2024년 중국, 러시아, 북한, 이란 빅4 국가의 사이버위협 활동 활발 예상
제로데이 취약점 및 엣지 기기, AI 기술 악용한 공격 증가 전망
선거, 올림픽, 전쟁 등 대형 이벤트와 국가간 갈등에 따른 보안위협 증가하는 한해
[보안뉴스 김경애 기자] 2024년에는 새로운 기술이 공격 표면을 확장할 전망이다. 기술 발전에 따른 위협 진화로 공격자의 TTP(전술, 기술, 절차)도 변화하고 있기 때문이다. 또한 생성형 AI는 피싱 캠페인과 정보 탈취 작전에 새로운 방법을 제공할 것으로 예상된다. 이어 중국, 러시아, 북한, 이란 등 이른바 사이버위협 빅4 국가의 사이버 범죄, 정보 작전, 기타 캠페인 수행 등은 올해도 활발할 것으로 보인다. 공격 유형 측면에서는 제로데이 취약점 악용, 엣지 기기 표적 공격, 탐지 및 추적 회피 기술 등을 주로 사용할 것으로 보인다. 더군다나 올해는 선거, 파리 올림픽, 전쟁 등 전 세계 주요 갈등과 대형 이벤트에 대한 보안 위협도 주목되고 있어 철저한 대비가 필요하다.
[이미지 = gettyimagesbank]
1. 빅4 국가의 사이버 위협 활동
△중국
먼저 2024년에는 중국, 러시아, 북한, 이란 국가의 사이버 위협 활동이 활발해질 전망이다. ‘구글 클라우드(Google Cloud)의 2024년 사이버 보안 전망 보고서’에 따르면 중국은 내부 체제 안정과 영토보전 등에 주력할 전망이다. 타이완 관련 문제, 중국의 지역 패권과 영향력, 주요 시장에 대한 경제적 영향력도 여기에 포함된다. 중국의 사이버 첩보원은 은밀히 활동하며 탐지 및 추적을 피할 것으로 보인다. 제로데이 취약점 악용, 네트워크 엣지 시스템 표적화, 공급망 침해는 물론, 침해한 네트워크 내부의 트래픽 및 공격자와 피해자 간 트래픽을 모두 위장하도록 설계된 봇넷과 프록시 네트워크의 활용 같은 전술을 사용할 전망이다. 또한 혼란을 일으키는 와해성 작전과 국내 정치 및 군사 목적의 캠페인 전개 병력을 육성할 것으로 예상된다. 갈등 고조 시기를 틈탄 와해성 작전은 일상에서 이뤄지는 필수 활동, 핵심 인프라, 안전에 영향을 줄 수 있어 전 세계 조직에 위협이 되고 있다.
△러시아
러시아의 사이버 위협 활동은 2024년 이후 주로 우크라이나를 대상으로 정보 수집, 와해성 공격, 정보 작전의 빈도 증가로 예상된다. 우크라이나 밖에서도 정부, 국방, 시민 사회, 비영리, 에너지 관련 기구 등 우선순위에 따라 러시아의 사이버 첩보 작전(전략 정보 수집 임무일 가능성이 높음)이 지속될 전망이다. 러시아 제재 조치는 러시아의 기술 및 군사 혁신에 계속 타격을 주고, 이에 따라 러시아는 지식 재산을 더 많이 훔칠 수 있다. 이는 지난 몇 년에 걸쳐 발생한 중국의 지식재산 도용을 모델로 삼았다.
△북한
북한의 사이버위협 활동은 금전 목적의 작전 비중이 커지는 추세다. 특히 암호화폐 산업과 기타 블록체인 관련 플랫폼 표적 양상이 뚜렷하다. 2024년에는 무기와 핵 프로그램, 사이버 작전, 인프라 확보 자금 마련을 위해 암호화폐 및 NFT 갈취에 집중할 것으로 예상된다.
특히 북한은 중앙정부의 재정 부담을 줄이기 위해 국가 주도로 자급자족 방식 작전을 펼치는 것으로 확인됐다. 이 자금 조달 방식은 공동 번영을 위한 자력갱생이라는 북한정권의 주체 사상에 부합한다. 최근 몇년간 첩보 작전에 자금 조달을 위한 사이버범죄 캠페인이 상대적으로 증가한 모습을 보였다. 이러한 추세는 계속 이어질 것으로 보인다. 또한 북한은 공급망 침해를 더욱 늘릴 수 있는 기회를 활용할 것으로 예상된다.
△이란
향후 이란에서 일어나는 국가 차원의 사이버위협 활동은 이란의 지정학적 야망, 경제 발전의 필요성, 인근 지역 라이벌 국가인 사우디아라비아 및 이스라엘과의 경쟁, 정권 안정 및 존속에 대한 위협, 이란인 디아스포라와 반대 세력에 대한 감시가 주요 목적이 될 것으로 보인다. 2023년 10월 7일 하마스의 무력 공격 이후 이스라엘은 이란, 팔레스타인, 레바논 공격자와 연결된 사이버 첩보원을 더 큰 위협으로 받아들이고 있다. 이란의 공격자는 정보 수집, 정보 작전, 해킹 및 유출 혼합 작전 또는 그 밖에 혼란을 일으키는 와해성 공격을 수행할 것으로 예상된다.
