[아이티비즈] 카스퍼스키랩은 ‘2015 카스퍼스키 소비자 데이터를 바탕으로 한 보안 통계 보고서’를 통해 새로운 악성 코드 동향을 주목한 결과, 금융 자산을 노리는 악성 코드 상위 10개 가운데 모바일 금융 위협이 처음으로 포함됐다고 30일 발표했다. 또 눈여겨볼 만한 동향은 랜섬웨어의 빠른 확산이라고 밝혔다. 카스퍼스키랩은 2015년에 200개의 국가에서 랜섬웨어를 탐지했다.
모바일 금융 위협 심화
2015년, 악성 코드 10위 안에 모바일 뱅킹 악성 코드 두 개(Faketoken 및 Marcher)가 올랐다. Marcher 악성 코드는 유럽 은행 앱과 구글 플레이 앱의 실행을 감시해 해당 앱이 실행되면 가짜 결제 요구 창을 화면에 띄어 결제 정보를 훔친다. Faketoken는 PC용 트로이목마와 연동해 동작한다. 스마트폰에 앱을 설치하도록 유도하는데, 실상은 모바일 금융 거래 시 사용되는 일회용 인증 코드(mTAN)를 가로채는 트로이목마인 것이다.
카스퍼스키랩코리아 이창훈 지사장은 "올해는 사이버 범죄자들이 모바일 기기용 악성 코드 개발에 시간과 비용을 쏟았다"며 "스마트폰으로 상품이나 서비스를 결제하는 시대이니만큼 놀라운 일이 아니며, 현재의 추세로 보면 내년에는 모바일 뱅킹 악성 코드가 차지하는 비중이 훨씬 증가할 것”이라고 말했다.
'전통적인 방식'의 사이버 금융 범죄도 사라지지 않을 것으로 보인다. 카스퍼스키랩 솔루션은 2015년에 PC에서 온라인 뱅킹 관련 악성 코드의 실행을 약 2백만(1,966,324) 건 차단했으며 이는 2014년(1,910,520)보다 2.8% 증가한 수치이다.
새로운 금융 악성 코드 등장
수많은 변종이 나왔던 ZeuS 악성 코드는 Dyre/Dyzap/Dyreza에게 일인자 자리를 넘겨줬다. 2015년 뱅킹 트로이목마의 40% 이상이 Dyreza에 의한 것으로, 데이터를 훔치고 온라인 뱅킹 시스템에 접근하기 위해 웹 공격 방식을 사용했다.
2015년 사이버 범죄 활동 주요 동향
형사 고발의 위험을 최소화하려는 시도로 악성 코드 배포 시 애드웨어 방식을 사용했다. 애드웨어는 2015년 웹 기반 위협의 상위 20개 중 12개를 차지했으며 조사 대상 컴퓨터의 26.1%에 설치되어 있었다.
또한, 카스퍼스키랩은 취약점, 셸코드 등을 숨겨 악성 코드 분석을 어렵게 만드는 새로운 악성 수법을 발견했다. 특히 사이버 범죄들은 Diffie-Hellman 암호화 프로토콜과 Flash 개체에 숨겨진 취약점 패킷을 이용했다.
사이버 범죄자들은 Tor 익명화 기술을 이용해 범죄자의 명령 서버를 숨기고, 거래 시에는 비트코인을 사용했다.
악몽이 된 랜섬웨어
2015년에는 새로운 플랫폼으로도 랜섬웨어가 빠르게 확산되었다. 랜섬웨어 공격 6건 중 1건(17%)이 안드로이드 기기를 대상으로 발생했는데, 이는 첫 안드로이드 기기 공격이 발견된 지 1년 만이다.
2015년 주요 랜섬웨어 추세는 크게 두 가지로써 첫째는 랜섬웨어의 공격을 받은 사용자가 거의 18만 명이며, 이는 2014년 대비 48.3% 증가한 수치라는 것이다. 둘째로, 대다수의 경우 암호화 랜섬웨어는 다중 공격 모듈로 구성되어 암호화뿐 아니라 피해자의 컴퓨터에서 데이터를 훔치는 기능을 포함하고 있다.
2015년 카스퍼스키랩 제품에서 운영 통계
2백만 대의 사용자 컴퓨터에서 온라인 뱅킹 악성 코드의 실행 시도를 차단했으며, 이는 2014년보다 2.8% 증가한 수치이다. 4백만 건의 악성 개체를 탐지했으며, 이는 2014년의 184만건보다 증가한 수치이다.
상위 20개국의 사용자가 보유한 컴퓨터, 하드 드라이브 또는 이동식 장치 중 2/3 (67.7%)가 악성 코드에 한 번 이상 노출된 적이 있는 것으로 KSN 통계 데이터를 통해 밝혀냈으며, 이는 2014년의 58.7%보다 증가한 수치이다.
스크립트, 익스플로잇, 실행 파일 등 12억 개의 악성 개체를 탐지했으며, 이는 2014년 대비 1.4% 감소한 수치이다.
온라인 공격 지역적인 분포
안티 바이러스 제품에 의해 차단된 공격의 80%는 10개 국가의 온라인에서 발생했다. 악성 코드에 감염된 온라인 리소스을 가진 상위 3개 국가는 작년과 마찬가지로 미국(24.2%), 독일(13%), 네덜란드(10.7%)로 꼽혔다. 이러한 순위는 사이버 범죄자들이 서버 호스팅 시장이 잘 발달된 여러 나라에 분산해 호스팅 서비스를 운영하고 있다는 것을 보여준다.
