과기정통부, 2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망 발표
2023년은 공급망 공격 확대, 개인정보 노린 메신저 공격 피해 재확산, 랜섬웨어 공격
2024년은 공급망 공격, 생성형 AI 악용, OT·ICS 및 IoT 보안위협, 정치·사회적 이슈 악용
[보안뉴스 김경애] 올해는 △보안프로그램 취약점과 SW 개발자 대상 공급망 공격 확대 △개인정보를 노려 진화하는 메신저 사칭 공격과 피해 재확산 △랜섬웨어 공격과 산업 기밀정보 공개를 빌미로 하는 금전 협박이 두드러졌다.
[이미지=gettyimagesbank]
다가오는 2024년에는 △피해 자체를 모르게 하는 은밀하고 지속적인 SW 공급망 공격 △생성형 AI를 악용한 사이버 범죄 가능성 증가 △OT·ICS 및 IoT 환경의 보안 위협 증가 △정치·사회적 이슈를 악용하는 사이버 위협 고조 등이 전망되고 있다.
과학기술정보통신부(장관 이종호, 이하 과기정통부), 한국인터넷진흥원(원장 이원태, 이하 KISA)이 사이버 위협 인텔리전스 네트워크와 함께 발표한 ‘2023년 사이버 보안 위협 분석’과 ‘2024년 사이버 보안 위협 전망’에 대해 발표했다.
[자료=과기정통부]
[2023년 사이버 보안 위협 분석]
1. 보안프로그램 취약점과 SW 개발자 대상 공급망 공격 확대
올해는 보안프로그램 취약점과 SW 개발자를 노린 공급망 공격이 확대됐다. 따라서 국내에서 온라인 금융거래를 이용하기 위해서는 개인용 컴퓨터에 보안 인증 프로그램을 필수적으로 설치해야 한다. 또한, 기업에서 보안 강화를 위한 프로그램을 안전하게 사용하려면 수시로 보안 업데이트를 해야 한다. 특히 올해는 이때 필요한 프로그램을 대상으로 하는 소프트웨어(SW) 공급망 공격이 많이 발생했다.
지난 3월, 해킹 그룹 라자루스의 소행으로 추정되는 보안 인증 프로그램의 취약점을 노린 해킹 공격이 확인됐다. 또한, 미상의 해킹 그룹이 국내 보안프로그램 개발사 내부에 침투해 업데이트 파일 배포 서버를 통해 악성코드를 유포하고 고객사들의 시스템까지 감염시키는 공격도 발생했다.
[자료=과기정통부]
대표적인 오픈소스 저장소인 NPM(Node Package Manager)에 악성코드가 포함된 패키지를 올려 이를 이용해 개발된 기업의 서버가 감염된 사례도 있다. 이처럼 오픈소스 커뮤니티를 노려 악성코드가 숨겨진 패키지를 배포하는 공급망 공격도 지속적으로 발생했다.
SW 공급망 공격은 초기 탐지와 조치가 어렵고 그 파급력도 크기 때문에 공격자들에게는 매우 효율적인 공격으로 이용되고 있고, 이러한 SW 공급망 공격은 앞으로도 계속 증가할 것으로 예측된다.
과기정통부와 KISA는 “유관기관들과 협력하여 SW 공급망 공격을 분석하고 제조사와 함께 보안패치를 개발했다”며 “보안공지와 대국민 안내 등을 통해 패치 적용을 독려하는 등 피해확산 방지를 위해 적극 대응하고 있다”고 밝혔다.
또한, 현재 마련 중인 ‘SW 공급망 보안 가이드라인’을 조만간 발표해 SW의 구성요소와 정보 명세서인 SBOM(SW Bill Of Material)을 기반으로 하는 보안 취약점 점검 및 조치를 지원할 계획이다.
2. 개인정보를 노려 진화하는 메신저 사칭 공격과 피해 재확산
다음으로 포털이나 메신저 등 이용자가 많은 서비스를 정교하게 사칭해 이용자 개인정보를 노리는 사회공학적 기법의 피싱(Phishing) 공격이 진화하고 있다. 유출된 개인정보를 이용해 또 다른 피해로 연결되는 사례도 급증했다.
[자료=과기정통부]
지난 7월 텔레그램 공식 계정인 것처럼 위장한 피싱사이트를 통해 개인정보와 인증번호 입력을 요구해 계정을 탈취하고, 탈취한 계정에 등록된 지인들에게 마치 본인이 보낸 것처럼 피싱사이트 주소를 전달하는 새로운 해킹 수법이 나타났다. 이는 피해자 입장에서 매우 속기 쉽게 계정 탈취가 이루어진다는 측면에서 국민들의 각별한 주의가 요구된다.
