글로벌 사이버 보안기업 시만텍은 2018년 주요 사이버 범죄 및 보안 위협 동향을 분석한 ‘인터넷 보안 위협 보고서 제24호’를 통해 기업 랜섬웨어 감염이 2017년 대비 12% 증가했다고 26일 밝혔다.

시만텍은 보고서를 통해 랜섬웨어와 암호화폐 채굴을 위한 크립토재킹(cryptojacking)의 수익 감소에 직면한 사이버 범죄자들이 대체 수입원으로 폼재킹(formjacking)과 같은 새로운 공격에 주목하고 있다고 설명했다.

시만텍 인터넷 보안 위협 보고서는 세계 최대 규모의 민간 보안 위협 데이터 수집 네트워크인 시만텍 글로벌 인텔리전스 네트워크(Global Intelligence Network, 이하 GIN)의 데이터를 분석해 전 세계 보안 위협 활동에 대한 인사이트, 사이버 범죄자 동향, 공격 동기 등 사이버 보안 위협 현황에 대한 종합적인 정보를 제공한다. 시만텍 GIN은 전 세계에 설치된 1억2300만개의 공격 감지 센서를 통해 이벤트를 기록하고 매일 1억4200만개의 위협을 차단하며 157개 이상의 국가에서 위협 활동을 모니터링하고 있다. 아래는 시만텍이 공개한 보고서 내용이다.

◇일확천금을 노리는 새로운 공격 기법 ‘폼재킹’

폼재킹은 가상의 ATM 스키밍(skimming)으로 사이버 범죄자들이 온라인 구매 사이트에 악성코드를 삽입해 쇼핑객의 결제 카드 정보를 탈취하는 공격 기법이다. 평균적으로 매월 4800개 이상의 웹사이트가 폼재킹 코드에 감염되고 있다. 시만텍은 2018년 엔드포인트에서 370만건 이상의 폼재킹 공격을 차단했다. 전체 탐지건 중 약 3분의 1은 연중 온라인 쇼핑이 가장 많은 11월과 12월에 발생한 것으로 나타났다.

티켓마스터(Ticketmaster)와 영국항공(British Airways) 등 유명 온라인 결제 사이트가 몇 개월 동안 폼재킹 코드에 감염되었지만, 시만텍 조사 결과 중소 규모의 온라인 구매 사이트가 가장 광범위하게 폼재킹 공격을 당한 것으로 나타났다.

사이버 범죄자들은 신용카드 사기를 통해 개인 사용자의 금융 및 개인정보를 탈취하고 다크웹(dark web)에서 판매함으로써 2018년 한 해 최소한 수천만달러의 수익을 올렸을 것으로 추정된다. 지하시장에서 신용카드 1장이 최대 45달러(약 5만원)에 팔리는 것을 감안하면 폼재킹에 감염된 각 웹사이트에서 신용카드를 10장씩만 탈취해도 월 최대 220만달러(약 24억5000만원)의 수익을 거둘 수 있다. 38만건 이상의 신용카드 정보가 유출된 영국항공 공격 사례의 경우 범죄자들은 이 공격 하나로 1700만달러(약 190억원) 이상을 벌어들였을 것으로 예상된다.

그렉 클라크(Greg Clark) 시만텍 CEO는 “폼재킹은 기업과 개인 사용자 모두에게 심각한 위협을 의미한다”며 “개인 사용자의 경우, 포괄적인 보안 솔루션을 사용하지 않으면 감염된 온라인 구매 사이트를 방문하고 있는지 알 길이 없다. 따라서 엄청난 피해를 초래할 수 있는 신원도용에 소중한 개인정보와 금융정보가 노출될 수 있다. 기업 입장에서 폼재킹의 급증은 감염 시 겪게 될 평판 및 법적 책임의 리스크는 물론이고 공급망 공격의 위험이 증가하고 있음을 보여주는 것”이라고 말했다.

