반도체 전문 온라인 매거진 - 올포칩

카스퍼스키(www.kaspersky.co.kr 지사장 이효은)가 2025년 1분기 보안 보고서(Kaspersky Security Bulletin)를 인용해 올해 1월부터 3월까지 국내에서 탐지한 인터넷 기반 사이버 공격이 3백만 건을 상회했다고 밝혔다.

카스퍼스키는 클라우드 위협 인텔리전스 인프라인 ‘Kaspersky Security Network(KSN)’를 통해 전세계 수백만명의 자발적 참가자들의 보안 관련 데이터 스트림을 자동으로 분석하여, 고급 위협 및 알려지지 않은 악성코드를 가장 빠르게 탐지할 수 있는 기반을 제공한다. KSN은 클라우드 기반 기술을 개인 및 기업용 KL 제품에 통합하는 복합적인 분산형 인프라로 전문가 분석, 빅데이터, 머신러닝 등을 통해 정확도 높은 정보를 수집하며, 카스퍼스키 다계층 보안 접근 방식의 핵심 구성 요소를 담당한다.

2025년 1분기 ‘카스퍼스키 보안 보고서’에 따르면 최근 3개월간 대한민국에서 탐지된 인터넷 기반 사이버 위협은 총 3,063,343건, 웹 기반 위협에 공격받은 사용자 비율은 13.7%로 집계됐다. 웹 브라우저를 통한 공격은 악성 프로그램 유포의 주요 수단으로 브라우저 및 플러그인의 취약점을 악용하거나 소셜 엔지니어링을 활용한다.

이 경우 사용자가 감염된 웹사이트를 방문하는 것만으로도 자동 감염이 이루어지며, 사용자의 개입이나 인식 없이 악성코드가 실행된다. 특히 파일리스 악성코드 (파일 실행 없이 사용자가 악성 사이트로 연결되는 링크를 클릭하면 이후 몇 단계의 작업을 거쳐 사용자 모르게 정보를 해커에게 전송하는 기법)가 가장 위험하다. 이 악성코드는 Windows 레지스트리 또는 WMI 구독을 이용하여 지속성을 유지하며, 디스크에 탐지 가능한 개체를 남기지 않기 때문에 정적 분석이 어렵다.

카스퍼스키는 이러한 위협을 탐지하기 위해, 머신러닝 기반 모델과 행동 휴리스틱을 이용하여 악성 활동을 탐지하는 ‘행동 기반 탐지’ 및 소프트웨어의 취약점을 이용한 악성코드 공격을 실시간으로 탐지 및 차단하는 ‘익스플로잇 예방’ 기능을 제공한다.

웹 기반 공격의 또 다른 주요 수단인 소셜 엔지니어링 방식은 인간 행동의 취약점을 악용하여 민감한 정보를 훔치거나 계정을 탈취한다. 사용자의 생활에 침투해 사용자가 직접 악성 파일을 다운로드하도록 유도하는 방식으로 공격자는 피해자로 하여금 정상적인 프로그램을 다운로드하는 것처럼 믿게 만들어 악성 파일을 실행하도록 유도한다.

이러한 공격을 방어하려면 보안 솔루션이 다운로드 중인 위협을 실시간으로 탐지할 수 있어야 한다. 오늘날 많은 공격자가 정적 분석과 에뮬레이션을 우회하기 위해 악성 코드를 난독화하므로, 머신러닝 기반 탐지 및 행동 분석과 같은 보다 진보된 기술이 필수적이다.

한편 최근 3개월간 대한민국에서 발생한 로컬 위협은 총 1,835,168건, 로컬 위협에 공격받은 사용자 비율은 21.5%로 집계됐다. 로컬 감염 통계는 사용자 컴퓨터가 얼마나 자주 악성코드에 공격받는지를 나타내는 중요한 지표다. 대부분의 로컬 감염은 웜 및 파일 바이러스에 의해 발생하며, USB 드라이브, CD/DVD, 기타 오프라인 방식으로 전파된다.

이러한 위협을 방어하기 위해서는 감염된 개체를 치료할 수 있는 안티바이러스 솔루션, 방화벽 및 루트킷 방지 기능, 이동식 장치 제어 기능 등의 적용이 필요하다.

카스퍼스키 고객이 온라인 위협의 공격을 받으면 카스퍼스키는 이 위협의 출처를 분석하기 위해 웹안티바이러스 구성 요소에서 탐지한 개체의 위치를 기록한다. 이 데이터에 따르면 최근 3개월간 대한민국에서 호스팅된 서버에서 발생한 인시던트는 1,595,680건으로, 이는 전 세계 19위에 해당하는 수치이다.

카스퍼스키 이효은 한국지사장은 “AI를 활용한 새로운 종류의 위협이 지속적으로 늘어나고 있는 만큼 위협 정보를 적극 활용하고 사이버 인식을 강화함으로써 사이버 면역력을 높이는 것이 중요하다”고 말했다.