2023년 피싱사이트 탐지, 차단 건수는 전년 대비 약 1.8배 증가(4,206건→7,534건)한 것으로 나타났다. 또한, 택배 배송이나 교통범칙금, 지인부고 등을 사칭하는 문자메시지에 링크 주소(URL) 클릭을 유도해 악성파일을 설치하려는 스미싱 문자도 올해 대량 유포(2023년 약 37만건 탐지․차단)되어 문자나 메신저 채팅을 이용한 해커들의 공격도 끊임없이 확산되고 있는 중이다.
[자료=과기정통부]
국내 기업과 기관들을 대상으로 하는 계정정보 무작위 대입 공격인 크리덴셜 스터핑(Credential Stuffing) 공격도 연이어 발생했다. 인터파크 78만건, 한국고용정보원(워크넷) 23만건의 개인정보가 유출됐으며, 지마켓의 상품권 번호 도용, 스타벅스의 카드 충전금 도용 등 금전적 피해를 입히는 공격으로 확산됐다.
특히 최근 침해사고 조사결과, 크리덴셜 스터핑 공격 시 로그인 시도 대비 성공률이 약 0.3% 가까이 되는 경우도 나타나고 있어, 각 기업․기관들은 로그인 시도 횟수 제한, 2차 인증 기능 제공 등 이용자 인증 관련 보안성을 더욱 높여야 한다.
[자료=과기정통부]
이외에도 올해 초 LG유플러스 사용자로 추정되는 고객정보가 해킹 포럼 게시판에 공개된 바 있다.
3. 랜섬웨어 공격과 산업 기밀정보 공개를 빌미로 하는 금전 협박
다음으로 기업 내부의 산업 기밀정보 유출과 함께 데이터 암호화를 통한 복구 비용 지불을 요구하는 금전 취득 목적의 공격이 지속적으로 발생했다. 국가 배후의 해킹 그룹이 상대국의 중요 인프라의 운영을 방해할 목적으로 랜섬웨어 공격을 실행한 바 있다.
KISA 침해사고 신고를 분석해보면, 사이버 보안 위협은 2020년 603건, 2021년 640건, 2022년 1,142건, 2023년 11월 1,184건으로 매년 증가했지만 랜섬웨어 공격 건수는 작년 대비 감소(2022년, 325건→2023년 11월, 237건, 27.1%↓)해 랜섬웨어 공격 위협이 다소 줄어든 것처럼 보인다.
하지만, 최근 랜섬웨어 공격은 주로 중소기업(78.1%)과 제조업종(36.7%)을 대상으로 해 먼저 기업의 기밀정보를 빼내고, 운영서버와 백업서버 자료까지 찾아 암호화해 금전을 요구하는 복합적인 방식(Multi Extortion, 다중협박)으로 이뤄져 공격 양상이 더욱 악랄해졌다.
과기정통부와 KISA의 중소기업 백업체계 구축 지원사업과 안내 등을 통해 랜섬웨어 피해를 신고한 중소기업의 약 50.3%(2021년, 35.6%)는 데이터 백업체계를 구축해 피해가 그나마 최소화 됐지만, 나머지 기업들은 여전히 데이터 복구에 어려움을 겪고 있다.
랜섬웨어에 대비하기 위해 각 기업들은 외부에 노출되어 있는 서버에 대해서는 비정상적인 접근 차단과 보안 취약점 제거 등을 통해 내부로 침입할 수 있는 위협 접점을 제거하는 공격표면 관리를 더욱 철저히 하고, 백업서버는 반드시 별도의 분리된 환경(망분리 등)에 따로 구축해야 한다.
KISA는 랜섬웨어 대응 역량이 부족한 지역․중소․영세기업을 대상으로 무상 보안취약점 점검과 서버 보안점검(내서버돌보미)을 지원 중이며, 한국정보보호산업협회(KISIA)도 랜섬웨어 대응 보안솔루션 패키지 지원사업을 진행하고 있어 도움을 받을 수 있다.
[2024년 사이버 보안 위협 전망]
1. 피해 자체를 모르게 하는 은밀하고 지속적인 SW 공급망 공격
오픈소스 개발 환경 대상으로 APT 기반의 SW 공급망 복합 공격 확대
SBOM과 함께 HBOM도 공급망 공격에 대비하는 주요 기술 기반으로 취급 필요
그렇다면 2024년 사이버 보안 위협은 어떻게 전망하고 있을까. 먼저 SW 공급망 공격이 지속될 전망이다. 해킹그룹은 인터넷에 무상으로 공개된 소스코드나 SW들을 프로그램 개발자들이 많이 이용하는 것을 악용해 유명한 오픈소스를 사칭하거나 변조된 코드를 배포해 개발자 대상 공격을 확대해 나갈 것으로 보인다. 개발자 시스템을 장악하면 지능적이고 지속적인 공격(APT)을 통해 은밀히 침투해 개발 제품에 악의적인 코드를 쉽게 포함시킬 수 있기 때문이다.