◇크립토재킹과 랜섬웨어의 수익 감소

사이버 범죄자들이 개인 사용자와 기업으로부터 탈취한 프로세싱 파워와 클라우드 CPU 사용량을 이용해 암호화폐를 채굴하는 크립토재킹과 금전을 요구하는 랜섬웨어는 몇 년간 쉬운 돈벌이를 위해 사이버 범죄자들이 가장 많이 찾는 방법이었다. 하지만 2018년에는 암호화폐의 가치 하락과 클라우드 및 모바일 컴퓨팅의 도입 증가로 이러한 공격의 효과가 떨어지면서 크립토재킹과 랜섬웨어의 공격 활동이 감소하고 수익이 하락했다. 랜섬웨어 감염은 지난해 전년 대비 20% 감소했는데 2013년 이후 처음으로 하락했다. 시만텍은 2018년 기업의 랜섬웨어 감염이 12% 증가해 전반적인 하락세와 대조적인 흐름을 보이며 기업에 지속적인 위협이 되고 있기 때문에 기업들이 방심해서는 안 된다고 설명했다. 실제로 랜섬웨어 감염 10건 중 8건 이상은 기업에 영향을 미친다.

크립토재킹 활동은 2018년 초 정점에 달했지만 연중에 52% 감소했다. 암호화폐 가치가 90%까지 떨어지고 수익성이 크게 하락했지만 그럼에도 불구하고 크립토재킹은 낮은 진입장벽, 최소한의 간접비, 익명성 보장 등으로 여전히 공격자들의 관심을 끌고 있다. 시만텍은 2018년 12월 단 한 달 동안 엔드포인트에서 350만건의 크립토재킹 활동을 차단했다.

◇클라우드 보안 피해 증가

기업이 PC 도입 초기에 범한 것과 동일한 보안 실수가 현재 클라우드 환경에서 나타나고 있다. 클라우드 워크로드나 스토리지 인스턴스를 하나만 잘못 구성해도 기업에 수백만달러의 피해나 컴플라이언스 악몽을 안겨줄 수 있다. 2018년 한 해에만 잘못 설정된 S3 버킷에서 7000만개 이상의 레코드가 도난 또는 유출되었다. 실제로 인터넷에서 공격자들은 잘못 설정된 클라우드 리소스를 식별할 수 있는 많은 툴들을 쉽게 구할 수 있다.

멜트다운(Meltdown), 스펙터(Spectre), 포쉐도우(Foreshadow) 등과 같은 하드웨어 칩의 취약점 발견은 클라우드 서비스가 동일한 물리적 서버에서 호스팅되고 있는 타 기업 리소스의 보호 메모리 공간에 접근하는 데 악용될 수 있는 위험을 보여주고 있다.

◇자원활용 자력형(LotL) 공격 툴과 소프트웨어 공급망 약점, 더욱 은밀하고 대담한 공격 촉발

자원활용 자력형(Living off the Land)과 소프트웨어 공급망 공격은 사이버 범죄자와 표적 공격 그룹이 널리 이용하는 대표적인 최신 공격 기법으로, 2018년 소프트웨어 공급망 공격은 전년 대비 78% 급증했다. 공격자들은 자원활용 자력형 공격 기법을 이용해 눈에 띄지 않고 수많은 합법적인 프로세스에서 활동을 은폐할 수 있다. 일례로 악성 파워쉘(PowerShell) 스크립트의 사용이 2018년 1000% 증가했다. 시만텍이 매월 11만5000개의 악성 파워쉘 스크립트를 차단하고 있지만 이는 실제 전체 파워쉘 사용량의 1%도 채 되지 않는 수치이다. 따라서 모든 파워쉘 활동을 차단하는 과도한 접근법은 기업에 피해를 야기할 수 있다. 많은 표적 공격 그룹이 자원활용 자력형 공격을 선호하는 것도 이 때문이다.