2. 제로데이 취약점 및 엣지 기기 악용 지속
2024년에는 국가 차원의 공격자, 사이버 범죄 집단에서 제로데이 취약점을 악용할 것으로 보인다. 2012년 이후 제로데이 취약점 공격은 증가해 왔다. 제로데이 취약점과 엣지 기기를 악용하면 피싱 메일 발송과 멀웨어 유포보다 오랜 액세스 유지, 탐지 회피, 보안 프로그램을 우회할 수 있다. 특히 엣지 기기와 가상화 소프트웨어는 모니터링이 까다로워 공격자에겐 매력적인 표적 대상이다. 또한 랜섬웨어나 갈취 요구에 높은 대가를 지불할 조직 수를 늘릴 수 있어 사이버 범죄자가 선호한다.
3. 미국 선거를 표적으로 한 사이버 활동
2024년은 미국 대선이 있는 해다. 정부 후원 공격 집단부터 여러 공격자가 다양한 사이버 활동을 펼칠 것으로 보인다. 선거 시스템을 표적으로 한 첩보 및 영향력 작전, 후보자를 사칭하는 소셜 미디어 활동, 유권자를 대상으로 한 정보 작전 등이다. 선거 후에도 이런 활동은 수그러들지 않고, 미국 정부를 대상으로 한 국가 차원(특히 중국, 러시아, 이란)의 스피어피싱과 기타 공격이 늘 전망이다. 규모와 작전 속도를 높이는 데 생성형 AI 도구를 활용하는 등 2024년에는 이러한 캠페인이 더욱 만연할 수 있다.
4. 혼란을 일으키는 핵티비즘의 증가
올해는 핵티비즘의 활동도 활발해질 전망이다. 2022년과 2023년에는 러시아-우크라이나 관련 핵티비스트 활동이 증가했다. 최근에는 하마스-이스라엘 분쟁과 관련한 핵티비스트 활동이 급증했다. 이들은 디도스 공격, 데이터 유출, 변조 등 활동을 펼쳤다. 맨디언트 인텔리전스(Mandiant Intelligence)는 표면상 핵티비스트지만 지지 표명 국가의 내러티브와 목표에 부합한 평균 이상의 역량 집단을 추적하고 있다. 특히 과거에 러시아와 이란 소속 단체들이 핵티비스트를 가장해 활동한 전력에 주목하고 있다. 배후설을 부인하면서도 이러한 작전을 성공리에 전개할 수 있음을 인지한 국가에서 사이버 공격 감행 가능성이 높기 때문이다. 결국 이러한 전술 사용은 물리적 피해로 확대될 수 있다.
5. 사이버 무기의 표준 기능이 된 와이퍼
와이퍼 멀웨어가 사이버 무기로 활용되고 있어 주목되고 있다. 2022년 러시아가 우크라이나를 침공하기 전에 러시아의 APT(Advanced Persistent Threat, 지능형 지속 공격) 그룹은 우크라이나 표적에 액세스해 무력 작전에 맞춰 동시에 혼란을 일으키는 공격을 개시했다. 다른 나라도 사이버 무기에 와이퍼 멀웨어를 추가해 이 기법을 모방할 것으로 예상된다. 2024년에는 타이완 해협의 긴장을 비롯한 글로벌 안보 위협 문제가 지속되는 만큼 전략적으로 중요한 표적에 혼란을 일으키는 와이퍼 멀웨어를 사전에 배치해 액세스할 것으로 보인다.
6. 우주 기반 인프라 타깃 공격
올해는 우주 기반 인프라 공격이 늘어날 전망이다. 우크라이나는 분쟁 중에 우주 기반 기술(예: Starlink, 기타 인공위성 및 통신 네트워크)에 의존했다. 2024년에는 국가 지원의 사이버 공격자가 우주 기반 인프라 및 관련 지상 지원 인프라, 통신 채널을 공격할 것으로 보인다. 이를 통해 적의 차단, 방해, 거부, 약화, 파괴 또는 기만하고 첩보 활동을 수행하기 위한 전방위적인 컴퓨터 네트워크 취약점 공격 능력을 갖췄다는 증거가 드러날 것으로 보인다.
7. 하이브리드 및 멀티 클라우드 환경 표적 공격의 발전과 영향력 증대
올해는 클라우드 환경을 노린 공격이 기승을 부릴 것으로 보인다. 2023년 맨디언트는 브이앰웨어(VMware)와 협업해 게스트 가상머신(VM)에서 공격자가 코드 실행이 가능한 제로데이 취약점을 완화했다. 이 취약점은 단일 하이퍼바이저로 제한되어 있다. 그런데 이번 취약점 완화가 공격자가 클라우드 환경을 표적으로 지속성 확보와 횡 방향 이동 방법을 찾고 있었던 걸 입증한 셈이다. 이러한 기술이 2024년에는 클라우드 환경의 경계를 넘어 발전할 전망이다. 공격자는 잘못된 설정과 ID 문제의 취약점을 공격해 다양한 클라우드 환경 내부에서 횡 방향으로의 이동을 시도할 것으로 보인다.
8. 클라우드의 서버리스 서비스 적극 사용하는 공격자
2024년에는 사이버 공격자가 클라우드 내 서버리스 기술을 적극 활용할 것으로 예측된다. 공격자가 서버리스로 전환한 이유는 확장성과 유연성이 높고 자동화된 도구로 배포할 수 있는 장점 때문이다. 2023년에는 서버리스 인프라에서 크립토마이너의 배포 횟수가 증가했고, 올해 역시 증가할 것으로 예상된다.
