2023년 보안 위협은?…“랜섬웨어·사물인터넷·가상자산 주의해야”

2022년도 여러 사이버 위협이 범람한 한 해였다. 국제 해커조직 ‘랩서스(Lapsus$)’ 사태를 비롯해 북한의 해킹 시도 등 다양한 위협이 발생했다. 러시아와 우크라이나의 전쟁, 코로나19에 따른 사물인터넷(IoT) 기기의 증가도 위협을 늘리는 씨앗이 됐다.  제로트러스트(ZeroTrust) 가이드라인 마련을 위한 포럼이 구성되고 사이버안보법 제정 논의가 구체화하는 등 위협을 막기 위한 노력도 한창이다. 2022년을 관통한 보안 이슈를 돌아보고, 랜섬웨어나 가상자산을 노린 피싱 공격 등 2023년 주의해야 할 위협들을 정리했다.

국제적 해킹·악성코드 기승

지난 3월 국제 해커조직 랩서스(Lapsus$)가 세계 주요 IT 기업의 시스템을 해킹해 정보를 탈취했다고 주장했다. 이들은 자신들의 텔레그램 채널을 통해 삼성전자 서버를 뚫어 190GB에 달하는 기밀데이터를 탈취했다고 알린 것을 비롯해 LG전자,엔비디아,마이크로소프트 등의 글로벌 기업을 공격 대상으로 삼았다. 인증·계정 관리 소프트웨어(SW)업체 옥타도 랩서스의 공격을 받는 등 ‘사태’ 로 불릴 만큼 상반기 주목 받은 해킹 사례였다.

북한의 국내 해킹 시도도 여전했다. 이번 달만 해도 ‘남북 외교안보 학술회의’ 발제문 요청 등으로 위장한 해킹 시도 사례가 전해졌다. PDF 문서처럼 보이지만, 실제로는 특정 웹 서버로 통신을 시도하는 명령이 포함된 파일을 활용했다. 공격자가 구축한 본진 서버와 통신해 추가 스크립트 및 파워셸 명령에 따라 사용자 컴퓨터 환경과 내부 프로그램 정보 등을 탈취하는 형태다. 앞서 5월에는 유튜브 KTV 프로그램 출연 문의로 위장한 한글 문서(.hwp)에 객체연결삽입(OLE) 명령을 통해 특정 서버와 통신을 시도한 사례가 포착되는 가 하면, 8월에는 경찰청에서 근무하는 경찰의 실제 얼굴과 실명이 담긴 공무원증 PDF 문서를 통한 해킹 시도 등 북한발 사이버 위협은 사회 깊숙히 들어온 모습이었다.

SK쉴더스에 따르면 올해 발생한 사이버침해 사고 유형 중 악성코드 감염을 통한 침해사고가 32%로 가장 높은 비중을 차지했다. 국내 기업만을 노린 귀신(GWISIN) 랜섬웨어의 영향과 로그4j(Log4j) 등 기존에 알려진 취약점을 노린 악성코드 배포가 활발해진 것이 원인이라는 분석이다. 또한 피싱·스캠의 비중이 20%에 달하는 등 사회적 이슈를 악용한 피싱 공격이 성행한 것으로 나타났다.

사이버안보법·제로트러스트 추진 등 대책 마련 활발

정부도 거센 사이버 위협을 막는 벽을 세우느라 분주하다. 대통령실 소속의 국가사이버안보위원회 설치를 위한 법적 근거 마련 작업이 한창이다. 국가정보원은 민간 전문가가 참여하는 국가 사이버안보위원회를 구성하고, 신속한 사고조사와 위협정보 공유 등을 수행하는 통합 대응조직을 별도로 운영하는 내용의 국가사이버안보기본법 제정안을 입법예고했다.

이는 지난 5월 출범한 윤석열 정부의 국정과제이기도 하다. 국가정보원, 국방부, 과학기술정보통신부 등이 분할해 대응하던 기존의 체제로는 일관된 업무 진행과 대응에 한계가 있다는 지적이 제기돼 왔다. 국정원은 ‘정보기관의 민간 감시 수단으로 작용할 수 있다’는 우려가 일자 “컨트롤타워는 대통령실이 맡고, 국정원은 실무를 지원하는 역할만 할 것”이라며 진화했다.

