상반기 보안 이슈 톱5 "역시 APT"

[김수연기자] "지적 재산 노린 APT 공격 늘었고, 악성코드 유포 형태도 다양해졌다"

안랩, 시만텍 코리아, 이스트소프트, 잉카인터넷, 지란지교소프트 등 보안업체들은 2012 년 상반기를 가장 뜨겁게 달군 보안 이슈로 '지능형 지속 위협(APT) 공격'을 꼽았다.

이들 기업의 보안 전문가들은 고객 정보는 물론, 기업의 지적 재산을 노린 APT 공격이 보다 다양한 형태로 시도됐다는 데에 주목했다.

이와 함께 전문가들은 ▲모바일 악성코드 유포 경로 다양화 ▲사이버범죄에 악용되는 소셜네트워크서비스(SNS) ▲문자(SMS) 피싱의 기승 ▲BYOD( Bring your own device ) 환경 확산으로 인한 내부보안 문제 등을 상반기 주요 보안 이슈로 지목했다.

◆ "APT 공격자, 기업 내부 정보에 '군침'"

특히 국내의 경우, 고객 정보 뿐 아니라, 기업의 주요 내부 정보 유출에 목적을 둔 공격이 다수 발생했다는 게 보안 전문가들의 설명이다.

안랩 측은 "지난해 발생한 APT 공격이 기업에서 관리하는 고객 정보 유출과 시스템 파괴가 목표였다면 올해는 고객 정보뿐 아니라, 내부 정보 유출을 목표로 했다는 것이 특징"이라고 요약했다."공격 대상도 시스템 관리자보다는 주요 내부 정보를 관리하는 직원으로 한 경우가 많았다"는 분석이다.

시만텍 코리아 역시 APT 공격이 주요 지적 재산을 겨냥하고 있다는 점에 주목, 이러한 경향은 산업스파이 활동에서 사이버범죄자들이 정보 브로커로 활동할 수 있다는 점을 시사한다고 전했다.

APT 공격에 활용된 악성코드로는 '플레이머(W32.Flamer)'가 주목을 받았다. '플레이머'는 지난 6월, 이란과 중동지역에서 국가 기간시설에 침투해 중요 정보를 빼돌리는 데 사용된 악성코드로, 2010년 '스턱스넷(Stuxnet)', 2011년 이와 유사한 '듀큐(Duqu)', 전세계 화학·방산업체를 공격한 '니트로(Nitro)' 등에 이어 전세계를 긴장케 했다.

특히 시만텍 코리아 측은 전세계적으로 정부 기관이나 대기업 뿐 아니라 대기업과 협력관계에 있는 중소기업들도 APT를 비롯한 표적 공격의 타깃이 되고 있다며 사이버 공격에 취약한 중소기업들 역시 APT 공격에 대한 방어체계를 갖춰나갈 필요가 있음을 역설했다.

악성코드 유포 방법은 MS문서, PDF문서 파일 취약점을 악용하는 형태에서 아래아한글(HWP) 취약점을 악용하는 형태로 다양화되고 있으며, 정상 프로그램의 업데이트 취약점이나 윈도 시스템 취약점을 악용해 유포되기도 했다.

잉카인터넷 측은 "공격자들이 국내 유명기업이나 정부기관, 정치권 등을 겨냥하는 지능형지속위협(APT) 공격에 특화된 HWP 문서 취약점을 은밀하게 악용하고 있기 때문에 HWP 문서를 사용하는 기업이나 기관의 경우 이러한 악성파일에 각별히 주의해야 한다"고 당부했다.

◆ 모바일 악성코드, SNS·국내 유명 공개 자료실까지 침범

모바일 악성코드의 유포 경로가 다양해졌다는 점 역시 상반기 주요 보안 이슈로 꼽혔다.

주로 구글 앱스토어나 서드파티 앱스토어, 해외 블랙마켓에서 유포돼 오던 안드로이드 악성코드가 최근들어 악성코드 제작자가 만든 허위 앱스토어나 허위 유명 앱 배포 사이트, 소셜네트워크서비스(SNS) 상에서도 유포되고 있다는 것.

이에 대해 안랩 측은 "구글이 안드로이드 앱에 대한 보안 검사를 강화하고, 서드파티 앱스토어의 평판 시스템이 자리를 잡아감에 따라 기존 유포 경로로는 악성코드 유포가 어려워졌기 때문에 이러한 현상이 나타나고 있는 것으로 보인다"고 분석했다.

올초 국내 유명 포털에서 운영하는 커뮤니티 사이트, 공개 자료실 등에서 개인정보를 노린 안드로이드 기반 악성파일이 배포되기도 했다.

이스트소프트 측은 그 동안 발견된 스마트폰 악성코드의 대다수는 해외 블랙마켓 등을 통해 유포되는 경우가 많았고 한국어로 제작되지 않은 앱이 대부분이라 국내 스마트폰 사용자들의 체감 위협은 크지 않았다고 설명했다.그러나 올초 국내 자료실 사이트를 통해 유포된 스마트폰 악성코드가 발견됐고, 블랙마켓에서 내려받은 유료 앱 등이 인터넷 카페, 블로그, 웹하드 서비스 등을 통해 국내 사용자들에게 유포되고 있어 모바일 악성코드 위협이 증가하고 있다고 강조했다.

