한 곳 털리니 딴 곳도 털렸다… 확인된 것만 100만건, 어떤 수법이길래?

이미지투데이

다른 사이트에서 수집한 사용자 계정정보를 무작위로 대입해 로그인을 시도해 보는 '크리덴셜 스터핑'으로 올해 확인된 개인정보 유출 건수만 100만건을 넘어선 것으로 나타났다.

SW(소프트웨어) 개발자 시스템을 감염시켜 악성코드 배포에 따른 피해규모를 키우거나 더 악랄한 형태의 랜섬웨어 공격이 가해지는 모습도 올해 눈에 띈 모습이다. 내년에는 국내 총선을 비롯해 미국 대통령선거 등 정치적 이슈를 틈타 생성형 AI(인공지능)을 활용한 사이버 공격이 기승을 부릴 것이라는 전망도 나온다.

17일 과학기술정보통신부, KISA(한국인터넷진흥원) 및 사이버위협 인텔리전스 네트워크와 함께 발표한 '2023년 사이버보안 위협 분석과 2024년 사이버보안 위협 전망'에 따르면 올해는 △보안 프로그램 취약점과 SW 개발자 대상 공급망 확대 △개인정보를 노려 진화하는 메신저 사칭 공격 및 피해 재확산 △랜섬웨어 공격 및 산업기밀 공개를 빌미로 한 금전 협박 등 3가지 유형이 부각됐다.

━

공급망, 스미싱·피싱, 랜섬웨어 등 부각

━

임종철 디자이너 /사진=임종철 디자이너

올 3월 확인된 보안인증 프로그램 취약점을 노린 해킹 공격(해킹그룹 라자루스 소행 추정), 국내 보안 프로그램 개발사 내부 침투 후 업데이트 파일 배포 서버를 통한 악성코드 유포(미상 해킹그룹 추정), 오픈소스 커뮤니티를 통한 악성코드 포함 패키지 배포 등 공격이 올해 확인됐다. SW 공급망 공격은 초기 탐지와 조치가 어렵고 그 파급력이 크기 때문에 공격자들이 앞으로도 계속 이를 활용할 것으로 전망되고 있다.

올 7월 텔레그램 공식 계정인 것처럼 위장한 피싱사이트를 통해 개인정보와 인증번호 입력을 요구해 계정을 탈취한 후 탈취된 계정에 등록된 지인들에게 마치 이용자 본인이 보낸 것처럼 피싱 사이트 주소를 전달하는 새로운 공격 기법도 확인됐다. 택배 배송, 교통 범칙금, 지인 부고 등을 사칭하는 문자 메시지에 속아 URL(인터넷주소) 링크를 클릭해 피해가 발생한 건도 많았다. 이같은 스미싱 문자만 해도 올해 37만건 가량이 탐지돼 차단됐다.

특히 이미 확보한 이용자 계정정보를 무작위로 대입해 로그인을 시도해 보는 '크리덴셜 스터핑' 공격은 올해도 기승을 부렸다. 인터파크에서만 78만건, 한국고용정보원(워크넷)에서도 23만건의 개인정보가 유출된 게 확인된 것이다. 크리덴셜 스터핑 공격은 기존의 무작위 로그인 시도 방식에 비해 공격 성공률이 높아 공격자들이 자주 활용할 가능성이 높은 것으로 예상된다. 이에 각 기관·기업은 로그인 시도 횟수를 제한하거나 2차 인증을 통한 로그인 시스템을 도입하는 등 이용자 인증 관련 보안성을 강화할 필요가 커졌다.

데이터를 암호로 묶어버린 후 이를 해제해주는 대가로 몸값을 요구하는 랜섬웨어 공격 역시 올해 지속적으로 발생 중이다. 국내에서는 주로 중소기업(78.1%) 및 제조업종(36.7%)를 타깃으로 한 랜섬웨어 공격이 눈에 띄었다. 기업의 기밀 정보를 빼낸 후 운영 서버와 백업 서버를 암호화한 후 금전을 요구하는 복합적 방식이 주로 활용됐다. 기업·기관들은 공격자들이 내부로 침입할 수 있는 위협 접점을 제거하는 등 공격 표면 관리를 더 철저히 하고 백업 서버는 반드시 분리된 별도의 환경(망분리 등)에 따로 구축해야 하는 상황에 놓였다.

