한국교육일보
커뮤니티
안랩, 통계로 보는 2022년 상반기 보안 위협 동향 발표
송만수  |  keilbo@keilbo.com
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2022.08.03  21:02:26
트위터 페이스북 미투데이 요즘 네이버 구글 msn
안랩이 공개한 통계로 보는 2022년 상반기 보안위협 동향

안랩이 악성코드별 통계 및 사이버 공격 탐지 통계를 기반으로 ‘2022년 상반기 보안 위협 동향’을 28일 발표했다.

안랩은 안랩시큐리티대응센터(ASEC)가 수집한 악성코드를 자사의 악성코드 동적 분석 시스템 ‘RAPIT’을 이용해 도출한 △악성코드별 통계와 안랩 침해 대응(CERT·Computer Emergency Response Team) 전문인력이 ‘안랩 보안관제서비스’를 수행하며 탐지·차단한 공격 시도 중 △공격 유형별 통계 △업종별 공격 탐지 비율을 분석해 이번 상반기 보안 위협 동향을 발표했다.

◇악성코드별 통계: 개인과 조직의 정보를 노리는 ‘인포스틸러’ 비중 최다

올 상반기에는 정보 유출형 악성코드가 가장 높은 비율을 차지한 가운데 백도어, 뱅킹 악성코드 등 다양한 종류의 악성코드가 함께 발견됐다.

안랩시큐리티대응센터(ASEC)의 분석 결과, 사용자 웹 브라우저의 계정 정보를 비롯해 암호화폐 지갑 정보, 이메일이나 VPN 클라이언트 정보 등 다양한 사용자 정보를 탈취하는 ‘인포스틸러(Infostealer) 악성코드’가 전체의 66.7%로 가장 높은 비율을 차지했다. 2위로는 공격자가 차후 공격을 수행할 목적으로 시스템에 설치하는 ‘백도어(Backdoor) 악성코드’가 18%를 기록했다.

이외에도 사용자의 금융 관련 정보를 탈취하는 ‘뱅킹(Banking) 악성코드(6.7%)’, 외부 서버에서 각종 악성코드를 추가로 내려받는 ‘다운로더(Downloader) 악성코드(5.9%)’ 등이 뒤를 이었다.

공격자는 인포스틸러 악성코드를 이용해 탈취한 계정정보 등을 2차 공격에 활용할 수 있다. 2위를 차지한 백도어 악성코드 또한 외부의 명령을 받아 추가적인 악성 행위를 할 수 있다. 이에 따라 향후 기업과 조직을 대상으로 내부 침투 및 주요 기밀 정보 유출, 랜섬웨어 감염 등 더욱 심각한 공격이 발생할 수 있기 때문에 각별한 주의가 필요하다.

◇공격 유형별 통계: 웹과 애플리케이션의 취약점 노린 공격의 성행

올 상반기 취약점을 악용한 사이버 공격이 다수 탐지됨에 따라 취약점 점검 및 관리에 대한 주의가 요구된다.

안랩 침해 대응(CERT·Computer Emergency Response Team) 전문인력이 올 상반기 탐지·차단한 공격 시도를 분석한 결과, 가장 많이 발생한 공격 유형은 웹 취약점 공격이나 SQL 인젝션 공격* 등을 포함하는 ‘웹 기반 공격(41%)’으로 나타났다. 또 ‘애플리케이션 취약점 공격(38%)’이 2위를 차지했으며, ‘스캐닝(정보수집) 공격(7%)’이 그 뒤를 이었다.

특히 애플리케이션과 웹상의 취약점을 악용한 보안 위협은 클라우드와 전통적 서버 구성 등 조직의 IT 환경을 가리지 않고 발생하고 있다. 따라서 조직 내 보안 관리자는 사용하는 애플리케이션 및 웹 서버의 취약점을 수시로 점검하고 보안 패치를 배포 즉시 적용해야 한다.

◇업종별 공격 탐지 비율: 방송과 게임개발 등 콘텐츠 분야 비중 높아

사이버 공격은 전 업종에 걸쳐 고르게 수행된 가운데, 방송과 게임개발 등 콘텐츠 분야의 비율이 비교적 높게 나타났다.

안랩 분석 결과 올 상반기 방송 분야에 대한 공격이 17%로 가장 높은 비중을 차지했고, 뒤이어 게임개발 분야가 13%를 차지하는 등 콘텐츠 및 미디어 분야에 대한 공격 비율이 상대적으로 높게 나타났다. 이외에도 교육(10%), 닷컴(IT) 분야(9%) 등 다양한 산업군을 대상으로 공격 시도가 탐지됐다.

이는 공격자들이 콘텐츠·미디어 분야 종사자들이 이메일 등으로 외부와 소통과 협업이 상대적으로 잦다는 특성을 노린 것으로 추정된다. 특히 업종별 분류의 경우 다른 통계에 비해 공격 비중의 순위별 편차가 높지 않아, 공격자가 산업군을 가리지 않고 공격을 전개하고 있음을 알 수 있다.

이러한 보안 위협으로부터 피해를 예방하기 위해 조직 내 개인은 △출처가 불분명한 메일 속 첨부파일 실행 자제 △오피스 SW, OS 및 인터넷 브라우저 등 프로그램 최신 보안 패치 적용 △백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다.