이러한 공격을 식별 및 차단하기 위해서는 시만텍의 EDR(Managed Endpoint Detection and Response) 관제 서비스, 향상된 EDR 4.0 기술, 고난도 인공지능을 적용한 시만텍 표적 공격 애널리틱스(Targeted Attack Analytics, TAA) 등과 같이 분석 및 머신러닝 기술이 적용된 고급 탐지 방법을 활용해야 한다. 시만텍은 TAA를 이용해 악성코드 없이 사이버 스파이활동을 완벽히 수행했던 골메이커(Gallmaker) 그룹의 공격과 같은 은밀한 표적 공격을 대거 발견했다.

자원활용 자력형 공격과 소프트웨어 공급망 약점 공격 외에 공격자들은 기업에 침투하기 위해 스피어피싱과 같은 전통적인 공격 방법 사용을 늘리고 있다. 여전히 표적 공격의 주요 동기는 정보 수집이지만, 비즈니스 운영의 중단 및 방해를 목표로 한 악성코드를 이용한 공격 그룹도 2018년에 25% 증가했다.

◇IoT(사물인터넷), 사이버 범죄자 및 공격 그룹의 공격 타깃 부상

IoT 공격은 2017년과 비슷하게 여전히 높은 수준이지만 공격 양상은 급격히 변화하고 있다. 감염된 기기 가운데 라우터와 커넥티드 카메라가 가장 많은 비중(90%)을 차지하고 있지만, 스마트 전구에서 음성인식 비서(voice assistant)에 이르기까지 모든 기기가 공격의 추가 진입 지점을 제공하는 등 거의 모든 IoT 기기가 취약한 것으로 나타나고 있다.

표적 공격 그룹은 핵심 진입 지점으로 IoT에 점점 더 집중하고 있다. VPN필터(VPNFilter) 라우터 악성코드의 등장은 전통적인 IoT 위협의 진화를 보여주는 것으로 기술력과 풍부한 자원을 갖춘 공격자가 만든 이 악성코드는 기기의 파괴나 삭제, 자격 증명 정보 및 데이터 탈취, SCADA 통신 가로채기 등을 수행한다.

김봉환 시만텍코리아 SE본부 상무는 “IT와 산업용 IoT가 융합하는 추세가 확산됨에 따라 다음 사이버 격전지는 운영기술(OT)”이라며 “쓰립(Thrip), 트리톤(Triton) 등 점점 더 많은 공격 그룹이 운영시스템과 산업제어시스템을 겨냥한 사이버전에 관심을 보이고 있다”고 말했다.

◇개인정보보호에 대한 경각심

시만텍은 캠브리지 애널리티카(Cambridge Analytica) 데이터 사건과 페이스북 개인정보보호 관련 청문회, 유럽연합의 GDPR(일반개인정보보호법) 시행 그리고 애플의 페이스타임처럼 널리 사용되는 앱에서 앱 위치 추적 및 프라이버시 결함의 발견 등 개인정보보호 이슈가 2018년 한 해 큰 주목을 받았다고 밝혔다.

이에 시만텍은 스마트폰은 가장 뛰어난 스파이 장치이며 그 이유는 카메라, 청취 도구 및 위치 추적기가 하나에 모두 있고 사용자가 어디든 자발적으로 들고 다니며 사용하기 때문이라고 설명했다. 스마트폰은 이미 여러 국가에서 전통적인 스파이 활동의 대상이지만, 범죄 목적으로 개발된 모바일 앱으로 개인 정보를 수집해 수익을 추구하는 수단도 되고 있다.

시만텍 조사에 따르면 인기가 높은(most popular) 안드로이드 앱의 45%와 iOS 앱의 25%가 위치 확인 권한을 요청하고, 인기(popular) 안드로이드 앱의 46%와 iOS 앱의 24%가 사용자 기기의 카메라에 대한 접근 허가를 요청한다. 또한 최고 인기(top) 안드로이드 앱의 44%와 인기가 높은(most popular) iOS 앱의 48%에 이메일 주소가 공유되고 있다.