SW 공급망을 통한 공격 시도도 계속 증가할 것으로 보인다. SW 제작과 운영단계에서 정상 제품에 악성코드가 포함되어 배포되면, SW 이용기업이나 기관들은 악성코드 등이 침투되었다는 사실도 인지하지 못하고 고객사 등 다른 이용자에게도 연쇄적인 피해를 줄 수 있다.
공급망 공격 대응을 위해서 SBOM과 함께 제조업체, 프로그램 소유자 등에게 제품과 기술의 출처, 보안 위협과 관련된 정보를 제공하는 HW의 구성요소 및 부품 명세서(HW Bill Of Material)HBOM의 필요성도 높아질 것으로 보인다. SBOM은 SW 중심의 모니터링과 사고 대응에 유용하고, HBOM은 제품 조달이나 현장 점검에 사용될 수 있어 시스템 구축과 운영에 SBOM과 HBOM을 함께 고려하는 것이 보다 효과적인 방법이 될 수 있다.
2. 생성형 AI를 악용한 사이버 범죄 가능성 증가
생성형 AI를 악용해 일반인들도 사이버 범죄 시도 가능성 증가
다크웹 등에서 생성형 AI 기반의 사이버 범죄 도구 더욱 많이 확산될 것
생성형 AI 악용 방지를 위한 기술 개발과 제도 마련 검토 필요
다음으로 생성형 AI 범죄 가능성이 증가할 전망이다. 챗GPT를 화두로 한 생성형 인공지능(AI) 기술의 급속한 발전은 다양한 분야에서 진화와 혁신을 가져왔다. 하지만 해당 기술은 사용자가 보안에 대한 전문적인 지식이 없어도 손쉽게 악성코드 제작뿐 아니라 취약점 확인, 사회 공학적 공격, 음성 위변조 등 다양한 사이버 공격에 악용될 수 있는 위험성도 내포하고 있다.
더 나아가 공격 대상의 정보를 수집, 분석하는 것도 생성형 AI를 사용한다면 더욱 자동화하고 가속화될 수 있다. 생성형 AI와 AI 대규모 언어 모델(LLM : Large Language Model)을 활용해 범죄 대상과 범죄 방법을 제공하는 서비스가 다크웹 등 해킹 포럼에 소개된다면, 누구나 쉽게 사이버 범죄에 가담할 수 있어 우려가 커지고 있다.
실제로 공격자가 기술 용어나 특정 비즈니스 영역에 능통하지 않더라도 공격 대상이 쉽게 속을 수 있도록 정교하게 이메일 본문을 작성하고, 악성 프로그램을 제작해 주는 등 피싱 이메일 공격을 도와주는 생성형 AI 기반의 사이버 범죄 도구가 최근 발견됐다. 또한, 기존 백신 등이 탐지하기 어려운 변종 악성코드를 만드는 데도 생성형 AI 기술이 더욱 많이 이용될 것으로 보인다.
이에 따라, 생성형 AI를 악용하는 사이버 범죄에 적극적으로 대응할 수 있는 관련 보안기술 개발 필요성도 높아지고 있다. 공격 가능성이 높은 취약점을 미리 식별하고 대응하기 위한 기술 개발이나, 생성형 AI 모델의 결과물을 식별하고 진위여부를 판별할 수 있는 기술 등을 당장 현장에서 요구할 수 있다.
3. OT·ICS 및 IoT 환경의 보안 위협 증가
OT·ICS가 스마트화 되면서 IoT와 상호간 연결이 증가함에 따라 위협도 함께 증가
주요 기반시설에 대한 적극적인 보안패치로 국민 안전과 생명 위협에 대응 필요
OT·ICS가 스마트화 되면서 IoT와 상호간 연결이 증가함에 따라 위협도 함께 증가하고 있다. 그동안 제조, 에너지, 교통, 통신, 의료 등 주요 사회 인프라는 중단 없는 서비스를 최우선으로해 폐쇄망에서 운영되어 외부 침입이 불가능했다. 하지만 스마트 설비와 디지털 트윈 등 정보통신(IT) 기술이 현장에 적용되면서 운영기술(OT), 산업제어시스템(ICS), 사물인터넷(IoT) 기반 시스템과 상호 간에 연결이 증가해 보안 위협도 함께 급증하고 있다.
최근 글로벌 보안업체 발표에 따르면 전세계 ICS 중 33% 이상에서 악성코드가 탐지됐는데, 이중 약 10%는 지속적으로 감염이 반복되고 있다고 한다. IP카메라, 공유기 등 IoT 장비 관련 신규 보안 취약점도 매년 꾸준히 증가하고 있는 것으로 확인됐다.
