지난 해 우리나라를 방문한 커스터마이제이션 대가인 프랭크 필러 교수는 인더스트리4.0(Industry 4.0)의 핵심으로 ‘플랫폼을 바탕으로 한 고객의 니즈를 반영한 맞춤 생산과 생태계 조성’을 꼽았다. 현재 우리나라를 비롯해 세계 각국이 인더스트리4.0 시대를 준비하느라 여념이 없다. 그런데 지난 해 이러한 변화가 발 빠르게 진행된 곳이 있다. 바로 사이버 암시장이다. 다크웹(Dark Web) 등 사이버 암시장은 보안 위협의 생산과 구매의 안정적인 생태계를 조성했고, 랜섬웨어 서비스 등을 통해 자금력을 확보한 사이버 범죄 조직들은 맞춤형 보안 위협을 생산 및 관리하는 서비스를 제공하는 플랫폼을 마련하기에 이르렀다.
2018년에는 사이버 범죄 조직들이 더욱 체계화•조직화되면서 보안 위협이 새로운 국면으로 접어들 것으로 보인다. 안랩 보안 전문가들이 예측한 2018년 보안 위협 전망을 살펴보자.
사이버 범죄의 서비스화: 플랫폼 기반의 보안 위협 맞춤 생산
랜섬웨어 위협이 본격화된 것은 2016년이라면, 2017년은 랜섬웨어가 극적으로 변화한 해라 할 수 있다. 연초부터 전 세계에 걸쳐 대규모 피해를 야기한 랜섬웨어가 등장한 것은 물론 수많은 변종이 과거와는 비교할 수 없는 속도로 연달아 나타났다. 이러한 극적 변화의 가장 큰 동력은 랜섬웨어 제작 및 유포 서비스(Ransomware-as-aService, 이하 RaaS)이다. RaaS가 사이버 암시장에 안정적으로 자리잡으면서 전문적인 IT 지식 없이도 비교적 쉽게 랜섬웨어 공격을 할 수 있게 됐으며, 하루가 멀다 하고 신•변종 랜섬웨어가 쏟아져 나오는 실정이다.
RaaS가 성공적인(?) 비즈니스 모델로 자리잡으면서 RaaS를 넘어 ‘사이버 범죄의 서비스화(Crime-as-aService, 이하 CaaS)’가 현실화되고 있다. CaaS의 가장 큰 특징은 사이버 범죄 조직이 마치 기업과 같이 개발, 판매, 유통, 그리고 마케팅까지 세분화된 형태를 갖추고 있다는 것으로, 사이버 범죄의 대중화를 가져올 플랫폼이라 해도 과언이 아니다. 2018년에는 이러한 기업형 사이버 범죄 조직의 증가로, CaaS가 활성화•본격화되면서 신•변종 랜섬웨어뿐만 아니라 보안이 취약한 가상화폐(암호화폐) 거래소 공격 등 금전을 노린 공격이 더욱 증가할 것으로 보인다.
타깃 공격의 새로운 트렌드 ‘공급망 공격’의 증가
지난 해 여러 차례 성공한 바 있는 공급망 공격(Supply Chain Attack)이 2018년에도 계속될 전망이다.
공급망 공격은 기업이나 기관에서 사용하는 제품 또는 서비스의 공급 과정에 악성코드를 유입시키는 방식이다. 대부분의 기업 및 기관이 이메일이나 웹 사이트 등 외부에서 유입되는 파일에 대해서는 민감하게 대응하지만 기존에 사용하고 있던 프로그램 및 관련 파일에 대해서는 신뢰하기 쉽다는 점을 노린 것이다. 공격자 입장에서는 다양한 보안 체계를 갖추고 있는 기업이나 기관을 직접 공격하는 것보다 공격 대상이 신뢰하는 대상을 이용하는 우회적인 방법이 더 수월할 수 있다. 게다가 이를 통해 공격 대상의 내부로 침입해 네트워크 상의 시스템까지 장악할 수도 있기 때문에 더 큰 효과를 얻을 수 있다.
따라서 프로그램 제조사 및 서비스 제공 업체의 악성코드 감염 예방 노력이 그 어느 때 보다 중요하다. 기업 및 기관에서도 내부에서 사용 중인 프로그램 또는 서비스에 대해 지속적으로 검증하고 관리하는 노력이 필요하다.