정부는 ‘제로트러스트’ 적용도 추진하고 있다. 관련 포럼을 출범하고 안내서 성격의 가이드라인 제정 작업에 나섰다. 장기적으로는 국가 표준화가 목표다. 또한 공급망 보안 측면에서는 ’SBOM(Software Bill of Materials)’을 열쇠로 삼는다.  SBOM은 SW의 구성요소를 식별할 수 있는 일종의 명세서다. 미국 전기통신 및 정보청(NTIA)은 ▲공급자 이름 ▲구성요소 이름 ▲구성요소 버전 ▲기타 고유 식별자 ▲종속성 관계 ▲SBOM 데이터 작성자 ▲타임스탬프 등 7가지 조건을 SBOM의 최소 구성요소로 제시한 바 있다. 한국에서도 이러한 틀을 골자로 일부 분야에 SBOM을 실증해보고, 추가 요소를 마련할 방침이다.

일상 생활을 노린 해킹에도 대비한다. 가정에 설치된 월패드를 해킹한 후 촬영된 영상물을 팔아 넘기려던 30대 남성이 최근 검거됐다. 지난해 말 해외 웹사이트에서 국내 아파트 거실 모습으로 추정되는 영상과 사진이 발견되며 밝혀진 ‘아파트 월패드 해킹 사건’의 피의자다. 과학기술정보통신부와 한국인터넷진흥원(KISA)은 이와 관련, 지난 16일 ‘홈네트워크 보안가이드’를 배포했다. 가이드는 세대별로 네트워크를 분리하는 ‘물리적 망분리’ 또는 ‘논리적 망분리’ 구현을 권고했다.

예전에는 아파트 내 네트워크망이 연결돼 있어 한 곳만 뚫려도 단지 전체가 뚫리는 문제가 발생했다. 망분리가 적용되면 한 곳이 해킹 당해도 전체로 피해가 확산하는 걸 막을 수 있다. 당초 옵션 중 하나로 제시됐던 암호화 방식은 빠졌는데, 암호화한 데이터라도 기기 제어권을 탈취하면 결국 유출로 이어질 수 있다는 의견을 반영한 것으로 풀이된다.

2023은 다각화한 랜섬웨어·사물인터넷 해킹 주의해야

보안 업체들은 공통적으로 2023년 랜섬웨어가 기승을 부릴 것으로 전망했다. 안랩은 랜섬웨어 공격그룹이 최소의 공격으로 최대 효과를 노리는 ‘양보다 질’ 전략을 추구할 것으로 예측했다. 조직의 핵심 인프라를 먼저 장악한 후 정보 유출, 랜섬웨어 감염, 디도스까지 결합하는 ‘다중 협박’을 활용할 것이란 관측이다. 이스트시큐리티는 상대적으로 덜 알려진 프로그래밍 언어를 써 보안 시스템을 우회하는 시도하는 랜섬웨어가 증가하고, 파일 암호화를 넘어 정보 탈취, 추가 악성코드 배포 등 지능형지속위협(APT) 공격의 형태로 진화할 것으로 예상했다. SK 쉴더스도 데이터 파괴만을 목적으로 하거나 데이터베이스 서버의 취약점만을 노리는 등 신·변종 랜섬웨어가 증가할 것으로 전망했다.

특히 비용만 지불하면 누구나 실행할 수 있는 서비스형 랜섬웨어(RaaS)가 성행하면서 위협은 더욱 심화할 거란 분석이다. 이글루코퍼레이션은 RaaS가 기승을 부리는 이유로 암시장을 뜻하는 ‘블랙마켓(Black Market)’의 활성화를 꼽았다. 블랙마켓에서 데이터 유출 및 협박 방식, 자금세탁 방법, 크리덴셜 데이터, 공격 도구 등이 거래되며 사이버 공격 생태계가 유지된다는 것이다. 특히 공격 도구의 다양화는 공격 대상 진입, 암호화, 공격 증거 삭제 등 랜섬웨어의 모듈화를 가속화할 거라는 분석이다.

