KISA가 발표한 2021년 상반기 사이버 위협동향 보고서 살펴보니
[보안뉴스 원병철 기자] 2021년 상반기는 △솔라윈즈 △MS 익스체인지 △소닉월 제로데이 △펄스시큐어 VPN △다크사이드 연계조직 등 매월 굵직한 보안이슈가 터진 것은 물론 ‘랜섬웨어의 시대’라 부를 만큼 세계 곳곳에서 대규모 보안 사건사고가 끊임없이 발생한 것으로 나타났다. 한국인터넷진흥원(KISA)은 이러한 동향을 담은 ‘2021년 상반기 사이버 위협 동향 보고서’를 발표했다.
[이미지=utoimage]
보고서에 따르면, 올해 상반기의 사이버 위협 동향은 2020년 하반기의 연장선 위에 있다. 대표적인 것이 표적형 랜섬웨어가 기승을 부렸다는 점이다. 랜섬웨어를 무차별 살포하여 감염된 PC 사용자에게 가상화폐를 갈취하던 이전과는 달리 2020년부터는 주로 금융, 의료, 대기업 등 자금 능력이 있는 회사를 공격하여 돈을 뜯어내는 양상이 뚜렷하다.
어느 정도 보안을 갖춘 기업에 지능형 표적 공격(APT 공격)으로 침입해 랜섬웨어를 설치하고 암호화 전에 데이터를 탈취해 추가로 협박하는 추세를 보였다. 폭발적으로 증가한 미국뿐 아니라 국내에서도 자동차 회사의 해외 법인, 배달대행업체, 유통 대기업도 랜섬웨어의 피해를 봤다.
이러한 공격은 주로 기존 APT 공격 그룹에 의해 이뤄진다. 사이버보안 인텔리전스를 구축해온 보안기업은 이들을 계속 추적해 왔다. Lebanese Cedar 해킹 그룹이 1년여에 걸쳐 전 세계 기업을 대상으로 사이버 공격을 해 왔다는 것이 밝혀졌고, 콜로니얼 파이프라인 랜섬웨어 사태의 주범으로 지목되며 해체를 선언한 다크사이드의 연계 그룹의 활동을 추적한 내용도 있다.
APT 공격은 여전히 표적 피싱 메일로 시작하는 것이 대부분이다. 정부의 회의 요청 문서나 포털 ID 거래 계약서로 위장한 악성 코드 파일이 메일, 메신저 등을 통해 유포된 것으로 나타났다.
[자료=KISA}
또 다른 상반기의 굵직한 흐름은 공급망 공격이다. 2020년 12월 글로벌 보안업체 파이어아이(FireEye)가 공개해 알려진 네트워크 관리업체 솔라윈즈의 오리온 소프트웨어를 통한 공급망 공격은 올해 상반기의 주요 뉴스 중 하나였다. 이 공격으로 인한 피해 관련 뉴스가 상반기 내내 보도됐으며, 공급망 공격 대응을 위해 미국 CISA와 NIST가 방어 대책을 발표하기도 했다.
또한, 보안 제품에서 보안 취약점이 발견되면 반향이 크다. 보안 제품은 다른 소프트웨어 비해 보안 취약점이 적을 거라는 인식이 있고, 보안 제품은 특수한 권한을 가지고 다른 IT 제품을 관리하기 때문에 이를 악용한 사이버 공격은 공급망 공격으로 이어질 수 있기 때문이다. 소닉월의 이메일 보안 솔루션과 펄스시큐어 VPN의 취약점 발견은 그런 의미에서 관심을 끈다.
이 외에도 마이크로소프트의 익스체인지 서버 취약점을 악용한 침해사고가 연이어 발생하는 등 널리 사용되는 소프트웨어를 통한 위협이 보안업계에 경종을 울렸다.
2021 상반기 취약점 동향
기업의 원격 근무 환경으로의 전환 과정에서 내부 자원에 접근할 수 있는 기회가 많아지고 있으며, 특히 기업 네트워크 외부에 있는 원격 근무자의 권한을 통해 기업의 주요 시스템이나 소프트웨어 공급망 등으로 침투하는 공격 역시 증가하고 있다.
