닫기

2018년 사이버 위협 최대 화두는?

랜섬웨어보다 더 무서운 익스플로잇

2017년에 가장 주목받은 사이버 공격은 ‘랜섬웨어’와 ‘가상화폐 해킹’ 이다. 지난 12월 8일 과학기술정통부 주관으로 한국인터넷진흥원을 포함한 보안 기업들이 2018년 7대 사이버 공격 전망을 발표했다. 그 중 랜섬웨어와 가상화폐 해킹이 포함돼 있었다.

랜섬웨어는 사용자가 자신의 시스템에 접근을 인질로 삼는 공격이다. 사용자는 해커에게 금전 대가를 지급하기 전까지 해당 시스템에 접근할 수 없다. 2017년 상반기에 랜섬웨어가 큰 주목을 받은 이유는 워너크라이와 패트야 때문이다. 작년 5월 워너크라이로 인해 150개국의 30만대 기기가 랜섬웨어 피해를 보았고, 이어 7월에는 패트야로 2,000여 기관이 피해를 보았다.

가상화폐 해킹도 큰 이슈였다. 가상화폐 시세가 급등하면서, 이를 노리는 해킹이 급증한 것이다. 비트코인의 경우, 2017년 한 해 동안 시세가 20배 이상 폭증했다. 1월 시세는 100만 원가량이었는데 12월에는 2,000만 원을 넘어선 것이다. 가상화폐 지갑을 노리거나, 개인기기를 가상화폐 채굴로 이용하는 공격이 많았다.

랜섬웨어와 가상화폐 해킹은 사이버 공격 패러다임을 변화시키고 있다. 개인을 대상으로 한 사이버 공격이 많아질 것이라는 의미이다. 기존에는 특정 기관을 대상으로 한 사이버 공격이 많았다. 해킹의 가장 큰 목적은 ‘금전 이득’인데, 개인 대상으로는 이를 달성하기에 충분치 않았기 때문이다. 그러다 보니 공격 수법도 정교했다. 지능형 지속 공격 (APT – Advanced Persistent Threat)은 특정 대상을 목표로 장기간에 걸쳐서 가하는 사이버 공격이다. 특정 대상의 관련 정보 수집은 물론이고, 여러 해커가 모여서 침투 방법을 끊임없이 논의한다.

그런데 랜섬웨어와 가상화폐 해킹은 개인을 대상으로도 금전 이익을 충분히 얻을 수 있게 한다. 랜섬웨어의 경우, 개인의 컴퓨터와 데이터를 인질로 금전적인 대가를 요구해서 이익을 얻을 수 있다. 가상화폐의 경우, 개인 가상화폐 지갑을 탈취하거나 기기를 채굴로 활용해서 금전 이익을 얻을 수 있다. 정리하면, 랜섬웨어와 가상화폐 등장으로 개인 대상으로 한 해킹이 늘어나고 있다.

개인의 보안 수준은 기관과 비교했을 때 상당히 낮다. 대규모 보안 장비를 갖춰서 사내 네트워크를 보호하는 기관과 달리, 개인은 고작해야 기기에 설치한 백신이 전부이다. 그러므로 개인 대상 시스템 침투 시에는 정교한 사이버 공격 수법이 필요 없다. 단지, 악성코드를 가장 많이 감염시킬 방법이 최선의 전략이다. 많이 감염시킬수록, 얻을 수 있는 금전 이익이 더 커지기 때문이다.

이러한 전략에 가장 적합한 공격 수법은 ‘익스플로잇 (Exploit)’이라고 할 수 있다. 익스플로잇은 시스템 취약점을 악용해서 사이버 공격을 감행하는 수법이다. 개인 대상 공격이 많아질 것으로 예상하기 때문에, 악성코드 배포가 쉬운 ‘익스플로잇’이 2018년 최대 사이버 위협이 될 것으로 전망한다. 엄밀히 말해서 익스플로잇이 없으면, 랜섬웨어와 가상화폐 해킹은 위협적이지 않기 때문이다.

2017년 상반기에는 랜섬웨어가 주목을 받았다. ⓒ Flickr

2017년 상반기에는 랜섬웨어가 주목을 받았다. ⓒ Flickr

악성코드 배포 창구 역할을 하는 ‘익스플로잇’

보안 전문회사 ‘팔로알토 (PaloAlto)’는 익스플로잇이 악성코드 배포에 가장 효과적인 공격 수법이라고 언급했다. 악성 파일을 첨부한 스팸메일을 전달하더라도, 수신인은 이를 열어보는 경우가 잘 없기 때문이다. 반면 익스플로잇의 경우, 시스템의 취약점으로 악성코드를 몰래 삽입할 수 있기 때문에 본인이 모르는 사이에 악성코드에 감염이 될 수 있다. 스팸메일 방식과 비교만 해도, 익스플로잇의 악성코드 감염 성공률이 더 높은 것으로 추론할 수 있다.

