공급망공격 등 국가 지원 해킹그룹 정교한 공격 지속

코로나19 대유행 상황이 지속된 올해에도 사이버위협은 기승을 부렸다. 국내외에서 대규모 랜섬웨어 공격와 공급망공격, 특정 국가의 후원을 받는 것으로 추정되는 공격그룹에 의한 보안사고 소식들이 이어졌다. 사이버위협 예방과 정보보호 생활화를 위해 국민 인식을 제고하고자 지난 2012년 정부가 법정기념일로 지정한 ‘정보보호의 날(매년 7월 둘째 주 수요일)’이 속해있는 7월 ‘정보보호의 달’에, 올 상반기에 나타났던 주요 사이버위협 사례와 동향을 정리해본다.

<목차>
①랜섬웨어 공격 진화…피해사례 급증(지난호)
②공급망공격 등 국가 지원 해킹그룹 정교한 공격 지속(이번호)
③코로나 대유행 이후 커진 위협들

[상반기 사이버위협 결산②] 2020년 말 발생한 솔라윈즈의 성능 모니터링 솔루션인 ‘오리온’을 악용한 사고가 알려진 이후, 올 상반기 내내 공급망공격이 주요 이슈가 됐다. 국내에서는 솔라윈즈를 많이 사용하지 않아 피해가 거의 없었지만 전세계적으로 1만8000개에 달할만큼 많은 기업과 정부기관이 피해를 입었다.

이달 초에는 미국, 유럽 등 수만개 기업에서 사용하고 있는 IT 관리 소프트웨어 업체인 ‘카세야(Kaseya)’의 제품 ‘VSA’을 랜섬웨어 유통 경로로 삼은 공급망공격이 발생했다. 역시 국내 피해는 집계되지 않았다.

공급망공격은 소프트웨어(SW) 개발사 내부망에 침투하거나 해당 SW 취약점을 악용해 악성코드를 삽입한 후 악성코드 유포에 이용하는 공격 방식이다. 공격자들은 주로 광범위한 사용자를 가진 소프트웨어를 공격 대상으로 삼는다. 사용자들이 많으면 공격 효과가 극대화돼 사이버공격 피해와 영향이 상상할 수 없을 정도로 커질 수 있기 때문이다.

공급망공격은 최근 몇 년 동안 계속되고 있다. 국내에서도 공공·금융 분야에서 많이 사용하는 기업용 SW나 보안 솔루션의 취약점이나 코드서명 인증서를 악용해 악성코드를 유포하는 공격이 여러 차례 발생한 바 있다.

한국인터넷진흥원(KISA)은 최근 발간한 ‘2021년 상반기 사이버위협 동향 보고서’에서 “공급망 보안 공격은 침투여부 판단 및 방어가 매우 힘들어 향후에도 계속적으로 발생할 가능성이 높다. 공급망 공격 위협에 높은 경각심을 갖고 대비해야 한다”고 지적했다.

30만개 고객사를 확보하고 있는 솔라윈즈의 ‘오리온’을 침해한 선버스트(Sunburst) 공급망공격은 특정 국가 후원을 받는 해킹그룹의 소행으로 추정되고 있다. 미국 정부는 이 공격이 러시아 정부가 지원하는 공격그룹에 의해 발생한 것으로 결론 내린 상태다.

지난 5월, 버추얼 컨퍼런스로 개최한 ‘RSA컨퍼런스(RSAC)2021’에 나와 솔라윈즈 사이버공격에 대해 직접 입을 연 수다카 라마크리슈나(Sudhakar Ramakrishna) 솔라윈즈 최고경영자(CEO)는 “공격은 지난해 12월 발견됐지만, 1년 전인 2019년 1월부터 공격이 시작됐다. 당초 솔라윈즈 경영진들은 2019년 가을부터 공격이 시작된 것으로 추정했지만 그보다 훨씬 앞선 시점인 2019년 1월부터 정찰 활동을 하고 있었던 것으로 분석됐다”며 “위협분석전문가들은 수백 테라바이트의 데이터와 수만 개의 가상 빌드 시스템에 접근해 조사를 수행했다. 그 와중에 오래된 코드 설정을 분석한 결과, 공격자들의 침투 수법 등을 알아낼 수 있었다”고 설명했다.

솔라윈즈 침해사고를 조사한 파이어아이 맨디언트는 지난해 말 공개한 상세리포트에 이어 최근 발간한 ‘M-트렌드 2021’ 리포트에서 이 공격 분석 내용을 다뤘다. 이에 따르면, 공격을 수행한 조직(UNC2452)은 매우 복잡하고 체계적이며 계획적인 스파이 기법을 사용했다. 또 일반적 공격 패턴과는 다른 유형의 네트워크 침입을 통해 시스템 내부로 침투했고, 기업 내부에서 감시망(모니터링)이 상대적으로 허술한 영역을 노려 비교적 긴 시간 동안 내부에 침투해있었다.

이들은 초기 ‘침해’ 뒤 ‘거점’을 확보해 오리온에 백도어를 설치하고 추가 액세스 권한 확보를 시도해 ‘권한 상승’에 성공한 뒤 내부 인프라 환경 ‘정찰’과 ‘이동’을 통해 지속적으로 액세스를 ‘유지’하며 공격을 이어나가고 최종 공격 ‘목적을 달성’하는 전형적인 APT 공격을 수행한 것으로 조사됐다.

이달 2일(이하 현지시간)에 발생한 미국 IT관리 SW 회사인 카세야 공격 주체로 러시아 기반 해킹그룹인 ‘레빌(REVil)’이 지목됐다. 이 그룹은 ‘소디노키비(Sodinokibi)’로 불리기도 한다. 실제로 이들은 지난 4일 저녁에 이 공격이 자신들의 소행이라고 밝히며 100만개 넘는 시스템에 영향을 미쳤다고 주장했다. 이들은 공격 받은 모든 시스템의 암호화를 해제하는데 사용할 범용 복호화 키 제공 대가로 7000만달러의 비트코인을 요구한 것으로 전해졌다.

