사이버보안위협 연구·정보공유하는 사이버위협 인텔리전스 회의 개최
2015 보안위협: 워터링홀, 제로데이, 악성코드 은닉, 랜섬웨어, 공유기, 모바일 위협 등
[보안뉴스 김경애] 사이버위협에 대해 민관이 서로 협업해 연구하고 정보를 공유하는 ‘사이버 위협 인텔리전스 회의’가 한국인터넷진흥원에서 15일 개최됐다. 사이버위협 인텔리전스 회의는 지난해 12월 발족했으며, 보안업체 6곳인 안랩, 이스트소프트, 하우리, 잉카인터넷, 빛스캔, NSHC와 한국인터넷진흥원이 서로 협업하고 정보를 공유하는 협의체다. 특히 이날 회의에는 국방부, 미래부, 대검찰청, 사이버안전국 등 기관 관계자들도 참석해 정보공유에 동참했다.
이날 회의에서 한국인터넷진흥원 백기승 원장은 “ICT 시대에 협업 없이는 사이버공간의 안전을 지키기 어렵다”며 “그동안 민·관이 함께 사이버위협에 대응해 올해 안전수준이 한층 진일보했다. 하지만 앞으로 상황은 더욱 어려워질 수 있기 때문에 사이버위협에 대해서는 국가안보와 국민안전을 위해 최대한 협력해야 한다”고 강조했다.
이어 백 원장은 “현재 보안업계가 어려운 상황인데, 여기 참여한 기업들이 산업·기술 측면에서 서로 도우면서 발전할 수 있는 모임이 될 수 있도록 노력할 것”이라며 “ICT 시대에 정보보호가 더욱 발전할 수 있게 각각의 역량을 가진 전문가들이 협업해주길 바란다”고 당부했다.
이날 회의는 2015년 주요 사이버보안위협 결산과 2016년 사이버보안위협 전망에 대해 각 사별로 발표했으며, 발표내용은 다음과 같다.
1. 루트킷 등 악성코드 은닉 다양화- 잉카인터넷 정영석 이사
2015년 주요 사이버보안위협으로 △루트킷을 통한 악성코드 은닉 △프로세스 확인을 통한 백신탐지 우회 시도 △정상 파일을 악성으로 교체해 백신 치료를 방해하는 기법 등을 꼽을 수 있다. 올해는 공격자들이 악성코드 은닉을 위해 루트킷과 레지스트리 수정 기법을 사용했다. 백신 탐지 우회를 위해 악성코드가 실행중인 프로세스를 확인해 백신 존재 여부를 확인한 후, 커널을 제어할 수 있는 드라이브 파일을 설치하는 행위를 수행했다. 드라이브 파일이 설치될 경우 백신 프로세스 강제 종료 행위를 수행하게 된다. 또한, 백신의 악성파일 치료 방해를 위해 시스템 관련 파일을 악성코드로 교체하는 기법이 다수 확인됐다.
2. 제로데이 등 대규모 악성코드 감염 지능화- 하우리 최상명 CERT 실장
CVE번호를 4자리에서 5자리로 늘려야 할 만큼 올해는 취약점이 많이 나왔다. 플래시 취약점의 경우 2015년에만 16개가 나왔고, 악성코드 유포에 사용된 취약점은 역대 최고를 기록했다. 게다가 대부분 제로데이 취약점이며, APT 공격에 주로 사용했던 제로데이 취약점을 불특정 다수를 감염시키기 위해 이용했다는 점에서 굉장히 우려스러운 상황이다. 특히, 이탈리아 해킹팀 사고로 인해 랜섬웨어 등 대규모로 악성코드에 감염되는 사태가 잇따라 발생했다. 또한, 한글문서 취약점의 경우도 올해 역대 최고로 가장 많이 나왔으며, 한글 2014 버전에서 동작하는 신규 악성코드도 발견됐다. 전 세계에서 많이 이용하는 워드프레스 제로데이 취약점을 악용하는 사례도 확산되고 있는 추세다. 12월만 해도 취약점이 많이 발견됐다.
