경찰청 2018년 사이버위협 분석보고서 (기업 사례 및 전망)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.28 06:30 / 카테고리 : 차세대 위협감지 - 다크트레이스



경찰청에서 2018년도 사이버위협 분석보고서가 발간되었습니다. 이 중에서 기업 보안과 관련이 있는 내용과 이를 예방하기 위한 방법에 대해서 알아보겠습니다. (기업 보안 관련 내용)



▣ 사이버 범죄 동향

2018년 전체 사이버범죄는 149,604건이 발생했으며, 2017년도(131,734건)에 비해 약 13.6% 증가 하였다. 해당 발생건수는 최근 5년 내 최고치(2016년 153,075건)에 근접한 수준으로, 주춤 했던 증가 추세가 다시 이어지고 있습니다. 





▣ 주요 사이버 범죄 사건

1. 가상화폐 채굴 악성코드 유포사건 - 크립토재킹(Crytojacking)

’17년 10월부터 12월까지 검거된 4명의 피의자들은 구인구직 사이트에서 수집한 이메일 계정 32,435개에 해킹메일을 발송하였습니다. 메일에는 ‘귀사 채용에 지원하고 싶다’는 내용과 악성코드가 포함된 이력서 문서파일이 첨부되어 있었으며, 악성코드가 포함된 문서를 실행하면 가상화폐 ‘모네로’ 를 채굴하는 프로그램이 PC에 설치됩니다. 피의자들은 6,038대 PC를 악성코드에 감염시켰으며, 사용자 몰래 중앙처리장치(CPU)의 50%를 강제 구동시켜 가상통화를 채굴하였습니다. (’18년 11월, 경찰청 사이버안전국)






피의자들은 이력서로 위장한 문서파일을 구직사이트에 게시된 기업 인사담당자에게 발송시켜 6,038 대 PC에 크립토재킹 악성코드를 감염시키는데 성공하였고, 악성코드가 감염된 PC들은 가상통화인 ‘모네로’ 채굴에 사용되었습니다.


‘모네로’는 일반적인 가상통화와 달리 거래내역을 추적하기 어렵도록 설계된 가상통화로, 범죄에 주로 사용되고 있습니다. 피의자들은 실제 모네로 2.23코인(당시 약 100만원) 을 채굴하기도 하였으나 악성코드 제작에 사용된 서버가 경찰의 추적에 발각됨에 따라 검거되었습니다.


이러한 크립토재킹 악성코드에 감염되면 컴퓨터의 성능이 저하되는 것 이외에도 컴퓨터 자원을 과도하게 구동시켜 전기요금이 폭증하게 됩니다. 만일 국가 기반시설의 PC에 유포될 경우 큰 손실로 이어질 수 있는 위험한 범죄입니다.




사이버보안업체인 안랩(Ahnlab)은 2018년 상반기 중 가장 큰 보안위협을 크립토재킹으로 선정했고, 해외 사이버보안업체인 파이어아이(FireEye)는 크립토재킹에 노출된 위협이 4번째로 높은 국가로 한국을 지정하기도 하였습니다.



▣ 크립토 재킹 악성코드 유포방식

크립토재킹은 해킹 대상자가 보안이 취약한 사이트에 접속할 경우 가상통화 채굴 명령어가 자동실행되는 ‘워터링홀’ 공격에 의해 주로 감염됩니다.


워터링 홀 공격이란 사자가 먹이를 잡기 위해 물웅덩이(WATERING HOLE) 근처에 매복하고 있다가 먹잇감이 물에 빠지면 공격하는 모습에서 유래된 용어로, 공격 대상과 관련이 있거나 자주 방문하는 사이트에 악성코드를 심어 이들이 접속하는 경우 감염시키는 수법을 말합니다.


웹사이트에 채굴 스크립트를 몰래 심어 넣고, 사용자가 접속을 하면 접속한 PC나 스마트폰에서 가상통화가 채굴되는 명령어가 자동 실행되는 방식입니다. 사용자 입장에서는 웹사이트 접속만으로 감염되고 악성코드 파일이 눈에 보이지 않기 때문에 피해사실을 인지하기 어렵습니다.


또한 대량으로 발송되는 스팸메일을 열어 보았을 경우에도 크립토재킹에 감염될 수 있습니다. 이렇게 발송된 스팸메일에는 채굴 명령어가 자동 실행되는 웹사이트로 접속을 유도하는 링크가 있거나 웹페이지 화면이 자동 실행되는 HTML 파일이 첨부되어 있습니다.




2. IP 카메라 해킹 사건

웹프로그래머인 피의자는 국내 반려동물 사이트 및 IP카메라 판매업체를 해킹하여 IP카메라 정보 12000여건을 탈취하였습니다. ’14년 6월부터 ’18년 10월 유출한 IP카메라 정보를 이용하여 264개 IP 카메라에 침입하였으며 그 과정에서 226건의 사생활이 담긴 영상을 저장하여 보관하였습니다. (’18년 11 월, 경찰청 사이버안전국)


IP카메라는 일반 가정에 개인이 설치할 수 있는 사물인터넷(IoT) 기기로 컴퓨터와 결합될 수 있으며 기기에 자체 IP 주소가 있어 네트워크를 연결할 수 있는 곳에 설치가 가능합니다. 