자녀, 친구 또는 분실된 휴대폰을 추적하기 위해 휴대폰 데이터를 수집하는 디지털 툴 역시 증가하면서 동의 없이 다른 사람을 추적할 수 있는 가능성이 높아지고 있다. 200개 이상의 앱과 서비스가 스토커에게 기본 위치 추적, 문자 수집 및 심지어 동영상 비밀 녹화 등 다양한 기능을 제공한다.

[Analysis] Symantec "formjacking to extract credit card information, serious threats to corporate and personal users"

Global cyber security company Symantec said Wednesday that its Internet security threat report No. 24 that analyzed major cyber crime and security threat trends in 2018 showed a 12 percent increase in corporate Lansomware infection compared to 2017.


Symantec said in a report that cyber criminals facing declining profits from Lansomware and Cryptojacking to mine cryptocurrency are paying attention to new attacks such as form-jacking as alternative sources of income.

The SMT Internet Security Threat Report analyzes data from the Global Intelligence Network (GIN), the world's largest private security threat data collection network, and provides comprehensive information on the status of cyber security threats, including insight into global security threat activities, cybercriminal trends and motivation for attacks. The Symantec GIN records events through 123 million attack detection sensors installed around the world, blocks 142 million threats every day, and monitors threat activity in more than 157 countries. Below are the reports released by Symantec.

◇Form-jacking, a new attack technique aimed at raising the daily amount of money.

Form-jacking is a virtual ATM skimming, an attack technique in which cyber criminals take away shoppers' payment card information by inserting malicious code into online purchasing sites. On average, more than 4,800 websites are infected with form-jacking codes each month. Symantec blocked more than 3.7 million form-jacking attacks from endpoints in 2018. About one-third of all detection cases took place in November and December, when online shopping was the most frequent year-round, the report showed.

Popular online payment sites such as Ticketmaster and British Airways have been infected with form-jacking codes for months, but a SMT survey found that small and medium-sized online purchasing sites were the most widely attacked.

Cyber criminals are estimated to have raked in at least tens of millions of dollars in 2018 by stealing financial and personal information from individual users through credit card fraud and selling it on the Dark Web. Considering that a single credit card is sold for up to $45 in the underground market, taking 10 credit cards from each website infected with form-jacking can earn up to $2.2 million per month. In the case of the British Airways attack, where more than 380,000 credit cards were leaked, criminals are expected to have earned more than $17 million from the attack.

"Form-jacking represents a serious threat to both businesses and individual users," Symantec CEO Greg Clark said. "For individual users, there is no way to know if they are visiting infected online purchasing sites without a comprehensive security solution. Therefore, valuable personal information and financial information can be exposed to identity theft that can cause enormous damage. The surge in form-jacking on the corporate front shows the risk of a supply chain attack, as well as the risk of reputation and legal responsibility that will be experienced in the event of infection," he said.

◇Reduce revenue for Crypto-Jacking and Lansomware

Lansomware, which calls for Crypto-jacking and money, in which cybercriminals mine cryptocurrency using processing power and cloud CPU usage taken from individual users and businesses, has been the most sought-after way for cybercriminals to make easy money over the years. However, in 2018, Kryptojacking and Lansomware's attack activities fell and profits fell as the impact of such attacks fell due to the falling value of cryptocurrency and increased introduction of cloud and mobile computing. Lansomware infection fell 20 percent on-year last year, the first drop since 2013. Symantec explained that companies should not be on guard because the number of corporate lansomware infections rose 12 percent in 2018, showing a contrasting trend with the overall decline and posing a constant threat to companies. In fact, more than eight out of 10 cases of Lansomware infection affect companies.

Krypto-jacking activities peaked in early 2018, but fell 52 percent during the year. Although the value of cryptocurrency has dropped to 90 percent and profitability has fallen significantly, Kryptojacking is nevertheless still drawing the attention of attackers due to its low entry barriers, minimal overhead costs and guaranteed anonymity. Symantec blocked 3.5 million Crypto-Jacking activities at its endpoints in December 2018 for just one month.