◆ "SNS가 사이버 범죄의 온상으로"

또한 보안 전문가들은 SNS를 사이버 범죄의 새로운 온상으로 지목했다. '친구' 관계를 기반으로 한 정보 공유가 이뤄지는 SNS 고유의 특성을 악용한 공격이 증가하고 있기 때문.

지난해 3월, 미 FBI가 스팸 발송에 악용되는 러스톡 봇넷 명령제어 서버를 적발·폐쇄하자, 사이버범죄자들은 전통적인 스팸 메일 대신 새로운 공격 루트로 소셜 네트워크에 눈을 돌리고 있다는 설명이다.

시만텍 코리아는 "전세계적으로 사이버 범죄자들이 사회 공학적 기법과 SNS의 특성을 악용해 새로운 공격대상을 물색하고, 손쉽게 위협을 확산시키고 있다"며 국내 상황 역시 이와 다르지 않다고 지적했다.

잉카인터넷, 지란지교소프트 측 역시 트위터, 페이스북 친구 요청 이메일로 사칭해 악성파일에 감염되도록 하거나, 단축URL 주소 서비스를 악용해 악성 웹사이트로 연결을 유도하는 사례가 상반기 국내에서 지속적으로 발견됐다며 주의를 당부했다.

◆ '보안승급 서비스' 위장한 문자(SMS) 피싱 '기승'

잉카인터넷에 따르면, 상반기에는 '보안승급 서비스'라는 문자(SMS)를 보내 사용자들을 현혹, 인터넷뱅킹에 필요한 개인정보를 사용자 스스로 직접 입력하도록 유도하는 형태의 피싱 사례가 다수 발견됐다.

이스트소프트도 기존에 전화를 통해 주로 이뤄지던 보이스 피싱 기법에 대해 많은 사람들이 패턴을 인지했으며 피싱에 의한 피해를 막기 위한 지연인출제 등의 제도도 등장했다고 설명했다.

공격자들은 방법을 바꿔, 금융기관으로 위장, '보안승급서비스' 안내 문자를 전송, 이용자 금융정보 전체를 빼내 공인인증서를 재발급 받아 직접 돈을 빼돌리는 수법을 쓰고 있으니 이용자들의 각별한 주의도 필요한 상태다.

스마트폰 SMS로 피싱 사이트 주소를 전달하는 기법과 함께 모바일 웹브라우저 규격에 맞춘 피싱 사이트도 등장했다. 스마트폰 사용자가 많고, 스마트폰 뱅킹이 가능한 국내 상황을 노린 것이라는 게 전문가들의 분석이다.

◆ BYOD 확산으로 기업의 내부보안 고민↑

BYOD 환경 확산으로 내부보안에 대한 기업들의 고민이 커졌다는 점도 올해 상반기의 특징으로 언급됐다.

모바일 디바이스 사용자 급증으로 기업들은 외부로부터의 보안은 물론 내부 임직원들로부터 발생하는 보안 문제에 대한 대응력 또한 높여야 한다는 것이다.

시만텍 코리아는 "직원들이 개인 소유의 모바일 기기를 업무에 활용하는 'BYOD'가 트렌드로 급부상하고 있지만, 직원들이 사용하는 모바일 기기에 대한 기업들의 보안, 관리 능력이 이를 뒷받침 해주지 못하고 있어 문제가 되고 있다"고 지적했다.

특히 직원들이 사용중인 모바일 기기를 분실하거나 도난당했을 경우, 기업 정보가 유출될 수 있다는 점, 모바일 기기를 통해 악성코드나 공격이 네트워크, 기밀 정보에 침투할 수 있다는 점에서, 기업들은 하루빨리 BYOD 업무환경에 맞춘 보안 정책을 수립하고, 효과적인 내부 통제를 위한 보안 시스템을 구축해야 한다는 것이다.

지란지교소프트 역시 모바일 오피스 환경의 활성화로 모바일 기기 통제에 대한 기업들의 니즈가 급속히 증가하고 있으며, 이러한 영향으로 올해 상반기, 국내 MDM 시장이 본격적으로 개화할 수 있었다고 진단했다.

이밖에 보안 전문가들은 ▲개인정보보호법 계도기간 종료 ▲회사 동의 없이 클라우드 서비스를 이용하는 직원들로 인해 발생하는 클라우드 보안 이슈 ▲온라인게임 계정 탈취 목적의 악성파일 기승 등을 상반기 보안 이슈로 거론했다.

한편 보안 전문가들은 하반기 역시 사회공학적 기법·제로데이 공격 등을 가미한 APT 공격, 취약점을 악용한 악성파일 유포 등이 지속적으로 기승을 부릴 것으로 보고 있다. 이에 대비하는 차원에서 기업들이 보안 위협 대응 매뉴얼을 수립하고, 내부 직원에 대한 보안교육을 강화할 필요가 있다는 게 전문가들의 공통된 조언이다.