파이어아이에 따르면, 레빌의 RaaS는 2019년 5월부터 러시아어를 사용하는 불법 포럼에서 광고되고 있다. 이 RaaS는 공격자 ‘UNKN(Unknown)’에 의해 제작되고 있으며, 이들은 영어권 파트너를 받지 않고 파트너가 우크라이나를 포함한 독립국가연합을 공격하는 것을 금지하고 있다. 알려진 제휴자들은 러시아어를 사용하지만, 일부는 러시아에 거주하지 않을 가능성도 있다. 더욱이 UNKN은 콜로니얼 파이프라인 사태 이후 랜섬웨어 배포 전 타깃 조사를 주장하며 레빌 제휴그룹 제한에 나섰다. 파트너인 ‘제휴그룹’은 RaaS에서 랜섬웨어를 배포하는 역할을 담당한다.

국내에서도 최근 한국원자력연구원과 서울대병원, 한국핵융합에너지연구원, 한국항공우주(KAI), 대우조선해양 등 주요 공공기관과 안보·방산업체 등을 대상으로 한 해킹 시도가 연일 포착되고 있다. 모두 북한 연계 조직에 의한 공격으로 추정되고 있는 상황이다.

국회 정보위 간사인 하태경 의원(국민의힘)은 지난 8일 열린 전체회의에서 국가정보원이 “지난달 1일 한국원자력연구원에서 피해 신고가 들어와 조사를 벌이고 있으며, 해킹 수법을 고려할 때 북한 연계 조직으로 추정된다고 보고했다”고 전했다.

한국원자력연구원 해킹은 12일 정도 이뤄진 것으로 파악됐다. 외부 IP가 가상사설망(VPN)을 통해 원자력연 내부망에 무단 접속한 것으로 확인됐다.

서울대병원은 지난 6월 외부에서 침입이 이뤄진 후 유휴서버 1대와 업무용 PC 62대가 해킹돼 환자 정보 6969건이 유출됐다. 이름, 생년월일, 성별, 휴대폰번호 등 환자 개인정보뿐 아니라 진단명, 방문기록, 검사명, 검사결과, 사진 등 민감한 의료정보까지 탈취된 것으로 나타났다. 병원은 지난 7월 6일 침해사실은 처음 인지했으나 침투는 그보다 앞선 6월 11일 이뤄진 것으로 조사결과 밝혀져, 한 달 가까이 공격에 노출돼 있었던 것으로 드러난 상황이다.

하 의원은 서울대병원을 비롯해 공공·국방 관련기관 등에서 발생하는 연이은 해킹 배후로 북한군 정찰총국과 연계된 것으로 알려진 해킹그룹 ‘김수키(Kimsuky)’로 지목했다.

이같은 공격이 잇달아 발생하자, 서훈 국가안보실장은 지난 16일 청와대 국가위기관리센터에서 16개 부처 차관급이 화상으로 참석한 가운데 국가사이버안보정책조정회의를 열고 사이버위협 실태와 대응체계를 긴급 점검했다. 서 실장과 참석위원들은 앞으로 사이버안보는 더 이상 ‘선택’의 문제가 아니라 국가안보와 직결된 ‘필수’ 요소라는 데 인식을 같이 했다고 정부는 밝혔다. 이날 관계부처들은 ▲국내외 사이버위협 실태 및 대책 ▲랜섬웨어 해킹 공격 관련 범정부 대응 계획 ▲첨단 방위산업 기술 해킹 방지 대책 등을 각각 발표하고, 국가 사이버 대응체계 강화를 위한 다양한 방안들을 논의했다.

국가 지원 해킹그룹들은 다른 국가 기밀이나 핵심 기술 등을 빼내기 위한 사이버첩보전을 벌이지만 후원 국가의 상황과 목적에 따라 금전을 노린 공격도 벌이고 있는 것으로 나타나고 있다. 중국, 러시아, 북한, 이란 등과 연계된 공격그룹들이 전세계에 파장을 미치는 정교한 대규모 공격을 많이 감행하는 것으로 분석되고 있다.

안랩 시큐리티대응센터(ASEC)는 2021년 상반기, 국가 지원 해킹조직의 국내 활동은 과거의 어느 때보다 은밀하고도 위협적이었으며, 더 활발했고, 치밀했고, 광범위했다고 평했다.

안랩에 따르면, 이들은 공격 대상에 대한 해킹 성공 후 목적을 달성하기 위해서 올해 초 인터넷 익스플로러(IE), 크롬 등 웹 브라우저 취약점을 악용했을 뿐 아니라 국내 웹 브라우저와 연동돼 실행되는 프로그램 취약점을 악용했다. 이후 국내 유명 포털을 사칭한 피싱 기법을 사용하는 등 점차 고도화되고 있다. 공격은 특정 분야에 국한됨 없이 정치, 사회, 경제, 문화, 방산, 의료 등 다양한 분야를 대상으로 전방위로 진행됐다. 특히 작년부터 올해 상반기까지 코로나19 때문에 국내외 제약회사 등 의료 분야에 대한 해킹 공격 시도가 있었다는 점은 주목해야 한다.

KISA는 최근 발간한 2021년 상반기 사이버위협동향 보고서에서 “국가가 암암리에 지원해 국가를 대신하여 국가 기밀, 핵심 기술 등을 빼내는 글로벌 해킹 전쟁이 벌어지고 있으므로 이에 대한 대응이 필요하다”고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다