━

정치 이벤트 노린 생성AI공격 우려, 공급망 공격 지속

━

/사진제공=게티이미지

내년 4월에는 국내에 국회의원 총선거가 열리고 미국에서도 3월 상하원 선거에 이어 11월 대통령 선거가 열리는 등 정치적 불확실성이 클 전망이다. 이같은 시기 사회 불안을 조장하기 위해 딥페이크 기술을 활용한 가짜뉴스 생산·유포 등이 활개칠 것이라는 전망도 나온다. 적대세력이나 적대국 사이의 물리적 충돌이나 분쟁이 사이버 영역으로까지 확대될 것이라는 우려도 여전하다.

스마트팩토리 및 스마트물류 등 IT 기술을 활용한 제조·물류 등 공정 인프라를 감염시키기 위한 시도도 늘어날 것으로 예상된다. 기존의 제조, 에너지, 교통, 통신, 의료 등 주요 인프라들은 중단 없는 서비스를 최우선으로 해서 폐쇄망에서 운영되는 등 외부 침입이 불가능했지만 스마트 설비와 디지털 트윈 등 IT 기술이 현장에 적용되면서 OT(운영기술) ICS(산업제어시스템) IoT(사물인터넷) 등 기반 시스템과의 연결이 늘어나며 보안위협도 함께 커질 것이라는 것이다.

전 세계 ICS 중 33% 이상에서 악성 코드가 탐지됐고 이 중 약 10%는 지속적으로 감염이 반복되고 있다는 조사 결과가 나오는 것도 이같은 우려를 뒷받침한다. IP카메라(인터넷 카메라), 공유기 등 IoT 장비 관련 신규 보안 취약점도 매년 꾸준히 나온다.

생성AI를 활용한 사이버 공격도 우려되는 요소다. 생성AI 덕분에 일반인들도 손쉽게 악성코드를 제작할 수 있고 피싱 이메일 공격 성공률을 높여주기 위한 더 그럴싸한 메일 문구를 제작할 수 있게 된 것도 우려 요소다.

SW 공급망을 통한 공격 시도는 내년에도 꾸준히 이어질 것으로 예상된다. 이에 SW의 구성요소와 정보를 나열하고 문서화한 명세서인 SBOM(소프트웨어 명세서) 뿐 아니라 HBOM(하드웨어 구성요소와 물리적 부품을 나열하고 문서화한 명세서)의 도입도 필요하다는 주장이 제기될 것으로 전망되고 있다.

━

백업·복구절차 점검·강화 필요

━

이에 각 기관·기업 등 조직은 단순히 보안시스템을 도입해 운영하고 있다는 것만으로 안심하기보다 만일의 상황에 대비해 사이버 침해를 당하더라도 업무 중단이 되지 않도록 백업체계를 마련하고 신속한 복구 프로세스를 반복해서 점검하고 강화해야 할 필요가 커졌다.

과기정통부, KISA도 유관기관들과 협력해 공격 탐지와 차단, SW 개발사와 협업을 통한 신속한 보안패치 배포 등 노력을 기울여왔다. 보안역량이 취약한 기업을 위해 보안 취약점 점검, 실전형 모의 침투훈련 지원도 진행하고 있고 국민들을 대상으로 모바일 및 PC 등 기기의 자가점검 서비스도 제공 중이다.

홍진배 과기정통부 네트워크 정책실장은 "사이버 공격은 이제 단순히 서비스 장애나 불편을 넘어서, 사회 전체를 마비시키고 생명을 위협할 수 있는 중대사고가 될 수 있다"며 "알려진 사이버 위협은 또다시 재발하지 않도록 철저히 분석하여 대책을 마련하고, 새로운 위협은 선제적으로 예방할 수 있도록 노력하여 안전한 디지털 세상을 만들어 가겠다"고 했다.

황국상 기자 gshwang@mt.co.kr