2024-03-29 08:35 (금)
특정 해킹그룹, 한국 타깃 사이버공격 준비중...원격제어 악성코드 증가
상태바
특정 해킹그룹, 한국 타깃 사이버공격 준비중...원격제어 악성코드 증가
  • 길민권 기자
  • 승인 2018.01.23 04:43
이 기사를 공유합니다

한국인터넷진흥원, 2017년 4분기 사이버위협 동향 보고서 공개

▲ KISA 사이버위협 동향 보고서 이미지
▲ KISA 사이버위협 동향 보고서 이미지
한국인터넷진흥원에서 2017년 4분기 사이버 위협 동향 보고서를 발표했다. 이번 보고서에 따르면, 2017년은 다양한 랜섬웨어 및 가상통화 채굴형 악성코드가 많이 발견된 한해였다. KISA에서 수집한 악성코드 중 일부 분석결과를 확인한 결과 랜섬웨어가 가장 많이 발견된 것으로 확인되었다.

또한 4분기 악성코드 통계를 보면, 수집·분석한 악성코드 중 가장 많이 확인된 유형은 랜섬웨어, 정보탈취, 원격제어 순으로 나타났다. 수집·분석된 악성코드 중 랜섬웨어 비율은 지속적으로 증가(3분기 347건 → 4분기 463건, 33.4% 증가)하고 있는 것으로 확인되었다.

4분기 악성코드 유형의 특징으로는 정보탈취, 원격제어, 금융정보 탈취 등 C&C에 접속하는 악성코드가 증가했고, 3분기에 발생한 다운로더, 인젝터(다른 프로그램의 메모리 영역에 악성행위를 하는 실행코드를 복사) 등은 감소했다. 또한 기타 해킹도구가 46건(7%)이 수집돼, 악성프로그램을 이용한 해킹공격이 증가하고 있다고 밝혔다.

C&C 악용 국가 현황을 보면, 2017년 한해는 미국을 C&C로 가장 많이 악용했다. 4분기에 악용된 미국 소재 IP 비율은 19%로 3분기보다 13%p 감소했지만, 다른 국가보다 높은 비율인 것으로 확인되었다.

4분기 국가별 C&C 악용현황 특징은 모든 국가가 고른 형태로 분포되어 있다는 점이다. 이는 최근 해커가 특정 IP가 아닌 IP 대역으로 C&C를 사용하면서 유럽 전체에 분포된 IP가 악용된 것을 통해 확인되었다.

또한 추가적으로 4분기에 나타난 특징으로는 한국 IP를 C&C서버로 악용하는 비율이 증가했다는 점이다. 이는 기존 러시아 IP를 C&C 서버로 사용하는 랜섬웨어 악성코드가 한국IP 서버를 악용하면서 비율이 증가했기 때문인 것으로 분석됐다.

한편 2017년은 랜섬웨어의 해라고 부를 수 있을 정도로 매우 높은 비율로 렌섬웨어 유형의 악성코드가 수집되었다. 심지어 DDoS, 금융정보 탈취 등을 유포했던 기법들도 사용되었으며, APT 공격과 결합해 유포되는 형태도 등장해 랜섬웨어의 전반적인 유포형태가 다변화된 것을 볼 수 있다고 전했다.

또한 3분기에 비해 원격제어 악성코드 비율이 증가한 것을 볼 수 있다. 이는 문서파일 등을 이용한 APT 형태의 공격이 증가했기 때문으로 보이며, 특정 해킹그룹이 국내 사이버공격을 위해 공격을 준비 중인 것으로 추정된다.

◇한국 타깃 랜섬웨어, 2018년에도 대량 유포될 전망

hacker-1872291_640.jpg
또 전 세계를 대상으로 무작위로 유포되던 랜섬웨어가 4분기에는 특정 국가를 타깃으로 유포되기 시작했는데, 이 중 한국(한글 윈도우 운영체제)을 대상으로 한 랜섬웨어가 등장했다. 9월 초 발견된 올크라이 랜섬웨어에 이어 마이랜섬, 에레버스 등 다양한 랜섬웨어가 한국을 대상으로 활동하기 시작했다. 또한 해커가 한글로 작성된 문서나 이메일 등을 이용한 APT 공격을 통해 랜섬웨어를 전파하는 경우도 확인되었다. 랜섬웨어는 해커가 금전적인 수익을 얻기에 매우 용이한 악성코드이므로 2018년에도 대량으로 유포될 것으로 예측하고 있다.

지속적인 APT 공격도 탐지됐다. 4분기 이전까지는 문서를 이용한 APT 공격이 사그라지는 추세에 있었지만, 최근 윈도우 응용프로그램 간에 같은 데이터를 공유하도록 허용하는 윈도우 기본기능 DDE(Dynamic Data Exchange) 등에서 취약점들이 발견되고 이를 악용한 악성코드들이 탐지되고 있다. DDE 방식의 악성코드는 오랜만에 등장한 MS 워드(Word) 악성코드이며, 중소기업에서 대중적으로 사용되고 있는 만큼 국내를 타깃으로한 공격에 악용될 것으로 보고서는 전했다.

특히 랜섬웨어 공격에 대한 향후 전망에 대해 “2018년에는 가상통화 열풍을 타고 채굴형 악성코드 및 가상통화 거래소를 대상으로 한 스피어피싱 공격이 증가할 것으로 보인다. 2017년 하반기부터 가상통화 이용자가 증가함에 따라 각 거래소들의 규모가 점점 거대화되고 있다. 이에 따라 각 거래소들의 신규 인원 채용을 악용하여 한글 이력서 등으로 위장한 원격제어 및 정보유출형 악성코드 감염 시도가 급증할 것으로 예상된다”고 밝혔다.

또 “이러한 스피어피싱 공격은 일반 이용자들에게까지 전파되어, 메일 내 첨부파일을 열람할 경우 악성코드 감염에 노출될 수 있다. 또한 금전적 이득을 목적으로 한 가상통화 채굴형 악성코드도 점차 증가하고 있다. 점점 고사양의 자원을 이용해 채굴해야 하는 가상통화의 특성상 해커들은 타인의 자원을 이용해 가상통화를 채굴하려는 시도를 지속적으로 시도하고 있다”며 “가상통화의 인기는 2018년에도 지속될 것으로 전망되고 있으므로 가상통화 채굴을 위한 해커들의 공격은 멈추지 않을 것으로 보인다. 따라서 안전한 인터넷 이용을 위해서는 철저한 SW보안 업데이트와 더불어 중요 정보를 개인PC에 보관하지 않는 등 관리적 측면의 보안에 더욱 주의를 기울여야 할 것”이라고 당부했다.

KISA 2017년 4분기 사이버위협 동향 보고서는 KISA 홈페이지와 데일리시큐 자료실에서도 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★