2022년 주요 보안 사고와 2023년 주요 전망[그래픽=임이슬 기자]
한국인터넷진흥원에 따르면 올해 2월 러시아는 우크라이나를 침공하기에 앞서 정부 사이트, 은행 등 기간 서비스에 대해 분산 서비스 거부(DDoS) 공격을 수행했다. 이는 우크라이나 국민의 정부에 대한 신뢰를 떨어트리고 사회 혼란을 부추기기 위한 활동으로 풀이된다. 이러한 공격에 맞서 익명 온라인 활동 단체 어나니머스는 러시아 정부 홈페이지를 해킹하고 건설사 기밀 정보를 유출하는 등 맞불을 놨다.
북한의 사이버 첩보 활동도 이어졌다. 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 국내 국방·통일·외교·안보·대북 관계자 등을 대상으로 북한 배후의 해킹 조직이 공격을 이어갔다. 특히 사회공학적 기법 등 정교한 공격 방식을 통해 공격 성공률을 높인 것이 특징이다.
공격자는 관련 분야 종사자인 것처럼 정상적인 이메일을 발송하고 여기에 관심을 보이는 대상자를 선별해 공격을 시도했다. 개별 사용자가 흥미를 느낄 만한 제목의 악성파일을 첨부하고 시간이 지난 뒤 후속 공격을 수행해 피해자의 의심을 풀었다. 최근에는 실제 개최 예정인 국립외교원 행사 관련 설문지로 위장해 개인정보를 탈취하는 사례도 발견됐다.
암호화폐, 대체불가능토큰(NFT), 탈중앙화 금융(DeFi) 등 블록체인 기반 서비스에 대한 공격도 증가했다. 블록체인 자체는 공격하기 쉽지 않다. 반면 관련 서비스를 연동하기 위한 브리지, 디파이, 크로스체인 등은 상대적으로 취약해 공격 대상이 된다. 대표적인 NFT 기반 게임 프로젝트인 '액시 인피니티'는 올해 3월 자사 사이드체인에서 발생한 취약점으로 620억 달러(약 75조6000억원) 규모에 달하는 암호화폐가 유출됐다. ESRC에 따르면 암호화폐에 대한 공격은 '저비용·고효율'의 수익을 제공하기 때문에 북한 등 국가에서 외화벌이 수단으로 주목하고 있다.
다만 이러한 공격이 증가함에 따라 국제 공조 수사도 한층 강화됐다. 미국 당국은 올해 북한 해커가 탈취한 암호화폐 약 416억원을 회수했다고 밝혔다. 블록체인 분석 기업 체이널리시스에 따르면 블록체인상에 기록된 흔적으로 특정 조직과 암호화폐 지갑을 연결하고 이를 추적해 자산에 대한 추적과 압류가 가능하다.
◆2023년, 클라우드·오픈소스 도입으로 늘어난 약한 고리 노린다
보안에서는 '쇠사슬 전체 강도는 가장 약한 고리의 강도와 같다'는 표현을 자주 사용한다. 아무리 튼튼한 쇠사슬로 잠그더라도 약한 고리 하나만 잘라낼 수 있다면 보안 체계 전체가 무너질 수 있기 때문이다.
전문가들은 사이버 공격 동향이 2023년에는 더 고도화하고 신규 서비스로 인한 약한 고리를 노릴 것으로 예상했다.
마이클 애덤스 줌 정보보호최고책임자(CISO)는 클라우드 의존도가 높아지면서 공격 표면이 확대될 것으로 예상했다. 이에 따라 클라우드 보안 기술과 보호 전략을 구현할 수 있는 신규 전략이 필요하다고 강조했다. 클라우드 서비스 공급사를 평가할 수 있는 체계를 마련하고, 클라우드 공급사가 어떤 기반 기술을 사용하고 있는지 파악해야 한다고 그는 설명했다,
클라우드 보안 솔루션 기업 트렌드마이크로는 클라우드 관리서비스제공자(MSP)를 통한 소프트웨어 공급망 공격이 발생할 수 있다고 예상했다. 클라우드 기술 도입 확대로 MSP는 더 많은 기업 고객에게 서비스를 제공하고 있다. MSP는 기업 고객에게 클라우드 도입 컨설팅, 데이터 연동, 운영관리 등 서비스를 제공한다. 공격자는 다양한 방식으로 MSP 기업 내부에 침투하고 이를 발판으로 MSP의 고객사로 공격을 확장할 것으로 전망된다. 사이버 공격에 대한 투자 대비 수익률(ROI)을 높이기 위함이다.