국제침해사고대응협의체(FIRST, Forum of Incident Response and Security Teams)는 지난 11월 ‘사이버 보안 위험도 측정(CVSS 4.0)’을 업데이트해 발표했는데, OT·ICS, IoT에 대한 취약점 평가 기준항목도 새롭게 추가하여 이 분야의 새로운 위협 경고와 대응을 보다 강조하고 있다.
OT·ICS 환경은 일반적으로 IT 환경보다 기능이 제한적이고 공격 표면도 작지만, 취약점에 대한 펌웨어 등 보안패치가 제조사별로 늦게 제공되거나 서비스의 무중단을 이유로 소극적으로 보안패치 적용을 하는 등 운영방식의 문제점도 있다.
이 점을 노려 OT/ICS와 IoT 환경에서 발생할 수 있는 가장 큰 위협은 국가 간 이해관계 충돌로 인한 공격이다. 주요 기반시설의 중요 정보를 탈취하거나 OT·ICS와 IoT 환경에 악성코드를 유포해 시스템의 오작동, 정지 등을 유발시키는 행위는 국민 안전과 생명을 위협하는 매우 치명적인 공격이 될 수 있다.
또한, 업무 환경 변화와 담당자 변경 등으로 인해 조직 내에서 관리되지 않는 장비를 대상으로 한 공격도 증가할 수 있다. 이를 위해서는 각 장비들이 어떤 위험을 초래하는지 정의해야 하고 공격표면을 효과적으로 줄이기 위한 취약점 해결 우선순위를 지정해야 할 필요가 있다.
4. 정치·사회적 이슈를 악용하는 사이버 위협 고조
국내 총선, 미국 대선 등 정치·사회적 이슈를 악용하는 공격 예상
민관의 긴밀한 협력으로 사이버 보안 체계 강화 필요
2024년은 국내외에 대규모 정치적 행사가 예정되어 있다. 한국은 22대 국회의원 총선거가 4월에 있으며 미국도 상·하원 선거 3월, 대통령 선거가 11월에 있어 그 어느 해보다 정치·사회적으로 많은 이슈와 관심이 집중될 것으로 예상된다.
이처럼 국가적인 중요한 행사가 있을 때 사회 혼란을 노리는 세력들의 사이버 위협 가능성도 함께 높아진다. 악의적 의도를 지닌 공격자들은 불순한 목적이나 갈등을 조장하기 위한 다양한 공격을 시도할 수 있다.
최근 이념, 종교, 이권 등에 따라 세계가 블록화되면서 적대 세력 간 혹은 국가 간 물리적 충돌이나 분쟁이 사이버 영역으로까지 확대될 전망이다.
해킹 그룹은 목표물을 공격하기 위한 사전작업으로 목표 관계자와 주변을 사회 관계망 서비스(SNS)로 확인하고, 피싱 공격, 악성코드 감염, 해킹 등을 통해 얻은 시스템 관리자 등의 계정정보를 이용한다. 또한, 딥페이크 기술을 적극 활용해 가짜 뉴스를 생산하고, 예전에 유출된 내용으로 거짓 해킹을 주장할 수도 있다.
국가 주도의 해킹 그룹은 상대 세력의 중요 정보를 몰래 유출하기 위한 활동과 함께 사회 전반에 혼란과 장애를 일으킬 수 있는 공격을 시도할 것이며 그 대상은 온라인으로 연결된 곳이라면 어디든 될 수 있다. 또한, 핵티비스트(Hacktivist: Hacking+activist)들은 자신들의 신념에 따라 공격 대상을 정해 지속적인 공격을 진행할 것으로 전망된다.
언론사와 포털, 선거 관련 기관들에 대한 공격에 효과적으로 대응하지 못한다면, 그 피해는 온라인에서만 국한되는 것이 아니라 사회 전반에 대한 사이버 테러가 될 수 있다. 공격자들은 경험과 학습을 통해 더욱 지능적인 공격 시나리오나 전략을 계획할 수 있어 철저한 대응이 필요하다.
2024년 사이버 보안 위협 전망에 따른 대응전략
따라서 2024년은 예전보다 더 높은 경각심과 경계 태세를 유지해야 할 때이며, 민·관이 더 긴밀히 협력해 사이버 보안 체계를 상시 점검하고 강화해 나가야 한다. 기관, 기업 등 조직은 보안시스템을 도입해 운영과 함께 만일의 상황에 대비해 사이버 침해를 당하더라도 업무 중단이 되지 않도록 백업체계를 마련하고 신속한 복구 프로세스를 반복해서 점검하고 강화해야 한다.
