2018년 상반기부터 하반기까지 이어질 유행, 파일레스 공격

파일레스와 파워셸 공격, 난이도 높지만 장점 분명한 공격 기술
해커들의 실력이 보편적으로 올라갔다는 증거 되기도

[보안뉴스 문가용 기자] 2018년 상반기에는 어떤 위협이 있었을까? 하반기에는 어떤 공격을 염두에 두고 방어 전략을 펼쳐야 할까? 엔드포인트 보안 업체인 센티넬원(SentinelOne)이 발표한 ‘H1 2018 기업 위험 지수 보고서(H1 2018 Enterprise Risk Index Report)’에 의하면 파일레스 공격과 파워셸 공격이 가장 눈에 띄는 공격 트렌드다.

[이미지 = iclickart]

보고서에 의하면 파일레스 공격은 1월과 6월 사이 94% 증가했다고 한다. 파워셸 공격의 경우 올해 5월 1000개 엔드포인트 당 2.5회를 기록했는데, 바로 다음 달인 6월 1000개 엔드포인트 당 5.2회로 급증했다. 랜섬웨어 역시 여전한 인기를 구가하고 있는데, 1000개 엔드포인트 당 5.6~14.4번의 공격 횟수를 기록했다.

센티넬원의 제품 관리 책임자인 아비람 슈무엘리(Aviram Shmueli)는 “파일레스와 파워셸 공격의 증가 자체가 놀라울 것은 없다”고 말한다. “기존 보안 제품들로는 파일레스 공격이나 파워셸 공격을 막을 방법이 없거든요. 공격자들이 이 방면으로 눈을 돌린다는 건 자연스러운 흐름입니다.”

슈무엘리에 의하면 파일레스 공격은 흔적을 남기지 않는 고급 공격으로, 사용자 데이터를 노리는 공격 기법 중 주류로 자리 잡고 있다고 한다. 파워셸 공격의 급증 또한 “당분간 지속될 것으로 보인다.” 슈무엘리는 “파일레스와 파워셸 모두 잠시 있다가 사라지는 유행은 아닌 것으로 보인다”고 예측한다. “전반기 동안 파일레스 공격, 횡적 움직임, 문서 공격이 전체 위협의 20%를 차지했습니다.”

파일레스 공격과 파워셸 공격 모두 강력하기도 해, 공격자들은 이를 활용해 충분한 피해를 입힐 수 있다고 슈무엘리는 경고했다. “중요한 건 둘이 겹치기도 한다는 겁니다. 파워셸을 활용해 파일레스 공격을 실시할 수도 있습니다. 또한 파워셸을 이용하면 공격자들이 탐지를 피해 시스템 내부 요소들에 접근할 수 있게 되기도 합니다.”

파워셸의 인기 증가에 대해 증언하고 있는 건 이 보고서만이 아니다. 얼마 전 보안 업체 맥아피(McAfee)도 파워셸을 통해 실시되고 있는 파일레스 공격이 2017년 4사분기에 비해 267% 증가했다는 내용의 보고서를 발표했다.

그렇다면 파일레스 공격과 파워셸 공격 중 어떤 것이 공격자 입장에서는 더 활용하기 쉬울까? 슈무엘리는 “윈도우 시스템에 이미 합법적으로 설치되어 있는 파워셸이 공격자들에게 더 괜찮은 옵션일 것 같다”고 말한다. “추가적인 멀웨어나 툴을 설치할 필요가 없다는 것이죠. 이러한 점 역시 파워셸의 높은 인기에 중요한 요소입니다.”

파일레스 및 파워셸 공격의 증가로 파악할 수 있는 또 다른 문제점은 공격자들의 수준이 높아지고 있단은 것이다. 파일레스 공격은 기본적으로 난이도가 높은 편에 속한다. 그런 어려운 공격을 보다 흔하게 할 수 있다는 건 공격자들의 수준이 전체적으로 상향됐다는 뜻이 된다. 이는 장기적으로 작지 않은 문제로 다가올 것으로 보인다.

센티넬원 측은 최근 파일레스와 파워셸의 인기에 좀 더 직접적인 영향을 미치는 요인이 있나 분석했다. 그러나 특별한 계기가 될 만한 이유를 찾아낼 수는 없었다고 한다. “공격자들 사이에서 파일레스 공격이 자연스럽게, 보편적으로 자리를 잡아가는 것 같습니다. 그러니 더더욱 ‘일시적 유행일 수 없다’는 쪽으로 생각이 기우는 것이죠.”

한편 랜섬웨어에 대해서는 예측이 어렵다고 슈무엘리는 밝히기도 했다. “파워셸이나 파일레스가 계속 증가할 것은 거의 확실합니다. 하지만 랜섬웨어는 잘 모르겠어요. 일관적인 흐름이 보이지 않습니다. 반짝 유행처럼 사용되기도 하다가, 갑자기 뜸해지기도 하는 등 의미 있는 예측을 불허하는 것이 랜섬웨어입니다.”

3줄 요약
1. 파일레스 공격과 파워셸 공격, 가장 빠르게 증가하고 있는 두 가지 위협.
2. 파워셸과 파일레스 공격은 일정 부분 겹치기도 함. 당분간 증가 추세 이어질 것.
3. 랜섬웨어는 종잡을 수가 없음.

[국제부 문가용 기자(globoan@boannews.com)]

코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
	랜섬웨어
	피싱/스미싱
	스피어피싱(표적 공격)/국가 지원 해킹 공격
	디도스 공격
	혹스(사기) 메일
	악성 앱
	해적판 소프트웨어
	기타(댓글로)