[뉴스토마토 류석기자] 지난해 직원 2500명 이상의 대기업 83%가 특정 대상의 정보를 탈취하는 스피어피싱(spear-phishing) 공격의 표적이 된 것으로 나타났다. 이는 2013년 43% 대비 무려 40%포인트나 증가한 수치다.

 

지난해 하루에 새롭게 발생하는 악성코드 수는 약 100만개에 달했다. 또 전체 안드로이드 앱의 17%에 해당하는 약 100만 개가 실제로는 악성코드인 것으로 조사됐다.

 

14일 글로벌 보안업체 시만텍은 2014년 한 해 동안의 주요 사이버 범죄 및 보안 위협 동향에 대한 분석 결과를 담은 '인터넷 보안 위협 보고서(Internet Security Threat Report)' 제 20호를 발표했다.

 

시만텍은 전세계 157여 개국에 설치된 5760만대의 센서에서 수집된 보안 빅데이터를 분석해, 매년 정기적으로 인터넷 보안 위협 보고서를 발간하고 있다.

 

 

이번 보고서에 따르면 ▲지능형 사이버 공격 전술 확대 ▲광범위한 제로데이 공격 ▲사이버 협박을 위한 랜섬웨어 진화 ▲소셜 미디어 및 모바일 플랫폼 공격 증가 ▲악성코드 증가 ▲IoT(사물인터넷) 보안 위협 부상 등이 주목해야 할 보안 위협으로 나타났다.

 

먼저 2014년 한 해 스피어피싱 이메일을 이용해 네트워크에 잠입하는 지능형 표적공격은 전년 대비 8% 증가했다. 스피어피싱 공격은 대기업 뿐 아니라 중소기업도 예외가 아니었다. 직원수 251명에서 2500명인 중견기업은 63%, 직원 250명 이하인 소기업은 45%가 공격의 표적이 됐다.

 

정보유출 사고의 경우 지난 해 1000만개 이상이 유출된 대형 사고는 4건으로 2013년 8건 대비 절반 수준으로 감소했으나, 전체 정보유출사고는 전년 대비 23% 증가했다.

 

정보유출사고가 가장 많이 발생한 분야는 의료(116건), 유통(34건), 교육(31건) 순이었다. 개인정보 유출 양으로 살펴보면 유통 분야가 약 2억5백만개로 전체 유출된 개인정보의 59%를 차지해 가장 많았으며, 금융 분야가 8000만개, 컴퓨터 소프트웨어가 3500만개로 뒤를 이었다.

 

또 모바일 공격도 큰 위협으로 대두됐다. 안드로이드 앱 약 100만 개가 실제로는 악성코드인 것으로 나타난 것 뿐 아니라 악의적인 목적으로 개발되진 않았지만 사용자 행동 추적과 같이 피해를 주는 '그레이웨어' 앱도 약 230만개나 되는 것으로 나타났다.

 

지난해에는 스마트폰으로 제어할 수 있는 사물인터넷 기기에 대한 위험도 크게 증가했다. 조사 결과 최근 사용자가 늘고 있는 자가측정(Self-tracking) 기기에 연결되는 앱의 52%가 프라이버시 정책조차 없는 것으로 나타났다. 또 약 20%가 개인식별정보나 패스워드와 같은 민감한 개인정보를 암호화와 같은 보호 조치 없이 평문 형태로 전송하고 있었다.

 

박희범 시만텍 보안사업 부문 한국 총괄 대표는 “사이버 공격자들은 한층 정교하고 지능화된 공격 기법을 기반으로 목표 대상에 더 민첩하고, 더 은밀하게 공격을 감행하고 있다"며 "소셜 미디어 및 모바일 악성코드, IoT 보안 위협 등 개인사용자들을 노리는 보안 위협도 빠르게 진화하고 있어 이에 대한 보안 의식 제고와 함께 대응 방안을 시급하게 마련해야 할 것”이라고 강조했다.