3. 앱 개발도구 변조 등 모바일 위협 증가- 빛스캔 문일준 대표
iOS 타깃 공격이 본격화될 것으로 예상된다. 애플사 iOS 모바일 기기에서 사용할 수 있는 앱 개발도구(Xcode)가 비공식적 경로로 배포되는 과정에서 변조되는 사고가 발생했다. 변조된 도구를 이용해 앱을 개발할 경우 XcodeGhost라는 악성코드가 자동 추가됐으며, 개발된 앱은 애플사의 코드 검사를 통해 많은 사용자들에게 감염됐다. 또한, 안드로이드 랜섬웨어인 심플로커(Android.Simplocer)의 경우 리패키징된 후 정상적인 앱으로 위장해 유포된 바 있다. 이 외에 안드로이드 운영체제에서 공격자가 보낸 MMS(멀티미디어 메시지)의 웹 링크를 열거나 파일을 다운받지 않고 단순히 수신만 하더라도 안드로이드 기기가 악성코드에 감염되는 미디어 라이브러리 취약점이 발견되기도 했다. 이를 기반으로 iOS 운영체제에서도 해당 취약점을 통한 악성코드 감염 가능성이 있다.
4. 공유기 등 생활형 IoT 보안위협 증가- NSHC 문해은 팀장
올해는 국내 제조사 공유기 22종을 대상으로 공유기를 자동 공격하는 공격도구가 발견됐다. 다행히 한국인터넷진흥원에서 공유기 취약점과 관련해 버그바운티를 진행했으며, 공유기 제조사에 해당 취약점 패치가 전달돼 개선된 상태지만, 아직은 미흡한 실정이다. 이어 해외 홈CCTV, IP 카메라에서는 다수의 보안 취약점과 백도어가 발견됐다. 개인용 CCTV를 해킹해 생중계하는 사례도 발생했다. 이와 함께 블랙햇에서 진행한 자동차 해킹 시연 등으로 자동차 보안위협도 이슈가 됐다. 자동차 해킹위협과 관련해서 크라이슬러는 140만대의 차량을 리콜한 바 있다. 또한, 냉장고, 스마트TV, 다리미, 전자렌지 등 생활형 IoT 장비의 보안위협이 확산됐다. IoT 공격은 금전을 매개로 해서 앞으로 발전할 것으로 보이며, 의료기기 해킹 등 신체 정보를 빼가 금전적 이익을 노리는 행위도 증가할 것으로 예상된다.
5. 워터링홀 기법 등 사이버 위협 공격 지속- 이스트소프트 문종현 부장
워터링홀 공격기법을 통한 정보수집과 탈취한 정보를 활용한 후속 공격이 증가했으며, 공격 대상에 대한 선별적 감염기법이 지능화됐다. 특히, 워터링홀 공격 기법의 경우 특정 웹사이트로 공격 타깃이 한정돼 있다. 국가 중요데이터를 훔쳐내기 위한 목적으로 3, 5, 7, 8월에도 워터링홀 공격이 발견됐다. 주로 군 관련, 대북단체, 탈북단체를 타깃으로 했으며, 최신 취약점과 플래시 취약점이 악용되고 있다. 탐지 회피를 위해 공격자는 특정 시간대만 공격하는 시간차 공격을 하며, 탈취한 정보 중에서 HWP 문서만 뽑아내거나 특정 단어를 포함한 정보를 뽑아내는 등 정보를 필터링해 체계적으로 분류 작업을 하고 있다. 공격방식도 올해는 다양했다. 문제는 시간차 공격의 경우 보안업체가 신고를 받고 방문하면 공격자가 흔적을 지워놓거나 이미 공격에서 빠진 상태라 분석이 어렵다는 점이다.
특히, 스피어피싱 메일 발송경로를 추적해보면 특정인이 이미 악성코드에 감염돼 지인에게 공격하는 형태가 발생하고 있다. 이는 개인이 사용하는 구글, 네이버, 핫메일, 지메일 등 메일을 이용하는 1대 1 공격으로 공격자가 거점을 확보해 대량 공격하는 수법이다. 올해 초부터 최근까지 이러한 이슈가 발생해 많은 관심이 요구되고 있다. 해당 공격의 경우 보안업체의 보안관제가 쉽지 않으며, 아무리 보안 솔루션을 도입을 해도 탐지가 쉽지 않다. 심지어 잠복기만 2~3년인 PC도 있다. 이처럼 올해 워터링홀 공격의 다양화와 제로데이 공격, 행위기반 회피 공격 등 공격기법이 다양화되고 정교화되고 있다. 무엇보다 공격기법 연구와 실제 공격행위에 우수한 인력이 투입되는 등 체계적인 공격 시스템을 갖춘 것이 특징이다.