과기정통부와 KISA는 유관기관들과 협력해 면밀한 공격 탐지와 차단, SW 개발사와 신속한 보안패치 배포 등 피해 확산 방지 대응, 보안역량이 취약한 기업들을 위해 홈페이지, 시스템 등의 보안 취약점 점검, 실전형 모의침투 훈련 지원뿐만 아니라, 국민들을 대상으로 모바일기기·PC의 자가 보안점검 서비스를 제공 중이다.
또한, 지난 7월 발표한 ‘제로트러스트 가이드라인 1.0’을 기반으로 국내 기업 환경에 적용할 수 있는 ‘제로트러스트 기본모델 2종’도 지난 주 공개한 바 있다. 내년 초에는 ‘SW 공급망 보안 가이드라인’을 마련, 제공해 기업의 정보보호 역량 강화를 계속 지원할 계획이다.
과기정통부 홍진배 네트워크정책실장은 “우리 사회를 대상으로 하는 사이버 공격은 이제 단순히 서비스 장애나 불편을 넘어서, 사회 전체를 마비시키고 생명을 위협할 수 있는 중대사고가 될 수 있다”면서, “민관이 함께 협력해 알려진 사이버 위협은 또다시 재발하지 않도록 철저히 분석하여 대책을 마련하고, 새로운 위협은 선제적으로 예방할 수 있도록 노력해 안전한 디지털 세상을 만들어 가겠다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
2023년은 공급망 공격 확대, 개인정보 노린 메신저 공격 피해 재확산, 랜섬웨어 공격
2024년은 공급망 공격, 생성형 AI 악용, OT·ICS 및 IoT 보안위협, 정치·사회적 이슈 악용
[보안뉴스 김경애] 올해는 △보안프로그램 취약점과 SW 개발자 대상 공급망 공격 확대 △개인정보를 노려 진화하는 메신저 사칭 공격과 피해 재확산 △랜섬웨어 공격과 산업 기밀정보 공개를 빌미로 하는 금전 협박이 두드러졌다.
[이미지=gettyimagesbank]
다가오는 2024년에는 △피해 자체를 모르게 하는 은밀하고 지속적인 SW 공급망 공격 △생성형 AI를 악용한 사이버 범죄 가능성 증가 △OT·ICS 및 IoT 환경의 보안 위협 증가 △정치·사회적 이슈를 악용하는 사이버 위협 고조 등이 전망되고 있다.
과학기술정보통신부(장관 이종호, 이하 과기정통부), 한국인터넷진흥원(원장 이원태, 이하 KISA)이 사이버 위협 인텔리전스 네트워크와 함께 발표한 ‘2023년 사이버 보안 위협 분석’과 ‘2024년 사이버 보안 위협 전망’에 대해 발표했다.
[자료=과기정통부]
[2023년 사이버 보안 위협 분석]
1. 보안프로그램 취약점과 SW 개발자 대상 공급망 공격 확대
올해는 보안프로그램 취약점과 SW 개발자를 노린 공급망 공격이 확대됐다. 따라서 국내에서 온라인 금융거래를 이용하기 위해서는 개인용 컴퓨터에 보안 인증 프로그램을 필수적으로 설치해야 한다. 또한, 기업에서 보안 강화를 위한 프로그램을 안전하게 사용하려면 수시로 보안 업데이트를 해야 한다. 특히 올해는 이때 필요한 프로그램을 대상으로 하는 소프트웨어(SW) 공급망 공격이 많이 발생했다.
지난 3월, 해킹 그룹 라자루스의 소행으로 추정되는 보안 인증 프로그램의 취약점을 노린 해킹 공격이 확인됐다. 또한, 미상의 해킹 그룹이 국내 보안프로그램 개발사 내부에 침투해 업데이트 파일 배포 서버를 통해 악성코드를 유포하고 고객사들의 시스템까지 감염시키는 공격도 발생했다.
[자료=과기정통부]
대표적인 오픈소스 저장소인 NPM(Node Package Manager)에 악성코드가 포함된 패키지를 올려 이를 이용해 개발된 기업의 서버가 감염된 사례도 있다. 이처럼 오픈소스 커뮤니티를 노려 악성코드가 숨겨진 패키지를 배포하는 공급망 공격도 지속적으로 발생했다.
SW 공급망 공격은 초기 탐지와 조치가 어렵고 그 파급력도 크기 때문에 공격자들에게는 매우 효율적인 공격으로 이용되고 있고, 이러한 SW 공급망 공격은 앞으로도 계속 증가할 것으로 예측된다.
과기정통부와 KISA는 “유관기관들과 협력하여 SW 공급망 공격을 분석하고 제조사와 함께 보안패치를 개발했다”며 “보안공지와 대국민 안내 등을 통해 패치 적용을 독려하는 등 피해확산 방지를 위해 적극 대응하고 있다”고 밝혔다.
또한, 현재 마련 중인 ‘SW 공급망 보안 가이드라인’을 조만간 발표해 SW의 구성요소와 정보 명세서인 SBOM(SW Bill Of Material)을 기반으로 하는 보안 취약점 점검 및 조치를 지원할 계획이다.