그렇다면 익스플로잇은 도대체 어떤 방식의 해킹 수법일까? 보안 종사자 사이에서도 익스플로잇 개념을 악성코드와 혼동하는 경우가 많은데, 익스플로잇 개념을 구체적으로 살펴보자.

익스플로잇은 시스템 취약점을 악용해서 악성코드를 배포하는 수법이다. 익스플로잇 코드 자체가 시스템에 악영향을 미치는 것은 아닌 셈이다. 반면 악성코드는 자체적으로 시스템에 악영향을 끼치도록 고안된 코드이다. 랜섬웨어가 악성코드 유형에 속한다고 할 수 있다.

예를 들어 서버에 “PUT” 함수를 넣을 수 있는 취약점이 발견됐다고 가정하자. PUT 함수는 특정 파일을 서버에 자동으로 설치하게 하는 기능을 한다. 해커는 이를 악용해서 악성코드를 서버에 삽입할 수 있다. PUT 함수 자체가 서버에 악영향을 끼치는 것은 아니기 때문에, 악성코드는 아니다. 다만 취약점을 악용해서 악성코드를 배포하는 역할을 하므로 익스플로잇이 되는 것이다.

드라이브 바이 다운로드 (Drive By Download)는 웹 사이트 취약점을 이용해서 악성코드를 배포하는 방법이다. 이 또한 익스플로잇의 일종이다. 해커는 사이트 취약점을 악용해서 악성코드를 방문자가 자동으로 다운로드 받을 수 있게 해킹하면, 해당 사이트 방문자는 본인도 모르게 악성코드에 감염된다.

‘익스플로잇’이 삽입된 화면. ⓒ Flickr

‘익스플로잇’이 삽입된 화면. ⓒ Flickr

랜섬웨어와 가상화폐 해킹은 표면적인 위협일 뿐이야!

시스템 취약점이 업데이트되지 않는 이상, 익스플로잇에 속수무책으로 당할 수밖에 없다. 따라서 위협적이라고 할 수 있다. 엄밀히 말해서 2017년 랜섬웨어가 화두가 된 이유는 ‘익스플로잇’ 때문이라고 할 수 있다.

랜섬웨어는 2017년 이전부터 계속 있었던 악성코드이다. 그런데 악성코드 침투 방식을 ‘익스플로잇’으로 바꿔서 2017년에 랜섬웨어가 큰 화두가 됐다고 말할 수 있다. 기존 랜섬웨어 감염 방식은 메일이었다. 공격 자체가 위협적이기는 했으나, 피해 사례는 많지 않았다. 대량으로 스팸메일을 보내어도, 사람들은 이를 열어보는 사람은 잘 없기 때문이다.

그러나 2017년 상반기에 수많은 기기가 랜섬웨어에 감염됐다. 윈도우 운영체계 취약점을 악용한 ‘익스플로잇’ 때문인데, 공유 폴더에 사용자도 모르는 사이에 랜섬웨어가 설치된 것이다.

가상화폐 해킹도 마찬가지이다. 드라이브 바이 다운로드 방식으로, 사용자 몰래 악성코드를 심을 수 있다. 그리고 이를 악용해서 가상화폐 지갑 정보를 훔치거나, 채굴 기기로 악용할 수 있다. 보안 전문 업체 하우리에 따르면, 가상화폐 지갑 탈취 방법으로 “선다운 (Sundown)” 익스플로잇 킷을 사용하고 있다. 참고로 익스플로잇 킷은 해커가 익스플로잇 공격을 좀 더 수월하게 해주는 악성 툴 이다.

어찌 보면 랜섬웨어와 가상화폐 해킹은 표면적으로 드러난 화두일 뿐이다. 사이버 위협을 최소화하기 위해서는 근원지를 제대로 파악해야 한다. 지금까지 살펴봤듯이, 익스플로잇이 2018년 사이버 위협의 근원지가 될 것으로 보인다. 2018년은 익스플로잇에 대한 강구책이 필요하다.

(1939)

뉴스레터 구독신청
태그(Tag)

전체 댓글 (0)

과학백과사전