[사이버 위협 동향 및 사용자 주의사항] 1) 최근 발생한 사이버 위협 사례

 

 

 

목차

---

 Ⅰ.  서론

1.  강의의 목적

Ⅱ.  본문 

1. 최근 정보보안 사고 
2. 국내외 사이버 공격 동향 
3. 주요 사이버 공격(랜섬웨어) 
4. 사이버 공격 전망

 

 

---

Ⅰ. 최근 발생한 사이버 위협 사례

 

1.  강의의 목적

 

2015년부터 진행된 사이버 공격 중 ⅓ 이상이 한국을 대상으로 한다고 한다. 

피해 금액은 2조원이 넘고, 방송사, 금융기관 등 다양한 곳에서 피해가 발생하고 있다. 

이렇게 겉으로 드러난 국가간 해킹 피해도 큰데, 드러나지 않은 피해는 어마어마 할 것이다. 

 

---

Ⅱ. 본문

 

1.  최근 정보보안 사고 

 

우리나라에서 정보보안에 대하여 중요하게 각인되었던 사건이 있었다. 

바로 웹호스팅 업체가 랜섬웨어에 감염된 사건이다. 

웹호스팅이란 사이트를 연결할 수 있는 인터넷 주소를 제공하는 업체로, 이 곳이 감염된다면, 

이와 관련된 모든 사이트가 마비된다. 

 

웹호스팅 업체 랜섬웨어 감염 (인터넷 나야나 감염사태)

 

2017년 6월, 대한민국의 웹 호스팅 업체인 인터넷나야나의 웹 서버 및 백업 서버 153대가 랜섬웨어의 일종인 에레버스(Erebus)의 리눅스용 변종에 일제히 감염된 사건이다. 

대한민국에서 호스팅 업체가 랜섬웨어에 감염된 것은 인터넷나야나가 최초이다. 

다수의 이용자가 입주한 호스팅 서버가 감염된 만큼 피해가 상당히 컸으며, 인터넷나야나 측의 안일한 대처와 이용자들을 무시하는 태도로 인해 피해가 더욱 커졌다. 

결국 나야나 측에서 해커가 요구한 금액을 지불하는 방식으로 마무리되었다.

에레버스를 상세 분석한 결과 공격지는 브라질로 추정된다.. 

자세한 진행사항은 위키트리에서 제공한 내용을 발췌하여 아래와 같이 인용하였다. 

6월 10일 토요일 새벽, 나야나의 서버에 에레버스(Erebus) 랜섬웨어가 감염되었다. 에레버스는 
윈도우를 타깃으로 한 랜섬웨어이나 나야나는 리눅스 서버를 사용하고 있어 리눅스를 대상으로 한 변종으로 알려졌다.

[1]
 랜섬웨어 감염 당시 이용자들은 FTP 서버에서 강제로 접속이 종료되는 증상을 겪었고 사이트에 접속하고 나서 랜섬웨어 감염 사실을 확인하였다.

나야나 측에서 이 사실을 인지한 것은 6월 10일 01시 30분경이었고, 웹 사이트 공지를 통해 이용자들에게 알린 것은 03시경이었다. 첫 공지에서 회사 측은 복구 여부에 대해서는 즉답이 어려우며 고객이 직접 개인적으로 백업한 데이터가 있을 경우 복구해 주겠다는 입장을 밝혔다.

[2]
호스팅 업체가 랜섬웨어에 무방비로 공격당하여 실제 피해가 발생한 것은 이번이 처음이었으며 특히 1만여 웹 사이트가 이용하는 대형 업체가 피해를 본 이례적인 사건이었기에 IT/보안 관련 언론 뿐만 아니라 주요 일간지와 방송 뉴스에서도 관련 보도를 편성하였다.

[3]
 이 중 
SBS 8 뉴스
의 보도에 따르면 이 사태로 피해를 입은 사이트는 무려 5천여 개에 달하는 것으로 추산되었다. 특히 다른 기관/단체로부터 웹 사이트 제작과 관리를 대행하는 웹 에이전시 업체들이 많이 가입되어 있어 나야나 측에서 추산한 2차 피해액은 10억 원에 다다른다.

[4]
6월 11일 18시, 나야나는 3차 공지를 발표하였다. 나야나는 공격자들이 서버 1대당 5.4 
비트코인
(17,550,000원)을 요구하고 있다고 밝혔다. 감염된 서버가 153대이므로 총 액수는 26억여 원에 달한다.

[5]
 나야나의 2015년 매출이 30억여 원, 순이익 1억여 원인 것

[6]
을 감안할 때 이 액수는 나야나가 감당하기는 어려운 액수이다.