2. 개인정보를 노려 진화하는 메신저 사칭 공격과 피해 재확산
다음으로 포털이나 메신저 등 이용자가 많은 서비스를 정교하게 사칭해 이용자 개인정보를 노리는 사회공학적 기법의 피싱(Phishing) 공격이 진화하고 있다. 유출된 개인정보를 이용해 또 다른 피해로 연결되는 사례도 급증했다.
[자료=과기정통부]
지난 7월 텔레그램 공식 계정인 것처럼 위장한 피싱사이트를 통해 개인정보와 인증번호 입력을 요구해 계정을 탈취하고, 탈취한 계정에 등록된 지인들에게 마치 본인이 보낸 것처럼 피싱사이트 주소를 전달하는 새로운 해킹 수법이 나타났다. 이는 피해자 입장에서 매우 속기 쉽게 계정 탈취가 이루어진다는 측면에서 국민들의 각별한 주의가 요구된다.
2023년 피싱사이트 탐지, 차단 건수는 전년 대비 약 1.8배 증가(4,206건→7,534건)한 것으로 나타났다. 또한, 택배 배송이나 교통범칙금, 지인부고 등을 사칭하는 문자메시지에 링크 주소(URL) 클릭을 유도해 악성파일을 설치하려는 스미싱 문자도 올해 대량 유포(2023년 약 37만건 탐지․차단)되어 문자나 메신저 채팅을 이용한 해커들의 공격도 끊임없이 확산되고 있는 중이다.
[자료=과기정통부]
국내 기업과 기관들을 대상으로 하는 계정정보 무작위 대입 공격인 크리덴셜 스터핑(Credential Stuffing) 공격도 연이어 발생했다. 인터파크 78만건, 한국고용정보원(워크넷) 23만건의 개인정보가 유출됐으며, 지마켓의 상품권 번호 도용, 스타벅스의 카드 충전금 도용 등 금전적 피해를 입히는 공격으로 확산됐다.
특히 최근 침해사고 조사결과, 크리덴셜 스터핑 공격 시 로그인 시도 대비 성공률이 약 0.3% 가까이 되는 경우도 나타나고 있어, 각 기업․기관들은 로그인 시도 횟수 제한, 2차 인증 기능 제공 등 이용자 인증 관련 보안성을 더욱 높여야 한다.
[자료=과기정통부]
이외에도 올해 초 LG유플러스 사용자로 추정되는 고객정보가 해킹 포럼 게시판에 공개된 바 있다.
3. 랜섬웨어 공격과 산업 기밀정보 공개를 빌미로 하는 금전 협박
다음으로 기업 내부의 산업 기밀정보 유출과 함께 데이터 암호화를 통한 복구 비용 지불을 요구하는 금전 취득 목적의 공격이 지속적으로 발생했다. 국가 배후의 해킹 그룹이 상대국의 중요 인프라의 운영을 방해할 목적으로 랜섬웨어 공격을 실행한 바 있다.
KISA 침해사고 신고를 분석해보면, 사이버 보안 위협은 2020년 603건, 2021년 640건, 2022년 1,142건, 2023년 11월 1,184건으로 매년 증가했지만 랜섬웨어 공격 건수는 작년 대비 감소(2022년, 325건→2023년 11월, 237건, 27.1%↓)해 랜섬웨어 공격 위협이 다소 줄어든 것처럼 보인다.
하지만, 최근 랜섬웨어 공격은 주로 중소기업(78.1%)과 제조업종(36.7%)을 대상으로 해 먼저 기업의 기밀정보를 빼내고, 운영서버와 백업서버 자료까지 찾아 암호화해 금전을 요구하는 복합적인 방식(Multi Extortion, 다중협박)으로 이뤄져 공격 양상이 더욱 악랄해졌다.
과기정통부와 KISA의 중소기업 백업체계 구축 지원사업과 안내 등을 통해 랜섬웨어 피해를 신고한 중소기업의 약 50.3%(2021년, 35.6%)는 데이터 백업체계를 구축해 피해가 그나마 최소화 됐지만, 나머지 기업들은 여전히 데이터 복구에 어려움을 겪고 있다.
랜섬웨어에 대비하기 위해 각 기업들은 외부에 노출되어 있는 서버에 대해서는 비정상적인 접근 차단과 보안 취약점 제거 등을 통해 내부로 침입할 수 있는 위협 접점을 제거하는 공격표면 관리를 더욱 철저히 하고, 백업서버는 반드시 별도의 분리된 환경(망분리 등)에 따로 구축해야 한다.