6. 랜섬웨어의 진화- 안랩 박태환 팀장
국내를 겨냥한 랜섬웨어가 지난 4월 대량 유포된 이후, 랜섬웨어는 지속적으로 업그레이드 버전이 등장하고 있다. 10월 들어서는 크립토월 4.0이 나왔다. 공격형태와 방식도 진화해 그림파일 암호화에서 원래 어떤 파일인지 모르도록 하거나, 파워포인트와 실행파일로 타깃이 확대되고 있다. 모바일은 화면 잠금으로 돈을 보내라고 이용자를 협박한다. 이렇듯 랜섬웨어 분야는 암시장이 형성됐으며, 산업화 체계를 갖추고 있다. 공격자는 추적을 피하기 위해 토르를 이용하는 등 지능적으로 이용자에게 접근하고 있다. 현 시점에서는 효과적인 대응이 쉽지 않지만, 이러한 협의체를 통해서 좀더 긴밀히 협업하고 방어책을 모색하다 보면 개선될 수 있을 것으로 본다.
7. 악성코드 탐지 우회 등 고도화 공격- 한국인터넷진흥원 임진수 팀장
2015년 대표적인 보안위협으로 악성링크 추가, 삭제 반복을 통한 탐지 우회와 공격 의도 은폐를 위한 악성코드 수시 변경, 고도화된 루트킷을 활용한 공격흔적 삭제 등을 꼽을 수 있다. 공격자는 방문자가 많은 웹사이트를 타깃으로 악성링크를 삽입해 대량의 감염 PC를 확보해 왔다. 최근에는 방문자가 급증하는 특정 시점에만 악성링크를 삽입하고 단시간 내에 링크를 삭제함으로써 방어자를 교란시키고 있다. 또한 악성코드 유포를 위해 영세한 업체 호스팅을 지속적으로 재악용하고, 악성코드 유형을 수시로 변경함으로써 실제 공격 의도를 숨기는 패턴도 등장했다. 공격자는 시간차 공격을 수행하며, 자신의 침입 흔적을 남기지 않기 위해 고도화된 루트킷을 사용하기도 했다.
[김경애 기자(boan3@boannews.com)]
2015 보안위협: 워터링홀, 제로데이, 악성코드 은닉, 랜섬웨어, 공유기, 모바일 위협 등
[보안뉴스 김경애] 사이버위협에 대해 민관이 서로 협업해 연구하고 정보를 공유하는 ‘사이버 위협 인텔리전스 회의’가 한국인터넷진흥원에서 15일 개최됐다. 사이버위협 인텔리전스 회의는 지난해 12월 발족했으며, 보안업체 6곳인 안랩, 이스트소프트, 하우리, 잉카인터넷, 빛스캔, NSHC와 한국인터넷진흥원이 서로 협업하고 정보를 공유하는 협의체다. 특히 이날 회의에는 국방부, 미래부, 대검찰청, 사이버안전국 등 기관 관계자들도 참석해 정보공유에 동참했다.
이날 회의에서 한국인터넷진흥원 백기승 원장은 “ICT 시대에 협업 없이는 사이버공간의 안전을 지키기 어렵다”며 “그동안 민·관이 함께 사이버위협에 대응해 올해 안전수준이 한층 진일보했다. 하지만 앞으로 상황은 더욱 어려워질 수 있기 때문에 사이버위협에 대해서는 국가안보와 국민안전을 위해 최대한 협력해야 한다”고 강조했다.
이어 백 원장은 “현재 보안업계가 어려운 상황인데, 여기 참여한 기업들이 산업·기술 측면에서 서로 도우면서 발전할 수 있는 모임이 될 수 있도록 노력할 것”이라며 “ICT 시대에 정보보호가 더욱 발전할 수 있게 각각의 역량을 가진 전문가들이 협업해주길 바란다”고 당부했다.
이날 회의는 2015년 주요 사이버보안위협 결산과 2016년 사이버보안위협 전망에 대해 각 사별로 발표했으며, 발표내용은 다음과 같다.
