파이어아이, 국내 사이버 공격 현황 및 랜섬웨어 트렌드 발표

2016년 04월 14일 - 지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.kr)가 14일 삼성동에 위치한 코엑스 인터컨티넨탈 호텔에서 미디어 라운드테이블을 열고, 국내 사이버 공격 트렌드를 발표했다. 이 자리에는 그레디 서머스 파이어아이 CTO가 참여해 국내 기관을 타깃으로 한 사이버 공격 현황 및 랜섬웨어 공격 트렌드에 대해서 소개하고, 이에 대응하기 위한 보안 전략을 제시했다.

한국의 지능형 사이버 공격 노출률
파이어아이에 따르면, 2015년 하반기 동안 국내 기관 중 38%가 지능형 사이버 공격의 타깃이 됐다. 이 수치는 전 세계 평균의 두 배에 달하는 수치로, 미국 평균의 세 배에 육박한다.

한국을 표적으로 하는 위협 그룹
2015년 1월부터, 파이어아이는 한국의 클라이언트(서버에 연결된 컴퓨터)를 대상으로 한 악성코드를 발견했으며, 이는 13개의 APT 그룹과 관련이 있었다. 또한, 이와 더불어 APT로 분류되지 않은 20개의 또 다른 그룹과 연관된 악성코드를 탐지했다.

13개의 APT그룹 중 하나인 APT30은 중국을 기반으로 하며, 10년이 넘는 기간 동안 활발하게 사이버 공격을 감행하고 있다. APT30은 국내 기관들을 포함해 다양한 지역의 조직들을 타깃으로 하고 있으며, 내부적으로 긴밀히 협력이 가능하도록 잘 조직화된 그룹이다.

사이버 공격에 표적이 된 산업
사이버 공격에 표적이 된 국내 산업은 국내 경제에 핵심적인 역할을 하는 산업들이었다. 한국은 전세계에서 인터넷이 가장 많이 보급된 나라 중 하나로, 이 같은 특성은 공격 그룹들로 하여금 타깃 조직들에 쉽게 접근할 수 있도록 했다. 사이버 공격에 주 타깃이 된 조직은 아래의 산업에 속해있는 것으로 나타났다.

  • 정부기관
  • 첨단 기술 산업
  • 통신업
  • 조선업
  • 건설 및 엔지니어링 산업
  • 항공우주산업 및 방위산업

또한, 한국의 발전된 기술 역량은 중국 기반 지능형 위협 조직들의 주요 관심사로, 그들은 사이버 공격을 통해 한국의 발전된 기술을 확보해 중국의 첨단 기술 산업과 통신업 등 핵심 산업에 공급하려고 시도하고 있다.

파이어아이는 남북한 긴장 상황에서 북한 기반 지능형 위협 조직이 비즈니스 방해형 공격을 통해 한국 대상 사이버 공격을 감행한 것으로 추측하고 있다. 북한 정부는 방해형 혹은 파괴형 사이버 공격과 같은 형태의 사이버 정보전을 군사 전략의 핵심 요소로 여기고 있는 것으로 짐작할 수 있다.

랜섬웨어 활동 현황
파이어아이에 따르면, 랜섬웨어 활동은 다양한 악성코드를 이용해 전세계 기관들에게 영향을 미치고 있으며, 랜섬웨어 이용 공격 역시 지속적으로 급격하게 증가하고 있다. 랜섬웨어는 랜섬웨어에 의한 대규모 침해 사례들을 통해 사이버 위협 조직들 사이에서 유명세를 탔다.

지하경제에서 랜섬웨어는 상품화 단계에 있으며, 모든 공격자들이 이용할 수 있는 다양한 종류로 제공되고 있다. 랜섬웨어는 종종 제휴모델을 통해서 공급되는데, 제휴모델을 통해서 공격자는 저렴한 가격 혹은 심지어 무료로 개발자로부터 랜섬웨어 페이로드를 공급받을 수 있다. 이 같은 제휴모델은 ‘서비스형 랜섬웨어(RaaS: ransomware as a service)’라고도 불린다. 제휴모델을 통해 공급된 페이로드는 개발자로 하여금 공격자가 피해자로부터 받는 몸값(ransom)에서 얻는 수익의 일부를 취할 수 있도록 설계됐다. 이러한 제휴모델은 낮은 진입장벽으로 인해 랜섬웨어가 빠르게 유포될 수 있도록 지원하고 있다.

랜섬웨어 거래 시장은 기존에 악성코드 개발자들이 업그레이드된 페이로드 공급을 조건으로 공격자들의 수익을 일부 취하는 제휴 네트워크 형태에서 원스톱숍(one-stop shops) 방식으로 발전하고 있다. 원스톱숍은 익명 네트워크인 토르 네트워크를 서비스 거래 플랫폼으로 이용해 랜섬웨어 개발자들은 공격자들에게 맞춤화된 서비스를 제공하고, 공격자들은 주문 제작한 랜섬웨어 페이로드를 공급받고 개발자들에게 일정 비율의 수수료(percentage fee)를 지급하는 방식이다.