또한 조직 차원에서는 △조직 내 PC, OS (운영 체제), SW, 웹사이트 등에 대한 수시 보안 점검 및 패치 적용 △보안 솔루션 활용 및 내부 임직원 보안 교육 실시 △관리자 계정에 대한 인증 이력 모니터링 △멀티팩터인증(MFA·Multi-Factor Authentication) 도입 등 예방대응책을 마련해야 한다.

안랩 전성학 연구소장은 “최근 공격자들은 조직을 겨냥해 복합적인 공격 수법과 다양한 악성코드를 동원한다”며 “고도화되는 사이버 공격에 효과적으로 대응하기 위해서는 엔드포인트나 네트워크 등 특정 보안 영역에 국한되지 않는 통합적인 위협 정보와 보안 전략이 필요하다”고 강조했다.

* SQL 인젝션 공격은 웹에서 악의적인 코드를 삽입해 사용자의 데이터베이스를 비정상적으로 조작하는 공격 방식을 의미한다.

송만수  keilbo@keilbo.com

<저작권자 © 한국교육일보, 무단 전재 및 재배포 금지>

송만수의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
가장 많이 본 기사
1
천안시 도시재생지원센터, ‘시민 도시재생가 입문 교육’ 수강생 모집
2
현대차그룹, 미래 신성장 동력 확보에 총력 ‘로봇 AI 연구소’·‘글로벌 SW 센터’ 설립
3
성북문화재단, 이야기청 ‘노인의 이야기가 도서관이다’ 결과 공유회 개최
4
예스24, ‘이상한 변호사 우영우’ 문지원 대본집 예약 판매 하루 만에 5000부 판매
5
유데미-웅진씽크빅, ‘초보 온라인 강사를 위한 강의 전략’ 웨비나 개최
6
북랩, 행복한 결혼 생활의 25가지 비결을 담은 지침서 ‘선생님이 들려주는 결혼 이야기’ 출간
7
성동청소년센터, 성동 청소년과 함께하는 몽골 글로벌 교류 활동 ‘몽글몽글’ 운영
8
온라인에서 펼쳐진 2022국제청소년캠페스트, 국내외 청소년 3만5000여명 참여해 성황리 폐막
9
SK텔레콤-한국교통연구원, UAM 협력 세미나 개최
10
서울연구원, 개원 30주년 기획 ‘서울연구 30년, 같이 보고 가치 찾기’ 1차 세미나
사시발행사회장인사말조직도에듀케이션 플랜찾아오시는길기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
서울특별시종로구내수동72번지 경기도파주시청송로268  부산경남취재본부:부산해운대구우동마린시티3로 51
충청북도 청주시 상당구 용담동 1633  광주광역시 서구 하정동 12-17번지 금호월드
發行人·編輯人:許自潤  |  등록번호 : 京畿 아 50578  |  청소년보호책임자 : 허자윤
webmaster@keilbo.com  Copyright © 2012 한국교육일보. All rights reserved.
천안시 도시재생지원센터, ‘시민 도시재생가 입문 교육’ 수강생 모집  ㆍ현대차그룹, 미래 신성장 동력 확보에 총력 ‘로봇 AI 연구소’·‘글로벌 SW 센터’ 설립  ㆍ성북문화재단, 이야기청 ‘노인의 이야기가 도서관이다’ 결과 공유회 개최  ㆍ예스24, ‘이상한 변호사 우영우’ 문지원 대본집 예약 판매 하루 만에 5000부 판매  ㆍ유데미-웅진씽크빅, ‘초보 온라인 강사를 위한 강의 전략’ 웨비나 개최  ㆍ북랩, 행복한 결혼 생활의 25가지 비결을 담은 지침서 ‘선생님이 들려주는 결혼 이야기’ 출간  ㆍ성동청소년센터, 성동 청소년과 함께하는 몽골 글로벌 교류 활동 ‘몽글몽글’ 운영  ㆍ온라인에서 펼쳐진 2022국제청소년캠페스트, 국내외 청소년 3만5000여명 참여해 성황리 폐막  ㆍSK텔레콤-한국교통연구원, UAM 협력 세미나 개최  ㆍ서울연구원, 개원 30주년 기획 ‘서울연구 30년, 같이 보고 가치 찾기’ 1차 세미나  ㆍ비즈니스북스, ‘투자의 감각’ 출간  ㆍ디지털 전환시대, 디지털과 인문학 협력과 상생의 길 모색한다  ㆍ서울대학교 최도일 교수, 한국분자·세포생물학회 2024년 회장 당선  ㆍ문예출판사, 현대 비판 이론의 토대 정립한 막스 호르크하이머 대표작 ‘도구적 이성 비판’ 출간  ㆍ한국교육개발원, 학생들의 분배 규범과 공정 민감성에 관한 연구 결과 발표  ㆍ인천저작권서비스센터, 저작권 등록비 지원·법률 무료 자문 사업 안내  ㆍSKT-고용노동부-산업인력공단, 디지털 분야 실무형 인재 양성 위한 ‘K-디지털플랫폼’ 조성  ㆍ씨네21, 방구석 1열 주성철 ‘첫 영화평론집’… ‘그 영화의 뒷모습이 좋다’ 출간  ㆍ한국청소년재단, 아름다움 프로젝트 학습 멘토링 멘토·멘티 발대식 개최  ㆍ경영대학원입학위원회, 신임 CEO에 Joy Jones 임명