1. 루트킷 등 악성코드 은닉 다양화- 잉카인터넷 정영석 이사
2015년 주요 사이버보안위협으로 △루트킷을 통한 악성코드 은닉 △프로세스 확인을 통한 백신탐지 우회 시도 △정상 파일을 악성으로 교체해 백신 치료를 방해하는 기법 등을 꼽을 수 있다. 올해는 공격자들이 악성코드 은닉을 위해 루트킷과 레지스트리 수정 기법을 사용했다. 백신 탐지 우회를 위해 악성코드가 실행중인 프로세스를 확인해 백신 존재 여부를 확인한 후, 커널을 제어할 수 있는 드라이브 파일을 설치하는 행위를 수행했다. 드라이브 파일이 설치될 경우 백신 프로세스 강제 종료 행위를 수행하게 된다. 또한, 백신의 악성파일 치료 방해를 위해 시스템 관련 파일을 악성코드로 교체하는 기법이 다수 확인됐다.
2. 제로데이 등 대규모 악성코드 감염 지능화- 하우리 최상명 CERT 실장
CVE번호를 4자리에서 5자리로 늘려야 할 만큼 올해는 취약점이 많이 나왔다. 플래시 취약점의 경우 2015년에만 16개가 나왔고, 악성코드 유포에 사용된 취약점은 역대 최고를 기록했다. 게다가 대부분 제로데이 취약점이며, APT 공격에 주로 사용했던 제로데이 취약점을 불특정 다수를 감염시키기 위해 이용했다는 점에서 굉장히 우려스러운 상황이다. 특히, 이탈리아 해킹팀 사고로 인해 랜섬웨어 등 대규모로 악성코드에 감염되는 사태가 잇따라 발생했다. 또한, 한글문서 취약점의 경우도 올해 역대 최고로 가장 많이 나왔으며, 한글 2014 버전에서 동작하는 신규 악성코드도 발견됐다. 전 세계에서 많이 이용하는 워드프레스 제로데이 취약점을 악용하는 사례도 확산되고 있는 추세다. 12월만 해도 취약점이 많이 발견됐다.
3. 앱 개발도구 변조 등 모바일 위협 증가- 빛스캔 문일준 대표
iOS 타깃 공격이 본격화될 것으로 예상된다. 애플사 iOS 모바일 기기에서 사용할 수 있는 앱 개발도구(Xcode)가 비공식적 경로로 배포되는 과정에서 변조되는 사고가 발생했다. 변조된 도구를 이용해 앱을 개발할 경우 XcodeGhost라는 악성코드가 자동 추가됐으며, 개발된 앱은 애플사의 코드 검사를 통해 많은 사용자들에게 감염됐다. 또한, 안드로이드 랜섬웨어인 심플로커(Android.Simplocer)의 경우 리패키징된 후 정상적인 앱으로 위장해 유포된 바 있다. 이 외에 안드로이드 운영체제에서 공격자가 보낸 MMS(멀티미디어 메시지)의 웹 링크를 열거나 파일을 다운받지 않고 단순히 수신만 하더라도 안드로이드 기기가 악성코드에 감염되는 미디어 라이브러리 취약점이 발견되기도 했다. 이를 기반으로 iOS 운영체제에서도 해당 취약점을 통한 악성코드 감염 가능성이 있다.
4. 공유기 등 생활형 IoT 보안위협 증가- NSHC 문해은 팀장
올해는 국내 제조사 공유기 22종을 대상으로 공유기를 자동 공격하는 공격도구가 발견됐다. 다행히 한국인터넷진흥원에서 공유기 취약점과 관련해 버그바운티를 진행했으며, 공유기 제조사에 해당 취약점 패치가 전달돼 개선된 상태지만, 아직은 미흡한 실정이다. 이어 해외 홈CCTV, IP 카메라에서는 다수의 보안 취약점과 백도어가 발견됐다. 개인용 CCTV를 해킹해 생중계하는 사례도 발생했다. 이와 함께 블랙햇에서 진행한 자동차 해킹 시연 등으로 자동차 보안위협도 이슈가 됐다. 자동차 해킹위협과 관련해서 크라이슬러는 140만대의 차량을 리콜한 바 있다. 또한, 냉장고, 스마트TV, 다리미, 전자렌지 등 생활형 IoT 장비의 보안위협이 확산됐다. IoT 공격은 금전을 매개로 해서 앞으로 발전할 것으로 보이며, 의료기기 해킹 등 신체 정보를 빼가 금전적 이익을 노리는 행위도 증가할 것으로 예상된다.
