맥아피 연구소, 2015년 1분기 위협보고서를 통해 새로운 랜섬웨어 165% 증가 발표

뉴스 하이라이트


  • 2015년 1분기, CTB-Locker Teslacrypt 계열 랜섬웨어의 확산, CryptoWall, TorrentLocker 및 BandarChor 의 새로운 버전 등장으로 새로운 랜섬웨어가 165%까지 대폭 증가
  • 공격자가 Java 아카이브와 Microsoft Silverlight  취약점으로부터 패치되지 않은 어도비플래시의 취약점을 악용하게 되어 새로운 어도비 플래시 악성코드가 317%까지 증가
  • 어도비 보안 팀, 42개의 새로운 어도비 플래시 취약점 패치 제공
  • HDD 및 SSD 덮어쓰기기술을 사용하는 이퀘이션 그룹의 펌웨어 공격에 대한 새로운 정보 공개


2015년 6월 19일, 서울 인텔시큐리티가 발표한 ‘맥아피 연구소 위협 보고서 (McAfee Labs Threats Report) 2015년 1분기 내용에는 새로운 랜섬웨어의 급속한 확산, 이퀘이션 그룹(Equation Group)에 의한 HDD 및 SSD 펌웨어 공격 사례, 어도비 플래시(Adobe Flash) 멀티미디어 소프트웨어를 대상으로 한 악성코드의 주요 증가에 대한 내용이 수록됐다.

맥아피 연구소는 탐지가 어려운 CTB락커(CTB-Locker) 랜섬웨어 및 테슬라크립트라는 새로운 랜섬웨어의 확산과 크립토월(CryptoWall), 토렌트락커(TorrentLocker) 및 밴다코어(BandarChor)의 새로운 버전 출현으로 2015년 1분기에 새로운 랜섬웨어가 165%까지 증가했다고 공개했다. 맥아피 연구소는 CTB락커가 확산된 원인으로 보안 소프트웨어를 회피하는 영리한 기술, 고급 이메일 피싱, 그리고 범람하는 사이버 공간 속에 CTB락커 피싱 메시지를 삽입하여 비용을 지불하도록 유도하는 “연계” 프로그램 등을 뽑았다.


맥아피 연구소는 조직과 개인이 인텔시큐리티 피싱 퀴즈(Intel Security Phishing Quiz)와 같은 도구 사용 등 피싱 이메일을 사용자가 인지하는 방법을 우선 적용해 그러한 공격을 막도록 제안한다. https://phishingquiz.mcafee.com/


연구진은 또한 1분기에는 새로운 어도비 플래시 악성코드 샘플이 317%까지 증가했고 이러한 증가가 여러 가지 요인에 기인한다고 밝혔다. 여기에는 어도비 플래시의 광범위한 사용, 어도비 플래시 패치가 있음에도 적용하지 않는 사용자, 제품의 취약점을 악용할 수 있는 새로운 방법, 어도비 플래시 파일(.swf)을 재생할 수 있는 모바일 기기 수의 급격한 증가, 일부 어도비 플래시 공격 탐지에 대한 어려움 등이 포함된다. 연구진은 자바(Java) 아카이브와 마이크로소프트 실버라이트(Microsoft Silverlight) 취약성부터 어도비 플래시 취약성까지 키트 개발자들이 악용할 수 있는 요소들이 꾸준히 변화하고 있다고 전망한다.


1분기에는 42건의 새로운 어도비 플래시 취약성이 미국의 NIST 취약점 데이터베이스(National Vulnerability Database)에 제출되었고 이 취약점이 게시된 날, 어도비는 42건의 모든 취약점에 대하여 기 수정을 적용했다.


맥아피 연구소 수석 부사장 빈센트 위퍼(Vincent Weafer)는 “플래시와 같은 제품의 인기로 인해 잠재적으로 수백만 명의 사용자를 위협할 수 있는 보안 문제를 사전에 적극적으로 식별 및 완화해야 하는 노력도 필요하게 됐다”라며, “인텔시큐리티의 본 보고서는 IT업계가 위협 정보를 공유하는 업계 파트너 및 잠재적 위협을 예방하기 위해 정보에 빠르게 대응하는 기술 제공 업체 등 사이버보안 전문가를 활용해 효과적으로 보안 문제를 해결해나갈 수 있는 방안을 제시한다. “고 말했다.

맥아피 연구소는 취약점을 해결하기 위한 공급업체의 노력과 더불어 회사 및 개인 사용자가 최신 보안 패치로 자사 제품을 꾸준히 업데이트할 것을 촉구했다.


2015년 2월에 사이버보안 커뮤니티는 HDD와 SSD의 펌웨어를 악용하는 이퀘이션 그룹(Equation Group)이라는 비밀 조직을 확인하였고, 지난 2월 노출된 다시 쓰기 모듈을 평가한 맥아피 연구소는 이 모듈이 이전에 보고된 하드 디스크 다시 쓰기 기능 외에도 SSD 펌웨어 다시 쓰기에 사용될 수 있다는 것을 발견했다. 일단 다시 쓰기가 완료되면 HDD 및 SSD 펌웨어는 감염된 시스템이 부팅될 때마다 관련 악성코드를 다시 로드할 수 있고, 해당 악성코드는 드라이브를 다시 포맷하거나 운영 체제를 다시 설치하더라도 그대로 시스템에 남게된다. 감염된 보안 소프트웨어는 드라이브의 숨김 영역에 저장된 관련 악성코드를 발견할 수 없다.