9. 지속되는 갈취 작전
2024년에도 갈취 작전의 성장세가 지속될 것으로 보인다. 전 세계 기업과 사회에 가장 큰 영향을 끼치는 사이버 범죄는 갈취 작전이다. 2022년에는 성장세가 주춤했지만 도난 데이터에 대한 광고와 갈취 수익 추정치를 고려할 때 2023년에도 이러한 공격이 증가했고, 올해도 지속될 전망이다.
10. 첩보 활동 및 슬리퍼 봇넷
사이버 첩보 작전에 슬리퍼 봇넷이 활용될 전망이다. 사이버 첩보 작전은 계속해서 공격을 확장하는 더 많은 방법을 찾는 동시에 작전을 위한 추가작전 보안(Operations Security, OPSEC) 수립이다. 첩보 집단은 기존 및 신규 취약점 공격을 조합해 취약한 사물인터넷, SOHO(소규모 사무실 및 홈 오피스), 지원 종료 기기 및 라우터로 슬리퍼 봇넷을 만든다. 슬리퍼 봇넷은 필요에 따라 사용되다가 적발되거나 더 이상 필요 없으면 폐기된다. 이 봇넷은 활동 추적과 책임 소재 파악이 어렵다. 디도스 공격처럼 공격 증폭에 많은 기기가 동원되는 기존 봇넷과 달라 활용도가 높아질 전망이다.
11. 구식 기술의 부활
올해는 옛 기술이 역주행할 전망이다. 공격자가 감지를 피하기 위해 새로운 기술 통합에 널리 알려지지 않은 구식 기술을 부활시킬 것으로 보인다. 2013년 문서화되지 않은 SystemFunctionXXX 함수 기법이 2022년 4분기 여러 보안 연구자들에 의해 재논의된 바 있다. 블로그와 깃허브(GitHub)에 코드 스니펫을 공개하며 대중화되기 시작했는데, 이 기법을 구현한 멀웨어 샘플이 바이러스토탈(VirusTotal)에 많이 나타났다. 또한 2012년 멀웨어 분석 보고서에 기술된 안티 가상머신(안티 VM) 기법이 최근 사용된 바 있다.
12. 최신 프로그래밍 언어로 계속 마이그레이션하는 해커들
해커는 Go, Rust, Swift 같은 프로그래밍 언어로 더 많은 소프트웨어를 개발할 것으로 보인다. 이러한 언어가 우수한 개발 환경과 낮은 진입 장벽, 대규모 표준 라이브러리, 서드파티 패키지와의 손쉬운 통합을 제공하기 때문이다. 이러한 언어와 생태계를 기반으로 하면 복잡한 멀웨어를 신속하게 개발해 새로운 멀웨어를 더 저렴하게 작성하고 탐지를 피할 수 있다. 즉, 공격자가 사용하는 도구 세트가 변화할 전망이다. 이에 따른 새로운 탐지 서명이 필요하다. 최신 언어는 대규모 런타임(Go) 또는 최신 컴파일러 기법(Rust)을 사용해 리버스 엔지니어링 작업을 더 어렵게 만드는 경우가 많다. 프로텍터를 사용하지 않고 패킹과 난독화를 사용해 얻는 이점이다.
13. 소프트웨어 패키지 관리자 통해 공급망 공격 표적이 되는 개발자
최근 몇 년간 IconBurst와 같이 NPM(Node.js 패키지 관리자)을 대상으로 하는 공급망 공격은 공격자가 소프트웨어 개발자를 어떻게 표적으로 삼는지를 보여주었다. 특히 우려되는 시나리오는 악성 패키지를 설치해 공격을 받은 개발자의 소스코드에 공격자가 액세스해 백도어를 추가할 수 있게 되는 상황이다. 이는 적은 비용으로 큰 영향을 끼치는 공격 방식이다. 결과적으로, 공격자가 PyPI(Python) 및 crates.io(Rust)와 같이 경계가 느슨한 다른 패키지 관리자로 전환하면서 이러한 종류의 공격은 더욱 보편화될 전망이다. 경계심을 늦추지 않고 소프트웨어 라이브러리 소스 모니터링을 강화해야 한다.
14. 모바일 사이버 범죄의 증가
2024년에는 모바일 사이버 범죄도 증가할 전망이다. 사이버 범죄자가 가짜 소셜 미디어 계정을 통해 가사 도우미나 마사지와 같은 편의 서비스를 홍보하고, 은행, 정부기관을 사칭한 메시지 전송, 피해자가 휴대기기에 악성 애플리케이션을 설치하도록 속이는 스푸핑 팝업 알림과 같은 신종 소셜 엔지니어링 전술을 계속 사용할 것으로 보인다.
15. 일본 및 아시아 태평양(JAPAC) 전망
사기 사이버 범죄와 인신매매의 요소를 지닌 이른바 ‘돼지 도살 사기’가 2024년 JAPAC 국가의 법 집행 기관에서 계속 문제가 될 전망이다. ‘돼지 도살 사기’는 사기범이 피해자의 신뢰를 얻기 위해 장기간에 걸쳐 잠재적인 연애 상대인 척하는 일종의 온라인 사기다. 사기범은 피해자의 신뢰를 얻으면 여러 금융 사기에 투자하도록 설득하기 시작한다. 2023년 8월 유엔 보고서는 이러한 사기범 중 상당수는 피해자로, 인신매매를 당해 사기 작전에 강제로 동원되고 있다고 설명하고 있다. 2023년 7월 필리핀에서는 사이버 범죄 노동에 강제로 동원됐던 2,700명을 구출했다. 해당 보고서에 따르면 상황은 여전히 유동적이며, 필리핀 안팎에서 온라인 범죄에 강제 동원되는 사람이 수십만 명에 이른다.
