한국인터넷진흥원(KISA)은 사이버 위협 정보를 공유하고 침해 사고에 공동 대응하기 위해 운영되고 있는 ‘사이버 위협 인텔리전스 네트워크’의 국내외 보안업체와 함께 지난해 발생한 보안 위협을 분석하고 사이버 공격 위협을 전망하는 ‘2017년 7대 사이버 공격 전망’을 발표했다. 여기서는 이 7대 전망에 대해 자세히 살펴본다.

다양한 사이버 사고에 대응하기 위해 만들어진 사이버 위협 인텔리전스 네트워크는 한국인터넷진흥원과 안랩, 이스트소프트, 잉카인터넷, 하우리, NSHC, 빛스캔 등 국내 보안업체가 2014년 12월부터 구성 및 운영하고 있다. 또한 글로벌 사이버 위협 인텔리전스 네트워크도 한국인터넷진흥원과 함께 파이어아이, 포티넷, 인텔시큐리티, 마이크로소프트, 팔로알토 네트워크, 시만텍 등 해외 보안업체가 지난해 6월부터 구성해 운영 중이다.

이들 업체들과 KISA는 올해 발생할 사이버 공격으로 ▲ 산업 전반으로 번지는 한국 맞춤형 공격, ▲ 자산 관리 등 공용 소프트웨어를 통한 표적 공격, ▲ 한국어 지원 등 다양한 형태의 랜섬웨어 대량 유포, ▲ 사회기반시설 대상 사이버 테러 발생, ▲ 멀버타이징 공격 등 대규모 악성코드 감염 기법의 지능화, ▲ 악성 앱 등 모바일 금융 서비스에 대한 위협 증가, ▲ 좀비화된 사물인터넷(IoT) 기기의 무기화 등의 7가지 공격이 본격화될 것으로 예상했다.

여기서 멀버타이징(Malvertising) 공격이란, 악성 소프트웨어인 멀웨어(Malware)와 광고(Advertising)의 합성어로 온라인 광고를 통해 악성코드를 유포시키는 행위를 말한다.

이번 전망은 KISA가 날로 고도화 및 정교화되는 사이버 보안 위협에 대한 정보 공유 및 공동 대응 필요성에 따라 국내외 사이버 위협 인텔리전스 네트워크에 참여하는 보안업체와 공동 분석을 통해 선정됐다.

KISA의 백기승 원장은 “우리 사회 전방위로 확산되는 사이버 위협에 대한 다각적인 협력 및 대응을 위해 국내외 사이버 위협 인텔리전스 네트워크를 중심으로 더욱 긴밀한 정보 공유와 대응 공조를 유지할 것”이라고 말했다. 다음은 KISA 및 각 업체에서 전망한 보안 위협 현황과 전망이다.

▲ 2017년 7대 사이버 공격 전망

■ ‌산업 전반으로 번지는한국 맞춤형 공격

• 이스트소프트

한국의 특정 기업 및 기관에 소속된 내부 임직원을 겨냥하여 정보유출 목적으로 맞춤형 사이버 공격이 꾸준히 지속됐다. 공격자는 정보 탈취 대상 분야의 웹 사이트를 공격해 악성파일 감염을 유발하는 워터링 홀 공격 기법과, 조직 및 사회 관계망을 통한 신분 도용 수법 등도 활용했다.

신뢰를 기반으로 한 연쇄공격의 맞춤형 공격은 2016년도 표적 공격의 특징 중 하나였다. 이러한 공격은 정보유출 상황을 피해자가 쉽게 인지하거나 식별하기 어렵기 때문에 공격자가 오랜 기간 잠복할 수 있었고, 결국 정교한 후속공격으로 이어졌다.

또한, 개인정보 유출 시 자료가 외부에 노출돼도 쉽게 분석되지 못하도록 암호화 및 속임수 방식을 계속 발전시키면서 해외 SNS나 클라우드 서비스를 중간 C&C 서버로 악용했다.

