카스퍼스키, 2019년 아·태지역에서 본격적으로 등장하기 시작한 금융 트로이목마 분석
필리핀과 방글라데시, 캄보디아와 베트남 순으로 뱅킹 트로이목마 공격 많아
[보안뉴스 원병철 기자] 세계 디지털 결제 시장을 리딩하는 아·태지역에 2019년부터 뱅킹 트로이목마가 본격적으로 늘고 있다는 분석이 제기됐다. 글로벌 사이버 보안 회사 카스퍼스키는 최근 아·태지역에서 최근 기승을 부리는 뱅킹 악성코드에 대해 설명하고 온라인에서 자산을 안전하게 보호하는 팁을 공유했다
[이미지=utoimage]
2019년 12월 최초로 발발한 코로나 바이러스 팬데믹 이후로 아시아 태평양 지역은 물론 전 세계 사람들의 생활상은 대대적인 변화를 겪었다. 가장 눈에 크게 띄는 변화 중 하나는 아태 지역 디지털 결제 보급률이 크게 증가했다는 점이다. 몇몇 보고서에서 발표된 통계 결과가 이미 이러한 트렌드를 잘 보여주고 있지만, 이러한 변화가 금융 부문의 사이버 보안에 실질적으로 어떤 영향을 미칠 것인지도 생각해보아야 한다.
Kaspersky Security Network(KSN)의 이전 데이터를 분석한 결과, 카스퍼스키의 아·태 연구분석팀장 비탈리 캄룩은 아태 지역에 온라인 결제가 증가하면서 이 지역에 뱅킹 트로이 목마 공격 또한 증가했음을 밝혀냈다.
캄룩은 “COVID-19 이전에도 아태 지역은 디지털 결제 도입의 선두주자였다. 그중에서도 한국을 비롯한 중국과 일본, 인도가 이러한 추세를 선도하고 있습니다. 이번 팬데믹은 디지털 결제 기술이 더욱 널리 보급되는 계기가 되었으며, 특히 극동 아시아와 남아시아 지역의 개발도상국에서 증가세가 더욱 두드러집니다. 이동 제한 조치가 사람들이 온라인으로 금융 거래를 하도록 밀어붙인 셈입니다. 그러나 금융 위협에 대한 카스퍼스키 누적 데이터를 분석해본 결과 2019년 초반부터 아태 지역에 새롭게 창궐한 다른 바이러스도 확인할 수 있었습니다. 바로 뱅킹 트로이목마입니다”라고 설명했다.
▲아·태지역의 뱅킹 트로이목마[자료=카스퍼스키]
뱅킹 트로이목마는 악성 코드 중에서도 가장 위험한 군에 속한다. 간단히 설명하자면, 뱅킹 트로이목마는 사용자의 은행 계좌에서 돈을 훔치는 것이 목적이다. 이 악성 코드의 목적은 온라인 은행 계좌에 대한 ID/암호 또는 일회용 암호를 손에 넣거나, 사용자를 유인해 합법적 소유자로부터 온라인 뱅킹 세션에 대한 제어권을 실시간으로 가로채는 것이다.
온라인 결제 사용량이 증가하고 있고 기기 보안에 대한 소비자 인식이 아직 부족하기 때문에 뱅킹 트로이목마는 일반적인 개인 사용자에게 가장 큰 피해를 입히는 악성 코드에 속한다.
약 10년간의 KSN 누적 데이터를 분석한 결과 한국은 2011년~2012년 동안 아태 지역에서 뱅킹 트로이목마의 피해를 가장 많이 입은 것으로 드러났다. 그러나 2013년 이후부터는 감염 수가 현저하게 줄어들어 현재 아태 지역에서 뱅킹 트로이목마 감염 사건 수가 가장 적은 나라에 속한다. 다른 대부분의 선진국들도 뱅킹 트로이목마 탐지 건수가 적었던 반면, 개발도상국의 경우 2019년 이후로 뱅킹 트로이목마의 공격이 거세진 것으로 보인다.