16. 선거를 둘러싼 사이버 활동
2024년에는 선거를 둘러싼 사이버 활동도 활발할 전망이다. 올해 선거 국가는 타이완, 대한민국, 인도, 인도네시아 등이다. 과거 관찰된 바에 따르면 사이버 첩보, 사이버 범죄, 핵티비즘, 정보 작전 공격자는 이러한 전환점이 되는 주요 이벤트에 관심을 보이곤 했다. 선거가 사기는 물론 정보 수집을 위한 미끼로 활용되는 사례가 관찰될 것으로 보인다. 중국에서 새롭게 발표한 지도는 인도와 인도네시아의 선거 과정에서 논쟁을 불러일으킬 수 있다.
17. 전술, 기술, 절차의 변화
전반적으로 조직의 보안이 성숙해짐에 따라 공격자는 감지 가능성을 최소화하기 위해 의도된 전술을 적극적으로 활용할 것으로 보인다. 이러한 현상은 전 세계적으로 목격되고 있다. 보안, 네트워킹, 가상화 소프트웨어에서의 제로데이 취약점 악용, 라우터 및 기타 엣지 기기에 대한 표적 공격, 피해자 네트워크 안팎에서 공격자 트래픽을 왜곡하는 등 다양한 공격 변화를 보이고 있다.
18. 유럽, 중동, 아프리카(EMEA) 전망
오는 6월에 열릴 유럽의회 선거는 사이버 첩보와 정보 작전을 모두 수행하는 공격자에게는 매력적인 표적이다. 러시아는 유럽 전역에서 활동 수준이 매우 높아 가장 큰 위협이 되고 있다. 우크라이나 침공 이후 APT29가 대륙 전역의 정부기관을 표적으로 활발한 활동을 펼치고 있고, 동시에 유럽 분열을 일으키는 친러시아 정보 작전도 전개됐다. 이러한 노력은 선거를 앞두고 더욱 격화될 전망이다. 러시아는 사이버 첩보 캠페인에서 훔친 정보를 퍼뜨리기 위해 정보 작전을 펼친 이력이 있다. 유럽 정부는 정보 작전과 네트워크 침입 사이의 다양한 연결 고리를 이해해야 한다.
유럽 선거는 러시아 외에도 더 광범위한 위협에 직면할 수 있다. 최근 몇 년간 벨라루스와 연계된 공격자의 활동이 크게 늘면서 동부 유럽에서 발생하는 정보 작전을 위한 기술 지원도 증가하고 있다. 친 중국 정보 작전은 여러 유럽 국가에서 캠페인의 범위와 규모를 크게 늘렸다. 유럽 정부는 선제적이고 복원력 있는 방어 체계 구축을 위해 정보 작전에 채택된 다양한 기법을 이해해야 한다.
19. 아프리카에서의 허위 정보 캠페인
디지털 시대에는 허위 정보가 지정학적 영향력을 넓히는 강력한 도구가 됐다. 러시아와 중국은 아프리카 국가를 표적으로 삼아 잘못된 정보를 퍼뜨리고, 갈등을 조장하며 민주주의 기관을 약화시키는 사이버 캠페인을 전개하고 있다. 2024년에도 그 기세가 수그러들지 않을 것으로 보인다. 중국과 러시아는 스마트폰, 컴퓨터, 전기자동차와 같은 많은 최첨단 제품의 필수 원료인 희토류 산업을 표적으로 삼을 것으로 보인다. 이러한 자원의 통제권 확보로 러시아와 중국이 아프리카에서 경제적, 전략적 입지를 강화할 수 있다.
러시아와 중국에서 허위 정보를 사용해 아프리카에 영향력을 행사하는 또 다른 방법은 권위주의 정권 지원이다. 이러한 정권은 이의 제기를 탄압하고 정보에 대한 접근을 제한하기 때문에 러시아와 중국에서 자신들의 선전을 퍼뜨리고 민주적 가치를 약화시키기가 더욱 수월해진다. 아프리카에 대한 허위 정보 공세와 집중 공략은 장기전이며 2024년은 이러한 활동이 최고조의 해가 될 것으로 보인다.
20. 파리를 넘어 유럽에 대한 공격 표면 확장의 계기가 될 2024년 올림픽
파리를 넘어 유럽에 대한 공격 표면 확장의 계기가 될 2024년 하계 파리 올림픽 기간에 입장권 발매 시스템과 상품을 표적으로 한 사이버 범죄가 벌어질 것으로 예상된다. 특히 금융 정보나 사용자 인증 정보를 요청하는 피싱 캠페인이 급증할 것으로 우려된다. 공공기관과 은행은 경계를 늦춰서는 안 된다. 올림픽을 이용해 프랑스를 넘어 유럽 국가들의 정치체제를 불안정하게 만들고 압박을 가하려는 지정학적 활동이 있을 것으로 보인다. 또한 올림픽은 직접적이든(입장권 판매 등의 이벤트 관련) 간접적이든(관련 숙소 임대, 대중교통 등) 잘못된 정보와 허위 정보의 표적 가능성이 높다.