오픈소스 역시 주요 공격 대상이 될 전망이다. 지난해 말 발생한 로그4j 보안 취약점(일명 로그4셸) 사태는 오픈소스 생태계에 대한 위협을 잘 보여준 사례다. 로그4j는 거의 모든 인터넷 서비스에서 사용하는 오픈소스 플러그인으로, 보안 업계에서는 여기서 발견된 취약점이 인터넷 세계 근간을 흔들 수 있다고 우려하기도 했다.
보안 기업 이글루코퍼레이션은 소프트웨어 업계에서 오픈소스 활용도가 늘어남에 따라 이를 둘러싼 보안 위협도 증가할 것으로 예상했다. 오픈소스 소프트웨어는 코드가 공개돼 누구나 여기에 기능을 추가하거나 변경하고 사용할 수 있는 소프트웨어를 말한다.
최근 기업이 인공지능(AI), 블록체인, 메타버스 등 차세대 기술을 도입하는 과정에서 오픈소스를 활용하면 개발 시간과 비용을 크게 줄일 수 있다. 하지만 사이버 공격자도 이러한 흐름에 맞춰 오픈소스를 새로운 공격 지점으로 삼을 것으로 전망된다. 깃허브 등 오픈소스 커뮤니티에 이름이 유사한 가짜 오픈소스를 만들어 등록한 뒤 숨겨진 악성코드를 실행할 수도 있고, 오픈소스 기반 인증서를 탈취·변조해 보안 탐지 기능을 우회할 가능성도 있다.
◆국제적 고립 강화···중국·이란·북한 등 국가 배후 해킹조직 활발
[사진=게티이미지뱅크]
ESRC는 2023년 국가 배후 해킹 조직에 의한 사이버 안보 위협이 고조될 것으로 예상했다. 러시아와 우크라이나 전쟁이 지속되고 국가 간 갈등이 심화되면서 정부 지원을 받는 해킹 조직의 공격이 빈번해질 전망이다.
ESRC에 따르면 국방·안보·방산 영역에서 해킹 공격이 지속되고 미사일 발사와 방어 기술에 활용되는 항공우주산업과 이동통신을 대상으로 한 공격이 크게 증가할 것으로 전망된다. 또한 국가 간 갈등 심화는 다국적 구성원들로 이루어진 해킹 그룹 내부에 갈등을 일으키고 이에 따른 정보 유출도 빈번하게 이루어질 것으로 내다봤다.
이에 따라 2023년에는 국가적 지원을 받는 지능형 지속 위협 조직에 의한 공격과 유출된 정보들을 활용한 공격들이 함께 성행하면서 글로벌 보안 위협도 증가할 것으로 보인다.
한편 국가정보원은 이러한 사이버 안보 위협과 관련해 민관 공동대응체 '국가사이버안보협력센터'를 최근 개소했다. 센터에는 국정원·과기정통부·국방부 등 유관기관 관계자와 안랩·이스트시큐리티·S2W·체이널리시스 등 보안 인텔리전스 관련 민간기업 전문가가 함께 근무하며 글로벌 보안 위협 동향을 탐지하고 분석해 대응책을 마련할 계획이다.