이글루코퍼레이션 관계자는 “랜섬웨어는 파일 암호화에 따른 직접적인 피해 외에도 신용정보나 개인정보 탈취와 같은 2차 피해 위험이 있다”며 “지속적인 랜섬웨어 공격 동향 모니터링으로 현실적인 대응 전략을 수립해야 한다”고 강조했다.

코로나19 이후 산업 전반에 확산된 무인화·자동화 기기에 대한 위협도 주의해야 한다. SK쉴더스는 산업용 사물인터넷(IIoT)이 적용된 시설은 다양한 장비를 사용하지만 자산 관리가 미흡하고 위협에 취약한 운영체제를 사용하는 경우가 많아 사이버 공격의 대상이 되기 쉽다고 짚었다. 이 밖에 모바일 기기로 들어온 이메일 또는 문자 메시지에 포함된 링크를 클릭하지 않아도 이미지 파일로 위장하는 등의 방법을 통해 악성코드에 감염될 수 있는 ‘제로클릭’ 공격도 늘어날 것으로 예측했다.

가상자산도 겨냥…블록체인 브릿지 성행할 듯

2023년에는 암호화폐 등 가상자산을 향한 사이버 공격도 늘어날 것으로 보인다. 안랩은 개인의 가상자산 지갑을 노린 공격 시도가 증가할 것으로 예상했다. 많은 사용자들이 계정 소유권 인증 및 지갑 복구를 위해 사용하는 시드 구문(계정의 소유권을 인증하고 지갑을 복구하기 위해 사용되는 무작위 단어 조합)이나 단어로 이뤄진 니모닉키(desk·beach·spider·hamster·pie 등)를 외우지 못해 사진 또는 이메일, 휴대폰 메모 등으로 기록한다. 해커들은 이런 니모닉키 정보와 지갑 계정 정보를 탈취하기 위해 정보를 유출하는 악성코드나 유명 가상자산 지갑을 사칭한 피싱 웹사이트·앱 유포를 확대할 것이란 분석이다.

이글루코퍼레이션도 “국가 지원 해킹 그룹의 경우 블록체인 브릿지를 통해 탈취한 가상화폐를 불법 자금 확보 수단으로 활용하고 있다”고 밝혔다. 블록체인 브릿지는 블록체인 네트워크 연결을 통해 하나의 블록체인에서 또 다른 블록체인으로 정보, 가상화폐, 대체불가능토큰(NFT) 등의 자산을 교환할 수 있는 기술이다. 특히 가상자산을 쪼개고 섞어서 재분배하는 기술인 ‘믹서(Mixer)’로 인해 거래 흐름 추적이 어렵다는 게 이글루코퍼레이션의 진단이다. 불법적인 자금의 현금화가 가능한 만큼, 가상자산을 타깃으로 하는 사이버 공격이 더욱 증가할 것으로 보이는 대목이다.

불안한 국제 정세…항공우주산업도 영향

전쟁의 양상이 하이브리드전으로 변모함에 따라, 사이버 보안이 국가 안보와도 연결되기 시작했다. 2022년 러시아와 우크라이나 전쟁에서 러시아는 우크라이나의 국가 주요 시설과 공공기관∙민간기업에 다수의 사이버 공격을 시도했다. 이 같은 사례를 필두로 국가의 지원을 받는 해킹 조직의 공격도 빈번해질 것이란 예상이다.

이스트시큐리티는 국방, 안보, 방산 영역을 대상으로 한 지속적인 해킹과 함께 미사일 발사·방어 기술에 활용되는 항공우주산업과 이동통신을 대상으로 한 공격이 대폭 증가할 것으로 전망했다. 또한 국가 간 갈등 심화는 다국적 구성원들로 이루어진 해킹 그룹 내부의 갈등을 촉발하고, 이에 따른 정보 유출도 빈번하게 이루어질 것으로 예상했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network