[김경애 기자(boan3@boannews.com)]
제로데이 취약점 및 엣지 기기, AI 기술 악용한 공격 증가 전망
선거, 올림픽, 전쟁 등 대형 이벤트와 국가간 갈등에 따른 보안위협 증가하는 한해
[보안뉴스 김경애 기자] 2024년에는 새로운 기술이 공격 표면을 확장할 전망이다. 기술 발전에 따른 위협 진화로 공격자의 TTP(전술, 기술, 절차)도 변화하고 있기 때문이다. 또한 생성형 AI는 피싱 캠페인과 정보 탈취 작전에 새로운 방법을 제공할 것으로 예상된다. 이어 중국, 러시아, 북한, 이란 등 이른바 사이버위협 빅4 국가의 사이버 범죄, 정보 작전, 기타 캠페인 수행 등은 올해도 활발할 것으로 보인다. 공격 유형 측면에서는 제로데이 취약점 악용, 엣지 기기 표적 공격, 탐지 및 추적 회피 기술 등을 주로 사용할 것으로 보인다. 더군다나 올해는 선거, 파리 올림픽, 전쟁 등 전 세계 주요 갈등과 대형 이벤트에 대한 보안 위협도 주목되고 있어 철저한 대비가 필요하다.
[이미지 = gettyimagesbank]
1. 빅4 국가의 사이버 위협 활동
△중국
먼저 2024년에는 중국, 러시아, 북한, 이란 국가의 사이버 위협 활동이 활발해질 전망이다. ‘구글 클라우드(Google Cloud)의 2024년 사이버 보안 전망 보고서’에 따르면 중국은 내부 체제 안정과 영토보전 등에 주력할 전망이다. 타이완 관련 문제, 중국의 지역 패권과 영향력, 주요 시장에 대한 경제적 영향력도 여기에 포함된다. 중국의 사이버 첩보원은 은밀히 활동하며 탐지 및 추적을 피할 것으로 보인다. 제로데이 취약점 악용, 네트워크 엣지 시스템 표적화, 공급망 침해는 물론, 침해한 네트워크 내부의 트래픽 및 공격자와 피해자 간 트래픽을 모두 위장하도록 설계된 봇넷과 프록시 네트워크의 활용 같은 전술을 사용할 전망이다. 또한 혼란을 일으키는 와해성 작전과 국내 정치 및 군사 목적의 캠페인 전개 병력을 육성할 것으로 예상된다. 갈등 고조 시기를 틈탄 와해성 작전은 일상에서 이뤄지는 필수 활동, 핵심 인프라, 안전에 영향을 줄 수 있어 전 세계 조직에 위협이 되고 있다.
△러시아
러시아의 사이버 위협 활동은 2024년 이후 주로 우크라이나를 대상으로 정보 수집, 와해성 공격, 정보 작전의 빈도 증가로 예상된다. 우크라이나 밖에서도 정부, 국방, 시민 사회, 비영리, 에너지 관련 기구 등 우선순위에 따라 러시아의 사이버 첩보 작전(전략 정보 수집 임무일 가능성이 높음)이 지속될 전망이다. 러시아 제재 조치는 러시아의 기술 및 군사 혁신에 계속 타격을 주고, 이에 따라 러시아는 지식 재산을 더 많이 훔칠 수 있다. 이는 지난 몇 년에 걸쳐 발생한 중국의 지식재산 도용을 모델로 삼았다.
△북한
북한의 사이버위협 활동은 금전 목적의 작전 비중이 커지는 추세다. 특히 암호화폐 산업과 기타 블록체인 관련 플랫폼 표적 양상이 뚜렷하다. 2024년에는 무기와 핵 프로그램, 사이버 작전, 인프라 확보 자금 마련을 위해 암호화폐 및 NFT 갈취에 집중할 것으로 예상된다.
특히 북한은 중앙정부의 재정 부담을 줄이기 위해 국가 주도로 자급자족 방식 작전을 펼치는 것으로 확인됐다. 이 자금 조달 방식은 공동 번영을 위한 자력갱생이라는 북한정권의 주체 사상에 부합한다. 최근 몇년간 첩보 작전에 자금 조달을 위한 사이버범죄 캠페인이 상대적으로 증가한 모습을 보였다. 이러한 추세는 계속 이어질 것으로 보인다. 또한 북한은 공급망 침해를 더욱 늘릴 수 있는 기회를 활용할 것으로 예상된다.
△이란
향후 이란에서 일어나는 국가 차원의 사이버위협 활동은 이란의 지정학적 야망, 경제 발전의 필요성, 인근 지역 라이벌 국가인 사우디아라비아 및 이스라엘과의 경쟁, 정권 안정 및 존속에 대한 위협, 이란인 디아스포라와 반대 세력에 대한 감시가 주요 목적이 될 것으로 보인다. 2023년 10월 7일 하마스의 무력 공격 이후 이스라엘은 이란, 팔레스타인, 레바논 공격자와 연결된 사이버 첩보원을 더 큰 위협으로 받아들이고 있다. 이란의 공격자는 정보 수집, 정보 작전, 해킹 및 유출 혼합 작전 또는 그 밖에 혼란을 일으키는 와해성 공격을 수행할 것으로 예상된다.
