​2022년 하반기 '리오프닝' 노린 사이버공격 온다

이상우 기자() | Posted : June 22, 2022, 17:33 | Updated : June 22, 2022, 17:33

이호석 SK쉴더스 EQST랩 팀장이 6월 21일 '2022년 하반기 사이버보안 전망'을 발표하고 있다.[사진=SK쉴더스]

2022년 상반기 국내외적으로 사이버공격이 빈번하게 발생한 산업 분야는 금융인 것으로 나타났다. 암호화폐 가치 상승에 따라 거래소나 탈중앙화 금융(디파이)을 노린 사례가 늘어났기 때문이다.

22일 SK쉴더스 위협 인텔리전스 조직인 이큐스트(EQST)가 상반기 사이버위협 동향과 하반기 전망을 발표했다. EQST에 따르면 상반기 발생한 사이버공격 중 금융 산업을 노린 비중이 국외 25%, 국내 16.3% 등으로 나타났다.

국외의 경우 돈 버는 게임으로 잘 알려진 액시인피니티에서 블록체인 네트워크 '로닌 브리지'가 해킹돼 사용자의 암호화폐가 유출된 사례가 있다. 국내에서는 올해 초 한 디파이 서비스에서 사용자 기기에 악성코드를 설치하고, 디파이 입금계좌가 아닌 해커의 지갑에 암호화폐를 입금하도록 하는 공격 기법이 등장하기도 했다. 이처럼 세계적으로 암호화폐에 대한 투자가 늘어나는 가운데, 이를 탈취하는 공격 역시 꾸준히 증가하는 추세다.

국내에서 발생한 사이버공격 중 가장 많은 비중을 차지한 산업 분야는 제조다. 김래환 EQST담당 팀장은 올해 3월 발생한 랩서스(Lapsus$) 조직이 주요 제조 대기업을 공격하면서 제조분야 침해사고가 전체 공격의 22.1%를 차지했다고 밝혔다.

국외에서는 금융 다음으로 공공과 정부분야 대상 사이버공격 비중이 22.2%로 높았다. EQST는 이를 러시아의 우크라이나 침공과 함께 펼쳐진 각종 사이버공격이 주요 원인인 것으로 분석했다. 러시아는 침공을 앞두고 우크라이나 기간시설 전산망에 대한 분산 서비스 거부(DDoS) 공격을 펼쳤으며, 국제 해킹 조직 어나니머스(Anonymous)는 러시아에 대한 사이버전쟁을 선포하기도 했다.

김래환 팀장은 "과거 해커는 자신을 과시하는 목적으로 해킹을 해왔으나, 최근에는 정치적·금전적 목적을 갖추고 조직화한 해킹 시도가 많이 발생하고 있다. 특히 서비스형 랜섬웨어(RaaS)를 통해 사이버공격 진입장벽이 낮아진 것 역시 2022년 상반기 동향"이라고 설명했다.

서비스형 랜섬웨어란 사용자가 소프트웨어를 클라우드 기반으로 임대해 사용하는 서비스형 소프트웨어(SaaS)처럼 개발자가 만든 랜섬웨어를 임대해 공격에 이용하고 범죄 수익을 나누는 방식이다. 개발조직과 유포조직 분업화로 추적이 어려운 것은 물론, 유포조직은 악성코드 개발에 대한 지식 없이 피싱 이메일 등 단순한 방법으로도 손쉽게 공격을 펼칠 수 있기 때문에 랜섬웨어가 확산하는 계기가 됐다.

랜섬웨어 피해 기업을 보면 종사자 수가 1000명 이하인 중견·중소기업이 72%를 차지했다. 특히 이 중 절반은 100명 이하인 중소기업이다. 대기업은 이미 성능이 뛰어난 보안 솔루션과 대응 조직을 갖추고 있기 때문에 공격이 어려운 반면, 중소기업은 상대적으로 공격이 쉬워 범죄수익(랜섬머니) 확보를 위한 협상 테이블로 불러내기도 수월하다.

EQST는 상반기 주요 사이버공격 동향 중 하나로 제로데이 공격도 꼽았다. 제로데이 공격은 알려지지 않았거나 대응책이 마련되지 않은 취약점을 악용해 펼치는 사이버 공격으로, 지난해 말부터 올해 초까지 악명을 떨친 로그4j 취약점이 대표적이다. 이와 함께 올해 발견된 스프링4쉘 취약점 역시 올해 4월부터 악용하는 시도가 늘고 있다.
 