캄룩은 “2019년까지 상당수의 아태 지역 국가에서 뱅킹 트로이목마는 큰 문제가 아니었는데, 동시에 여러 국가에서 감염 사고가 발생했던 2019년 이후로 뱅킹 트로이목마의 기세가 사그라지지 않고 있습니다. 카스퍼스키의 텔레메트리를 살펴보면 이 악성 코드는 탐지 건수와 감염 지역 범위의 측면 모두 증가세에 있습니다. 디지털 결제 사용자 및 관련 스타트업이 늘고 있는 지금 뱅킹 트로이목마는 이 지역 금융 기관과 개인 사용자 모두에게 큰 위협이 될 것으로 보입니다”라고 덧붙였다.
▲아·태지역의 뱅킹 트로이목마 분포도[자료=카스퍼스키]
2021년 아태 지역 뱅킹 트로이목마의 분포도를 살펴보면 필리핀이 이 지역에서 탐지된 모든 뱅킹 트로이목마의 22.26%를 차지하며 가장 높은 순위를 기록했다. 그 다음으로는 방글라데시(12.91%), 캄보디아(7.16%), 베트남(7.04%), 아프가니스탄(7.02%) 순이었다.
캄룩은 2007년 이후로 공개적으로 보고된 금융 부문 사이버 보안사고 약 300건을 분석해 금융 악성코드 공격자 유형을 다음과 같이 분류했다.
·국가의 지원을 받지 않는 공격자(사이버 범죄자): 개인적인 이득이나 불법적인 수익을 노리는 개인이나 범죄자 집단. 주로 중요한 결제 처리 시스템, ATM 네트워크에 무단으로 접근하는 수법을 사용하지만 DDoS나 랜섬웨어 공격 후에 협박을 하는 수법도 사용한다. 이러한 공격을 받을 경우 비즈니스 운영에 차질을 빚거나 돈을 잃는 피해를 입을 수 있다.
·국가 지원 공격자: 조직적이며 숙련된 해커들로 구성되어 있으며 급여를 받는 경우가 많다. 이들의 업무는 다른 국가의 중요한 네트워크에 은밀하게 침입하여 상대방의 중요한 자산을 파악하고 악성 백도어를 설치하는 것이며 경우에 따라 대규모의 금융 기관 공격을 감행하기도 한다.
·내부자: 이 유형의 공격자들은 주로 기업의 지적 재산을 훔친다. 훔친 지적 재산은 대개 개인적인 수익을 위해 판매하거나 이들을 고용한 국가에서 원하는 목적을 달성하는 데 사용된다.
·복합형: 위에 설명한 모든 유형이 합쳐진 형태.
·알 수 없음: 이 자체로는 공격자 유형이라고 할 수 없으며, 공격의 배후가 드러나지 않은 모든 사례를 포함한다.
캄룩은 “알 수 없음 유형의 비중은 시간이 갈수록 증가하고 있는데, 이는 위험한 징후입니다. 공격은 점점 증가하는 데 금융 기관 공격의 배후를 밝히기는 더욱 어려워지고 있어 걱정스럽습니다. 2020년 공격의 배후를 알 수 없고 확인되지 않은 공격은 전체의 60%를 차지했습니다. 그러나 올해는 최대 75%로 늘어날 것으로 전망됩니다”라고 밝혔다.
알려진 사이버 범죄자 및 알 수 없는 사이버 범죄자의 공격으로부터 기업과 개인을 보호하기 위해 캄룩은 다음과 같이 권고를 제시한다.
△금융 기관 및 기업을 위한 일반적인 권고:
·믿을 수 있는 업체를 통해 경계 보안을 철저히 한다.
·사이버 보안 드릴을 실행하여 보안 탐지 및 대응 전략을 철저히 테스트하고 점검한다.
·공급망 소프트웨어를 검증한다.
·최신 보안 동향 및 공격 관련 뉴스를 모니터링한다.
·직원들이 의심스러운 개체나 징후, 연락을 보고하도록 장려한다.
△개인 사용자를 위한 권고:
·정기적으로 소프트웨어를 업데이트한다.
·보안 소프트웨어 알림에 주의를 기울인다.
·메일이나 메시지를 주고받을 때 신중한 태도를 취한다.
·복잡한 암호 및 2단계 인증을 사용한다.
·하드웨어 디지털 지갑을 사용하고 보안 절차를 충실히 이행한다.
·기기 및 스마트폰에 믿을 수 있는 보안 솔루션을 설치한다.
