사이버침해사고 40% 증가… 백업파일·보안SW 노렸다

취약점 신고 포상 관련 통계. 과기정통부 제공

랜섬웨어 공격방식 변화. 과기정통부 제공

피싱 공격 사례. 과기정통부 제공

사이버공격이 갈수록 잦아질 뿐 아니라 수법도 점점 교묘해지고 있다. 적극적으로 대상을 탐색·분석해 취약점을 노리는 공격이 늘고 있어 정보보호를 위한 투자와 노력이 요구된다.

과학기술정보통신부와 KISA(한국인터넷진흥원)는 '2023년 상반기 주요 사이버위협 동향'을 31일 내놓고 상반기 664건의 사이버침해사고 신고가 접수됐다고 밝혔다. 전년 동기(473건)보다 40.4% 증가한 수치로, 직전반기(669건)에 이어 2021년 한 해(640건)보다도 많은 건수를 기록했다.

앞서 국가정보원은 국가·행정기관과 지자체 등 공공부문 대상으로 상반기 발생한 사이버공격이 약 15% 증가했으나 그에 따른 피해 건수는 감소했다고 밝힌 바 있다. 이와 달리 민간부문에서는 무차별 공격에 따른 피해가 늘어가는 양상이다.

특히 침해사고 신고 건 중 제조업 비중이 전년 동기 대비 62.5% 증가, 보안수준이 낮은 영세기업들이 집중 공격 대상이 된 것으로 나타났다. 앞서 SK인포섹 또한 IAB(초기 침투 전문 브로커)들이 주로 제조업을 겨냥하고 있다고 지적한 바 있다.

사이버 공격자들은 인터넷에 연결된 서버의 취약점을 우선 찾아 내부에 침입해 자료를 탈취하는 동시에, 최우선적으로 백업서버를 찾아내 자료를 암호화해 금전을 요구하는 다중협박 방식으로 랜섬웨어 공격을 고도화했다. 백업 파일도 랜섬웨어에 감염된 비율이 42.9%로 전년 동기(23.1%)보다 크게 높아졌다.

공격자들은 보안SW 취약점도 노렸다. 기업 내부에서 사용하는 네트워크 모니터링 프로그램 등 보안SW 취약점을 악용해 해당 SW를 통해 직원 PC를 감염시키고, 원격 조종하는 악성코드를 설치해 내부망을 장악하는 공격이 연이어 발견됐다. 이런 방식은 탐지가 쉽지 않고, 피해 당사자가 공격당했는지도 모르는 경우가 있어 위협적이다. KISA의 취약점 신고 포상제도에서도 상반기에 애플리케이션 취약점 신고 건수(44→92건)가 2배 늘었는데, 그 중 보안프로그램이 약 54%로 절반 이상을 차지했다.

지인을 사칭하거나 보안관계자로 위장해 불특정 사용자들의 개인정보를 탈취하려던 기존 피싱사이트 공격은 최근 텔레그램 등 메신저 계정을 노린 공격으로 변화하고 있다. 메신저 프로그램에 보관된 대화내용이나 개인정보 등을 탈취하기 위한 목적으로 분석된다. 공격자는 메신저 프로그램의 피해 계정으로 접속한 뒤 등록된 친구·가족·지인들에게 개인정보 입력(전화번호·인증코드)을 요구하는데, 자칫하면 실제로 피해 계정 사용자가 의도해 보낸 것으로 속기 쉽다.

기업 내 시스템 개발자나 유지보수 담당자들이 업무 편의성을 이유로 홈페이지, 클라우드 서비스 등 관리자 계정을 여럿이 공유하거나, VPN(가상사설망)을 통해 내부 주요시스템에 직접 접근할 수 있도록 허용하는 등 보안관리 허점을 노린 공격 또한 늘고 있다. 최근 해외 인텔리전스 기업이 공개한 사이버위협 동향 보고서에서 다크웹을 통해 기업의 시스템 관리자 계정을 전문적으로 판매하는 브로커들이 최근 약 1.5배(262개→380개) 증가한 것과도 연관된다.

과기정통부 측은 "국민, 기업 등 각 정보보호주체들 스스로 사이버보안 인식을 높이고 정보보호 투자를 확대하는 등 적극적인 보안 강화 노력을 기울일 필요가 있다"며 "특히 기업·기관들은 제로트러스트 보안 모델 도입을 적극 검토해야 할 시점"이라고 밝혔다.

또한 "'제로트러스트 가이드라인 1.0'을 지난 10일 발표했고 실증모델을 통해 계속 진화·발전시킬 계획이다. 연내 'SW공급망 보안 가이드라인'도 마련·제공해 새로운 보안체계가 자리잡을 수 있도록 지원할 것"이라며 "사이버보안 사각지대에 있는 중소기업, 개인 등의 정보보호 역량을 높이는 방안과, 정보보호 산업을 키우는 육성방안을 8월 중 발표할 수 있도록 준비 중"이라고 덧붙였다.팽동현기자 dhp@dt.co.kr