2021년 상반기 동안 공개된 취약점의 개수는 약 8,950건으로 2020년 상반기의 약 9,808건에 비해 약 8.7%가 감소했다. 공개된 취약점 중 CVSS 점수가 9~10점인 Critical로 분류된 취약점의 개수는 1,201개(13.4%)였는데, 2020년 1,474개(15.0%)에 비해 감소한 수치다. 그러나 7~8.9점인 High로 분류된 취약점의 개수는 3,875개(43.3%)로 2020년 4,168개(42.5%)와 비교했을 때 공개된 갯수는 줄어들었으나 비율은 높아진 것을 확인할 수 있다.
2021년 상반기에도 전체 공개된 취약점 중 56.7%가 7점 이상의 위험군으로 분류될 만큼 잠재적으로 높은 위협에 노출되고 있다고 볼 수 있다. 특히, 2021년 상반기에는 VPN 등 원격 접근 방법과 관리 인프라에 대한 취약점 공격이 눈에 띄었으며, 이러한 취약점들은 2021년 하반기에 랜섬웨어 공격의 기반으로 활용될 수 있는 만큼 더욱 적극적인 대처가 필요하다. 또한, 코로나로 위축되어 있는 사람들의 심리를 악용해 금전적 이익을 취하고자 하는 스미싱 등의 공격이 더욱 활발해지고 있어, 스마트폰의 취약점을 이용한 공격이 발생하지 않도록 안전한 스마트폰 사용 환경을 유지하는 노력 또한 필요하다.
코로나 변이의 확산은 원격 업무 환경이 이제는 더 이상 일시적인 환경이 아닌 앞으로 일반화 될 것이라는 예상을 더욱 현실화시켜 주고 있다. 따라서 2021년 하반기에는 상반기에 공개된 취약점들이 악용되기 전에 오픈 인프라 아키텍처 인프라에 대한 보안을 빠르게 확보할 수 있도록 더 많은 노력이 요구된다.
한편, KISA가 발표한 ‘2021년 상반기 사이버 위협 동향 보고서’는 KISA 인터넷 보호나라&KrCERT 홈페이지나 보안뉴스 콘텐츠 코너를 통해 다운로드 받을 수 있다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 2021년 상반기는 △솔라윈즈 △MS 익스체인지 △소닉월 제로데이 △펄스시큐어 VPN △다크사이드 연계조직 등 매월 굵직한 보안이슈가 터진 것은 물론 ‘랜섬웨어의 시대’라 부를 만큼 세계 곳곳에서 대규모 보안 사건사고가 끊임없이 발생한 것으로 나타났다. 한국인터넷진흥원(KISA)은 이러한 동향을 담은 ‘2021년 상반기 사이버 위협 동향 보고서’를 발표했다.
[이미지=utoimage]
보고서에 따르면, 올해 상반기의 사이버 위협 동향은 2020년 하반기의 연장선 위에 있다. 대표적인 것이 표적형 랜섬웨어가 기승을 부렸다는 점이다. 랜섬웨어를 무차별 살포하여 감염된 PC 사용자에게 가상화폐를 갈취하던 이전과는 달리 2020년부터는 주로 금융, 의료, 대기업 등 자금 능력이 있는 회사를 공격하여 돈을 뜯어내는 양상이 뚜렷하다.
어느 정도 보안을 갖춘 기업에 지능형 표적 공격(APT 공격)으로 침입해 랜섬웨어를 설치하고 암호화 전에 데이터를 탈취해 추가로 협박하는 추세를 보였다. 폭발적으로 증가한 미국뿐 아니라 국내에서도 자동차 회사의 해외 법인, 배달대행업체, 유통 대기업도 랜섬웨어의 피해를 봤다.
이러한 공격은 주로 기존 APT 공격 그룹에 의해 이뤄진다. 사이버보안 인텔리전스를 구축해온 보안기업은 이들을 계속 추적해 왔다. Lebanese Cedar 해킹 그룹이 1년여에 걸쳐 전 세계 기업을 대상으로 사이버 공격을 해 왔다는 것이 밝혀졌고, 콜로니얼 파이프라인 랜섬웨어 사태의 주범으로 지목되며 해체를 선언한 다크사이드의 연계 그룹의 활동을 추적한 내용도 있다.