올해 한국의 주요 정부기관 및 기반시설 등을 타깃으로 하는 사이버 공격 위험 수위는 점점 더 고도화 및 정교화될 것으로 예상되며, IT 민간기업의 내부 인프라에 대한 은밀한 사이버 침투 시도 역시 가속화될 것으로 보인다. 특히, 사회 및 정치 혼란 목적의 노골적인 사이버 위협 발생 가능성이 높을 것으로 전망되며, 공격자는 다양한 SNS 서비스와 주요 언론사를 대상으로 하여 심리전도 본격화할 가능성이 있다. 더불어 알려지지 않은 Zero-Day 취약점과 결합한 지능형 사이버 공격은 스피어피싱 수법으로 계속해서 이어질 것으로 예상된다.

• 한국인터넷진흥원

한국의 주요 정부기관, 기업을 겨냥한 정보유출 혹은 사이버 테러 목적의 맞춤형 표적 공격이 국내 산업 전반으로 확대될 것으로 예상된다. 특히 피해가 발생할 경우 규모가 큰 전력, 공항 등과 같은 사회기반시설은 물론, 상대적으로 보안이 허술한 협력 업체 및 중소기업으로 그 범위가 넓어질 것이다.

또한 지난해와 마찬가지로 조직 또는 개인의 정보 및 자원을 도용해 신분을 위장하는 수법의 신뢰 기반 공격이 기승을 부릴 것으로 예상된다. 기업의 인증서나 개인의 계정정보가 도용되어 공격에 악용될 경우, 일반적인 보안장비나 사용자의 주의만으로는 공격을 탐지하기 어렵기 때문이다. 그리고 표적 공격에 사용된 공격 자원 및 기법을 자주 교체할 것으로 예측된다. 이는 사이버 위협 정보공유 및 인텔리전스 서비스의 보급으로 인해 공격자의 공격 자원 및 기법이 노출되고 있기 때문이다.

이에 따른 대책 방안은 다음과 같다. 우선, 국내 특화된 표적 공격의 경우 국내에서 개발된 소프트웨어의 취약점을 악용하는 경우가 많은 반면, 이에 대한 취약점 발견 및 보안 업데이트가 원활하지 않은 경우가 많다. 따라서 보안 전문가들의 국내 소프트웨어 취약점 발견 및 국내 소프트웨어 업체의 보안 업데이트 개발에 대한 지원 강화가 필요하다. 또한, 기존의 네트워크 보안 솔루션은 물론 호스트 보안 및 문서 보안 등 다계층 보안 솔루션을 도입하고 적절하게 운영해야 기존에 알려지지 않은 지능형 공격에 효과적으로 대응할 수 있다. 이와 병행해 임직원들의 보안 인식 강화를 위한 주기적인 교육도 필요하다. 빠르게 교체되는 공격 자원 및 기법에 효과적으로 대응하기 위해서는 기업 보안담당자와 외부 보안전문가들 간의 사이버 위협 정보 및 인텔리전스 공유가 실시간으로 이루어지고, 이를 정보보호 활동에 적극적으로 활용해야 한다.

■ ‌공용 소프트웨어를 통한 표적 공격 

• 안랩

지난해 발생한 해킹사고들 중 일부 케이스를 살펴보면, 공격자들은 공격 대상이 취급하는 민감한 자료를 탈취하기 위해 가장 처음, 스피어 피싱 또는 워터링 홀 공격을 이용해 최소한의 시스템만 악성코드에 감염시켰다. 이후 감염된 시스템을 매개체로 자산 관리 등 공용 소프트웨어의 취약점을 사용해 내부 시스템에 악성코드를 감염시킴으로써 해당 공격 대상에서 취급하는 민감한 자료를 탈취할 수 있었다. 또한 C&C 통신 시 보안 장비 및 관제에 의한 탐지 가능성을 최소화하기 위해 내부 시스템을 C&C로 활용한 사례도 있었다.

자산 관리 등 공용 소프트웨어를 통한 악성코드 유포 시도는 공격 대상의 내부 시스템을 장악하는 데 효과적인 공격 방법이라고 할 수 있다. 따라서 공격자들은 자산 관리 등 공용 소프트웨어에 존재하는 취약점을 찾기 위해 조직적으로 활발하게 연구할 것이며, 심지어 공용 소프트웨어 제작사를 직접 공격할 가능성도 있다. 그리고 연구를 통해 발견한 자산 관리 등 공용 소프트웨어의 취약점을 사용하여 공격 대상의 내부 시스템에 악성코드를 유포하는 시도도 지속될 것으로 전망된다.

