2017년 연간 위협 보고서

사이버위협의 역설

사이버 환경이 점점 더 상호 연결되면서 이에 따른 위협 또한 점차 복잡해지고 있습니다.
지난 해 일어났던 크고 작은 보안 사건들을 통해 이러한 사실이 분명하게 드러났으며,
그 영향으로 스마트한 보안의 구현이 더욱 중요해졌습니다.

2018년 2월 27일

지난 해 대규모 랜섬웨어 공격이 전 세계적으로 일어나면서 이데 따른 기업의 피해가 수십억 달러에 달하는 것으로 밝혀졌습니다. 트렌드마이크로는 또한 BEC (Business Email Compromise) 와 같은 이미 많이 알려진 위협이 지속적으로 기업을 위협하고 있는 것을 확인했습니다. 한편, 가상화폐의 가치가 가파르게 상승하면서 이 또한 위협 환경을 더욱 혼란스럽게 만드는 요소가 되었습니다. 이러한 환경에서 많은 사이버 범죄자들은 오래된 기술을 재 작업하여 가상화폐를 악용하고 또한 새로운 방식으로 이미 알려진 취약점을 공격하기 위한 시도를 했습니다.




주요 랜섬웨어의 감소에도 불구하고 전 세계적으로 더욱 빈번하게 발생하고 있는 랜섬웨어


주요 랜섬웨어의감소에도 불구하고 전 세계적으로 더욱 빈번하게 발생하고 있는 랜섬웨어

새로운 랜섬웨어 패밀리의 수는 2016년에 비해 32% 나 증가하였으며, 이는 여전히 랜섬웨어 개발자들이 기존의 트렌드를 이용하려는 움직임으로 보입니다. 그러나 Trend Micro TM Smart Protection Network™보안 인프라에서 탐지한 랜섬웨어 관련 위협은 오히려 41% 감소했습니다. 따라서 일부 새로운 랜섬웨어 패밀리들만이 작년 한해 실제로 사이버 보안에 영향을 미쳤습니다.



2016
2017
2017년 더 증가한 랜섬웨어 패밀리: 랜섬웨어 패밀리 총 개수 비교
247
2016 새로운 랜섬웨어
327
2017 새로운 랜섬웨어



2016
2017
랜섬웨어 패밀리의 증가에도 불구하고 더 적어진 주요 랜섬웨어:탐지된 랜섬웨어 관련 위협 총 개수 비교
1,078,091,703
2016년 발견된 랜섬웨어 관련 위협
631,128,278
2017년 발견된 랜섬웨어 관련 위협

그러나 랜섬웨어가 사용자에게 끼치는 영향을 더욱 커졌습니다. 광범위한 공격이 여러 국가를 강타하면서 수십억 달러수십억 달러의 피해를 입혔습니다. 가장 악명 높았던 WannaCry 와 Petya 외에도 Bad Rabbit: 이라는 최근 사례도 나타나, 러시아와 동유럽 그리고 미국에 여러 기업들을 공격했습니다.

이는 더 많은 랜섬웨어 사건이 보고되었지만 일반적으로 피해 규모는 지역 사무실에 국한되었고 요구된 몸값도 수만달러에 불과했던 2016년과는 큰 차이를 보여줍니다.

상위 랜섬웨어 패밀리: 2017년 상위권을 차지한 랜섬웨어 패밀리는 2016년부터 이어졌습니다.

오래된 랜섬웨어 패밀리들이 여전히 전 세계 사용자들에게 영향을 끼치며, 랜섬웨어는 분명하고 꾸준한 위협으로 남아있습니다. 또한 최근의 더 치명적이었던 공격들은 새로운 랜섬웨어 패밀리들이 더욱 정교하게 발전하여 더 많은 타깃을 노린다는 것을 보여줍니다. 공격자들은 꾸준한 실험을 통해 가장 수익성이 높은 공격 전략을 찾기 위해 노력하고 있습니다. 2017년 한 해 동안 공격자들은 다양한 방법을 사용했습니다. 예를 들어, 파일리스 감염 , 사전실행형 머신러닝 회피 기술 사용, 더불어 예전 취약점을 악용하는 사례들까지 늘어나고 있습니다.

효과적인 랜섬웨어는 일반적으로 알려진 익스플로잇과 기술을 악용합니다. 기업은 다계층의 솔루션으로 시스템을 보호하면서 꾸준하고 적절한 패치 정책을 적용해야 합니다.