APT 공격은 여전히 표적 피싱 메일로 시작하는 것이 대부분이다. 정부의 회의 요청 문서나 포털 ID 거래 계약서로 위장한 악성 코드 파일이 메일, 메신저 등을 통해 유포된 것으로 나타났다.
[자료=KISA}
또 다른 상반기의 굵직한 흐름은 공급망 공격이다. 2020년 12월 글로벌 보안업체 파이어아이(FireEye)가 공개해 알려진 네트워크 관리업체 솔라윈즈의 오리온 소프트웨어를 통한 공급망 공격은 올해 상반기의 주요 뉴스 중 하나였다. 이 공격으로 인한 피해 관련 뉴스가 상반기 내내 보도됐으며, 공급망 공격 대응을 위해 미국 CISA와 NIST가 방어 대책을 발표하기도 했다.
또한, 보안 제품에서 보안 취약점이 발견되면 반향이 크다. 보안 제품은 다른 소프트웨어 비해 보안 취약점이 적을 거라는 인식이 있고, 보안 제품은 특수한 권한을 가지고 다른 IT 제품을 관리하기 때문에 이를 악용한 사이버 공격은 공급망 공격으로 이어질 수 있기 때문이다. 소닉월의 이메일 보안 솔루션과 펄스시큐어 VPN의 취약점 발견은 그런 의미에서 관심을 끈다.
이 외에도 마이크로소프트의 익스체인지 서버 취약점을 악용한 침해사고가 연이어 발생하는 등 널리 사용되는 소프트웨어를 통한 위협이 보안업계에 경종을 울렸다.
2021 상반기 취약점 동향
기업의 원격 근무 환경으로의 전환 과정에서 내부 자원에 접근할 수 있는 기회가 많아지고 있으며, 특히 기업 네트워크 외부에 있는 원격 근무자의 권한을 통해 기업의 주요 시스템이나 소프트웨어 공급망 등으로 침투하는 공격 역시 증가하고 있다.
2021년 상반기 동안 공개된 취약점의 개수는 약 8,950건으로 2020년 상반기의 약 9,808건에 비해 약 8.7%가 감소했다. 공개된 취약점 중 CVSS 점수가 9~10점인 Critical로 분류된 취약점의 개수는 1,201개(13.4%)였는데, 2020년 1,474개(15.0%)에 비해 감소한 수치다. 그러나 7~8.9점인 High로 분류된 취약점의 개수는 3,875개(43.3%)로 2020년 4,168개(42.5%)와 비교했을 때 공개된 갯수는 줄어들었으나 비율은 높아진 것을 확인할 수 있다.
2021년 상반기에도 전체 공개된 취약점 중 56.7%가 7점 이상의 위험군으로 분류될 만큼 잠재적으로 높은 위협에 노출되고 있다고 볼 수 있다. 특히, 2021년 상반기에는 VPN 등 원격 접근 방법과 관리 인프라에 대한 취약점 공격이 눈에 띄었으며, 이러한 취약점들은 2021년 하반기에 랜섬웨어 공격의 기반으로 활용될 수 있는 만큼 더욱 적극적인 대처가 필요하다. 또한, 코로나로 위축되어 있는 사람들의 심리를 악용해 금전적 이익을 취하고자 하는 스미싱 등의 공격이 더욱 활발해지고 있어, 스마트폰의 취약점을 이용한 공격이 발생하지 않도록 안전한 스마트폰 사용 환경을 유지하는 노력 또한 필요하다.
코로나 변이의 확산은 원격 업무 환경이 이제는 더 이상 일시적인 환경이 아닌 앞으로 일반화 될 것이라는 예상을 더욱 현실화시켜 주고 있다. 따라서 2021년 하반기에는 상반기에 공개된 취약점들이 악용되기 전에 오픈 인프라 아키텍처 인프라에 대한 보안을 빠르게 확보할 수 있도록 더 많은 노력이 요구된다.
한편, KISA가 발표한 ‘2021년 상반기 사이버 위협 동향 보고서’는 KISA 인터넷 보호나라&KrCERT 홈페이지나 보안뉴스 콘텐츠 코너를 통해 다운로드 받을 수 있다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