2. 제로데이 취약점 및 엣지 기기 악용 지속
2024년에는 국가 차원의 공격자, 사이버 범죄 집단에서 제로데이 취약점을 악용할 것으로 보인다. 2012년 이후 제로데이 취약점 공격은 증가해 왔다. 제로데이 취약점과 엣지 기기를 악용하면 피싱 메일 발송과 멀웨어 유포보다 오랜 액세스 유지, 탐지 회피, 보안 프로그램을 우회할 수 있다. 특히 엣지 기기와 가상화 소프트웨어는 모니터링이 까다로워 공격자에겐 매력적인 표적 대상이다. 또한 랜섬웨어나 갈취 요구에 높은 대가를 지불할 조직 수를 늘릴 수 있어 사이버 범죄자가 선호한다.
3. 미국 선거를 표적으로 한 사이버 활동
2024년은 미국 대선이 있는 해다. 정부 후원 공격 집단부터 여러 공격자가 다양한 사이버 활동을 펼칠 것으로 보인다. 선거 시스템을 표적으로 한 첩보 및 영향력 작전, 후보자를 사칭하는 소셜 미디어 활동, 유권자를 대상으로 한 정보 작전 등이다. 선거 후에도 이런 활동은 수그러들지 않고, 미국 정부를 대상으로 한 국가 차원(특히 중국, 러시아, 이란)의 스피어피싱과 기타 공격이 늘 전망이다. 규모와 작전 속도를 높이는 데 생성형 AI 도구를 활용하는 등 2024년에는 이러한 캠페인이 더욱 만연할 수 있다.
4. 혼란을 일으키는 핵티비즘의 증가
올해는 핵티비즘의 활동도 활발해질 전망이다. 2022년과 2023년에는 러시아-우크라이나 관련 핵티비스트 활동이 증가했다. 최근에는 하마스-이스라엘 분쟁과 관련한 핵티비스트 활동이 급증했다. 이들은 디도스 공격, 데이터 유출, 변조 등 활동을 펼쳤다. 맨디언트 인텔리전스(Mandiant Intelligence)는 표면상 핵티비스트지만 지지 표명 국가의 내러티브와 목표에 부합한 평균 이상의 역량 집단을 추적하고 있다. 특히 과거에 러시아와 이란 소속 단체들이 핵티비스트를 가장해 활동한 전력에 주목하고 있다. 배후설을 부인하면서도 이러한 작전을 성공리에 전개할 수 있음을 인지한 국가에서 사이버 공격 감행 가능성이 높기 때문이다. 결국 이러한 전술 사용은 물리적 피해로 확대될 수 있다.
5. 사이버 무기의 표준 기능이 된 와이퍼
와이퍼 멀웨어가 사이버 무기로 활용되고 있어 주목되고 있다. 2022년 러시아가 우크라이나를 침공하기 전에 러시아의 APT(Advanced Persistent Threat, 지능형 지속 공격) 그룹은 우크라이나 표적에 액세스해 무력 작전에 맞춰 동시에 혼란을 일으키는 공격을 개시했다. 다른 나라도 사이버 무기에 와이퍼 멀웨어를 추가해 이 기법을 모방할 것으로 예상된다. 2024년에는 타이완 해협의 긴장을 비롯한 글로벌 안보 위협 문제가 지속되는 만큼 전략적으로 중요한 표적에 혼란을 일으키는 와이퍼 멀웨어를 사전에 배치해 액세스할 것으로 보인다.
6. 우주 기반 인프라 타깃 공격
올해는 우주 기반 인프라 공격이 늘어날 전망이다. 우크라이나는 분쟁 중에 우주 기반 기술(예: Starlink, 기타 인공위성 및 통신 네트워크)에 의존했다. 2024년에는 국가 지원의 사이버 공격자가 우주 기반 인프라 및 관련 지상 지원 인프라, 통신 채널을 공격할 것으로 보인다. 이를 통해 적의 차단, 방해, 거부, 약화, 파괴 또는 기만하고 첩보 활동을 수행하기 위한 전방위적인 컴퓨터 네트워크 취약점 공격 능력을 갖췄다는 증거가 드러날 것으로 보인다.
7. 하이브리드 및 멀티 클라우드 환경 표적 공격의 발전과 영향력 증대
올해는 클라우드 환경을 노린 공격이 기승을 부릴 것으로 보인다. 2023년 맨디언트는 브이앰웨어(VMware)와 협업해 게스트 가상머신(VM)에서 공격자가 코드 실행이 가능한 제로데이 취약점을 완화했다. 이 취약점은 단일 하이퍼바이저로 제한되어 있다. 그런데 이번 취약점 완화가 공격자가 클라우드 환경을 표적으로 지속성 확보와 횡 방향 이동 방법을 찾고 있었던 걸 입증한 셈이다. 이러한 기술이 2024년에는 클라우드 환경의 경계를 넘어 발전할 전망이다. 공격자는 잘못된 설정과 ID 문제의 취약점을 공격해 다양한 클라우드 환경 내부에서 횡 방향으로의 이동을 시도할 것으로 보인다.
8. 클라우드의 서버리스 서비스 적극 사용하는 공격자
2024년에는 사이버 공격자가 클라우드 내 서버리스 기술을 적극 활용할 것으로 예측된다. 공격자가 서버리스로 전환한 이유는 확장성과 유연성이 높고 자동화된 도구로 배포할 수 있는 장점 때문이다. 2023년에는 서버리스 인프라에서 크립토마이너의 배포 횟수가 증가했고, 올해 역시 증가할 것으로 예상된다.
