글로벌 사이버 보안 기업 시만텍은 2015년의 주요 사이버 범죄 및 보안 위협 동향에 대한 분석을 담은 ‘인터넷 보안 위협 보고서 제21호’를 14일 발표했다.
이번 보고서에 따르면, ▷사이버 범죄 집단의 전문화 ▷제로데이 취약점 사상 최다 ▷소수집중형 표적 공격 증가 ▷정보 유출 사고 대형화 ▷크립토 랜섬웨어 35% 증가 ▷웹사이트 4개 중 3개 위험 ▷모바일 보안 위협 증가 ▷기술지원 위장 소비자 사기 스캠(scam) 증가 등이 2015년 주요 보안 위협으로 조사됐다.
 |
| 시만텍 ‘인터넷 보안 위협 보고서(ISTR) 발표 기자간담회 현장 |
2015년은 사이버 범죄 집단이 더욱 전문화 돼 하나의 기업처럼 움직이는 양상이 두드러졌다. 사이버 범죄자들은 기업과 개인사용자를 대상으로 한 공격의 효율성을 높이기 위해 한층 전문적인 비즈니스를 만들어가고 있는 것으로 나타났다. 전문 사이버 범죄 집단은 방대한 리소스와 고급 인력을 보유하고 있으며, 일반 기업처럼 일정한 업무 시간을 준수하는 등 효율적인 비즈니스를 추구했다.
악성코드도 놀라운 속도로 증가해 2015년 한 해에만 4억3000만 개의 신규 악성코드가 발견됐다. 매일 약 118만 개의 악성코드가 발생하고 있는 셈이다. 이는 전문 사이버 범죄자들이 막대한 리소스를 이용해 보안 체계를 무력화시키고 기업 네트워크에 침투하기 위해 노력하고 있다는 사실을 방증한다고 시만텍은 설명했다.
표적 공격 캠페인의 양상도 달라졌다. 2015년 스피어 피싱 공격 캠페인을 살펴보면, 이메일 공격 캠페인 1건 당 발송된 이메일은 평균 12회로 전년 대비 52% 감소했고, 공격 1건 당 이메일 수신자 수도 전년 대비 39% 감소한 11명이었다. 반면, 스피어 피싱 공격 캠페인 자체는 전년 대비 무려 55%나 증가한 연간 1305건으로 집계돼 소수를 겨냥한 표적 공격이 크게 증가했다는 사실을 알 수 있다.
2015년에는 한 번에 1000만 건 이상의 개인정보가 유출된 대형 보안사고가 9차례 발생, 사상 최다를 기록했다. 또한, 단일 보안 사고로 최대 규모인 1억9100만 건의 정보가 유출된 사고가 발생하기도 했다. 지난 해 전 세계에서 보안 사고로 유출된 개인정보는 2014년 대비 23% 증가한 4억2900만 건. 유출 정보를 공개하지 않은 기업이 85%나 증가하면서, 실제 유출된 개인정보는 5억 건을 웃돌 것으로 예상된다.
지난해 보안 취약점이 발견된 웹사이트의 비율은 약 78%로, 4개 중 3개가 위험한 것으로 나타났다.
2015년 발견된 신규 모바일 취약점은 528개로 전년 대비 214%의 증가세를 기록했다. 이는 사이버 범죄의 새로운 타깃으로 모바일이 주목받고 있음을 보여준다. 누적 안드로이드 악성코드 수는 2014년 9839개에서 40%가 늘어 지난 해 1만3783개를 기록했다. 비교적 보안 위협이 낮은 것으로 알려진 애플 iOS에서도 2015년 한 해에만 총 9개의 악성코드가 발견됐다. 이전까지 발견된 iOS 악성코드를 모두 합쳐도 4개였던 것과 비교하면 현저히 증가한 것. 특히 악성코드 ‘XcodeGhost’는 탈옥하지 않은 기기라도 감염될 수 있음을 보여줘 새로운 위협을 예고했다.
인터넷 연결 기기들의 급증에 따라 스마트TV, 커넥티드카, 스마트홈 기기, 의료장비 등 IoT(Internet of Things) 기기들과 관련된 보안도 새로운 이슈로 떠오를 전망이다.
일반 소비자를 대상으로 한 사이버 범죄 수법은 더욱 교묘해지고 있다. 지난 해 눈에 띄게 증가한 수법은 기술 지원을 위장한 사기 스캠으로, 2015년 한 해 동안 시만텍이 차단한 공격은 1억 건에 달한다. 과거와 다른 점은 공격자가 피해자에게 전화를 걸어 속이는 것이 아니라, 피해자가 기술 지원을 받기 위해 공격자가 운영하는 콜센터로 전화하도록 유인한다는 점이다.
윤광택 시만텍코리아 CTO는 “전문 사이버 범죄 집단들이 숙련된 전문가를 보유하고 일반 기업의 운영 방식을 따르며 점차 전문화, 기업화되고 있다”며, “사이버 범죄 집단은 IoT(사물인터넷), 모바일, 산업용 제어시스템(ICS) 등 새로운 영역으로 공격 목표물을 빠르게 넓혀갈 것으로 전망된다”고 내다봤다.
ham@heraldcorp.com