위퍼는“인텔은 하이브리드 소프트웨어-하드웨어 위협 및 공격에 대하여 심각하게 고려하고 있다. 우리는 펌웨어 또는 BIOS 조작 기능을 가진 악성코드의 자가학습된 PoC(proofs of concept)와 실제 사례를 모두 밀접하게 모니터링했으며, 이퀘이션 그룹(Equation Group) 펌웨어 공격은 이들 집단 중 가장 정교한 위협의 일부로 평가된다. 지난 사례를 보면 가능성이 높은 표적을 대상으로 악성코드 공격이 이뤄졌기 때문에 기업은 앞으로의 위협에 대해 방어수단을 스스로 준비하여 대처해야 한다.”라고 덧붙였다.


맥아피 연구소는 기업이나 기관들이 악성링크가 포함된 피싱 메시지, 악성코드에 감염된 USB 드라이브 및 CD 등 알려진 초기 공격 경로에서 위협 탐지를 강화해야할 뿐 아니라 데이터 유출을 예방할 수 있는 솔루션을 도입을 고려하는 것이 좋다고 조언한다.


아래는 맥아피 연구소에서 2015년 1분기 동안 발견한 기타 주요 내용이다.


PC 악성코드의 증가. 주로 소프트펄스(SoftPulse)라는 단일 애드웨어에 기인했던 PC의 새로운 악성코드 성장이 감소세를 보였다. 본 애드웨어는 2014년 4분기에 급증했다가 2015년 1분기에 다시 정상 수준으로 되돌아갔다. 안드로이드 모바일 악성코드인 “zoo”는 이 기간 동안 13% 증가했으며, 이제 4억 개의 샘플을 가지게 됐다.


모바일 악성코드. 새로운 모바일 악성코드 샘플 수는 2014년 4분기부터 2015년 1분기까지 49% 증가했다.


SSL 공격. 2015년 1분기 SSL 관련 공격은 2014년 4분기 기준 잠시 감소세를 보였지만 지속되고 있다. 이러한 감소는 이전 분기에 악용된 취약성 대부분을 제거했던 SSL 라이브러리 업데이트로 인해 발생했을 가능성이 높다. 쉘샥(Shellshock) 공격은 작년 말에 출현한 이후 여전히 꽤 널리 퍼져 있다.


스팸 봇넷. 다이어(Dyre), 드리덱스(Dridex) 및 다크메일러3.슬렌봇(Darkmailer3.Slenfbot) 은 페스티(Festi) 및 다크메일러2(Darkmailer2)를 넘어 최고의 스팸 네트워크로 자리잡았으며, 제약회사, 신용카드, 소셜 미디어 마케팅 관련 스팸도 제쳤다.


자세한 내용은 맥아피 연구소 위협 보고서: 2015년 5월호 전문을 참조할 수 있다.

본 분기 보고서에 설명된 위협으로부터 기업을 보호할 수 있는 방법에 대한 지침은 다음 웹사이트를 참고하면 된다. http://www.mcafee.com/us/security-awareness/articles/mcafee-labs-threats-report-may-2015.aspx


맥아피 연구소에 대하여

위협 조사, 위협 인텔리전스 그리고 사이버 보안 리더십 분야에서 세계 최고의 연구소입니다. 파일, 웹, 메세지, 네트워크와 같은 주요한 위협 매개체를 통틀어 수십만개 센서에서 취합한 데이터로  맥아피 연구소는 실시간 위협 인텔리전스, 비판적인 분석 그리고 보호를 향상시키고 위협을 감소하기 위한 전문적 지식을 전달합니다.


인텔 시큐리티에 대하여

맥아피는 인텔 시큐리티 부문에 속한다. 인텔 시큐리티는 하드웨어 강화 보안에 관한 혁신적인 접근이자 고유한 글로벌 위협 인텔리전스(Global Threat Intelligence) 네트워크인 보안 연결(Security Connected) 전략을 통해, 전세계 개인 및 비즈니스 사용자들의 시스템과 네트워크, 모바일 디바이스를 보호하는 주도적이며 입증된 보안 솔루션과 서비스를 개발하는데 중점을 두고 있다. 인텔 시큐리티는 맥아피의 오랜 경험과 전문가들과 인텔의 혁신성과 입증된 성능을 결합해 모든 아키텍처와 모든 컴퓨팅 플랫폼에서 보안을 필수 요소로 만들고자 한다. 인텔 시큐리티의 미션은 디지털 세계에서 모두가 안전하고 보안이 완벽한 삶과 업무를 영위하고 있다는 자신감을 전달하는 것이다. 더 자세한 내용은 www.intelsecurity.com 을 참고한다.

맥아피는 미국과 기타 국가에서의 맥아피 등록 상표이다. 인텔 시큐리티, 인텔 로고, 인텔 시큐리티의 로고는 미국과 기타 국가에서의 인텔 등록상표이다. 기타 이름 및 상표는 해당 소유권자의 재산이다.


인텔에 대하여

반도체 업계의 선두주자인 인텔(NASDAQ: INTC)은 전 세계 혁신의 바탕이 되는 컴퓨팅 및 통신기술로 데이터 중심의 미래를 만들어가고 있다. 엔지니어링 분야에 있어 인텔의 전문성은 전 세계가 직면한 가장 큰 문제들을 해결하는데 기여할 뿐 아니라 클라우드와 네트워크, 엣지까지 스마트 커넥티드 월드를 구성하는 모든 인프라와 수십억개의 디바이스를 작동시키고 연결하는데 앞장서고 있다. 인텔에 대한 보다 자세한 정보는 newsroom.intel.com and intel.com 에서 확인 가능하다.

인텔 및 인텔 로고는 미국 및 다른 국가에서 인텔의 상표로 등록돼 있다.

*기타 이름과 상표는 해당 기업의 자산입니다.