9. 지속되는 갈취 작전
2024년에도 갈취 작전의 성장세가 지속될 것으로 보인다. 전 세계 기업과 사회에 가장 큰 영향을 끼치는 사이버 범죄는 갈취 작전이다. 2022년에는 성장세가 주춤했지만 도난 데이터에 대한 광고와 갈취 수익 추정치를 고려할 때 2023년에도 이러한 공격이 증가했고, 올해도 지속될 전망이다.
10. 첩보 활동 및 슬리퍼 봇넷
사이버 첩보 작전에 슬리퍼 봇넷이 활용될 전망이다. 사이버 첩보 작전은 계속해서 공격을 확장하는 더 많은 방법을 찾는 동시에 작전을 위한 추가작전 보안(Operations Security, OPSEC) 수립이다. 첩보 집단은 기존 및 신규 취약점 공격을 조합해 취약한 사물인터넷, SOHO(소규모 사무실 및 홈 오피스), 지원 종료 기기 및 라우터로 슬리퍼 봇넷을 만든다. 슬리퍼 봇넷은 필요에 따라 사용되다가 적발되거나 더 이상 필요 없으면 폐기된다. 이 봇넷은 활동 추적과 책임 소재 파악이 어렵다. 디도스 공격처럼 공격 증폭에 많은 기기가 동원되는 기존 봇넷과 달라 활용도가 높아질 전망이다.
11. 구식 기술의 부활
올해는 옛 기술이 역주행할 전망이다. 공격자가 감지를 피하기 위해 새로운 기술 통합에 널리 알려지지 않은 구식 기술을 부활시킬 것으로 보인다. 2013년 문서화되지 않은 SystemFunctionXXX 함수 기법이 2022년 4분기 여러 보안 연구자들에 의해 재논의된 바 있다. 블로그와 깃허브(GitHub)에 코드 스니펫을 공개하며 대중화되기 시작했는데, 이 기법을 구현한 멀웨어 샘플이 바이러스토탈(VirusTotal)에 많이 나타났다. 또한 2012년 멀웨어 분석 보고서에 기술된 안티 가상머신(안티 VM) 기법이 최근 사용된 바 있다.
12. 최신 프로그래밍 언어로 계속 마이그레이션하는 해커들
해커는 Go, Rust, Swift 같은 프로그래밍 언어로 더 많은 소프트웨어를 개발할 것으로 보인다. 이러한 언어가 우수한 개발 환경과 낮은 진입 장벽, 대규모 표준 라이브러리, 서드파티 패키지와의 손쉬운 통합을 제공하기 때문이다. 이러한 언어와 생태계를 기반으로 하면 복잡한 멀웨어를 신속하게 개발해 새로운 멀웨어를 더 저렴하게 작성하고 탐지를 피할 수 있다. 즉, 공격자가 사용하는 도구 세트가 변화할 전망이다. 이에 따른 새로운 탐지 서명이 필요하다. 최신 언어는 대규모 런타임(Go) 또는 최신 컴파일러 기법(Rust)을 사용해 리버스 엔지니어링 작업을 더 어렵게 만드는 경우가 많다. 프로텍터를 사용하지 않고 패킹과 난독화를 사용해 얻는 이점이다.
13. 소프트웨어 패키지 관리자 통해 공급망 공격 표적이 되는 개발자
최근 몇 년간 IconBurst와 같이 NPM(Node.js 패키지 관리자)을 대상으로 하는 공급망 공격은 공격자가 소프트웨어 개발자를 어떻게 표적으로 삼는지를 보여주었다. 특히 우려되는 시나리오는 악성 패키지를 설치해 공격을 받은 개발자의 소스코드에 공격자가 액세스해 백도어를 추가할 수 있게 되는 상황이다. 이는 적은 비용으로 큰 영향을 끼치는 공격 방식이다. 결과적으로, 공격자가 PyPI(Python) 및 crates.io(Rust)와 같이 경계가 느슨한 다른 패키지 관리자로 전환하면서 이러한 종류의 공격은 더욱 보편화될 전망이다. 경계심을 늦추지 않고 소프트웨어 라이브러리 소스 모니터링을 강화해야 한다.
14. 모바일 사이버 범죄의 증가
2024년에는 모바일 사이버 범죄도 증가할 전망이다. 사이버 범죄자가 가짜 소셜 미디어 계정을 통해 가사 도우미나 마사지와 같은 편의 서비스를 홍보하고, 은행, 정부기관을 사칭한 메시지 전송, 피해자가 휴대기기에 악성 애플리케이션을 설치하도록 속이는 스푸핑 팝업 알림과 같은 신종 소셜 엔지니어링 전술을 계속 사용할 것으로 보인다.
15. 일본 및 아시아 태평양(JAPAC) 전망
사기 사이버 범죄와 인신매매의 요소를 지닌 이른바 ‘돼지 도살 사기’가 2024년 JAPAC 국가의 법 집행 기관에서 계속 문제가 될 전망이다. ‘돼지 도살 사기’는 사기범이 피해자의 신뢰를 얻기 위해 장기간에 걸쳐 잠재적인 연애 상대인 척하는 일종의 온라인 사기다. 사기범은 피해자의 신뢰를 얻으면 여러 금융 사기에 투자하도록 설득하기 시작한다. 2023년 8월 유엔 보고서는 이러한 사기범 중 상당수는 피해자로, 인신매매를 당해 사기 작전에 강제로 동원되고 있다고 설명하고 있다. 2023년 7월 필리핀에서는 사이버 범죄 노동에 강제로 동원됐던 2,700명을 구출했다. 해당 보고서에 따르면 상황은 여전히 유동적이며, 필리핀 안팎에서 온라인 범죄에 강제 동원되는 사람이 수십만 명에 이른다.