[원병철 기자(boanone@boannews.com)]
필리핀과 방글라데시, 캄보디아와 베트남 순으로 뱅킹 트로이목마 공격 많아
[보안뉴스 원병철 기자] 세계 디지털 결제 시장을 리딩하는 아·태지역에 2019년부터 뱅킹 트로이목마가 본격적으로 늘고 있다는 분석이 제기됐다. 글로벌 사이버 보안 회사 카스퍼스키는 최근 아·태지역에서 최근 기승을 부리는 뱅킹 악성코드에 대해 설명하고 온라인에서 자산을 안전하게 보호하는 팁을 공유했다
[이미지=utoimage]
2019년 12월 최초로 발발한 코로나 바이러스 팬데믹 이후로 아시아 태평양 지역은 물론 전 세계 사람들의 생활상은 대대적인 변화를 겪었다. 가장 눈에 크게 띄는 변화 중 하나는 아태 지역 디지털 결제 보급률이 크게 증가했다는 점이다. 몇몇 보고서에서 발표된 통계 결과가 이미 이러한 트렌드를 잘 보여주고 있지만, 이러한 변화가 금융 부문의 사이버 보안에 실질적으로 어떤 영향을 미칠 것인지도 생각해보아야 한다.
Kaspersky Security Network(KSN)의 이전 데이터를 분석한 결과, 카스퍼스키의 아·태 연구분석팀장 비탈리 캄룩은 아태 지역에 온라인 결제가 증가하면서 이 지역에 뱅킹 트로이 목마 공격 또한 증가했음을 밝혀냈다.
캄룩은 “COVID-19 이전에도 아태 지역은 디지털 결제 도입의 선두주자였다. 그중에서도 한국을 비롯한 중국과 일본, 인도가 이러한 추세를 선도하고 있습니다. 이번 팬데믹은 디지털 결제 기술이 더욱 널리 보급되는 계기가 되었으며, 특히 극동 아시아와 남아시아 지역의 개발도상국에서 증가세가 더욱 두드러집니다. 이동 제한 조치가 사람들이 온라인으로 금융 거래를 하도록 밀어붙인 셈입니다. 그러나 금융 위협에 대한 카스퍼스키 누적 데이터를 분석해본 결과 2019년 초반부터 아태 지역에 새롭게 창궐한 다른 바이러스도 확인할 수 있었습니다. 바로 뱅킹 트로이목마입니다”라고 설명했다.
▲아·태지역의 뱅킹 트로이목마[자료=카스퍼스키]
뱅킹 트로이목마는 악성 코드 중에서도 가장 위험한 군에 속한다. 간단히 설명하자면, 뱅킹 트로이목마는 사용자의 은행 계좌에서 돈을 훔치는 것이 목적이다. 이 악성 코드의 목적은 온라인 은행 계좌에 대한 ID/암호 또는 일회용 암호를 손에 넣거나, 사용자를 유인해 합법적 소유자로부터 온라인 뱅킹 세션에 대한 제어권을 실시간으로 가로채는 것이다.
온라인 결제 사용량이 증가하고 있고 기기 보안에 대한 소비자 인식이 아직 부족하기 때문에 뱅킹 트로이목마는 일반적인 개인 사용자에게 가장 큰 피해를 입히는 악성 코드에 속한다.
약 10년간의 KSN 누적 데이터를 분석한 결과 한국은 2011년~2012년 동안 아태 지역에서 뱅킹 트로이목마의 피해를 가장 많이 입은 것으로 드러났다. 그러나 2013년 이후부터는 감염 수가 현저하게 줄어들어 현재 아태 지역에서 뱅킹 트로이목마 감염 사건 수가 가장 적은 나라에 속한다. 다른 대부분의 선진국들도 뱅킹 트로이목마 탐지 건수가 적었던 반면, 개발도상국의 경우 2019년 이후로 뱅킹 트로이목마의 공격이 거세진 것으로 보인다.