인터넷망과 내부 분리망은 논리적 또는 물리적으로 분리되어 있다고 해도 둘을 연결하는 접점은 있으며, 그것이 바로 중계 서버가 될 것으로 보인다. 공격자는 일단 공용 소프트웨어를 통해 악성코드를 내부 시스템에 유포하고 장악한 후 중계 서버를 통해 내부 분리망에 침투하려는 시도를 계속할 것으로 보인다.

• 파이어아이

공개 소프트웨어를 통해 내부망 침투 거점을 확보하고, 관리 소프트웨어를 통해 권한 상승 및 측면 이동을 시도하여 관리자 권한을 획득할 것으로 보인다. 그리고 백신 등과 같이 최신 업데이트가 필요한 시스템에 거점을 확보해 중계 서버로 사용하고, 형상 관리 시스템 등을 이용해 악성코드를 유포하는 등, 콘텐츠 업데이트를 통해 연결을 유지하고 형상 관리 서버를 통해 내부전파를 시도할 것으로 예상된다.

이러한 공격에 대책을 세우기 위해서는 사용하는 공개 소프트웨어를 조사해 정상 다운로드 사이트를 활용하도록 관리하고, 상용 소프트웨어를 구매하여 공개 소프트웨어의 사용을 제한한다. 그리고 관리자 권한 사용에 대해 모니터링을 강화할 뿐 아니라 로컬 어드민 계정을 삭제하고 별도의 관리자 계정을 생성 및 관리하는 것도 한 가지 방법이다. 또한 네트워크 분리 및 세분화, 단말 간 통신 차단 및 제어, 형상 관리 서버의 사용자 권한 세분화, 개발 도구 등 공유 용도 사용 제한도 실시할 필요가 있다.

■ 다양한 형태의 랜섬웨어 대량 유포

• 하우리

한국어를 지원하는 크립토락커 랜섬웨어가 2015년에 등장한 이후, 지난해에는 한국어 지원 랜섬웨어가 국내를 타깃으로 계속해서 유포됐다. 최근에는 단순 번역이 아니라 깔끔하게 다듬어진 한국어를 지원하는 랜섬웨어도 등장했다.

또한 록키 랜섬웨어와 같이 이메일을 통해서 대량으로 유포되는 랜섬웨어가 국내에 큰 영향을 미쳤으며, 첨부파일의 경우에는 실행파일이 아닌 자바스크립트 파일, 윈도우 스크립트 파일 등 다양한 스크립트 파일을 통해 유포되어 사용자들이 무심코 클릭함으로써 감염되는 사례가 많았다.

회원 수가 많은 대형 커뮤니티 및 언론사의 광고 배너를 통해서도 다수의 랜섬웨어가 유포됐다. 앵글러, 매그니튜드, 선다운 등 다양한 익스플로잇킷을 통해 플래시 취약점 등으로 웹서핑 도중 랜섬웨어에 감염되는 사례가 급증했다.

올해 신규로 제작되는 악성코드의 상당수는 랜섬웨어가 차지할 것으로 예측된다. 국내를 대상으로 악성코드를 유포하는 토착화된 로컬 주요 보안 위협 세력들은 주로 인터넷 뱅킹을 대상으로 악성코드를 제작하고 있지만, 수익 모델 확장에 대한 새로운 수단으로 랜섬웨어 제작 및 유포에 가세할 것으로 보인다. 또한 기업을 대상으로 하여 주요 자산이 포함된 서버를 타깃으로 직접적인 랜섬웨어 감염 공격 및 패치 관리, 자산 관리 등 중앙관리 솔루션의 권한을 탈취해 전사 모든 단말에 랜섬웨어를 감염시키는 공격이 발생할 것으로도 예측된다.

모바일 환경을 대상으로 유포되는 랜섬웨어도 해외와 비교했을 때 아직 국내에서는 그 사례를 찾아보기 힘들었으나, 올해는 국내에서도 모바일 및 IoT 디바이스들에 대해 랜섬웨어의 직접적인 영향을 받을 것으로 예상된다.

