침해사고/위협동향

SK인포섹 “보안사고 40%, 가상화폐 채굴 악성코드”

최민지

[디지털데일리 최민지기자] 지난해 가상화폐 가격이 급상승함에 따라 가상화폐 채굴을 위한 마이너(Miner) 설치 공격이 증가하고 있다. SK인포섹이 지난해 직접 조사한 40여건의 보안사고 중 마이너 악성코드는 40%에 달했다.

이재우 이큐스트 그룹장<사진>은 지난 18일 SK서린빌딩 수펙스홀에서 열린 SK인포섹 이큐스트 미디어 데이를 통해 “해커들이 가상화폐 가격이 올라가자 채굴하는 악성코드를 통해 무작위로 공격하고 있다”며 “사용자와 서버 관리자가 CPU 사용이 늘어나고 있다고 문의했을 때, 마이너 악성코드가 설치된 경우가 많았다”고 말했다.

이날 SK인포섹 하이테크 전문가 그룹인 이큐스트(EQST)는 지난해 발생한 주요 보안사고에 쓰인 해킹 기법·공격 흐름과 올해 유의해야 할 위협 전망을 내놓았다.

공격자들은 가상화폐 채굴을 위해 오픈소스 취약점, 무차별대입공격, DB 취약점 익스플로잇 등 원격관리 포트 취약점을 찾아 사전에 툴을 제작해 지속적으로 스캐닝 한다. 공격에 성공하면 권한을 탈취한 후 악성코드를 설치한다.

마이너 악성코드는 가상화폐를 채굴하기 위해 시스템 자원을 소모하며, 채굴 수행 후에는 공격자 지갑으로 가상화폐를 전송한다. 공격자는 탐지를 우회해 자원을 많이 사용하고자 리소스 임계치 등을 조작하기도 한다.

SK인포섹 시큐디움 인텔리전스 통계에 따르면 가상화폐 마이너는 지난해 7월 1%, 8월 9%, 9월 5%로 미미한 수치를 보이다 10월부터 26%로 급증했다. 11월에는 31%를 기록했고 12월에도 28%에 달한다.

이 그룹장은 “가상화폐 채굴을 위해 CPU 자원을 필요로 하다 보니 평소에는 30~40%만 이용한 PC에 마이너 악성코드를 설치하면 80~90% 이상 사용량을 늘린다”고 설명했다.

이와 함께 SK인포섹은 올해 사이버위협으로 ▲관리서버의 신규 취약점을 이용한 지능형지속위협(APT) 공격 ▲취약점 자동화 공격 도구의 제로데이(Zero-Day)화 ▲범용 소프트웨어를 타깃한 자동화 공격 ▲소프트웨어 공급망의 취약한 구조를 노린 공격 ▲대규모 랜섬웨어 감염을 노린 공격 등을 꼽았다.

관리서버는 패치·자산관리·파일 배포 등에 사용되기 때문에 해커는 이 기능을 이용해 악성파일을 배포하고 PC를 장악할 수 있다. 최근 몇 년간 해커는 관리 서버의 신규 취약점을 통해 서버를 공격하고 있으며, 관리자가 사후에 발견해도 어떤 취약점을 이용했는지 알 수 없어 대응하기 어렵다.

새로운 취약점이 발표되면 보안장비를 패턴 업데이트하는데 일주일가량의 시간이 소요된다. 이전에는 신규 취약점이 발표된 후 2~3일 후 자동화 공격 툴이 만들어졌지만, 최근에는 취약점 발표 전에 자동화 공격도구가 발견되는 사례도 있다. 동시에 공격이 이뤄지면 해커는 적은 노력으로 큰 효과를 보게 된다.

또한, 공격자들은 공개된 범용 소프트웨어를 스캐닝하고 발견된 취약점을 통해 침투해 악성코드를 설치하고 자동화된 공격을 감행한다. 보안에 취약한 오픈소스 소프트웨어를 별도망에 설치하고 테스트한 결과 5시간만에 악성코드가 설치됐다. 아이디와 비밀번호가 쉽게 설정될 경우 1시간 내에도 가능했다.

이 그룹장은 “공격의 피해를 늘리기 위해 해커들의 공격기법이 날로 지능적이고 대범해지고 있다”며 “SK인포섹은 해킹 위협에 대한 지속적 연구를 통해 효과적인 대응방안을 마련할 것”이라고 제언했다.

이와 관련 SK인포섹은 통합 SOC 관제서비스를 고도화한다. 사이버 침해 공격을 상향 평준화해 대응하고 물리·운영기술(OT) 영역확대에 대한 침해대응 시너지를 확보한다. 이를 위해 기존에는 정보보안 장비만을 대상으로 관제했다면, 앞으로는 물리보안 및 시설·관리 센서까지 아우를 방침이다.

이 그룹장은 “서울대와 함께 인공지능(AI) 과제를 진행하고 있는데, 올해 관제서비스에 AI를 적용하고 시큐디움 플랫폼에 상용화 수준으로 끌어올려 반영할 것”이라며 “지도학습의 경우 93% 탐지율을 보였고, 비지도학습에서는 40% 개선됐다”고 설명했다.

또 “공격 대응시간을 단축하기 위해 소프트웨어 오토메이션&오케스트라메이션(A&O)를 검토하고 있으며, 해외업체들과 접촉해 시큐디움 플랫폼에 연동할 것”이라며 “올해 엔드포인트 위협 탐지를 확대한 관제서비스를 선보이고, 자체적으로 사내직원들을 대상으로 버그바운티도 1분기 내 개최할 것”이라고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널