보안 인텔리전스 기업 맨디언트 역시 러시아, 중국, 이란, 북한 등 4대 주요 국가에 대해 위협 활동 전망을 발표했다. 맨디언트에 따르면 러시아의 우크라이나 침공은 군사작전과 동시에 사이버 작전이 펼쳐진 첫 번째 사례다. 러시아는 향후 우크라이나에 대한 와해성 공격을 수행하는 동시에 정보 작전을 수반할 것으로 예상했다. 특히 데이터 유출과 기간 서비스 마비에 대한 성과를 대외적으로 알리려 하고 있으며 이러한 행위는 인접 국가로 확대될 전망이다.
또 맨디언트는 중국의 사이버 첩보 활동이 글로벌 정부·민간 부문 조직에 대해 높은 빈도로 위협을 가하고 있다고 설명했다. 위협 활동 주요 동기로는 영토 보전, 내부 안정, 지역 패권, 세계 정치와 경제 등에 대한 영향력 확대로 분석했다. 중국을 배후에 둔 공격 조직은 자국 안보와 경제적 이익을 위한 활동을 늘릴 것으로 보이며 특히 중국 기업의 글로벌 경쟁업체가 표적이 될 전망이다.
이란의 위협 활동도 늘어날 전망이다. 맨디언트는 이란 사이버 공격 조직이 통신, 운송 등 다양한 기업은 물론 정부·공공기관, 중동과 분쟁이 있는 국가에 대해 광범위한 정보 수집 활동을 계속할 것으로 예상했다. 다만 맨디언트는 이러한 공격에도 불구하고 현재 이란의 국제적 고립 상태에 의미 있는 변화는 없을 것으로 내다봤다.
북한 정권은 수익원과 전략적 첩보 활동을 위한 사이버 위협을 지속할 것으로 전망된다. 국제 정치와 경제적인 고립, 코로나19 확산 등으로 인해 북한의 위협은 외교·군사·금융·제약 분야를 표적으로 삼을 것으로 예상된다. 공격 대상은 주로 한국·일본·미국에 집중될 것으로 보이며 유럽·중동·북아프리카·남부 아시아에서도 작전이 펼쳐질 전망이다.
◆무인매장 등 ICT 접목된 인프라···보안 취약점 악용 우려
사회 인프라 전반에 ICT 기술이 접목되면서 이러한 인프라를 노리는 공격도 늘어날 전망이다. SK쉴더스의 화이트해커 그룹 이큐스트(EQST)는 코로나19 이후 산업 전반에 확산된 무인화·자동화 기기에 대한 보안 위협에 대비해야 한다고 경고했다. 산업용 사물인터넷이 적용된 무인 매장이나 스마트팩토리는 다양한 장비를 사용하는 반면 이러한 IT 기술에 대한 관리가 미흡하고 보안이 취약한 운영체제를 사용하는 곳이 많다. 따라서 개인정보 유출이나 랜섬웨어 등 사이버 공격 대상이 되기 쉽다.
또 EQST는 다양한 서비스를 앱 하나에 통합하는 '슈퍼앱'이 새로운 동향으로 자리를 잡아가는 만큼 이를 통한 모바일 사용자 보호를 강화해야 한다고 설명했다. 슈퍼앱은 여러 서비스가 작동하는 플랫폼 역할을 수행하며 서비스 연동 과정에서 관리 허점이 생기면 이를 노린 해킹이 발생할 수 있다. 특히 슈퍼앱 하나만 먹통이 돼도 연계된 다른 모든 서비스를 사용할 수 없기 때문에 안정성 강화가 필요할 전망이다.
보안 위협에 대응하는 방안으로는 사용자 인증을 강화하는 방식이 꼽힌다. 보안 기업 프루프포인트는 이러한 인증 기술을 우회하는 새로운 공격이 도입될 것으로 예상했다. 이미 인증에 사용되는 인증 키를 탈취하는 등 새로운 방법도 발견되는 추세다.