16. 선거를 둘러싼 사이버 활동
2024년에는 선거를 둘러싼 사이버 활동도 활발할 전망이다. 올해 선거 국가는 타이완, 대한민국, 인도, 인도네시아 등이다. 과거 관찰된 바에 따르면 사이버 첩보, 사이버 범죄, 핵티비즘, 정보 작전 공격자는 이러한 전환점이 되는 주요 이벤트에 관심을 보이곤 했다. 선거가 사기는 물론 정보 수집을 위한 미끼로 활용되는 사례가 관찰될 것으로 보인다. 중국에서 새롭게 발표한 지도는 인도와 인도네시아의 선거 과정에서 논쟁을 불러일으킬 수 있다.
17. 전술, 기술, 절차의 변화
전반적으로 조직의 보안이 성숙해짐에 따라 공격자는 감지 가능성을 최소화하기 위해 의도된 전술을 적극적으로 활용할 것으로 보인다. 이러한 현상은 전 세계적으로 목격되고 있다. 보안, 네트워킹, 가상화 소프트웨어에서의 제로데이 취약점 악용, 라우터 및 기타 엣지 기기에 대한 표적 공격, 피해자 네트워크 안팎에서 공격자 트래픽을 왜곡하는 등 다양한 공격 변화를 보이고 있다.
18. 유럽, 중동, 아프리카(EMEA) 전망
오는 6월에 열릴 유럽의회 선거는 사이버 첩보와 정보 작전을 모두 수행하는 공격자에게는 매력적인 표적이다. 러시아는 유럽 전역에서 활동 수준이 매우 높아 가장 큰 위협이 되고 있다. 우크라이나 침공 이후 APT29가 대륙 전역의 정부기관을 표적으로 활발한 활동을 펼치고 있고, 동시에 유럽 분열을 일으키는 친러시아 정보 작전도 전개됐다. 이러한 노력은 선거를 앞두고 더욱 격화될 전망이다. 러시아는 사이버 첩보 캠페인에서 훔친 정보를 퍼뜨리기 위해 정보 작전을 펼친 이력이 있다. 유럽 정부는 정보 작전과 네트워크 침입 사이의 다양한 연결 고리를 이해해야 한다.
유럽 선거는 러시아 외에도 더 광범위한 위협에 직면할 수 있다. 최근 몇 년간 벨라루스와 연계된 공격자의 활동이 크게 늘면서 동부 유럽에서 발생하는 정보 작전을 위한 기술 지원도 증가하고 있다. 친 중국 정보 작전은 여러 유럽 국가에서 캠페인의 범위와 규모를 크게 늘렸다. 유럽 정부는 선제적이고 복원력 있는 방어 체계 구축을 위해 정보 작전에 채택된 다양한 기법을 이해해야 한다.
19. 아프리카에서의 허위 정보 캠페인
디지털 시대에는 허위 정보가 지정학적 영향력을 넓히는 강력한 도구가 됐다. 러시아와 중국은 아프리카 국가를 표적으로 삼아 잘못된 정보를 퍼뜨리고, 갈등을 조장하며 민주주의 기관을 약화시키는 사이버 캠페인을 전개하고 있다. 2024년에도 그 기세가 수그러들지 않을 것으로 보인다. 중국과 러시아는 스마트폰, 컴퓨터, 전기자동차와 같은 많은 최첨단 제품의 필수 원료인 희토류 산업을 표적으로 삼을 것으로 보인다. 이러한 자원의 통제권 확보로 러시아와 중국이 아프리카에서 경제적, 전략적 입지를 강화할 수 있다.
러시아와 중국에서 허위 정보를 사용해 아프리카에 영향력을 행사하는 또 다른 방법은 권위주의 정권 지원이다. 이러한 정권은 이의 제기를 탄압하고 정보에 대한 접근을 제한하기 때문에 러시아와 중국에서 자신들의 선전을 퍼뜨리고 민주적 가치를 약화시키기가 더욱 수월해진다. 아프리카에 대한 허위 정보 공세와 집중 공략은 장기전이며 2024년은 이러한 활동이 최고조의 해가 될 것으로 보인다.
20. 파리를 넘어 유럽에 대한 공격 표면 확장의 계기가 될 2024년 올림픽
파리를 넘어 유럽에 대한 공격 표면 확장의 계기가 될 2024년 하계 파리 올림픽 기간에 입장권 발매 시스템과 상품을 표적으로 한 사이버 범죄가 벌어질 것으로 예상된다. 특히 금융 정보나 사용자 인증 정보를 요청하는 피싱 캠페인이 급증할 것으로 우려된다. 공공기관과 은행은 경계를 늦춰서는 안 된다. 올림픽을 이용해 프랑스를 넘어 유럽 국가들의 정치체제를 불안정하게 만들고 압박을 가하려는 지정학적 활동이 있을 것으로 보인다. 또한 올림픽은 직접적이든(입장권 판매 등의 이벤트 관련) 간접적이든(관련 숙소 임대, 대중교통 등) 잘못된 정보와 허위 정보의 표적 가능성이 높다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
