전 세계 멀웨어 감소, RaaS, IoT 공격 및 크립토재킹 증가

[산업일보]
전 세계 사이버 공격과 관련, 서비스형 랜섬웨어(RaaS), 오픈소스 멀웨어 키트 및 ‘크립토 재킹(cryptojacking)'이 증가한 것으로 분석됐다.

크립토재킹이란 해커가 몰래 일반인의 PC에 암호화폐 채굴을 위한 악성코드를 설치, 암호화폐를 채굴하도록 만든 후 채굴한 암호화폐를 자신의 전자지갑으로 전송하는 방식의 사이버 범죄다.

소닉월의 사장 겸 CEO인 빌 코너(Bill Conner)는 8일자 발표자료를 통해 '기업들은 멀웨어 칵테일 및 위협 벡터 등, 방어를 극도로 어렵게 만드는 사이버 공격의 진화하는 패턴을 추적하기 위해 지속적으로 노력하고 있다. 지난 상반기 소닉월은 자사만의 실시간 딥메모리 검사(RTDMI: Real-Time Deep Memory Inspection) 기술을 사용해 '전대미문의' 멀웨어 변종 7만4천360가지를 밝혀냈다. 머신러닝 등 혁신적인 기술을 활용해 끊임없이 변화하는 공격 전략에 선제적으로 대응해야 한다'고 강조했다.

글로벌 보안 기업 소닉월이 200여 개국에서 100만 개 이상의 국제 보안 센서에서 수집한 실사 자료에 따르면, 전 세계 멀웨어 공격은 20% 감소했지만 랜섬웨어(몸값을 요구) 공격이 15% 증가했다. 특히 영국 내에서 랜섬웨어 공격이 195% 급증한 것으로 나타났다. 그 원인은 최근 범죄자들이 RaaS(Ransomware-as-a-Service, 서비스형 랜섬웨어)와 오픈 소스 멀웨어 키트를 선호하기 때문인 것으로 분석됐다.

기업과 소비자들이 적절한 보안 대책 없이 계속해서 인터넷에 자신의 기기를 연결하면서, 점점 더 많은 사이버 범죄자들이 IoT 기기를 이용해 멀웨어 악성 기능을 확산시키고 있다. 이번 보고서에 따르면 올해 상반기 동안 IoT 공격이 전년도 동기간 대비 55% 증가한 것으로 밝혀졌다.

크립토재킹을 활성화시키는 비트코인
크립토재킹은 올해 첫 6개월간 5천 270만 건을 기록하며 지난 2018년 6개월과 비교해 9% 증가했다. 증가의 부분적인 원인은 비트코인과 모네로 가격이 상승하면서 크립토재킹이 사이버 범죄자들에게 유리한 옵션이 됐기 때문이다. 코인하이브(Coinhive)는 지난 3월 서비스가 종료 됐음에도 불구하고 여전히 최고의 크립토재킹 서명으로 남아있다. 감지율이 높은 이유 중 하나는 코인하이브 서비스가 존재하지 않고 URL이 삭제됐음에도 불구하고 감염 이후 손상된 웹 사이트가 제거되지 않았기 때문인 것으로 나타났다.

여전히 우려되는 비표준 포트에 대한 공격
사이버 범죄자들은 탐지되지 않는 악성 기능을 퍼뜨리기 위한 방법으로 웹 트래픽에 대한 비표준 포트를 타겟으로 삼고 있다. 올해 6월까지 기록된 2억 1천만 건 이상의 멀웨어 샘플 규모를 기준으로, 소닉월 캡처 랩스에서 벡터를 추적한 이후 5월에만 멀웨어 공격의 4분의 1이 비표준 포트에 발생했을 때 수치가 가장 급증했다.

전통적인 PDF 및 오피스(Office) 파일이 사용자의 신뢰와 경험을 이용해 악성 기능을 확산시키는 데 지속적으로 활용되고 있다. 2월과 3월, 소닉월 캡처 랩스 조사 결과 '전대미문의' 공격 중 각각 51%와 47%가 PDF나 오피스 파일을 통해 발생한 것으로 파악했다.