月刊 아이러브PC방 1월호(통권 350호)에 게재된 기사입니다.

지난 2019년에는 가상화폐의 몰락으로 채굴 악성코드의 공격은 줄었지만, 더욱 교묘해진 랜섬웨어와 취약점 공격이 다시금 활발해지면서 여전히 PC방을 위협했다. 그렇다면 2020년 새해에는 어떤 악성 공격이 유행할까?

이에 대한 해답으로 한국인터넷진흥원(KISA)은 국내 보안 업체 6곳(안랩, 이스트시큐리티, NSHC, 하우리, 잉카인터넷, 빛스캔)과 함께하는 ‘사이버위협 인텔리전스 네트워크’를 통해 지난 2019년 보안 위협 사례를 분석해 올해 예상되는 7가지 사이버 공격 유형을 정리한 ‘2020년 7대 사이버 공격 전망’을 발표했다.

일상 속으로 파고든 보안 취약점, 보이지 않는 위협 [KISA]
KISA는 지능형 CCTV, AI 스피커 등을 노리는 사이버 위협의 증가와 더불어 2019년 상반기에 발견된 윈도우 RDP 취약점(블루킵, CVE-2019-0708)을 겨냥한 제2의 워너크라이가 등장할 우려가 있다고 전망했다. 2019년 5월을 기준으로 RDP 취약점 미패치 장비는 약 100만 대 정도로 집계됐다. 또한, 2020년 1월 14일에 MS 윈도우 7 및 서버 2008에 대한 보안 업데이트 지원이 중단됨에 따라 국내 PC의 25% 정도(9월 기준)가 해커의 표적이 될 것이라고 예상했는데, 지난 2017년 워너크라이 사태 발생 당시 지원이 중단된 윈도우 XP가 표적이었던 만큼 유사한 공격이 재개될 가능성은 충분하다.

랜섬웨어, 개인에서 공공기관·기업으로 피해 확대 [안랩]
안랩은 2020년에도 랜섬웨어가 기승을 부릴 것이라며, 개인 PC 대상의 무차별 공격 대신 공공기관 및 기업을 대상으로 하는 APT(지능형 지속위협)와 결합한 변종 랜섬웨어 공격이 주를 이룰 것으로 예상했다. 특히 APT 변종 공격은 기업 내부망까지 랜섬웨어에 감염시킴으로써 피해를 확대시키고, 높은 금액의 복구비용을 요구할 것으로 보이는데, NAS 장비 내 데이터가 암호화된 피해 사례가 국내에서도 보고된 바 있고, NAS 장비를 노리는 새로운 랜섬웨어 이코랙스(eCh0raix)가 발견된 만큼 백업만으로는 안심할 수 없으며 데이터 및 장비의 보안에 대한 사용자들의 관심과 주의가 더욱더 필요하다고 강조했다.

취약한 가상통화 거래소, 반복되는 해킹 사고 [잉카인터넷]
잉카인터넷은 최근 3년간 해킹 사고로 1,200억 원이 넘는 경제적 피해를 입은 국내 가상통화 거래소의 사례를 예로 들며, 공격자가 거래소 시스템을 직접 공격할 뿐만 아니라 거래소 사용자들까지 노리고 있다고 경고했다. 공격자는 주로 거래소를 사칭해 가상통화 투자계약서나 지갑 프로그램으로 위장한 악성코드를 유포하고 있으며, 거래소 사용자들이 이에 감염될 경우 가상통화 탈취는 물론 사용자 PC가 가상통화 채굴에 악용될 수도 있다. 이런 공격은 사용자들이 피해를 눈치채기 힘들기 때문에 앞으로도 다양한 타깃을 대상으로 꾸준히 유포될 것으로 예상되고 있다.