사태에 직접적인 책임을 지닌 나야나는 세 차례의 공지를 하고 사태 발생 이틀이 되었음에도 사태 해결과 데이터 복구에 대해 구체적인 답을 내놓지 못하였다. 나야나는 인터넷진흥원 및 사이버수사대와 공조하겠으니 
동요하지 말고 믿고 기다려달라는 무의미한 약속만을 이용자들에게 던졌다. 게다가 랜섬웨어 감염을 단순 '시스템 장애'로 지칭하는 등 사태를 제대로 인식하지 못하거나 의도적으로 축소하려는 태도를 보여 이용자들의 분노를 샀다.

[7]
 게다가 이 공지가 올라온 후인 6월 12일에도 
나야나 자유 게시판에 올라온 글에 따르면, FTP를 이용한 서버 상에서 랜섬웨어에 의한 암호화가 이루어지고 있다.

6월 12일 16시경 올라온 나야나의 공지
에 의하면, 해킹된 페이지의 파킹 처리(공사 중 등의 페이지처럼 안내문을 띄우는 것), 협상 비용 마련을 진행 중이라고 한다. 또한 해커와의 협상 내용 또한 공개하였는데, 해커는 대출, 파산, 회사 규모와 연봉, 그리고 가족까지 구체적으로 언급하면서 협박했다.

출처 : 위키트리

 

---

MS, 국내 제조업 노린 악성메일 공격

 

국내 제조업을 노린 악성메일 공격 또한 유심히 봐야하는 사고 중 하나이다. 

이는 이메일 뿐만 아니라 문자메세지로 진화되고 있고, 

각종 피싱 등의 범죄 수단으로 진화되고 있다. 

이러한 머신러닝을 이용한 공격 탐지가 중요하기 때문에, 이러한 피싱메일이 온다면, 각별히 유의해야하며, 

신고를 해야 이후 진화하는 범죄에도 대응할 수 있다고 생각한다. 

마이크로소프트(MS)가 코로나19 확산세를 악용하는 악성 메일 공격들을 탐지했다. 

이 중에 국내 제조업을 노린 공격 시도도 포착됐다.

 

MS는 자사 머신러닝 기반 위협 탐지 모델을 이용해 지난 주 다수의 국가와 업종을 노린 악성 메일 공격들을 포착했다고 4일 트위터에 밝혔다.

 

공격을 위해 유포된 메일에는 압축파일(ISO) 또는 가상 이미지 파일(IMG)이 첨부됐다. 

파일을 열면 원격접근트로이목마(RAT) '렘코스(Remcos)'에 감염돼 해커의 제어를 받게 된다. 

MS는 ISO, IMG 파일을 사용하는 공격은 흔치 않은 편이라고 분석했다.

 

국내 제조업 분야 기업을 노린 공격의 경우 미국 질병통제예방센터(CDC)를 사칭한 악성 메일이 유포됐다. 

해당 메일에는 렘코스에 감염될 수 있는 ISO 파일이 첨부됐다.

 

재난 대출을 받으려는 미국 중소 기업을 노린 공격도 포착됐다. 

이 경우 해커는 미국 중소기업청(SBA)을 사칭한 메일을 유포했다. 메일에는 악성 IMG 파일을 첨부했다.

 

미국공인회계사협회(AICPA) 회원을 노린 공격도 발견됐다. 

해커는 이들을 대상으로 '코로나19 관련 업데이트(COVID-19 related updates)'라는 제목의 악성 메일을 유포했다. 

이 메일에는 국내 제조 기업에 유포된 메일에 담긴 파일과 동일한 파일이 첨부됐다.

 

MS 보안 연구소장인 탄마이 가나차리아는 이번 공격 사례를 언급하면서 머신러닝을 이용한 공격 탐지가 중요하다고 강조했다.

그에 따르면 파일이 감염될 때마다 형태가 변형되는 다형성 맬웨어와, 
파일 생성 없이 메모리에서 실행되는 파일리스 맬웨어를 사용하는 공격이 전세계에서 발견되는 공격 중 96% 이상이다.

존재가 확인된 악성 파일을 탐지하는 방식의 백신은 이런 악성 파일에 대응하기 어렵다는 것.

  

가나차리아는 머신러닝 기술을 사용해 자사 백신 프로그램 '윈도 디펜더'가 기기에서 발생하는 의심스러운 동작을 감지하고,

 엔지니어가 이를 조사할 수 있도록 경보를 제공하도록 하고 있다고 미국지디넷에 답했다.

 

→  출처 : https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=29222

 

---

 

긴급재난지원금 안내(URL이 있으면 스미싱)

→ 긴급재난지원금 안내메세지에는 URL이 없다고 한다. 이 것을 클릭하는 순간 범죄에 노출된다. 

