가상자산 탈취 노린 사이버공격 급증…랜섬웨어 여전히 활개

랜섬웨어(RaaS) 감염, 가상자산을 노린 사이버공격이 올 상반기에 집중된 것으로 나타났다. 국내 산업별로는 제조, 금융, 정부·공공 부문에서 침해사고가 가장 많이 발생했다. 금융권 침해사고는 가상자산 거래소를 대상으로 한 해킹으로 분석되는데, 올 하반기에도 가상자산 탈취를 노린 이같은 공격 추세가 이어질 것으로 전망된다.

SK쉴더스(대표 박진효)는 22일 서울 광화문에서 가진 미디어 세미나에서 화이트해커 전문가그룹 ‘이큐스트(EQST; Experts, Qualified Security Team)’ 분석을 토대로 이같은 내용을 골자로 한 상반기 주요 보안 이슈와 위협 전망을 발표했다.

2022년은 작년 말 발견된 오픈소스 로그4j(Log4j) 관련 심각한 보안취약점 이슈와 함께 시작했다. 1월 로그4j 관련 취약점이 잇달아 추가 공개됐고, 4월에는 전세계적으로 이용되는 스프링(Spring) 프레임워크에서 스프링4쉘(Spring4Shell)이란 별칭을 가진 고위험 제로데이 취약점이 연이어 발견돼 국내외에서 크게 이슈가 됐다. 또 유출된 개인정보를 이용해 피해자의 유심(USIM)을 발급해 가상자산을 빼돌린 심스와핑(SIM Swaping) 사건이 발생해 많은 사람들이 가상자산이 사라지는 피해를 입었다.

2월에는 탈중앙화금융(DeFi) 서비스(KLAYswap) 해킹 공격으로 22억원 규모의 가상자산 피해가 발생하기도 했다.

또 러시아-우크라이나 전쟁이 발발하면서 우크라이나 전역을 포함한 전세계 공공·정부기관을 겨냥한 사이버공격이 심각했다. 남미의 해킹조직인 랩서스(Lapsu$)가 국내외 제조사를 비롯해 대기업들을 대상으로 한 해킹 공격이 잇따르며 크게 회자되기도 했다.

금융·제조 업종 침해사고 많아…가상자산 침해사고·피해액 지속 증가

업종별로는 금융권 대상 공격 비중이 가장 높았다. 금융권 침해사고는 상반기에 집계된 전체 사고 가운데 국내는 16.3%, 국외는 25%의 비중을 차지했다. 가상자산 거래가 활성화되고 관련 플랫폼 사용이 늘어나고 가상자산 탈취를 노린 공격 시도가 지속적으로 발생하면서 금융권 사고가 전년대비 두드러지게 증가했다는 분석이다. 특히 국내 금융업종(은행,증권, 가상자산) 가운데 가상자산 침해사고 발생 비율은 88.6%로 높은 비중을 차지한 것으로 집계했다. 앞으로도 가상자산을 타깃으로 한 공격이 더욱 많아질 것으로 예상하고 있다.

김래환 EQST담당 PL은 “국내외 공통적으로 금융업종 특히 가상자산 거래소에 대한 해킹 공격이 크게 증가했다. 심스와핑을 이용해 가상화폐 거래소 계좌를 노린 공격이 발생했고, 디파이 플랫폼 두 곳에서 8000만달러, 우리돈으로 1000억원 이상의 피해를 입은 사건이 발생했다”며 “최근에는 금융회사를 거치지 않고 결제 송금 예금 등 모든 거래를 가능하게 하는 디파이 서비스들이 증가하고 있다. 이같은 서비스를 포함한 신기술은 규제가 허술해 해킹사고가 지속될 것으로 보인다”고 말했다.

이호석 EQST 랩(Lab)장 역시 “2021년 하반기에는 코스피(KOSPI) 일일 거래량보다 가상자산 일일 거래량이 적었으나 2022년 상반기 가상자산 일일 거래량이 코스피 일일 거래량을 추월했다. 유가증권 시장보다 가상자산 거래량이 늘어난 것인데, 그만큼 해킹 사고도 많이 일어났다”며 “가상자산 피해액을 살펴보면 2020년 대비 2021년 급증했고, 피해액도 상당해 올해 그 피해액이 더욱 늘어날 것으로 보인다. 가상자산 대중화와 이용자들 사이 거래가 다수 이뤄지는만큼 가상자산 노린 해킹은 국내외를 가리지 않고 지속 발생하고 있다”고 지적했다.

서비스형랜섬웨어(RaaS) 등 악성코드 사고 비중 커

한편, 올 상반기 유형별 사고 발생 통계로는 악성코드를 통한 침해사고가 39.2%로 가장 높은 비중을 차지했다. 이는 서비스형 랜섬웨어(RaaS)가 대중화되면서 사이버공격 진입장벽이 낮아진 것이 주요 원인으로 나타났다.