문자 메시지, 이메일 안으로 숨어드는 악성코드 [하우리]
하우리는 컴퓨터를 넘어 스마트폰까지 노리는 APT 공격에 대해 경고했다. 이들은 문자 메시지나 이메일 속 링크를 이용함은 물론, 사진뷰어나 모바일 메신저를 사칭해 악성 앱 설치를 유도하고 표적 공격에 악용한다. 공개된 플랫폼이 아니라 링크로 공유되는 만큼 악성코드 유포 과정에서의 탐지가 매우 어렵기 때문에 주의를 기울여야 한다. 또한, IoT 기기의 보급 확산에 따라 급증하는 IoT 봇넷을 통한 대규모 DDoS 공격 가능성도 시사했다. 아울러 S/W 개발사들이 공인된 인증기관을 통해 발급받은 코드서명 인증서가 역으로 악성코드 유포 및 감염에 악용되는 사례도 경고했다. 백신 프로그램의 탐지를 회피하기 위한 인증서 악용 사례는 보안이 취약한 개발사를 노리기 때문에 앞으로도 증가할 것이라는 견해다.

은밀하고 정교하게 진화하는 APT 공격 [이스트시큐리티]
이스트시큐리티는 APT 공격에 사용되는 스피어 피싱이 날로 정교해지고 있다고 진단했다. 주로 견적서나 보도자료 등 정상 문서 파일을 위·변조해 구별하기가 어려운 스피어 피싱은 자체 제작 해킹 도구를 이용했던 기존과 달리 기업에서 일반적으로 활용하는 정상 서비스 등을 악용함으로써 탐지를 우회하려는 시도가 늘어나고 있다고 한다. 구글 드라이브나 드롭박스, 슬랙과 같은 상용 서비스를 활용해 악성코드와 통신하는 사례 외에도 공격자들이 국내외 웹 서버를 해킹하거나 호스팅 서비스를 받아 이메일 서버를 자체 구축해 발신지를 실제 공식 도메인처럼 조작하는 스피어 피싱 위협이 성행하는 등 갈수록 위협이 증가하는 추세다.

모바일까지 확대되는 소프트웨어 공급망 공격 [NSHC]
NSHC는 기업의 업무활동에 모바일 앱의 도입이 활발해지면서 소프트웨어 공급망 공격이 모바일까지 확대될 것이라고 내다봤다. 특히 모바일 기기는 미리 설치된 앱들이 많고 삭제가 쉽지 않기 때문에 앱 개발사는 물론 스마트폰 제조사조차 공격 대상이 될 수 있으며, 스마트카나 의료기기 등에 기본 설치된 소프트웨어도 타깃이 될 수 있다고 경고했다. 실제로 지난 3월에는 대만의 한 PC 공급사의 소프트웨어 업데이트 시스템 해킹당하면서 전 세계적으로 100만 대 이상의 PC가 악성코드에 감염됐는데, 이 악성코드는 특정 회사를 대상으로 제작되었을 뿐만 아니라 소수의 PC만을 선택해 내부 정보를 유출하도록 하는 등 매우 정밀하게 제작된 것으로 알려졌다. 이밖에도 유효한 코드서명 인증서를 악용해 악성코드를 유포하는 등 공격 기법이 점점 더 은밀하고 정교해질 것이란 전망이다.

융합 서비스를 노리는 새로운 보안 위협의 등장 [빛스캔]
빛스캔은 4차 산업혁명을 이끄는 스마트 시티, 공장, 의료 등 융합 서비스 등에 대한 보안 위협 증가를 2020년 공격 전망으로 꼽았다. 향후 자율주행 및 무인셔틀 서비스가 대중화될 경우 해킹사고가 곧 인명피해로 이어질 수 있으며, 스마트 공장이 해킹을 당한다면 가동 중단은 물론 시스템 오동작 및 파괴를 일삼는 악성코드에 피해를 입을 수 있다. 또한 AI 기반 의료 시스템이 공격당할 경우에는 환자의 개인정보는 물론 처방전 등 의료 데이터가 변조 및 파괴될 수 있으며, 의료기기에 직접 악성코드를 삽입해 오동작을 일으키거나 처방전 및 영상기록을 조작할 경우에는 환자들의 생명까지도 위협할 수 있다는 설명이다.

저작권자 © 아이러브PC방 무단전재 및 재배포 금지

관련기사