올해 상반기 기업 5곳 중 1곳이 러프테드 멀버타이징(RoughTed Malvertising)과 파이어볼(Firebal) 멀웨어 공격을 받은 것으로 나타났다. 모바일 뱅킹과 매크로 기반 다운로더도 진화해 사이버 위협이 복잡화되는 양상이다.

체크포인트는 6일 '체크포인트 사이버 공격 동향' 연중보고서를 발간하고, 지난 상반기 전체 기업 조직의 23.5%가 러프테드 멀버타이징 공격을 받았다고 밝혔다. 기업 중 19.7%는 파이어볼 멀웨어 공격으로 피해를 입었다.

러프테드 멀버타이징은 지난 6월 애드웨어, 익스플로잇 킷, 랜섬웨어 같은 악의 정보 제공 웹사이트·페이로드를 전달하는 데에 사용된 대규모 악성 코드다. 모든 유형 플랫폼·운영 체제를 공격한다. 효과적 공격 여부 확인을 위해 애드블로커(ad-blocker)를 우회한다. 핑거 프린팅도 사용한다.

파이어볼 멀웨어는 베이징에 본사를 둔 대형 디지털 마케팅 대행사인 라포텍(Rafotech)을 통해 사용자 PC 브라우저 기본 검색 엔진설정을 변경한다. 'google.com' 또는 'yahoo.com'으로 재설정한다. 가짜 검색 엔진에 포함된 추적 픽셀이 사용자 개인 정보를 수집·감시한다. 추가 보안 결함을 생성한다.

파이어볼 멀웨어로 애드웨어 차단 방식에 변화가 생겼다. 겉보기에 합법적인 수많은 조직에서 소유한 애드웨어가 두드러졌다. 모바일 애드웨어 봇넷도 계속 확장됐다.

체크포인트는 주요 국가 해킹 툴과 제로데이(Zero-Day) 취약성, 익스플로잇과 공격 방식이 유출돼 해커 정교한 공격이 가능해졌다고 분석했다. 마이크로소프트(MS) 오피스 파일을 악용하는 매크로 기반 다운로더도 진화했다. 피해자가 매크로를 활성화해 문을 열어주지 않아도 공격자가 침입한다. 해커는 오픈소스 뱅킹 멀웨어 코드를 복잡한 난독화 기법과 조합해 보호 수단을 반복 우회하게끔 만들었다.

지난 상반기 미주, 유럽, 중동, 아프리카(EMEA)에서 랜섬웨어 공격은 지난해 같은 기간보다 두 배 증가했다.

마야 호로위츠(Maya Horowitz) 체크포인트 위협 정보 그룹 관리자는 “해커가 더 정교한 멀웨어를 만들어내기 때문에 기술이 미숙한 해커라도 피해를 입힐 가능성이 커졌다”며 “공격을 차단하는 사전 예방 방지 솔루션을 구현하기보다 탐지 방식에 주력해야 한다”고 말했다.

보고서는 지난 1월부터 6월까지 체크포인트의 쓰렛클라우드 세계 사이버 위협 지도(World Cyber Threat Map)에서 얻은 데이터를 기반으로 작성됐다. 랜섬웨어, 뱅킹·모바일 위협 등 멀웨어 위협에 대한 개요를 제공한다.

[전자신문 CIOBIZ] 변상근기자 sgbyun@etnews.com