문서 파일을 이용한 공격의 고도화와 파일리스 공격
수년 전부터 .exe와 같은 실행(PE) 파일 형태의 악성코드 외에 워드, 엑셀 등 MS 오피스 문서나 한글 파일과 같은 비실행(non-PE) 파일을 이용한 악성코드가 지속적으로 늘어나고 있다. 백신 등 보안 솔루션의 탐지를 피하기 위한 공격자들의 노력이다. 비실행 파일을 이용한 공격은 올해 더욱 고도화될 것으로 전망된다.
지금까지는 주로 악성 비주얼 베이직(Visual Basic) 매크로 코드를 삽입한 형태였던 반면, 최근 XML 내 코드 실행, DDE 기능 또는 문서 내 개체 삽입 등을 이용해 악성코드를 실행하는 방식이 늘어나고 있다. 최종적으로 악성행위를 수행하는 파일 또한 기존과 같이 시스템에 존재하는 형태보다는 프로세스 메모리에 인젝션되어 동작하는 파일리스(Fileless) 방식이 증가할 것으로 예상된다.
공격 대상 플랫폼•디바이스의 다변화
최신 보안 위협 동향에 민감한 보안 관계자라면 더 이상 리눅스(Linux)를 안전한 운영체제라고 말하지 않을 것이다. 여전히 윈도우에 비해 상대적으로 악성코드 위협이 적은 운영체제라고 할 수 있지만, 이 또한 지금까지의 얘기일 뿐이다. 리눅스 시스템에서 동작하는 악성코드의 숫자뿐만 아니라 종류도 증가하고 있기 때문이다.
지난 해 국내 웹 호스팅 업체와 대형 IDC 업체의 리눅스 서버가 랜섬웨어에 감염돼 대규모 피해를 입은 바 있다. 또 최근에는 리눅스 시스템에서 가상화폐를 채굴하는 악성코드까지 등장했다. 안랩 시큐리티대응센터가 2017년 1월부터 11월 말까지 국내에서 탐지한 리눅스 악성코드는 327개에 달한다.
리눅스와 마찬가지로 한때 안전하다고 여겨졌던 맥OS(macOS)를 노리는 악성코드도 지속적으로 증가하고 있다. 2018년에는 윈도우뿐만 아니라 리눅스, 맥OS, 그리고 안드로이드 운영체제를 노리는 악성코드가 지속적으로 증가할 전망이다. 이는 곧 리눅스나 안드로이드 운영체제를 사용하는 스마트 디바이스, IoT 기기 또한 보안 위협에 노출될 수 있다는 의미다.
로봇청소기, IP 카메라, 스마트 냉장고 등 IoT 기기가 보편화됨에 따라 언제든 이를 노리는 악성코드가 등장할 가능성이 있다. 지난 해 안랩 시큐리티대응센터가 탐지한 리눅스 악성코드 중 하나인 미라이(Linux/Mirai) 악성코드는 대표적인 IoT 기기 관련 악성코드다.
웨어러블 디바이스 등 대부분의 IoT 기기는 상대적으로 보안이 취약하고 관리가 잘 이루어지지 않는다. 모바일 기기뿐만 아니라 인터넷 연결이 가능한 웨어러블 디바이스, 가정용 IoT 기기 등의 보안 위협 대응 방안을 모색해야 하는 시점이다.
모바일 악성코드 유포 경로의 다양화
2018년에는 모바일 악성코드 유포 경로가 더욱 다각화될 것으로 전망된다. 나날이 증가하는 모바일 악성코드에 의한 피해를 최소화하기 위한 기업 및 기관의 노력으로 최근 스마트폰 사용자의 보안 인식 등이 강화되고 있다.
이에 따라 공격자들은 모바일 환경에 침입하기 위한 다양한 공격 방식을 꾸준히 개발하고 있다. 특히 최근에는 주요 공식 마켓에 악성 앱을 등록하기 위해 OS 제공 업체의 보안 검사 기법을 우회하는 방식도 지속적으로 등장하고 있다.
이러한 추세는 2018년에도 이어져 스미싱, 악성 이메일, 유명 앱 사칭 등 기존 방식과 더불어 안드로이드 공식 앱 마켓에 악성코드를 포함한 앱을 직접 등록하는 등 다양한 방식으로 모바일 악성코드를 유포하는 경로를 확대할 것으로 보인다.