​
　

고전은 언제나 통한다? 고도화된 이메일 공격 증가

‘유행은 돌고 돈다’는 말은 보안 분야에서도 통용된다. 2019년 보안 위협 하나로 악성 메일을 거론하지 않을 수 없기 때문이다. 올해 스팸 메일을 이용한 피싱이나 첨부 파일로 위장한 악성코드 유포가 가장 두드러졌던 것. 그러나 이전과 달리 한층 고도화된 양상을 보였으며, 상대적으로 개인 사용자보다 기업의 피해가 컸다. 기업을 노린 타깃 공격 또는 지능형 위협(Advanced Persistent Threats, APT)이 대부분 스피어피싱에서 시작되면서 이메일 기반 공격에 의한 피해가 심각했다. 기술적으 로도 고도화됐지만 국가 기관을 사칭하거나 이력서, 급여명세서, 송장 등 정교하고 치밀한 콘텐츠로 위장 한 것이 가장 큰 특징이다.

또한 공격자들은 지속적으로 보안 업체의 반응을 살피며 탐지를 따돌리기 위한 변화를 시도했다. 이메일 첨부 파일의 포맷이나 확장자를 다양하게 변경하는 등 공격 성공률을 높이기 위한 시도가 계속되고 있다.

대세는 역시 파일리스(Fileless) 감염 시스템에 파일 형태로 존재하지 않는, 이른바 ‘파일리스(Fileless)’ 방식의 악성코드가 더욱 증가했다. 블루크랩(BlueCrab) 랜섬웨어와 메그니베르 (Magniber) 랜섬웨어, 그리고 SMB 취약점을 이용한 마이너(Miner, 채굴) 악성코드까지 올해 가장 많이 유포됐던 악성코드 대다수가 파일리스 방식을 이용했다.

파일리스 악성코드는 파워쉘 등 정상 프로세스를 이용하여 외부로부터 악성코드 데이터를 다운받아 정상 프로세스 내에서 실행된다. 악성 쉘코드를 정상 프로세스에 인젝션하는 방식을 이용하기도 한다. 윈도우 레지스트리나 작업 스케줄러에 악성 데이터를 등록하여 파일 없이도 지속적인 악성 행위를 수행하는 경우도 있다.

일반적인 악성코드에 비해 파일리스 방식은 사전 탐지 및 대응이 쉽지 않다. 따라서 정상 프로세스를 포함해 엔드포인트 시스템 상에서 발생하는 모든 행위를 지속적으로 모니터링하고 분석함으로써 위협을 조기에 발견하는, 즉 잠복기(dwell time)를 최소화하는 노력이 필요하다.



양보다 질! 기업 타깃 랜섬웨어 증가

최근 몇 년간 랜섬웨어에 의한 피해가 계속되는 가운데, 올해 들어 뚜렷한 변화가 나타났다. 예전에 비해 랜섬웨어 감염 건수는 감소한 반면 피해 규모는 더욱 커진 것. 공격자들이 불특정 다수의 개인 사용자 대신 기업과 기관에 집중했기 때문이다.

2019년 한 해 동안 세계 곳곳의 기업 및 기관들이 표적형 랜섬웨어(Targeted Ransomware)에 피해를 입었다. 무엇보다 기존과 달리 랜섬웨어가 전형적인 지능형 표적 공격 양상을 보여 대응이 쉽지 않다.

2019년 상반기까지 국내 기업에 많은 피해를 입혔던 클롭(Clop)이 대표적인 기업 타깃형 랜섬웨어라 할 수 있다. 공격자는 이메일을 보내 사용자의 시스템이 기업 환경인지 확인한다. 기업이나 기관인 것이 확인되면 Ammyy 해킹툴이나 미미카츠 등 다양한 공격 도구를 사용해 내부 시스템을 장악한다. 이후 정보를 유출하거나 랜섬웨어 감염의 내부 확산을 통해 거액의 금액을 요구한다.



빈틈을 파고든다! 패치 적용되지 않은 시스템 공격

‘취약점을 이용한 악성코드 공격’이라면 대개 발견된 지 얼마 안되어 패치가 제공되지 않은 ‘제로데이(Zeroday) 공격’을 떠올린다. 그러나 실제로는 이미 보안 패치가 제공된, 알려진 취약점을 이용한 공격이 대다수다. 심지어 몇 년 전에 패치가 제공된 취약점을 이용한 공격도 여전히 성공을 거두고 있다. 올해 국내외에서 빈번하게 발생한 SMB(Server Message Block) 취약점 공격이 대표적이다.

[출처 : 안랩(((www.ahnlab.com)]