□Increased damage to the cloud security

The same security mistakes that businesses made in the early days of PC adoption are now emerging in the cloud environment. A single misconfiguration of a cloud workload or storage instance could cost businesses millions of dollars or lead to a compliance nightmare. More than 70 million records were stolen or leaked from S3 buckets that were incorrectly set for 2018 alone. In fact, on the Internet, attackers can easily find many tools to identify misconfigured cloud resources.

The discovery of vulnerabilities in hardware chips, such as Melchown, Spectre and Foreshadow, demonstrates the risk that cloud services could be exploited to access protected memory space for other corporate resources hosted on the same physical server.

□LotL attack tools, software supply chain weaknesses, and more covert and bold attacks

"Living off the Land" and "Software Supply Chain attack" are the most recent attacks widely used by cyber criminals and targeted attack groups, and the number of software supply chain attacks in 2018 soared 78 percent on-year. Attackers can use resource-use magnetic attack techniques to cover up activities in numerous legitimate processes without being noticed. For example, the use of malicious PowerShell scripts increased by 1,000 percent in 2018. Although Symantec blocks 115,000 malicious power cell scripts every month, this is less than 1 percent of the actual total power cell usage. Thus, an excessive approach to blocking all power-shell activities could cause harm to the entity. That's why many targeted groups prefer resource-use magnetic attacks.

In order to identify and block these attacks, advanced methods of analysis and machine-learning such as SMT's Managed Endpoint Detection and Response (EDR) control service, enhanced EDR 4.0 technology, and SMT Target Attack Analytics (TAA) with high-intensity artificial intelligence should be detected. Using TAA, Symantec discovered a number of covert target attacks such as attacks by the Gallmaker Group, which carried out cyber espionage completely without malicious code.

In addition to resource-use magnetism attacks and software supply chain weakness attacks, attackers are increasing the use of traditional methods of attack such as spearing to penetrate companies. Still, the main motive for targeted attacks is intelligence gathering, but the group of attacks using malicious codes aimed at halting and disrupting business operations also increased 25 percent in 2018.

◇Internet of Things (IoT), cybercriminals and attack groups emerged as targets of attack

Although IoT attacks are still at a high level similar to 2017, the pattern of attacks is changing rapidly. Although routers and connected cameras account for the largest share of 90 percent of infected devices, almost all IoT devices are found to be vulnerable, with all devices from smart bulbs to voice recognition assistants providing additional entry points for attacks.

Target attack group is increasingly focusing on IoT as a key entry point. The emergence of VPN Filter router malware shows the evolution of traditional IoT threats, and this malware, created by an attacker with technology and abundant resources, carries out the destruction or deletion of devices, the capture of credentials information and data, and intercepting SCADA communications.

"As the trend of convergence between IT and industrial IoT is spreading, the next cyber battleground is called OT," said Kim Bong-hwan, managing director of SE headquarters at Symantec Korea. "A growing number of attack groups such as Thrip and Triton are showing interest in cyber warfare targeting operating systems and industrial control systems."

∘ Alerting to personal information protection

Symantec said privacy issues such as the Cambridge Analytica data incident, Facebook's hearing on privacy, the European Union's General Privacy Act (GDPR), and Apple's discovery of app location tracking and privacy flaws in its widely used apps like Facebook's FaceTime have received much attention in 2018.

Symantec explained that smartphones are the best spy devices because they have cameras, listening tools and location tracking devices all in one and users carry them voluntarily anywhere. Smartphones are already subject to traditional espionage in many countries, but they are also a means to collect personal information and seek profits with mobile apps developed for criminal purposes.

According to the Symantec survey, 45 percent of the most popular Android apps and 25 percent of iOS apps ask for location checking, while 46 percent of the popular Android apps and 24 percent of iOS apps request permission to access cameras on user devices. Also, email addresses are shared at 44 percent of the most popular Android apps and 48 percent of the most popular iOS apps.

Digital tools for collecting mobile phone data to track children, friends or lost cell phones are also increasing, raising the possibility of tracking others without their consent. More than 200 apps and services offer stalker a variety of features, including tracking basic locations, collecting text messages and even secretly recording videos.

이승진 기자 다른기사 보기