랜섬웨어 공격 타깃
유포 단계에서의 랜섬웨어는 피해자가 어떤 대응을 할 수 있건, 어떤 산업이 공격에 영향을 받건, 개인 혹은 사업이 공격에 영향 받건 등과 상관 없이 무차별적으로 유포 대상을 감염시킨다. 또한, 공격자는 공격시 대상을 타깃 국가의 위치 등과 같이 방대한 공격 조건을 설정해 공격을 감행한다. 이러한 트렌드는 모든 기관들이 랜섬웨어 공격으로 인해 운영 상의 현저한 방해 혹은 데이터 파괴 등의 위험에 처할 수 있다는 것을 의미한다.

현재 랜섬웨어 공격은 주로 윈도우 운영체제를 이용하는 기기를 대상으로 하고 있으며, 안드로이드 기기 역시 주요 타깃이다. 파이어아이는 윈도우와 안드로이드 외에도 다른 운영체제를 타깃하는 랜섬웨어 사례 역시 포착했지만, 영향 받는 시스템의 종류는 느리게 증가했다.

랜섬웨어 공격 트렌드
파이어아이에 따르면, 랜섬웨어 공격의 최신 트렌드는 공격자가 네트워크에 몰래 잠입해 권한 확보, 핵심 시스템 판별, 백업 데이터 삭제 후, 관리자 계정을 이용해 액티브 디렉토리(Active Directory) 환경에 접근 해 랜섬웨어를 네트워크에 유포하는 패턴이다. 이러한 방법은 전체 네트워크를 파괴하지 않았던 기존의 무차별적 랜섬웨어 공격과 상반되는 것이다.

[그래프2] 2015년 8월-2016년 3월까지 랜섬웨어 탐지 내역

랜섬웨어 공격의 급증은 사이버 범죄자들의 지하 경제에서 이루어지는 새로운 랜섬웨어종 도입 혹은 새로운 랜섬웨어 변종의 유포 그리고 OS X와 같은 또 다른 운영체제나 디바이스 플랫폼 공격 시도와 관련 있을 수 있다.

파이어아이는 랜섬웨어 활동이 2차례 독일의 병원 공격 및 LA 소재 헐리우드 장로 병원(Hollywood Presbyterian Medical Center)과 같이 성공적인 공격 사례가 증가함에 따라 더 많은 사이버 범죄자들을 유혹할 것으로 예측하고 있다.

그레디 서머스 파이어아이 CTO는 “많은 한국 기관들이 국가의 지원을 받는 APT조직의 표적이 되고 있지만, 한국의 조직들은 아직까지 사이버 보안에 있어 방어에만 치중하는 전략을 취하고 있다. 더 이상 방어만으로 조직화된 사이버 군대의 공격에 대응하는 것은 불가능하다는 것을 깨달아야 할 때”라며 “지능화되는 사이버 공격에 효과적으로 대응하기 위해서는 공격 전, 공격 당시, 그리고 공격 후 모든 단계에서 조직을 보호할 수 있는 보안 전략이 필요한 시점”이라고 전했다.

참고자료

###

파이어아이에 대하여
파이어아이는 사이버 공격 방어에 특화된 가상 머신(MVX) 기반의 보안 플랫폼을 개발한 보안솔루션 업체로, 지능형 지속위협(APT), 제로데이와 같이 기업과 정부 기관을 대상으로 발생하는 차세대 위협에 대응하는 실시간 위협 탐지 보안 솔루션을 제공하고 있다. 파이어아이의 보안 솔루션은 시그니처 기반의 방화벽, IPS, 안티바이러스 및 웹 게이트웨이가 탐지 할 수 없는 제로데이 공격이나 변종 공격을 행위 기반 분석을 통해 효율적으로 탐지하고 차단한다. 파이어아이의 위협 차단 플랫폼은 위협으로부터의 보호를 위해 시그니처 사용 없이 주요 위협 벡터 및 각기 다른 단계의 공격 실행 주기에 걸친 실시간의 역동적인 위협 방어 솔루션을 제공한다. 파이어아이 플랫폼의 핵심은 사이버 공격을 실시간으로 차단하기 위해 역동적인 위협 인텔리전스에 의해 보완된 가상 실행 엔진이다. 파이어아이의 솔루션은 전세계 67개 국가에 걸쳐 포브스 선정 글로벌 기업 2000개 중 680개 기업을 포함한 4,400개 기업에서 사용 중이다. 보다 자세한 사항은 www.fireeye.kr 에서 확인 할 수 있다.

 

자료 문의

파이어아이 코리아         김세라 이사 / 02-559-0726 / sera.kim@fireeye.com

민커뮤니케이션                     대표메일 fireeye@mincomm.com

정민아 실장 / 010-6282-0677 / mina@mincomm.com

김준경 이사 / 010-7176-5424 / joon@mincomm.com

정유림 A.E / 010-9914-5529 / yurim@mincomm.com