• 포티넷

내부, 외부를 나누는 경계 보호는 기존에 인바운드 트래픽의 접근 통제 위주나 시그니처 기반의 침입 탐지 시스템을 통한 트래픽 통제 위주였다. 그러나 랜섬웨어는 이메일을 통해 초기 유입되고 사용자들이 메일의 첨부 파일을 열람하거나 본문의 웹 링크를 클릭할 때 아웃바운드로 연결되어, 랜섬웨어 배포 서버에 암호화된 채널로 접속함으로써 랜섬웨어 및 원격통제(RAT)들이 다운로드되는 유입 방식이 주로 활용되고 있다. 따라서, 단순히 외부에서 내부로의 통제 정책을 통한 위협 방어는 사용자 PC 최종단에 안착되는 랜섬웨어에 대한 보안을 제공하기에 강화할 부분이 많다.

랜섬웨어에 대한 보안은 기업의 전체적인 공격면(Attack Surface)에 대한 외부 내부 플로를 모두 보호하고, 기존 보안 장비에서 악성코드에 대한 분석 레벨을 고도화하여 탐지-차단-완화의 다중 방어선을 구축해 가시성, 통제성, 대응 억제 능력을 향상시킬 필요가 있다.

■ ‌사회기반시설 대상 사이버 테러 발생

• NSHC

우크라이나 정전사태, 독일 원자력 발전소 악성코드 감염, 우크라이나 공항 공격, 영국 철도 사이버 공격 등 사회기반시설을 타깃으로 하는 사이버 공격 시도가 점점 증가하고 있다. 또한 지난해 블랙햇에서는 시스템을 제어하는 데 사용되는 PLC(Programmable Logic Controller) 장비에서 동작하며 자가복제가 가능하고 C&C와 통신하는 PLC 웜을 발표했다.

최근에는 악성코드를 이용한 공격뿐 아니라, ICS(Industrial Control Systems)의 여러 가지 취약점을 이용한 공격 등 다양한 공격 시도가 이루어지고 있다. ICS의 취약점은 갈수록 늘어나는 추세이므로, ICS 대상 사이버 공격 위협이 점점 커지고 있는 상황이다.

사회기반시설에 대한 공격이 빈번하지는 않지만, 성공할 경우 큰 사회 혼란이나 범국가적 피해가 발생할 수 있으므로, 공격자들의 공격 시도가 꾸준히 증가하고 있다.

사회기반시설에 대한 2017년 보안 위협의 공격 범위에 대해, 이전에 자주 공격 시도의 대상이 되던 발전소, 철도뿐 아니라 상수도, 항공, 의료 등으로 그 범위가 더 확대될 것으로 보인다. 그리고 해외 컨퍼런스에서 소개된 바 있는, 탐지하기 어렵고 대응하기도 쉽지 않은 PLC 장비에서 동작하는 악성코드를 이용한 공격 시도도 시행될 것으로 예상된다. 사회기반시설에 대한 공격 피해를 최소화하기 위해서는 무엇보다도 지속적인 감시와 점검이 필요하다고 할 수 있다.

• 인텔시큐리티

해킹메일을 통한 국가 핵심 시설의 자료 절취 및 파괴 시도가 증가하고 있다. 국가 핵심시설 관계자를 대상으로 신뢰되는 기관을 사칭하거나 사회적 관심사항으로 위장된 해킹메일을 발송해 자료 절취 및 중요 시스템 파괴 시도가 증가하고 있다. 지난해 1월, 우리나라에서는 청와대 사칭 해킹 메일이 발견됐으며, 독일의 Klinikum Arnsberg 병원에서는 이메일 첨부파일을 통해 랜섬웨어가 침투해 병원 시스템이 마비되는 사례가 있었다. 또한 사물인터넷, 금융기관의 온라인 서비스 확대 등 IT 인프라가 증가함에 따라 시스템 장애 및 마비를 목적으로 하는 DDoS 공격이 증가했다. 독일, 스위스 등 유럽 주요국도 이란 등에 의해 고출력전자기파(EMP) 피해를 받게 될 것을 우려하여 EMP 대책을 마련하고 있다.