특히 인간의 피로도 등 약점을 악용한 범죄도 증가하고 있다. 대표적인 사례가 사회공학적 기법이다. 피해자에 대한 반복적인 피싱 메시지 송출을 통해 피로도를 높인 뒤 공격하거나 신뢰도를 쌓아 교묘하게 접근한 뒤 악성코드를 실행한다. 데이터 플랫폼 전문기업 스플렁크는 내년에는 딥페이크와 AI 기술을 활용한 사회공학적 기법이나 밈 주식 사기 등이 피해를 일으킬 것으로 예상했다.
다크웹을 통한 불법 정보 거래와 공격자 간 협력은 내년에도 이어질 전망이다. 노드VPN에 따르면 온라인 암거래 시장 '봇마켓'에서 올해 거래된 개인정보 500만건 중 5만923건이 한국인 정보로 밝혀졌다. 이는 전 세계 27위를 차지하는 수준이며 건당 거래 가격은 평균 8177원이다. 이렇게 거래된 정보는 사칭 범죄에 악용될 수 있다. 여기서 수집한 개인정보를 통해 소셜미디어 계정을 해킹하고 피해자 지인에게 접근하는 사기가 성행할 수 있어 주의가 필요하다.
또 전통적인 공격 수법인 피싱도 다크웹을 통해 진화할 전망이다. 피싱 공격도구 개발자와 유포자가 역할을 나누고 범죄 수익을 공유하는 서비스형 피싱 공격(Phishing as a Service)이 대표적인 사례로 예상된다.
ESRC에 따르면 국방·안보·방산 영역에서 해킹 공격이 지속되고 미사일 발사와 방어 기술에 활용되는 항공우주산업과 이동통신을 대상으로 한 공격이 크게 증가할 것으로 전망된다. 또한 국가 간 갈등 심화는 다국적 구성원들로 이루어진 해킹 그룹 내부에 갈등을 일으키고 이에 따른 정보 유출도 빈번하게 이루어질 것으로 내다봤다.
이에 따라 2023년에는 국가적 지원을 받는 지능형 지속 위협 조직에 의한 공격과 유출된 정보들을 활용한 공격들이 함께 성행하면서 글로벌 보안 위협도 증가할 것으로 보인다.
한편 국가정보원은 이러한 사이버 안보 위협과 관련해 민관 공동대응체 '국가사이버안보협력센터'를 최근 개소했다. 센터에는 국정원·과기정통부·국방부 등 유관기관 관계자와 안랩·이스트시큐리티·S2W·체이널리시스 등 보안 인텔리전스 관련 민간기업 전문가가 함께 근무하며 글로벌 보안 위협 동향을 탐지하고 분석해 대응책을 마련할 계획이다.
보안 인텔리전스 기업 맨디언트 역시 러시아, 중국, 이란, 북한 등 4대 주요 국가에 대해 위협 활동 전망을 발표했다. 맨디언트에 따르면 러시아의 우크라이나 침공은 군사작전과 동시에 사이버 작전이 펼쳐진 첫 번째 사례다. 러시아는 향후 우크라이나에 대한 와해성 공격을 수행하는 동시에 정보 작전을 수반할 것으로 예상했다. 특히 데이터 유출과 기간 서비스 마비에 대한 성과를 대외적으로 알리려 하고 있으며 이러한 행위는 인접 국가로 확대될 전망이다.
또 맨디언트는 중국의 사이버 첩보 활동이 글로벌 정부·민간 부문 조직에 대해 높은 빈도로 위협을 가하고 있다고 설명했다. 위협 활동 주요 동기로는 영토 보전, 내부 안정, 지역 패권, 세계 정치와 경제 등에 대한 영향력 확대로 분석했다. 중국을 배후에 둔 공격 조직은 자국 안보와 경제적 이익을 위한 활동을 늘릴 것으로 보이며 특히 중국 기업의 글로벌 경쟁업체가 표적이 될 전망이다.
이란의 위협 활동도 늘어날 전망이다. 맨디언트는 이란 사이버 공격 조직이 통신, 운송 등 다양한 기업은 물론 정부·공공기관, 중동과 분쟁이 있는 국가에 대해 광범위한 정보 수집 활동을 계속할 것으로 예상했다. 다만 맨디언트는 이러한 공격에도 불구하고 현재 이란의 국제적 고립 상태에 의미 있는 변화는 없을 것으로 내다봤다.
