코로나19가 불러온 위기
- 2020 상반기 사이버 공격 리뷰
EQST Webinar
I
II
I
’20년 상반기 주요 보안 이슈
01
[‘19년 대비 ‘20년 상반기 월별 공격 발생 이벤트 통계]
공격 발생 이벤트 건수는 총 44만 건으로 ‘19년 상반기(25만건) 대비 1.76배 증가했으며, 월 평균 8만 건 이상의 주요 공격 이벤트가 발생한 것으로 확인 되었습니다.
월별 주요 해킹 공격
02
[‘20년 상반기 해킹사고 원인]
사전 계정 탈취를 통한 사고 유입이 40%로 가장 많은 비중을 차지 하였고, 접근 통제 미흡, 웹쉘 업로드, RDP BruteForce를 통해 유입된 사고가 각각 16%, 14%, 14%로 뒤를 이었습니다.
해킹 사고 원인
03
[‘20년 상반기 침해사고 유형 통계]
개인정보 유출사고가 국내 28%로 가장 많았고, SMTP 악용이 국내 26%로 뒤를 따랐습니다.
그 밖에 SCAM메일 공격이 23%, 랜섬웨어가 국내 16%를 차지했습니다.
침해사고 유형별 발생 건수
04
[‘20년 누적 신종 코로나바이러스 악용 IP/URL]
‘20년 상반기에는 세계적으로 이슈가 된 신종 코로나바이러스(Covid-19)를 악용한 악성 IP/URL이 급증했습니다.
현재까지 총 93,720개의 악성 IP/URL이 식별되었습니다. 월 평균 31,000여 개의 악성 IP/URL이 신규로 등장했으며 신규 IP/URL 상승 폭은 다소 주춤하고 있으나 꾸준히 증가하는 추세를 보이고 있습니다.
코로나바이러스 이슈 악용 악성 IP/URL 급증
05
[‘20년 상반기 악성코드 유형]
전체 악성코드 비율을 보면 Ransomware가 25%로 가장 많은 비중을 차지 하였고, 무작위 공격 툴, 패스워드 크랙 툴이 각각 22%, 21%를 차지했습니다. 코로나바이러스 관련 악성코드로는 Ransomware가 38%로 가장 많은 비중을 차지했 고, 이어서 추가 공격을 위한 Trojan, RAT가 20%, 19%로 뒤를 이었습니다.
악성코드 유형
06
[‘20년 상반기 업종별 침해사고 발생 통계]
국내 기준 제조 업종에서 22%로 침해사고가 가장 많이 발생한 업종으로 확인 되었고, 유명인 대상 공격이 15%로 뒤를 따랐습니다. 국외 기준으로는 정부/공공기관이 32%로 가장 많은 침해사고가 발생하였습니다.
업종별 침해사고 발생 건수
07
▣ 스캠(Scam) 공격
▣ 크리덴셜스터핑(Credential Stuffing) 공격
계정, 개인정보 도용 시나리오
08
▣ 계정 탈취, 랜섬웨어 공격 시나리오
계정 탈취, 랜섬웨어 공격 시나리오
09
▣ 원격 회의 플랫폼 취약점 악용 공격 시나리오
원격 회의 플랫폼 취약점 악용 공격 시나리오
10
II
63 58 51 44 38 37 37
33 37 45 52 61 52 52
4 5 3 3 2 11 11
실시간 원격 영상 시청 배달 앱을 통한 음식 주문 온라인 채널을 통한 쇼핑 비대면 은행/증권 계좌 개설 인터넷뱅킹 키오스크를 통한 예약∙예매 앱을 통한 택시 호출
증가 동일 감소
1 2 3 4
코로나19 확산으로 비대면 서비스 이용이 증가 추세이며, 이로 인해 디지털 전환이 앞당겨질 것으로 기대됩니다.
’20년 상반기 주요 환경변화와 사회∙경제 영역 전망을 통해 비대면∙원격 서비스의 보안성 향상이 이슈로 등장했습니다.
“다양한 비대면∙원격 서비스의 제공에 따른 보안성 향상 이슈 대두”
:
코로나19로 인한 디지털 전환 가속화
01
UNTACT
기업 관점의 보안위협 개인 관점의 보안위협
언택트(UNTACT) 기술 중심의 디지털 전환이 가속화되어 다양한 비대면∙원격 서비스 보안위협이 출현했습니다.
언택트 기술의 보안위협
02
언택트 솔루션 취약점 분석
03
※ 관련 법률상 서버에 영향을 줄 수 없는 극히 제한된 범위 내의 취약점만을 확인함 웹 서비스/설치형
기업 개인
‘20년도 상반기 EQST그룹이 업무용 언택트 솔루션을 분석한 결과 발견한 취약점은 4가지 유형이며 악용될 경우 중요정보 탈취, 랜섬웨어 감염 등의 침해사고가 발생할 수 있습니다.
언택트 업무 환경에서의 공격 시나리오 (1)
04
시나리오 상세
① 공격자는 악성 URL이 담긴 메일을 사용자들에게 전송
② 사용자는 메일을 열람하여 악성 URL에 접근
③ 원격 코드 실행 취약점에 의해 해당 사용자의 PC에 악성 프로그램 설치 및 실행
④ 감염된 사용자 PC에서 내부망 접근을 위한 VPN 계정 정보 탈취
⑤ 공격자가 내부 시스템에 침투하여 정보 유출 후 랜섬웨어 설치 / 실행
①
②
외부 내부
③
VPN
④
⑤
내부망
▣ 기업 사용자를 감염시켜 내부 침투 / 랜섬웨어 공격
언택트 업무 환경에서의 공격 시나리오 (2)
05
①
② ③
⑤
④
▣ 일반 사용자를 감염시켜 DDOS 공격 및 사생활 침해 악용 외부
⑥
시나리오 상세
① 공격자는 사용자 인증을 우회하여 웹 서비스형 비공개 그룹에 임의로 참가
② 참여한 그룹 내의 채팅을 통해 악성 스크립트 삽입
③ 그룹 내 사용자들의 PC가 악성코드에 감염
④ 공격자는 감염된 PC를 봇으로 악용하여 특정 서비스에 DDOS 공격 수행
⑤ 일부 감염 PC의 웹 캠을 통해 사용자 사생활 영상 수집
⑥ 사생활을 미끼로 사용자 협박 및 금전 요구