 

 

---

 

2.  국내외 사이버 공격 동향

 

은행, 서버 업체 뿐 아니라, 웹호스팅 업체 , 석유시설 등 다양한 업체에서 보안사고가 발생하고 있다. 

출처 : KISA (윗쪽이 국내, 아랫쪽이 국외이다.)

 

---

 

3.  주요 사이버 공격(랜섬웨어) 

 

클롭(Clop) 랜섬웨어 등장

→ 러시아 해킹그룹(TA505)에 의해 제작, 침투한 기업 내 취약한 AD 서버를 악용한 유포

→ 증권사 직원 PC 감염 및 전산장애 발생

 

소디노비키비 (소딘, 블루르랩) 랜섬웨어 등장

→ 갠드크랩 랜섬웨어와 유사하게 금융회사 등을 사칭한 이메일을 통해 유포

→ 갠드크랩과 달리, 윈도우 권한상승 취약점 등으로도 전파됨

 

갠드크랩(GandCrap) 배포 중단

→ 2018년 처음 등장한 갠드크랩의 제작자가 판매 중단 선언

→ 전문지식 없이도 공격가능한 서비스형 랜섬웨어의 대표적인 케이스로서 랜섬웨어 공격 증가의 주요 원인

 

국내 가상통화 커뮤니티, 회원정보 유출

→ 국내 최대 가상통화 커뮤니티, 사이트내 악성 스크립트로 인해 회원 아이디와 비밀번호 유출

→ 탈취된 회원 계정으로 커뮤니티 측에 협박성 쪽지 발송, 커뮤니티 이미지 실추를 위한 가짜 뉴스 유포 시도

 

홍콩 바이낸스, 가상통화 및 회원정보 유출

→ 가상통화 거래소 바이낸스, 해킹사고로 인해 비트코인(약 470억)도난 (2019. 5.)

→ 바이낸스 회원정보 수백 여건이 텔레그램을 통해 유출(2019. 8.)

 

 

여기서 가장 주의깊게 살펴봐야 할 것은 홍콩 바이낸스 사고이다. 

비트코인이 도난 당한 이후 보안을 더욱 철저히 했다면 회원정보까지 유출되는 사고는 막았을지도 모르고, 

어쩌면 도난의 주범을 역으로 잡았을 수도 있었을 텐데 하는 아쉬움이 있다. 

 

 이러한 정보보안에 대해 우리는 더욱 숙고하여 유의해야 할 필요가 있다.

또한 전문가를 양성하여 이러한 사고를 사전에 예방하고 사고 후 조치 및 범죄자를 검거하는 것도 중요하다고 생각한다.

 

---

 

4. 사이버 공격 전망

 

■ 일상 속 파고든 보안 취약점, 보이지 않는 위협 (KISA)

• 지능형 CCTV, AI 스피커 등 IOT결합 서비스 대상 사이버 위협 증가
• 지원중단 또는 예정 운영 취약점 공격 시도

 

■ 랜섬웨어, 개인에게서 공공기관기업으로 피해 확대(안랩)

• 공공기관기업으로 사칭하여 APT와 결합된 랜섬웨어 유포
• APT와 결합된 랜섬웨어 공격, PC 공격보다 높은 금액 요구

 

■ 취약한 가상통화 거래소, 반복되는 해킹사고(잉카인터넷)

• 가상통화 거래소 사칭 및 지갑 프로그램으로도 위장한 악성코드 유포 증가
• 피해를 눈치채기 힘든 채굴형 악성코드의 지속적인 유포 및 감염 시도

 

■ 문자메세지, 이메일 안으로 숨어드는 악성코드 (하우리)

• 문자메세지, 이메일 속 링크를 이용하여 악성 앱을 감염시키는 모바일 표적 공격
• 유효한 코드서명 인증서 탈취 시도 및 이로서 서명된 악성코드 유포, 감염 증가

 

■ 은밀하게 정교하게, 진화하는 지능형 표적 공격 (이스트시큐리티)

• 견적 의뢰서, 보도자료 등 정상 문서 파일을 위변조한 스피어 피싱의 정교화
• 구글 드라이브나 드롭박스, 슬랙 등의 정상 서비스를 활용해 악성코드 통신 기법 활용

 

■ 모바일까지 확대되는 소프트웨어 공급망 공격(NSCH)

• 모바일 앱, 스마트폰 제조자를 대상으로 SW공급망 공격 확대
• 스마트카, 의료기기에 설치되는 SW악성코드에 삽입을 노리는 공격 시도

 

 

 

 

 

 

 

 

 

---