올 상반기 사이버 침해 40%↑…"텔레그램으로 개인정보 탈취"

과기정통부-KISA, 사이버위협 동향 발표
"고도화 공격 증가…국민·기업 주의를"

올해 상반기 사이버 침해사고가 지난해 같은 기간보다 40% 증가한 것으로 나타났다. 지인을 사칭하던 방식의 피싱 공격이 텔레그램 같은 메신저 계정을 노린 고도화된 공격으로 변화하는 특징을 보였다.

과학기술정보통신부는 한국인터넷진흥원(KISA)과 함께 올해 상반기 주요 사이버 위협 동향을 31일 발표했다.

과기정통부는 "최근 공격자들이 공격 대상을 적극적으로 찾아내고, 개인과 기업의 시스템·모바일기기 등을 면밀히 분석해 취약점을 노리는 고도화된 공격이 증가하고 있다"며 "국민과 기업들의 각별한 주의가 필요하다"고 당부했다.

최근 3년간 침해사고 신고 통계를 살펴보면, 2021년 640건에서 지난해 1142건으로 전년 대비 약 2배 증가했다. 올해 상반기 침해사고 신고 건수는 664건으로 전년 동기 대비 약 40% 늘었다.

침해사고 신고 건 중 제조업 비중이 전년 상반기 대비 62.5% 증가했다. 공격자들은 보안 수준이 낮은 영세 기업들을 집중 공격하고 있는 것으로 분석됐다.

올해 상반기 국내 침해사고를 분석해보니, 크게 4가지 특징이 나타났다.

먼저 공격자들은 최우선적으로 백업서버를 찾아내 렌섬웨어 공격을 고도화해가고 있었다.

공격자들은 인터넷에 연결돼 외부에 노출되고 접근이 쉬운 서버들의 취약점을 찾아 내부에 침입한다. 자료를 탈취하는 동시에 최우선적으로 백업서버를 찾아내 자료를 암호화하고 금전을 요구하는 복합적인 방식(다중협박)으로 랜섬웨어 공격을 고도화해 가고 있다.

기업들은 외부에 노출된 서버에 대해선 비정상적인 접근 차단과 보안 취약점을 제거해야 한다. 내부로 침입할 수 있는 위협 접점을 없애는 등 공격표면 관리를 철저히 해야 한다. 백업서버의 경우 망 분리 등 별도의 분리된 환경을 구축해야 한다.

두 번째 특징은 보안 소프트웨어(SW) 취약점을 노린 전문 해킹조직의 고도화된 사이버 공격이 증가했다는 점이다.

기업 내부에서 사용하고 있는 네트워크 모니터링 프로그램 등 보안 SW의 취약점을 악용해 해당 SW를 통해 직원 PC를 감염시키고, 원격 조종하는 악성코드를 설치해 내부망을 장악하는 공격이 연이어 발견됐다.

이러한 공격 방식은 기존 악성코드 이메일 공격보다 탐지하기 쉽지 않고, 심지어 피해 당사자가 사이버 공격을 당했는지도 모르는 경우가 있어 매우 위협적으로 평가된다.

과기정통부와 KISA는 유관기관들과의 합동조사를 통해 해당 공격이 국가 배후의 전문 해킹조직에 의해 수행된 것으로 보고 지속적으로 추적하고 있다. 또한 신속한 보안패치를 통해 추가 피해가 발생하지 않도록 긴급 조치를 진행 중이다.

세 번째는 지인 사칭에서 더 나아가, 탈취한 계정으로 지인이 직접 보내는 피싱 공격이 확산되고 있다는 점이다.

지인을 사칭하거나 보안관계자로 위장해 불특정 사용자들의 개인정보를 탈취하려던 피싱사이트 공격 양상이 최근 들어 바뀌고 있다.

텔레그램(Telegram) 등 메신저 계정을 노린 공격으로 변화하고 있는데, 이는 메신저 프로그램에 보관된 대화 내용이나 개인정보 등을 탈취하기 위한 목적으로 분석된다.

공격자는 메신저 프로그램의 피해 계정으로 접속한 뒤 등록된 친구·가족·지인들에게 전화번호, 인증코드 등 개인정보 입력을 요구한다. 메시지를 받은 사람은 자칫하면 실제로 피해 계정 사용자가 보낸 것으로 속기 쉽다.

과기정통부와 KISA는 통신사들과 협력해 개인정보 입력을 유도하는 피싱 사이트를 긴급 차단하고, 보호나라 웹사이트와 118 신고전화 등을 통해 피해 여부 확인과 조치 방법 등을 안내하고 있다.

이용자들도 텔레그램 등 메신저 프로그램의 2차 인증 기능을 설정하고, 출처가 불분명한 사이트는 접속하지 않는 등 주의가 필요하다.

네 번째 특징은 관리자 계정 공유 등 부주의한 개발자에 의한 보안사고가 늘어나고 있다는 점이다.

기업 내 시스템 개발자나 유지보수 담당자들이 업무 편의성을 이유로 홈페이지, 클라우드 서비스 등의 관리자 계정을 여럿이 공유하거나, 가상사설망(VPN)을 통해 내부 주요 시스템에 직접 접근할 수 있도록 허용하는 등의 보안관리 허점을 노린 공격이 늘고 있다.

기업들은 기업 내 시스템 관리자뿐만 아니라 소수의 개발자나 유지보수 담당자들 역시 철저하게 보안 수칙을 지키도록 하고, VPN 등을 통한 원격접속 시 권한과 접근 단말을 최소화하는 등 보안정책을 꼼꼼히 관리해 나가야 한다.

과기정통부는 "연내 SW 공급망 보안 가이드라인을 마련해 새로운 보안체계가 자리 잡을 수 있도록 지원할 것"이라며 "사이버보안 사각지대에 있는 중소기업, 개인 등의 정보보호 역량을 제고하는 방안과 정보보호산업을 튼튼하게 키우는 산업 육성 방안도 8월 내 발표할 수 있도록 준비 중"이라고 밝혔다.

김보경 기자 bkly477@asiae.co.kr