이러한 지능형 공격(APT) 증가에 따른 보안 위협에 대응하기 위해서는 네트워크 장비, 정보보호 시스템 로그 관리 및 분석 체계를 강화해야 한다. 또한 전력 등 핵심 제어시스템의 연계 점검 최소화 등 보안 대책을 수립할 뿐 아니라, 물리적으로 USB나 노트북 등 미승인 매체 사용 통제, 보안관제 시스템을 활용한 악성코드 모니터링 강화, 악성코드 탐지·차단 및 패턴 업데이트 최신 버전 유지, 불필요한 소프트웨어 제거, 공유 폴더 사용 제한 등 악성코드 감염 방지 대책을 마련해야 한다.

제어시스템에서는 경영정보 활용을 위한 망 연계 시 ‘일방향 전송장치’를 활용하고 비인가 전산장비를 연결 금지하며 USB 포트를 물리적으로 봉인하여 제어시템스 보안 관리를 강화한다. 또한 EMP 공격에 대한 대응으로 EMP 침해 방지 대책 가이드라인을 구축함으로써 피해 대응 방안을 마련한다.

■ ‌대규모 악성코드 감염 기법의 지능화

• 빛스캔

지난해 인터넷 위협 동향을 살펴보면, 사용자의 금융정보를 탈취하기 위한 공격이 지속적으로 탐지됐다. 특히, 정상적인 웹을 통해 대량으로 감염시키기 위한 MalwareNet과 Multi-Stage를 통한 공격들이 자주 나타났으며, 계절적인 요인과 사회 공학적인 이슈들이 이용됐다. 공격도구로 PC와 브라우저의 취약점이 삽입된 Sweet Orange Kit와 CK Exploit Kit를 이용해서 자동으로 감염되는 구조였다. 주로 악성 URI의 삽입을 통해 다양한 공격 형태가 발생됐는데, 여기에는 네이버 계정 정보를 탈취하기 위한 피싱사이트로 연결하는 형태와 모바일을 감염시키기 위해 악성 APK 파일이 다운로드되는 형태 등의 공격들이 크게 증가했다. 대부분 파밍형 악성코드로 분석된 가운데, DNS 변조부터 난독화된 프록시 자동 구성(PAC) 스크립트 코드까지 분석과 탐지를 우회하기 위해 다양한 방법이 사용된 것으로 확인됐고 금융피해자 또한 지속적으로 발견됐다.

올해 한국을 목표로 하는 위협 사이트의 위험 수위는 갈수록 정교화 및 가속화될 것으로 보인다. PC와 브라우저의 취약점이 들어 있는 Exploit Kit를 통해 자동으로 감염되는데, 이를 통해 대량의 감염 PC를 확보하기 때문이다. 이와 같은 위협 사이트를 숨기기 위해, 분석방해 코드를 넣어 놓기도 하고 새로운 경유지가 탐지되지 않도록 소스코드를 난독화시키기도 한다. 또한 Exploit Kit에 신규 취약점을 추가시켜 멀티바이징 공격으로 한 번에 몇 백 곳에 악성링크를 동시 유포하는 MalwareNet을 통한 공격 기법을 이용한다. 이에 따라 PC와 개인의 정보유출형 타깃 공격은 더욱 심각해질 것으로 전망된다. 그리고 취약한 광고 서버를 이용해, 방문자가 급증하는 특정 시점에 악성 URI와 Exploit Kit를 삽입시킴으로써 접속만 해도 단시간 내에 감염을 확산시키는 시간차 공격 또한 성행할 것으로 보인다.

• 팔로알토 네트웍스

이메일 첨부를 통한 오피스 파일 형태로 전달되는 랜섬웨어의 공격에 의한 피해가 증가하고 있으며, 최근 들어 Zip 파일 내부에 자바 스크립트 파일 형태로 전파됨에 따라 대규모 감염 사례가 증가하고 있다. 국내외 핫이슈 등 사람들의 근본적인 호기심을 먹이 삼아 악성코드 전파에 활용하며, 최근 SaaS(Software as a Service) 애플리케이션의 사용이 증가하는 추세이므로 SaaS 어플리케이션의 다양한 보안 취약점이 악성코드 전파에 활용된 것으로 예상된다. 또한, 매크로 기반의 악성코드들이 재등장함에 따라 금융정보의 유출 피해가 예상된다.