기존의 취약점을 새로운 방식으로 악용하는 적응형 위협


Adaptable threats exploit known vulnerabilities in new ways

사이버 범죄자들은 여러 가지 치명적인 취약점을 사용해 주요 랜섬웨어 캠페인에 사용해 왔습니다. 특히, EternalBlue 및 EternalRomance 익스플로잇을 악용한 공격이 있었습니다. EternalBlue 는 WannaCryPetya 공격에 사용되었고, EternalRomance 는 Bad Rabbit 공격에 사용되었습니다.

알려진 취약점들은 랜섬웨어 확산 이외의 목적으로도 사용되었습니다. EternalBlue 는크립토마이너 멀웨어가 파일없이 확산되는데 사용이 되었고, 리눅스 취약점인 Dirty Cow 는 ZNIU에서 특정 안드로이드 디바이스를 손상시키는데 사용되었습니다.


제로데이 취약점
제로데이 취약점 (SCADA)
2016
60
2017
119
2016
46
2017
113


제로데이 취약점의 급격한 증가: 2016년과 2017년에 발견된 제로데이 취약점과 SCADA 관련 제로데이 취약점의 수

2017년에는 발견된 제로데이 취약점이 무려 98%나 증가했습니다. 또한 제로데이 취약점 119건 중 6건을 제외한 모든 취약점이 Supervisory Control and Data Acquisition (SCADA) 와 관련되어 있었습니다. SCADA 에 대한 이러한 관심 증가는 주요 산업과 기반시설 제어 시스템 아키텍처가 가능하며, 악용될 경우 막대한 손실과 피해를 초래할 수 있기 때문에 매우 중요합니다.


위협에 대한 인식이 높아진 상황에서도 여전히 증가하는
비즈니스 이메일 해킹(BEC)


위협에 대한 인식이 높아진 상황에서도 여전히 증가하는
비즈니스 이메일 해킹(BEC)

과거에 있었던 보안 사고들을 통해 대기업과 중소기업을 포함한 모든 종류의 기업들은 비즈니스 이메일 해킹에 대한 위험성을 자각하게 되었습니다. 이렇듯 BEC 의 위험성에 대한 인지도가 높아졌음에도 불구하고 BEC 스캠은 여전히 2017년에 널리 퍼져 더 증가하였습니다. 지난 12월에는 일본 운송회사가 340만 달러에 달하는 피해를 입었습니다. 협력사 부정 (Supplier Swindle) 기법은 제 3의 공급 업체를 사칭하여 회사가 자금을 이체하도록 합니다. 7월에 독일에서 보고된 또 다른 사건 또한 회계 담당자가가짜 경영진으로부터 사기성 계좌에 자금을 보내도록 유도하는 메모를 받은 것으로 알려졌습니다.

트렌드마이크로의 데이터에 따르면 BEC 스캠의 시도 횟수는 2017년 상반기부터 하반기까지 106%의 급격한 증가를 보여주었습니다. 지난 수년간 가장 많이 타깃이 되었던 회계 관련 직책은 CFO (최고 재무 책임자), 재무 관리자, 재무 이사 등이었으며, 가장 많이 사칭 되었던 최고 경영직은 CEO, 전무 이사 및 사장 이었습니다.

2017년에 탐지된 BEC 시도 횟수

상반기
3175
하반기
6533

비즈니스 이메일 해킹 공격 시도가 하반기에 2배 이상 증가: 2017년 상반기와 하반기 BEC 공격 시도 횟수


암호화폐의 급성장으로 나타나는 새로운 멀웨어와 위협


암호화폐의 급성장으로 나타나는 새로운 멀웨어와 위협

암호화폐의 가치, 특히 비트코인의 가치는 2017년 후반에 급격하게 증가했습니다. 7월 초에 1비트코인은 약 2,500달러였고, 12월 31일에는 13,800달러를 넘었습니다. 급속히 빠른 암호화폐의 가치 증가로 인해 사이버 범죄자들은 다른 방법을 통해 암호화폐를 노리기 시작했습니다. 몇몇 공격자들은소셜엔지니어링 공격 을 통해 직접적으로 암호화폐 지갑을 타깃으로 삼았고, 다른 공격자들은기존의 랜섬웨어 위협을 진화시켜 공격을 시도했습니다. 심지어 낮은 수익성에도 불구하고 모바일 멀웨어를 통해 암호화폐를 채굴하기 위한 시도도 있었습니다.