캄룩은 “2019년까지 상당수의 아태 지역 국가에서 뱅킹 트로이목마는 큰 문제가 아니었는데, 동시에 여러 국가에서 감염 사고가 발생했던 2019년 이후로 뱅킹 트로이목마의 기세가 사그라지지 않고 있습니다. 카스퍼스키의 텔레메트리를 살펴보면 이 악성 코드는 탐지 건수와 감염 지역 범위의 측면 모두 증가세에 있습니다. 디지털 결제 사용자 및 관련 스타트업이 늘고 있는 지금 뱅킹 트로이목마는 이 지역 금융 기관과 개인 사용자 모두에게 큰 위협이 될 것으로 보입니다”라고 덧붙였다.
▲아·태지역의 뱅킹 트로이목마 분포도[자료=카스퍼스키]
2021년 아태 지역 뱅킹 트로이목마의 분포도를 살펴보면 필리핀이 이 지역에서 탐지된 모든 뱅킹 트로이목마의 22.26%를 차지하며 가장 높은 순위를 기록했다. 그 다음으로는 방글라데시(12.91%), 캄보디아(7.16%), 베트남(7.04%), 아프가니스탄(7.02%) 순이었다.
캄룩은 2007년 이후로 공개적으로 보고된 금융 부문 사이버 보안사고 약 300건을 분석해 금융 악성코드 공격자 유형을 다음과 같이 분류했다.
·국가의 지원을 받지 않는 공격자(사이버 범죄자): 개인적인 이득이나 불법적인 수익을 노리는 개인이나 범죄자 집단. 주로 중요한 결제 처리 시스템, ATM 네트워크에 무단으로 접근하는 수법을 사용하지만 DDoS나 랜섬웨어 공격 후에 협박을 하는 수법도 사용한다. 이러한 공격을 받을 경우 비즈니스 운영에 차질을 빚거나 돈을 잃는 피해를 입을 수 있다.
·국가 지원 공격자: 조직적이며 숙련된 해커들로 구성되어 있으며 급여를 받는 경우가 많다. 이들의 업무는 다른 국가의 중요한 네트워크에 은밀하게 침입하여 상대방의 중요한 자산을 파악하고 악성 백도어를 설치하는 것이며 경우에 따라 대규모의 금융 기관 공격을 감행하기도 한다.
·내부자: 이 유형의 공격자들은 주로 기업의 지적 재산을 훔친다. 훔친 지적 재산은 대개 개인적인 수익을 위해 판매하거나 이들을 고용한 국가에서 원하는 목적을 달성하는 데 사용된다.
·복합형: 위에 설명한 모든 유형이 합쳐진 형태.
·알 수 없음: 이 자체로는 공격자 유형이라고 할 수 없으며, 공격의 배후가 드러나지 않은 모든 사례를 포함한다.
캄룩은 “알 수 없음 유형의 비중은 시간이 갈수록 증가하고 있는데, 이는 위험한 징후입니다. 공격은 점점 증가하는 데 금융 기관 공격의 배후를 밝히기는 더욱 어려워지고 있어 걱정스럽습니다. 2020년 공격의 배후를 알 수 없고 확인되지 않은 공격은 전체의 60%를 차지했습니다. 그러나 올해는 최대 75%로 늘어날 것으로 전망됩니다”라고 밝혔다.
알려진 사이버 범죄자 및 알 수 없는 사이버 범죄자의 공격으로부터 기업과 개인을 보호하기 위해 캄룩은 다음과 같이 권고를 제시한다.
△금융 기관 및 기업을 위한 일반적인 권고:
·믿을 수 있는 업체를 통해 경계 보안을 철저히 한다.
·사이버 보안 드릴을 실행하여 보안 탐지 및 대응 전략을 철저히 테스트하고 점검한다.
·공급망 소프트웨어를 검증한다.
·최신 보안 동향 및 공격 관련 뉴스를 모니터링한다.
·직원들이 의심스러운 개체나 징후, 연락을 보고하도록 장려한다.
△개인 사용자를 위한 권고:
·정기적으로 소프트웨어를 업데이트한다.
·보안 소프트웨어 알림에 주의를 기울인다.
·메일이나 메시지를 주고받을 때 신중한 태도를 취한다.
·복잡한 암호 및 2단계 인증을 사용한다.
·하드웨어 디지털 지갑을 사용하고 보안 절차를 충실히 이행한다.
·기기 및 스마트폰에 믿을 수 있는 보안 솔루션을 설치한다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