IP카메라는 주로 반려동물, 자녀 관찰, 보안 등을 위해 설치되고 있으며 그 숫자가 증가하는 추세입니다. 범죄자들은 보안 취약성을 악용해 피해자들의 IP 카메라에 몰래 접속한 후 사생활을 엿보거나 불법 촬영하는 범죄가 발생하고 있습니다. IP카메라를 통한 불법촬영은 가정집 · 사무실 · 미용실 · 옷가게 · 식당 등 IP카메라가 설치된 장소면 어디든 발생할 수 있습니다



해커는 IP카메라의 모든 권한을 획득하기 때문에 카메라 이동, 각도조절, 줌 기능 등을 이용해 카메라를 직접 조작할 수도 있습니다. 


피의자는 △비밀번호 설정 없이 사용하거나 제품 구입 당시 설정된 기본 계정과 비밀번호를 사용 하고 있거나, △0000, 1234와 같이 쉬운 비밀번호를 설정한 곳을 IP카메라를 타겟으로 하였습니다. 또 피의자들은 인터넷 게시판과 카페 등을 통해 유출된 IP카메라의 인터넷 주소를 알아내 아이디와 비밀번호를 넣어 접속하기도 하였습니다.




▣ 2019년 주요 사이버 위협 전망

1. 공급망 공격(Supply Chain Attack)의 지능화

보안프로그램 설치, 소프트웨어 업데이트 등을 활용한 공급망 공격이 보다 지능화 될 것으로 예상됩니다.


최근 국내 IT 업체들에 대한 공급망 공격이 증가하고 있습니다. 공급망 공격이란 소프트웨어 업체가 제작하는 프로그램(보안프로그램, 금융서비스 프로그램 등)에 대한 해킹을 통해 접근 권한을 먼저 확보하고 프로그램 제작단계에서 악성코드를 침투 시킨 후 정상적인 업데이트 등으로 위장하여 악성코드를 감염시키는 기법입니다.



많은 고객사를 거느리고 있는 IT 솔루션의 경우 개발 소프트웨어 제작 및 업데이트 단계에서 악성코드를 심어두면 많은 기업들에 손쉽게 침투할 수 있습니다. 대형 업체들의 경우 보안이 매우 잘되어 있어 해커가 직접 침투하는 것이 어렵지만 프로그램의 업데이트 취약점을 찾아 침투시킬 경우 기업의 보안과 상관없이 악성코드 감염이 가능합니다. 


이러한 공급망 공격은 ’19년엔 더욱 지능화되어 증가될 것으로 예상됩니다. 공격 형태도 특정 기업에서 사용하는 소프트웨어를 타겟으로 하여 소프트웨어 제작 단계에서 감염시키는 형태특정 기업의 IP에서만 동작하도록 제작되어 타겟을 감염시키는 지능형 공급망 공격 형태로 발전될 것으로 예상됩니다.



2. 사물인터넷(IoT)에 대한 사이버 공격 급증

다양한 분야에서 IoT가 사용되고 있고 그 숫자도 늘어나고 있어 2019년에는 IoT에 대한 사이버 공격이 급증할 것으로 예상됩니다.


사물인터넷(Internet Of Things)은 현실에 존재하는 사물에 정보통신기술이 융합되어 실시간으로 데이터를 주고받는 기술이나 환경을 말합니다. 


가정에서는 가전제품을 비롯한 집 안의 장치들을 연결한 스마트 홈 환경이 대중화 되고 있고, 해외에서는 자율주행 자동차가 시범운행 되고 있으며, 산업 분야에서는 쓰레기 종량제 시스템에 사물 인터넷을 적용하여 쓰레기 배출량을 측정해 처리 비용을 부과하는 등 다양한 분야에서 널리 발전하고 있습니다. 


2020년에는 국내 IoT 규모가 약 17조원으로 전망됩니다. 2019년에는 사물인터넷을 겨냥한 보안위협이 더 늘어날 것으로 전망됩니다. 




최근 몇 년간 IoT 관련 보안위협은 주로 대규모 IoT 봇넷 기반의 DDoS 공격으로 감염된 수십 만대의 IoT기기를 이용해 웹사이트를 공격하는 것이었습니다. 2017년에도 인터넷 호스팅 업체가 미라이(Mirai) 악성코드에 감염된 수많은 IoT 기기로부터 공격을 받아 서비스를 받고 있던 트위터, 페이팔, 넷플릭스 등 1200여개 사이트가 수시간 동안 운영이 중단된 사례가 있었습니다.



3. 스피어피싱 등 피싱메일의 진화

스피어피싱 등 피싱메일이 각종 사회 이슈와 맞물려 다양한 형태를 띠면서 더욱 정교하게 진화할 것으로 예상됩니다.


