보도자료

깨끗하고 안전한 인터넷 세상을 만들어가는 수산아이앤티입니다.

제목, 작성일, 조회수, 내용, 항목으로 구성된 표입니다.

은밀하게 감염시키는 스피어피싱 이메일 악성코드, 수산INT의 eReD로 대응 가능

2018-03-28

한국인터넷진흥원(KISA)이 발표한 ‘국내 스피어피싱 유형 분석’에 따르면 기업 및 기관을 노리는 표적 공격의 91%가 스피어피싱 이메일에서 시작된다고 한다. 스피어피싱 이메일의 94%가 파일을 첨부하고 있었으며, 공격 대상의 76%가 기업이나 정부기관인 것으로 나타났다. 

스피어피싱은 특정 개인이나 조직을 대상으로 잘 아는 자가 보내는 것처럼 위장해 메일을 보내 악성코드에 감염시키는 공격이다. 업무에 관련된 문구를 사용하여 이메일을 보내기에 수신자가 메일을 열람할 가능성이 높다. 

특히 스피어피싱 이메일은 보안 솔루션 탐지를 피하기 위해 실행 파일 대신, 문서 형태의 비 실행 형 또는 압축 파일을 이용하는 경우가 많아 공격 성공률이 높다. 수신자의 PC에서 악성코드가 실행되어도 정상 파일을 보여 주어 감염을 눈치채지 못하게 하는 등 치밀함이 특징이다. 

얼마 전 터키 금융업계를 대상으로 발생한 사이버 공격과 평창 올림픽 개막식을 방해한 해킹 공격이 스피어피싱을 통한 공격에 해당한다. 

터키의 유명 가상화폐거래소인 팔콘 코인(Falcon Coin) 도메인과 흡사한 팔칸 코인(Falcan Coin)이라는 계정으로 워드파일이 첨부된 이메일을 고객들에게 발송하여 피해자들이 이메일을 확인하는 순간 악성코드가 심어 지도록 했다. 이번 공격에 사용된 악성코드는 ‘뱅크샷’이다. 몇 년 전에 발견 되었지만 다양한 변종 형태로 공격에 활용되고 있다. 





‘뱅크샷’이 실행되면 해커들은 피해자들의 컴퓨터 문서를 원격으로 다운받을 수 있다. 특히 잠복기간 동안 수집한 여러 계정 정보를 통해, 코인 및 계좌 정보가 있는 주요 서버 계정을 수집하여 서버 내 파일들을 위/변조, 탈취하여 금전적 손해를 입힐 수 있는 공격이다. 

평창 올림픽 개막 당시 시스템 장애를 일으킨 ‘올림픽 파괴자’ 악성코드의 최초 감염 경로도 스피어피싱 이메일을 통한 감염으로 분석됐다. 해당 파일은 올림픽 관련 인터넷 서비스 도메인에 접속할 수 있는 수십 개 계정 아이디와 패스워드가 포함돼 있었으며 자가전파 기능이 있는 것이 특징이다. 주변 시스템에 자동으로 전파, 감염시켜 시스템 사용자 정보를 모두 탈취하고 공유 시스템을 파괴하는 동작을 수행한다. 

2017년 우크라이나의 주요 기관을 공격한 파괴형 랜섬웨어 악성코드 ‘낫페트야’와 유사한 특징들이 발견된 ‘올림픽 파괴자’ 악성코드는 정보를 탈취하는 랜섬웨어 형태를 띠지만, 애초에 복구를 허용하지 않고 감염 대상의 시스템을 파괴하는 것을 목적으로 하고 있어 심각한 결과를 초래할 수 있었다. 

보안사고 예방을 위해 백신과 운영 프로그램의 주기적인 업데이트 및 첨부 파일 확인 등 사용자의 보안 의식 제고와 보안 수칙 생활화는 중요하다. 하지만 스피어피싱 이메일 공격의 예에서 알 수 있듯이 변종 악성코드를 활용해 사용자가 인식하지 못하도록 은밀하게 지속적으로 공격하는 경우가 증가하고 있다. 감염의 근원을 파악하기 힘든 경우가 많고 백신이나 보안 솔루션들을 우회하는 공격 형태가 많아지면서 관리자에게만 모든 책임을 지울 수 없는 형편이다.  
이러한 지능형 공격에 대응하기 위해 통합 보안 솔루션을 제안하고 컨설팅하는 업체들이 늘어나고 있다. 하나의 백신이나 솔루션만으로 지능적인 공격을 대비할 수 없기 때문이다. 특히 기존의 보안 솔루션들이 이미 발생 되었던 악성코드 공격을 방어할 순 있어도 변종 형태의 공격이나 새로운 형태의 공격은 방어하지 못함에 따라 미래 위협 대응에 대한 니즈가 증가하고 있다. 

수산아이앤티(이하 수산INT)의 신제품 eReD Hypervisor Security(이하 eReD)는 VMI(Virtual Machine Introspection)를 보안솔루션에 적용한 미래 위협 대응 솔루션이다. 화이트리스트 방식으로 프로세스 실행 제어 기능을 수행, 관리자가 인가한 프로그램 외에는 실행을 원천 차단한다. 관리자의 PC나 서버가 스피어피싱 이메일 등으로 인해 감염되었더라도 악성 프로그램이 실행되지 않아 주요 정보를 보호할 수 있는 것이다. 

지난해 모의해킹 테스트를 성공적으로 마친 eReD는 앞서 언급한 ‘뱅크샷’, ‘올림픽 파괴자’뿐만 아니라 최근 이슈가 되었던 변종 ‘헤르메스’까지 모두 무력화 시켰다고 한다. 

수산INT 관계자는 “eReD는 국내 최초로 가상화 기술을 보안 솔루션에 적용한 제품이다”고 설명하며 “백신에 대해 우회하는 악성파일이라 할지라도 프로그램 실행을 무력화 시키기에 기존 보안 제품과는 차원이 다른 보안을 제공하며, 제로데이 공격도 차단할 수 있다”고 말했다. 

목록