2022년 상반기 사이버공격이 발생한 산업 분야 비중[그래픽=SK쉴더스]

코로나19 감소세로 항공, 숙박, 여행 등 사업 재개 본격화...사이버공격 위협 커져
2022년 하반기 사이버공격 주요 키워드는 '리오프닝'이 될 것으로 보이며, 암호화폐를 노린 공격과 랜섬웨어 공격이 하반기에도 기승을 부릴 전망이다.

이호석 EQST랩 팀장은 "코로나19 장기화로 디지털 전환이 가속화되고, 암호화폐가 대중화되면서 사이버공격이 사회 전반으로 확산하는 '사이버팬데믹'이 일어날 전망이다. 특히 디지털 근무환경이 늘어나면서 피싱 등을 이용한 지능형 지속위협(APT)이 증가했고, 서비스형 랜섬웨어로 인해 공격 시도도 쉬워진 상황"이라고 말했다.

이어 "2021년 1분기와 비교해 해당 분야 침해사고 건수는 63%, 피해액은 23% 늘었다. 2025년에는 사이버범죄 피해 규모가 10조 달러(약 1경3032조6500억원)에 이를 전망"이라고 덧붙였다.

코로나19가 감소세로 돌아서면서 그간 위축된 경제활동이 재개되기 시작했다. 특히 항공, 숙박, 여행 등 산업에서는 다시 성장동력을 얻어 성장하는 리오프닝이 이뤄지고 있다. EQST에 따르면 국제선 여객 수는 전년대비 3배 증가했고, 숙박업 매출도 87% 증가했다. 이에 따라 관광산업 침해사고도 증가할 것으로 내다봤다.

이호석 팀장은 "지난해 국내 침해사고 중 여행 서비스를 노린 비중은 15.7%였는데, 올해 상반기에는 20.6%로 전년대비 6.9%포인트 늘었다. 코로나19 기간 중 해당 산업은 경영 악화로 인원을 감축했으며 이 가운데 보안 관리 인원도 축소됐다. 따라서 손쉬운 공격대상이 될 수 있어 각별한 주의가 필요하다"고 밝혔다.

이들을 노리는 공격은 주로 피싱, 지능형 지속위협, 랜섬웨어 등의 방식으로 이뤄질 전망이다. 여행사로 가장한 공격자가 피싱 이메일을 특정 회원에게 보내 결제정보 및 개인정보를 입력하도록 유도하는 방식이 대표적이다. 이밖에도 여행사 홈페이지의 취약점을 통해 접근권한을 얻고 DB서버를 통해 개인정보를 유출할 수도 있다.

암호화폐 거래량과 금액이 늘면서 이를 노린 사이버공격이 하반기에도 이어질 것으로 보인다. 암호화폐 해킹 사고는 국내외를 가리지 않고 발생하고 있으며, 특히 최근 공격 동향은 전체 피해 금액 중 97%가 디파이에서 발생하는 등 급성장하는 시장을 노리는 추세다. 올해 하반기에도 피싱과 스미싱을 이용한 거래소 계정 탈취나 디파이 서비스 취약점을 노린 해킹 시도가 증가할 전망이다.

서비스형 랜섬웨어는 정부와 수사기관의 감시를 피하며 확산할 것으로 보인다. 특히 랜섬웨어 공격 조직은 리브랜딩을 통해 모습을 바꾸며 공격을 이어간다. 2020년 콜로니얼 파이프라인을 공격한 '다크사이드' 조직은 FBI와 미국 정부의 감시를 피해 2021년 7월 '블랙매터'라는 이름으로 다시 등장했으며, 2021년 11월에는 '블랙캣'으로 또 한 번 이름을 바꿨다. 이들이 사용하는 공격 기법이나 고유한 코딩 기술 등을 통해 동일 조직으로 간주하고 있다. 이같은 공격조직의 눈속임은 올해 하반기에도 이어질 전망이다.

이재우 EQST 그룹장은 "이러한 위협에 대응하기 위해서는 업무상 불필요한 메일이나 웹 사이트를 열어보지 않는 등 보안 대응 전략이 필요하다. SK쉴더스는 지난해 민간 랜섬웨어 대응 협의체 KARA를 발족하고 보안, 법률자문, 백업 등 여러 분야 기업을 회원사로 받아 랜섬웨어 대응과 재발방지를 위해 노력하고 있다"며 "하반기에는 KARA를 중심으로 활동을 넓이고, 대응이나 점검 등이 체계화가 돼 있지 않은 암호화폐 분야에는 점검방법론과 대응체계 수립해서 내년 초 발표할 계획"이라고 밝혔다.
© Aju Business Daily & www.ajunews.com Copyright: All materials on this site may not be reproduced, distributed, transmitted, displayed, published or broadcast without the authorization from the Aju News Corporation.