북한 정권은 수익원과 전략적 첩보 활동을 위한 사이버 위협을 지속할 것으로 전망된다. 국제 정치와 경제적인 고립, 코로나19 확산 등으로 인해 북한의 위협은 외교·군사·금융·제약 분야를 표적으로 삼을 것으로 예상된다. 공격 대상은 주로 한국·일본·미국에 집중될 것으로 보이며 유럽·중동·북아프리카·남부 아시아에서도 작전이 펼쳐질 전망이다.
◆무인매장 등 ICT 접목된 인프라···보안 취약점 악용 우려
사회 인프라 전반에 ICT 기술이 접목되면서 이러한 인프라를 노리는 공격도 늘어날 전망이다. SK쉴더스의 화이트해커 그룹 이큐스트(EQST)는 코로나19 이후 산업 전반에 확산된 무인화·자동화 기기에 대한 보안 위협에 대비해야 한다고 경고했다. 산업용 사물인터넷이 적용된 무인 매장이나 스마트팩토리는 다양한 장비를 사용하는 반면 이러한 IT 기술에 대한 관리가 미흡하고 보안이 취약한 운영체제를 사용하는 곳이 많다. 따라서 개인정보 유출이나 랜섬웨어 등 사이버 공격 대상이 되기 쉽다.
또 EQST는 다양한 서비스를 앱 하나에 통합하는 '슈퍼앱'이 새로운 동향으로 자리를 잡아가는 만큼 이를 통한 모바일 사용자 보호를 강화해야 한다고 설명했다. 슈퍼앱은 여러 서비스가 작동하는 플랫폼 역할을 수행하며 서비스 연동 과정에서 관리 허점이 생기면 이를 노린 해킹이 발생할 수 있다. 특히 슈퍼앱 하나만 먹통이 돼도 연계된 다른 모든 서비스를 사용할 수 없기 때문에 안정성 강화가 필요할 전망이다.
보안 위협에 대응하는 방안으로는 사용자 인증을 강화하는 방식이 꼽힌다. 보안 기업 프루프포인트는 이러한 인증 기술을 우회하는 새로운 공격이 도입될 것으로 예상했다. 이미 인증에 사용되는 인증 키를 탈취하는 등 새로운 방법도 발견되는 추세다.
특히 인간의 피로도 등 약점을 악용한 범죄도 증가하고 있다. 대표적인 사례가 사회공학적 기법이다. 피해자에 대한 반복적인 피싱 메시지 송출을 통해 피로도를 높인 뒤 공격하거나 신뢰도를 쌓아 교묘하게 접근한 뒤 악성코드를 실행한다. 데이터 플랫폼 전문기업 스플렁크는 내년에는 딥페이크와 AI 기술을 활용한 사회공학적 기법이나 밈 주식 사기 등이 피해를 일으킬 것으로 예상했다.
다크웹을 통한 불법 정보 거래와 공격자 간 협력은 내년에도 이어질 전망이다. 노드VPN에 따르면 온라인 암거래 시장 '봇마켓'에서 올해 거래된 개인정보 500만건 중 5만923건이 한국인 정보로 밝혀졌다. 이는 전 세계 27위를 차지하는 수준이며 건당 거래 가격은 평균 8177원이다. 이렇게 거래된 정보는 사칭 범죄에 악용될 수 있다. 여기서 수집한 개인정보를 통해 소셜미디어 계정을 해킹하고 피해자 지인에게 접근하는 사기가 성행할 수 있어 주의가 필요하다.
또 전통적인 공격 수법인 피싱도 다크웹을 통해 진화할 전망이다. 피싱 공격도구 개발자와 유포자가 역할을 나누고 범죄 수익을 공유하는 서비스형 피싱 공격(Phishing as a Service)이 대표적인 사례로 예상된다.