2018년에는 다양한 피싱메일이 발송되었습니다. 특히 갠드크랩 랜섬웨어 감염을 위한 다수의 피싱메일이 발송되었고 범칙금 납부고지, 남북 또는 북미 정상회담 등 사회현안으로 위장한 피싱메일이 유포된 사례도 발견되었습니다.



갠드크랩 랜섬웨어(GandCrab Ransomware)는 동종 업계 종사자의 실명과 프로필 등을 사칭하여 관련 종사자들에게 악성코드를 배포하거나 지원서 및 정상 유틸리티로 위장하여 악성코드를 유포하는 랜섬웨어로, 안랩에 따르면 2018년 한해 동안 발견된 랜섬웨어의 53% 가량을 갠드크랩 랜섬웨어가 차지하였습니다.





또한, 정부기관내 주요 관계자들을 사칭한 피싱메일 공격이 활발해 지고 있습니다. 2019년에는 이러한 스피어피싱을 기반으로 한 표적공격이 계속 이루어질 것으로 예상됩니다. 대한민국의 주요기관 및 기업들이 일상적인 업무수단의 하나로 사용하는 이메일을 이용하면 정상업무를 가장한 접근이 쉽고 신속·정확한 표적공격이 이루어질 수 있기 때문입니다.


금전취득을 위해 암호화폐 거래소에 대한 피싱메일 공격이 보다 활성화 될 것으로 예상되며, 혹스메일 (Hoax mail, 거짓정보를 메일로 보내 사용자들을 속여 금전을 편취하거나 악성코드를 설치하게 하는 메일) 또한 정교한 형태로 발송될 것으로 예상됩니다. 






위에서 본 사이버 공격 사례를 보면, 사이버 공격의 방법은 매번 진화하고 있으며 네트워크부터 다양한 디바이스까지 영역을 가리지 않습니다. 이러한 정교하고 다양해진 공격방법에 대응하기 위해서는 자동적으로 새로운 공격방법과 루트를 파악하고 대응할 수 있으며, 사람의 개입 없이도 동작할 수 있는 지능적인 보안 솔루션을 도입하여야 합니다.


사일런스프로텍트 엔드포인트 보안 솔루션은 머신러닝, 인공지능 기반으로 동작하며, 시그니처 또는 룰 기반의 단점으로 부각되고 있는 지속적인 업데이트 없이도 위협의 99% 이상을 차단할 수 있는 강력한 성능을 자랑합니다.



또한, 사일런스 엔드포인트 프로텍트는 PC 및 서버의 자원 사용을 최소화 하기 때문에 시스템 운영에 부담이 없습니다. 


사일런스프로텍트 엔드포인트 보안 솔루션의 동작 방식

머신러닝을 통하여 멀웨어의 DNA를 분석하고 AI가 안전한 코드 인지 판별합니다. 그렇기 때문에 시그니처의 업데이트, 행위 분석, 샌드박스 기법 등이 없이도 선제적인 대응이 가능합니다. 그리고, 모든 것은 자동으로 운영되기 때문에 사람의 개입이 없어, 정확하고 인력낭비를 줄일 수 있습니다.



MALWARE EXECUTION CONTROL

  • No signatures : 예측 분석이 가능한 머신러닝

  • 자율방어 : 100ms 이내의 사전실행 예방

  • No daily scans : File system 변화 기반으로 일회성 scan을 통한 검색 지양

  • Rejects : 잠재적으로 사용하지 않는 프로그램 대상(PUPs)

  • Lateral Movement에 사용되어지는 Controls tools


SCRIPT CONTROL

  • 허가되지 않은 PowerShell 및 Active Scripts 중지

  • 위험성이 있는 VBA macro methods 중지

  • 공격성 문서의 제어(Weaponized docs) 

  • 파일없는 공격 제어(Fileless attacks)


MEMORY PROTECTION

  • 메모리 오용(Silences memory misuse )

  • 부당이용(Exploitation)

  • 프로세스 주입(Process injection)

  • 권한 상승(Privilege escalation)


APPLICATION CONTROL

  • 고정 기능 디바이스에 디바이스 바이너리 잠금

  • Bad binary 방지

  • 바이너리 수정 방지

  • 윈도우 변경 허용



기존의 안티 바이러스로는 변종 멀웨어 발생 시, 신규 업데이트까지는 안심할 수 없습니다. 단 하루의 차이로도 큰 재앙을 발생 시킬 수 있습니다. Cylance Protect로 귀사의 소중한 정보 자산을 보호하세요!





인공지능 엔드포인트 보안 솔루션인 사일런스프로텍트 EPP(CylancePROTECT)를 도입하여, 진화하는 사이버 공격에 대응하시기 바랍니다. 제품에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시면 견적을 보내드립니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/07   »
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

방문자 통계

  • 전체 : 353,945
  • 오늘 : 170
  • 어제 : 287
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.