RaaS 랜섬웨어로는 ‘록비트(LockBit)’, ‘콘티(Conti)’, ‘블랙캣(BlackCat)’ 등이 있다. 상반기 가장 활발하게 활동한 랜섬웨어 그룹은 ‘록비트’로 다른 랜섬웨어 그룹보다 3배 이상 많이 활동한 것으로 분석했다. ‘콘티’ 또한 대형 랜섬웨어그룹으로 총괄 리더를 필두로 인사, 교육, 교섭, 홍보팀을 운영하며 기업을 대상으로 공격을 진행하는 실행부, 개발부, 조사부, 해석부 등 기업 조직의 형태를 갖추고 있어 특별히 유의해야 하는 그룹이라고 EQST는 보고 있다.

하반기 관광산업, 랜섬웨어, 가산자산 타깃 공격 집중 예상

EQST는 올 하반기 보안위협으로 ▲코로나19 이후 디지털 전환 가속화로 인한 리오프닝(Reopening) 관련 산업 공격 ▲가상자산 거래가 대중화로 인한 가상자산 타깃 공격 ▲RaaS를 비롯한 랜섬웨어 공격 등을 선정했다.

특히, 코로나19로 위축되었던 경제활동이 재개되면서 관광산업 등의 침해사고가 꾸준히 증가할 것으로 전망했다.

예를 들어, 해커가 여행사 이벤트로 위장한 피싱메일을 발송하고 사용자가 피싱 사이트에 중요정보를 입력하게 되면 입력한 중요정보를 탈취하는 공격이 가능하다는 것이다.

여행 관련 사이트에 지능형지속위협(APT) 공격을 수행하거나 웹 취약점을 이용해 서비스형 랜섬웨어를 유포하는 공격도 가능한 것으로 분석됐다. 실제로 국내 침해사고 통계에서 여행/서비스 산업의 침해사고가 작년 15.7%에서 올해 22.6%로 증가한 것으로 나타났다.

아울러 가상자산 타깃 공격이 더욱 많아지는 한편, 상반기에 활발이 이뤄졌던 RaaS 공격이 하반기에도 이어질 것으로 전망했다. 랜섬웨어 공격 그룹들은 수사당국의 감시를 회피하기 위한 ‘리브랜딩(Rebranding)’을 펼치고 있으며 이는 더욱 활발해질 것이란 예상이다.

실제로 지난해 미국 최대 송유관 운영 회사인 콜로니얼 파이프라인을 해킹한 ‘다크사이드’ 랜섬웨어 그룹은 ‘블랙매터(Black Matter)’로 이름을 바꿨고 앞으로도 다양한 공격 방법을 선보일 것으로 전망된다.

사이버 팬데믹 대응 맞춤형 보안 전략 선보인다

SK쉴더스는 사이버보안과 물리보안 분야 전문 역량을 바탕으로 사이버팬데믹에 대응할 수 있는 맞춤형 보안 전략을 선보인다. 보안 인프라 구축·운영, 보안관제부터 보안성 검증 컨설팅, 취약점 진단 및 모의해킹, 침해사고 대응까지 사이버보안의 전 영역을 체계적으로 서비스한다. 물리보안 영역에서는 지능형 통합보안 솔루션 제공, 인공지능(AI) 지능형 영상 분석 등을 통해 기업의 안전한 비즈니스 환경 구축에 앞장설 계획이다.

지난 3월에는 랜섬웨어 공격에 보다 체계적인 대응 프로세스를 마련하기 위해 민간 랜섬웨어 대응 협의체 ‘카라(KARA)’ 설립을 주도해 운영하고 있다. 협의체 가입 기업들과 함께 랜섬웨어 대응에 필요한 전 과정을 원스톱으로 처리하는 통합 대응 프로세스를 구축해 나가고 있다. 이와 더불어 ‘랜섬웨어 대응센터’(1600-7028)을 개소해 24시간 랜섬웨어 사고를 접수하고 있다. 5월에는 글로벌 협의체인 ‘노모어랜섬’ 공식 파트너사로 인정받았으며, EQST는 이를 바탕으로 KARA 활동과 글로벌 협의체 등의 상호 유기적 협력체제를 구축해 랜섬웨어 대응을 더욱 강화해 나갈 예정이다.

이재우 SK쉴더스 EQST사업그룹장은 “사이버팬데믹 시대가 도래하며 개인, 사회, 기업 모두가 사이버공격의 대상이 되고 있어 경제·사회적 피해가 커지고 있다”며, “EQST는 전문 역량을 바탕으로 클라우드, 블록체인, 랜섬웨어 등 뉴(New) ICT에 대한 연구를 지속해 향후 발생하는 다양한 공격과 위협에 대한 정확한 인사이트를 제공하기 위해 최선을 다하겠다”고 말했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다