 보안카드 번호를 모두 입력하지 않도록 하고, 과도하게 요구하는 금융정보에는 절대로 응하지 않도록 유념해야 한다.

03. 대표적 3대 보안취약점 DBD 공격의 지속화

약 2005년 경부터 국내 온라인 게임 이용자들의 계정과 아이템을 탈취하여 금전적 이득을 취하기 위한 악성파일이 기승을 부리고 있다. 이는 국내 유수의 웹 사이트를 대상으로 각종 취약점 자동화 공격도구를 통해 해킹한 후 다양한 Exploit Code 등을 삽입한다. 이른바 Drive By Download (다운로드에 의한 구동) 방식으로 국내의 보안이 취약한 이용자들이 꾸준히 악성파일에 노출되고 있다. 보통 공격자들은 많은 사람들이 이용 중인 ⓐ Microsoft OS 및 Application ⓑ Adobe 사의 Flash Player 와 PDF Reader ⓒ Oracle 사의 JAVA 등, 상기 3대 대표 프로그램들의 취약점을 집중공략 하고 있다. 2014년은 사이버 범죄자들이 더 많은 금전적 이득을 얻기 위해 Drive By Download 공격에 활용할 수 있는 다양한 공격기법과 Zero-Day 취약점에 활용할 수 있는 각종 해킹산업 투자에 집중할 것으로 전망된다. 따라서 이용자들은 최신 보안업데이트를 소홀히 하지 않도록 많은 관심과 기본적인 보안수칙을 잊지 않도록 하여야 한다.

04. 문서형 악성파일의 은밀한 표적공격의 고도화

지능적 한국 맞춤형 공격에 활용되고 있는 HWP 악성파일 등 각종 문서파일의 취약점 공격이 두드러질 것으로 예상된다. 보안이 취약한 불특정 다수의 웹 사이트 접속자를 노린 Drive By Download 방식과는 다르게 국지적 대상 또는 특정 요인에 대한 표적공격으로 활용도가 높은 상태이기 때문에 2014년은 한컴오피스 문서파일 취약점 공격이 여전히 증가추세를 보일 것으로 예상된다. 따라서 해당 프로그램 이용자들은 반드시 최신 보안업데이트를 설치하여 만일에 하나 발생할 수 있는 보안위협에 노출되지 않도록 노력을 하여야 하고, 이메일 등으로 수신되는 의심스러운 파일을 열람하지 않도록 하여야 한다.

05. 신종 모바일 사이버범죄 등장과 다각화

스미싱 등을 통해서 전파된 안드로이드 기반의 악성파일을 통해서 한국내 스마트폰 이용자를 겨냥한 모바일 결제 및 전자금융 범죄가 더욱 더 기승을 부릴 것으로 전망되며, 다양한 수법의 변칙적 모바일 보안위협이 현실화 될 것으로 보여진다. 휴대폰 소액결제사기와 더불어 모바일 스마트뱅킹 사기, 유명 게임앱이나 모바일 메신저 등을 상대로 한 개인정보 탈취 및 해킹, 모바일 피싱사기, 사생활 침해를 통한 협박 범죄 등이 새로운 유형으로 발전하고 신종범죄로 출현할 수 있다. 따라서 안드로이드 스마트폰 이용자들은 문자메시지로 수신되는 URL 주소를 함부로 클릭하지 않도록 하고, 무료로 배포 중인 "뭐야 이 문자" 등 스미싱 원천 차단 솔루션을 설치하여 사전에 방어하는 노력이 필요하며, 보안카드 번호는 절대로 모두 입력하지 않아야 한다.

06. 좀비 스마트폰 사이버테러에 본격화

그동안 스마트폰의 보안위협은 대체로 사이버범죄 형태를 띄고 있었고, 전형적인 금전 수익형 범죄기반 모델이었다. 그러나 일반 해커가 아닌 사이버테러 성향의 집단에서 안드로이드 악성앱을 통해 얼마든지 단말기를 조작할 수 있기 때문에 주의와 대비가 필요하다. 문자 메시지 탈취 및 주소록 탈취, 위치추적, 원격제어, 단말기 파괴 등이 가능하다는 학습을 마친 상태이기 때문에 언제든지 공격수법을 변화시킬 수 있다. 따라서 사이버범죄 단계에서 사이버테러 수준으로 공격방향이 발전될 수 있고, 동시다발적으로 안드로이드 스마트폰이 먹통이 되거나 과도한 트래픽 발생으로 이동통신사의 기지국 등에 예기치 못한 부작용 등의 위협 시나리오 예측이 가능하다. 또는 안드로이드 단말기를 통한 무선 DDoS 공격 출현과 다량의 문자메시지 발송을 통한 과금 및 트래픽 공격도 발생할 수 있다.

07. 변칙적 광고성 프로그램의 증가와 복잡화

마치 정상적인 프로그램처럼 둔갑하여 각종 포털사이트 및 블로그를 통해서 변칙적으로 광고 프로그램(Adware)를 배포하는 비정상적 인터넷 마케팅이 꾸준히 증가할 것으로 보여진다. 이용자들은 가급적 신뢰할 수 있는 유명 공식 자료실이나 프로그램 개발사 등의 웹 사이트에서 설치프로그램을 받아서 사용하여야 한다. 이러한 Adware 프로그램 중에는 자체적인 버그나 과도하게 결제를 요구하는 창을 수시로 띄어 이용자에게 큰 불편을 끼치는 경우가 많다. 또한, 악성파일 제작자들이 해당 광고서버를 해킹하여 Adware 프로그램과 함께 또 다른 악성파일을 복합적으로 배포하는 사례가 있기 때문에 각별한 주의가 필요하다.

08. 업데이트 프로그램 변조를 통한 악성파일 지능화

과거 7.7 DDoS 공격부터 최근 6.26 사이버전까지 정상적인 소프트웨어의 업데이트 모듈을 바꿔치기하는 치밀한 공격수법이 다양한 방식으로 이용된 바 있다. 웹하드 서비스의 프로그램을 변조하여 악성파일을 배포한다거나 특정 기업내부에서 사용하는 보안솔루션의 업데이트 프로그램을 통해서 악성파일을 배포한 바 있다. 이런 방식은 일반적인 웹 기반 모니터링 과정으로는 쉽게 이상징후를 포착하기 어렵기 때문에 교묘한 악성파일 유포에 활용될 수 있다. PC 기반의 프로그램 뿐만 아니라 안드로이드 등 모바일 프로그램의 업데이트를 통해서도 언제든지 악성파일이 유입될 수 있기 때문에 2014년에도 다각적인 보안위협으로 시도될 가능성이 높아 보인다.