이러한 공격에 대응하기 위해서는, 국내외를 겨냥한 다양한 사이버 공격에 사용되는 감염 기법에 대해 지속적으로 모니터링 및 분석을 실시해야 하며 글로벌 기반 위협 인텔리전스 인프라 활용을 적극적으로 고려해야 된다. 특히 2012∼2015년 사이에 SaaS 애플리케이션 사용량이 46% 정도 증가했으며, 이를 통해 이 서비스가 야기하는 데이터 감염 및 누출 위협 증가를 예상할 수 있으므로, SaaS 애플리케이션의 취약점 및 악성코드 전파 악용 방지를 위한 감시와 통제가 요구된다. 은밀하고 기존 보안 시스템을 우회하는 감염 기법에 대해 효과적으로 대응하려면, 공격 전반에 걸친 과정에 대해 자동화된 프로세스를 통한 선제 탐지 및 차단 보안 정책을 수립해야 한다.

■ ‌모바일 금융 서비스에 대한 위협 증가

• 잉카인터넷

최근 인터넷 뱅킹, 모바일 뱅킹, 온라인 간편 결제 등 금융 거래가 발전함에 따라, 이에 따른 금융서비스의 위협도 진화하고 있으며. 스마트폰의 보편화로 모바일 앱/웹을 통한 금융거래가 증가하면서 스마트폰에 악성 앱을 설치해 해킹하는 방식의 금융 위협이 날로 증가하고 있다. 악성 앱의 유포 방법은 크게 2가지 유형으로, 무료 와이파이 사용 시 공유기가 해킹당한 경우 해당 공유기에 연결한 모바일 기기에 악성 앱이 다운로드되는 방식과, SMS 및 설치 단축 문자 또는 큐싱 등으로 악성 앱의 다운로드를 유도하여 설치하도록 하는 방식이 있다. 해당 악성 앱은 C&C 서버와 통신을 시도하며, 스마트폰에 저장된 개인정보, 스마트폰 기기정보 등의 사용자 동기화 정보를 전송한다. 새롭게 등장한 악성코드에는 발신번호가 표적 은행의 고객서비스센터 번호와 일치하는 경우 통화를 차단하는 기능과 정상적인 앱 화면을 정보탈취 화면으로 바꿔 개인정보와 계좌정보를 훔치는 등 모바일 관련 위협이 증가했다.

최근 모바일 금융 서비스가 확대되는 추세이며, 이에 따라 공격 대상 확대와 위협은 갈수록 고도화 및 지능화될 것으로 보인다. 악성 앱의 유포 방식 또한 구글 광고 서비스인 애드센스 등의 광고 네트워크를 통해 배포하여 불특정 다수에게 많은 피해를 줄 수 있는 방식으로 점차 확대될 것으로 예상된다. 피싱 창을 이용한 악성 앱은 SNS, 메일, 구글플레이, 뮤직 앱에 이르기까지 다양한 애플리케이션에도 덮어쓰기 공격이 가능할 것으로 예측된다. 또한 SMS, ARS 투팩터 인증에 대한 위협도 증가함에 따라, 수신된 문자메시지를 가로채거나 지우고 내부에 저장된 데이터를 삭제하며 통화 내역을 가로채 착신전화로 다른 번호에서 수신하는 기능을 가진 다수의 악성 앱이 증가할 것으로 예상된다.

• 마이크로소프트

일반적으로 금융기관은 앱과 금융기관 사이에 보안성이 강화된 통신 채널을 확보하거나, 앱 데이터를 암호화하고 샌드박싱 기술 및 디바이스 안전성 점검 등을 활용하기 때문에 모바일 뱅킹 앱은 통상적인 웹 브라우저보다 보안성이 강화되어 있다. 그러나 사용자들이 SNS 등에 공개한 정보를 활용해 사용자들에게 접근하여 개인정보를 수집하는 방법은 이미 널리 알려져 있다. 또한 상대적으로 그 등록심사가 완화되어 있는 안드로이드 마켓에 금융기관 앱으로 가장한 악성 앱을 등록하여 사용자들로 하여금 해당 악성 앱을 공식적인 금융기관 앱으로 오인해 다운로드하도록 하여 금융정보를 탈취하는 방법도 이용되고 있다. 그리고 암호화되지 않은 와이파이에 접속하는 모바일 기기를 대상으로 악성코드를 유포할 가능성도 높다. 나아가 강화된 보안조치인 다중인증을 탈취해 금전적 이득을 노리는 피싱사이트 또는 악성 앱도 증가할 것으로 예상된다.