KISA는 랜섬웨어 대응 역량이 부족한 지역․중소․영세기업을 대상으로 무상 보안취약점 점검과 서버 보안점검(내서버돌보미)을 지원 중이며, 한국정보보호산업협회(KISIA)도 랜섬웨어 대응 보안솔루션 패키지 지원사업을 진행하고 있어 도움을 받을 수 있다.
[2024년 사이버 보안 위협 전망]
1. 피해 자체를 모르게 하는 은밀하고 지속적인 SW 공급망 공격
오픈소스 개발 환경 대상으로 APT 기반의 SW 공급망 복합 공격 확대
SBOM과 함께 HBOM도 공급망 공격에 대비하는 주요 기술 기반으로 취급 필요
그렇다면 2024년 사이버 보안 위협은 어떻게 전망하고 있을까. 먼저 SW 공급망 공격이 지속될 전망이다. 해킹그룹은 인터넷에 무상으로 공개된 소스코드나 SW들을 프로그램 개발자들이 많이 이용하는 것을 악용해 유명한 오픈소스를 사칭하거나 변조된 코드를 배포해 개발자 대상 공격을 확대해 나갈 것으로 보인다. 개발자 시스템을 장악하면 지능적이고 지속적인 공격(APT)을 통해 은밀히 침투해 개발 제품에 악의적인 코드를 쉽게 포함시킬 수 있기 때문이다.
SW 공급망을 통한 공격 시도도 계속 증가할 것으로 보인다. SW 제작과 운영단계에서 정상 제품에 악성코드가 포함되어 배포되면, SW 이용기업이나 기관들은 악성코드 등이 침투되었다는 사실도 인지하지 못하고 고객사 등 다른 이용자에게도 연쇄적인 피해를 줄 수 있다.
공급망 공격 대응을 위해서 SBOM과 함께 제조업체, 프로그램 소유자 등에게 제품과 기술의 출처, 보안 위협과 관련된 정보를 제공하는 HW의 구성요소 및 부품 명세서(HW Bill Of Material)HBOM의 필요성도 높아질 것으로 보인다. SBOM은 SW 중심의 모니터링과 사고 대응에 유용하고, HBOM은 제품 조달이나 현장 점검에 사용될 수 있어 시스템 구축과 운영에 SBOM과 HBOM을 함께 고려하는 것이 보다 효과적인 방법이 될 수 있다.
2. 생성형 AI를 악용한 사이버 범죄 가능성 증가
생성형 AI를 악용해 일반인들도 사이버 범죄 시도 가능성 증가
다크웹 등에서 생성형 AI 기반의 사이버 범죄 도구 더욱 많이 확산될 것
생성형 AI 악용 방지를 위한 기술 개발과 제도 마련 검토 필요
다음으로 생성형 AI 범죄 가능성이 증가할 전망이다. 챗GPT를 화두로 한 생성형 인공지능(AI) 기술의 급속한 발전은 다양한 분야에서 진화와 혁신을 가져왔다. 하지만 해당 기술은 사용자가 보안에 대한 전문적인 지식이 없어도 손쉽게 악성코드 제작뿐 아니라 취약점 확인, 사회 공학적 공격, 음성 위변조 등 다양한 사이버 공격에 악용될 수 있는 위험성도 내포하고 있다.
더 나아가 공격 대상의 정보를 수집, 분석하는 것도 생성형 AI를 사용한다면 더욱 자동화하고 가속화될 수 있다. 생성형 AI와 AI 대규모 언어 모델(LLM : Large Language Model)을 활용해 범죄 대상과 범죄 방법을 제공하는 서비스가 다크웹 등 해킹 포럼에 소개된다면, 누구나 쉽게 사이버 범죄에 가담할 수 있어 우려가 커지고 있다.
실제로 공격자가 기술 용어나 특정 비즈니스 영역에 능통하지 않더라도 공격 대상이 쉽게 속을 수 있도록 정교하게 이메일 본문을 작성하고, 악성 프로그램을 제작해 주는 등 피싱 이메일 공격을 도와주는 생성형 AI 기반의 사이버 범죄 도구가 최근 발견됐다. 또한, 기존 백신 등이 탐지하기 어려운 변종 악성코드를 만드는 데도 생성형 AI 기술이 더욱 많이 이용될 것으로 보인다.
이에 따라, 생성형 AI를 악용하는 사이버 범죄에 적극적으로 대응할 수 있는 관련 보안기술 개발 필요성도 높아지고 있다. 공격 가능성이 높은 취약점을 미리 식별하고 대응하기 위한 기술 개발이나, 생성형 AI 모델의 결과물을 식별하고 진위여부를 판별할 수 있는 기술 등을 당장 현장에서 요구할 수 있다.