5. 워터링홀 기법 등 사이버 위협 공격 지속- 이스트소프트 문종현 부장
워터링홀 공격기법을 통한 정보수집과 탈취한 정보를 활용한 후속 공격이 증가했으며, 공격 대상에 대한 선별적 감염기법이 지능화됐다. 특히, 워터링홀 공격 기법의 경우 특정 웹사이트로 공격 타깃이 한정돼 있다. 국가 중요데이터를 훔쳐내기 위한 목적으로 3, 5, 7, 8월에도 워터링홀 공격이 발견됐다. 주로 군 관련, 대북단체, 탈북단체를 타깃으로 했으며, 최신 취약점과 플래시 취약점이 악용되고 있다. 탐지 회피를 위해 공격자는 특정 시간대만 공격하는 시간차 공격을 하며, 탈취한 정보 중에서 HWP 문서만 뽑아내거나 특정 단어를 포함한 정보를 뽑아내는 등 정보를 필터링해 체계적으로 분류 작업을 하고 있다. 공격방식도 올해는 다양했다. 문제는 시간차 공격의 경우 보안업체가 신고를 받고 방문하면 공격자가 흔적을 지워놓거나 이미 공격에서 빠진 상태라 분석이 어렵다는 점이다.
특히, 스피어피싱 메일 발송경로를 추적해보면 특정인이 이미 악성코드에 감염돼 지인에게 공격하는 형태가 발생하고 있다. 이는 개인이 사용하는 구글, 네이버, 핫메일, 지메일 등 메일을 이용하는 1대 1 공격으로 공격자가 거점을 확보해 대량 공격하는 수법이다. 올해 초부터 최근까지 이러한 이슈가 발생해 많은 관심이 요구되고 있다. 해당 공격의 경우 보안업체의 보안관제가 쉽지 않으며, 아무리 보안 솔루션을 도입을 해도 탐지가 쉽지 않다. 심지어 잠복기만 2~3년인 PC도 있다. 이처럼 올해 워터링홀 공격의 다양화와 제로데이 공격, 행위기반 회피 공격 등 공격기법이 다양화되고 정교화되고 있다. 무엇보다 공격기법 연구와 실제 공격행위에 우수한 인력이 투입되는 등 체계적인 공격 시스템을 갖춘 것이 특징이다.
6. 랜섬웨어의 진화- 안랩 박태환 팀장
국내를 겨냥한 랜섬웨어가 지난 4월 대량 유포된 이후, 랜섬웨어는 지속적으로 업그레이드 버전이 등장하고 있다. 10월 들어서는 크립토월 4.0이 나왔다. 공격형태와 방식도 진화해 그림파일 암호화에서 원래 어떤 파일인지 모르도록 하거나, 파워포인트와 실행파일로 타깃이 확대되고 있다. 모바일은 화면 잠금으로 돈을 보내라고 이용자를 협박한다. 이렇듯 랜섬웨어 분야는 암시장이 형성됐으며, 산업화 체계를 갖추고 있다. 공격자는 추적을 피하기 위해 토르를 이용하는 등 지능적으로 이용자에게 접근하고 있다. 현 시점에서는 효과적인 대응이 쉽지 않지만, 이러한 협의체를 통해서 좀더 긴밀히 협업하고 방어책을 모색하다 보면 개선될 수 있을 것으로 본다.
7. 악성코드 탐지 우회 등 고도화 공격- 한국인터넷진흥원 임진수 팀장
2015년 대표적인 보안위협으로 악성링크 추가, 삭제 반복을 통한 탐지 우회와 공격 의도 은폐를 위한 악성코드 수시 변경, 고도화된 루트킷을 활용한 공격흔적 삭제 등을 꼽을 수 있다. 공격자는 방문자가 많은 웹사이트를 타깃으로 악성링크를 삽입해 대량의 감염 PC를 확보해 왔다. 최근에는 방문자가 급증하는 특정 시점에만 악성링크를 삽입하고 단시간 내에 링크를 삭제함으로써 방어자를 교란시키고 있다. 또한 악성코드 유포를 위해 영세한 업체 호스팅을 지속적으로 재악용하고, 악성코드 유형을 수시로 변경함으로써 실제 공격 의도를 숨기는 패턴도 등장했다. 공격자는 시간차 공격을 수행하며, 자신의 침입 흔적을 남기지 않기 위해 고도화된 루트킷을 사용하기도 했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.JPG)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