기본적으로 이동전화에 암호 등으로 잠금 설정을 해두면 해당 디바이스를 분실했을 때 개인정보 등이 유출되는 것을 1차적으로 방지할 수 있다. 그리고 앱스토어 등에서 해당 앱의 출처, 사용자 의견 등을 참조하지 않은 채 앱을 다운로드 하는 것은 위험할 수 있다. 이메일 또는 SNS 등에 포함된 링크는 사용자의 개인정보를 노리는 바이러스, 악성코드 또는 스파이웨어 등이 숨어 있을 수 있으므로 해당 링크를 클릭할 경우에는 주의를 기울여야 한다. 또한 블루투스는 이동전화기와 다른 디바이스 사이를 무선으로 연결시키므로 해당 연결을 통해 해커가 이동전화기에 저장된 정보에 접근, 정보를 탈취할 수 있다. 따라서 블루투스 기기를 사용할 때만 블루투스 기능을 켜서 사용하고, 블루투스 기기를 사용하지 않을 때는 해당 기능을 끈다. 개인용 핫스팟의 경우에도 블루투스와 유사하게 개인정보 유출이 발생할 수 있다. 검증된 모바일용 백신프로그램 앱을 설치하면 악성코드 등의 감염을 제한적이나마 예방할 수 있다. 마지막으로 이동전화의 OS 업데이트는 보안 취약성을 발견했을 때 이루어지는 경우가 있으므로 OS를 업데이트하라는 통지가 오면 반드시 업데이트해야 한다.

■ ‌좀비화된 IoT 기기의 무기화

 • KISA

IoT 기기를 통한 대규모 사이버 공격이 현실화되었다. 국외의 경우, 인기 보안 웹사이트인 크렙스 온 시큐리티(Krebs on Security)와 미국 호스팅 업체 Dyn사의 DNS 서비스가 미라이(Mirai) 악성코드에 감염된 IoT 기기들로 인해 DDoS 공격 피해를 입었다. 이러한 DDoS 공격에 사용된 IoT 기기들은 주로 인터넷과 연결 가능한 카메라나 DVR 등이었으며 기기에 저장된 기본 암호와 관련된 보안 취약점을 통해 DDoS 악성코드에 감염됐다. 국내에서도 KISA를 통해 지난해 3분기까지 136건의 IoT 취약점이 신고됐는데, 2015년 한 해의 신고건수인 130건에 비해 급증한 수치였다. 이러한 취약점들은 주로 무선 공유기, 네트워크 장비 등에서 발견됐으며 DNS 변조 및 악성코드 유포 등에 악용됐다. 한 보안업체의 조사에 따르면 IoT 악성코드로 인한 전 세계 공격 IP 중 한국이 3%로 10위를 차지했다.

2017년에는 더욱 더 다양한 IoT 기기가 나올 예정이며 기존 IoT 기기들도 기능이 고도화됨에 따라, IoT 기기에 설치된 S/W에 대한 다양한 보안 취약점이 발견될 것으로 예상된다. 이에 따라, IoT 기기에 대한 악성코드 감염 및 전파 방법이 다양해지고 이에 효과적으로 대응하기 위해서는 다양한 보안 대책이 요구될 것으로 보인다. 

또한, 기존의 좀비 PC 봇넷과 같이 악성코드에 감염된 좀비 IoT 기기 봇넷의 거래가 활성화되어 사이버 범죄에 악용될 가능성이 높아졌다. 앞으로는 거의 모든 기기가 IoT로 연결될 것이며 IoT의 활용이 늘면서 IoT 기기를 노리는 새로운 악성코드가 등장하고, 이로 인한 여러 가지 사이버 공격이 발생할 것으로 예상된다. 

김희성 기자 (npnted@hellot.net)