일부 기업은 웹 광고의 대안으로 마이닝 소프트웨어를 사용하여 암호화폐를 이용하려 했지만, 사이버 범죄자들 또한 발빠르게 움직였습니다. 2017년 중반, 사이버 범죄자들은 오픈 소스 마이닝 도구인 Coinhive 를 가장 많이 사용하기 시작했습니다. Coinhive 는 웹사이트가 돈을 벌 수 있는 합법적인 대체 수단 이었음에도 불구하고 11월까지 Coinhive 변종은 세계에서 6번째로 흔한 악성코드가 되었습니다.

기업이 암호화폐를 사용하기 시작하고 심지어 자체적으로 제작; 하기까지 하면서 암호화폐에 관련된 위협의 관련도가 더 높아지기 시작했습니다. 또한 베네수엘라아랍에미레이트 두바이를 포함한 각국의 정부도 자체적인 암호화폐를 수립하고 있습니다. 하이파이 머신러닝, 웹 평판 서비스, 행위 모니터링 및 응용프로그램 제어 기능을 갖춘 보안 솔루션은 이러한 위협에 큰 도움이 될 수 있습니다.

위협 환경

2017년 Trend Micro™ Smart Protection Network™ 보안 인프라78는 660억 건의 위협들을 차단하였습니다. 85% 이상의 해당 위협들은 악성 컨텐츠를 포함한 이메일 이었습니다. 이메일은 사이버 범죄자들이 사용자에게 도달하기위해 사용하는 진입 포인트로 가장 많이 사용되고 있습니다.

위협 환경

2017년Trend Micro™ Smart Protection Network™ 보안 인프라78는 660억 건의 위협들을 차단하였습니다. 85% 이상의 해당 위협들은 악성 컨텐츠를 포함한 이메일 이었습니다. 이메일은 사이버 범죄자들이 사용자에게 도달하기위해 사용하는 진입 포인트로 가장 많이 사용되고 있습니다.

전체 위협 차단

66436980714


2016년 상반기
28,658,837,969
2017년 상반기
38,451,584,224
2016년 하반기
53,226,272,934
2017년 하반기
27,985,396,490


2016년보다 2017년에는 차단된 위협의 수가 줄어들었습니다2016년과 2017년 Trend Micro Smart Protection Network 인프라가 차단한 총 위협의 수

이에 비해 2016 년에는 810 억 건 이상의 위협이 차단되었습니다. 위협 수의 감소는 "분사 및기도"방법에서 공격에 대해 구체적인 접근 방식으로 전환 될 수 있습니다.


취약점 수의 변화: 2016년과 2017년 벤더 별로 발견된 취약점 수


이벤트 이벤트 수
암호화폐 마이닝 45,630,097
TELNET 디폴트 비밀번호 로그인 30,116,181
MS17-010 SMB 12,125,935
강제 로그인 3,714,051
ICMP BlackNurse 1,792,854
기타 16,701,211

암호화폐 마이닝과 TELNET 관련 이벤트가 다른 이벤트 보다 월등히 많습니다: Trend Micro™ Smart Home Network 솔루션의 데이터를 기반으로 한 2017년 네트워크 이벤트 자료


연도 공개된 데이터 유출 사고 영향을 받은 레코드
2016 813 3,310,435,941
2017 553 4,923,053,245

데이터 유출 사고의 공개는 더 적어지고, 영향을 받은 레코드 더 많은 것으로 밝혀졌습니다: 2016년과 2017년 공개된 데이터 침해 건수와 영향을 받은 레코드 수의 비교

* 참고: 2017년 10월에 보고된 Yahoo 의 데이터 유출 사고는 2017년 영향을 받은 레코드 수에 포함되며, 해당 수치는 Privacy Rights Clearinghouse의 데이터를 기반으로 계산됩니다.

어떻게 사이버 범죄자들이 사물인터넷 (IoT) 를 악용하는지, 어떻게 큰 기업들이 대규모 보안 사고를 겪게 되었는지 등에 대한 기타 중요한 2017년 보안 관련 내용은 트렌드마이크로 위협 보고서에 포함되어 있습니다. 새로운 위협 동향과 보안 전략이 담겨있는 트렌드마이크로의 연간 위협 보고서를 통해 기존의 위협과 새롭게 나타나는 위협에 대비하시기 바랍니다.

전체 보고서 다운로드