3. OT·ICS 및 IoT 환경의 보안 위협 증가
OT·ICS가 스마트화 되면서 IoT와 상호간 연결이 증가함에 따라 위협도 함께 증가
주요 기반시설에 대한 적극적인 보안패치로 국민 안전과 생명 위협에 대응 필요
OT·ICS가 스마트화 되면서 IoT와 상호간 연결이 증가함에 따라 위협도 함께 증가하고 있다. 그동안 제조, 에너지, 교통, 통신, 의료 등 주요 사회 인프라는 중단 없는 서비스를 최우선으로해 폐쇄망에서 운영되어 외부 침입이 불가능했다. 하지만 스마트 설비와 디지털 트윈 등 정보통신(IT) 기술이 현장에 적용되면서 운영기술(OT), 산업제어시스템(ICS), 사물인터넷(IoT) 기반 시스템과 상호 간에 연결이 증가해 보안 위협도 함께 급증하고 있다.
최근 글로벌 보안업체 발표에 따르면 전세계 ICS 중 33% 이상에서 악성코드가 탐지됐는데, 이중 약 10%는 지속적으로 감염이 반복되고 있다고 한다. IP카메라, 공유기 등 IoT 장비 관련 신규 보안 취약점도 매년 꾸준히 증가하고 있는 것으로 확인됐다.
국제침해사고대응협의체(FIRST, Forum of Incident Response and Security Teams)는 지난 11월 ‘사이버 보안 위험도 측정(CVSS 4.0)’을 업데이트해 발표했는데, OT·ICS, IoT에 대한 취약점 평가 기준항목도 새롭게 추가하여 이 분야의 새로운 위협 경고와 대응을 보다 강조하고 있다.
OT·ICS 환경은 일반적으로 IT 환경보다 기능이 제한적이고 공격 표면도 작지만, 취약점에 대한 펌웨어 등 보안패치가 제조사별로 늦게 제공되거나 서비스의 무중단을 이유로 소극적으로 보안패치 적용을 하는 등 운영방식의 문제점도 있다.
이 점을 노려 OT/ICS와 IoT 환경에서 발생할 수 있는 가장 큰 위협은 국가 간 이해관계 충돌로 인한 공격이다. 주요 기반시설의 중요 정보를 탈취하거나 OT·ICS와 IoT 환경에 악성코드를 유포해 시스템의 오작동, 정지 등을 유발시키는 행위는 국민 안전과 생명을 위협하는 매우 치명적인 공격이 될 수 있다.
또한, 업무 환경 변화와 담당자 변경 등으로 인해 조직 내에서 관리되지 않는 장비를 대상으로 한 공격도 증가할 수 있다. 이를 위해서는 각 장비들이 어떤 위험을 초래하는지 정의해야 하고 공격표면을 효과적으로 줄이기 위한 취약점 해결 우선순위를 지정해야 할 필요가 있다.
4. 정치·사회적 이슈를 악용하는 사이버 위협 고조
국내 총선, 미국 대선 등 정치·사회적 이슈를 악용하는 공격 예상
민관의 긴밀한 협력으로 사이버 보안 체계 강화 필요
2024년은 국내외에 대규모 정치적 행사가 예정되어 있다. 한국은 22대 국회의원 총선거가 4월에 있으며 미국도 상·하원 선거 3월, 대통령 선거가 11월에 있어 그 어느 해보다 정치·사회적으로 많은 이슈와 관심이 집중될 것으로 예상된다.
이처럼 국가적인 중요한 행사가 있을 때 사회 혼란을 노리는 세력들의 사이버 위협 가능성도 함께 높아진다. 악의적 의도를 지닌 공격자들은 불순한 목적이나 갈등을 조장하기 위한 다양한 공격을 시도할 수 있다.
최근 이념, 종교, 이권 등에 따라 세계가 블록화되면서 적대 세력 간 혹은 국가 간 물리적 충돌이나 분쟁이 사이버 영역으로까지 확대될 전망이다.
해킹 그룹은 목표물을 공격하기 위한 사전작업으로 목표 관계자와 주변을 사회 관계망 서비스(SNS)로 확인하고, 피싱 공격, 악성코드 감염, 해킹 등을 통해 얻은 시스템 관리자 등의 계정정보를 이용한다. 또한, 딥페이크 기술을 적극 활용해 가짜 뉴스를 생산하고, 예전에 유출된 내용으로 거짓 해킹을 주장할 수도 있다.
국가 주도의 해킹 그룹은 상대 세력의 중요 정보를 몰래 유출하기 위한 활동과 함께 사회 전반에 혼란과 장애를 일으킬 수 있는 공격을 시도할 것이며 그 대상은 온라인으로 연결된 곳이라면 어디든 될 수 있다. 또한, 핵티비스트(Hacktivist: Hacking+activist)들은 자신들의 신념에 따라 공격 대상을 정해 지속적인 공격을 진행할 것으로 전망된다.
언론사와 포털, 선거 관련 기관들에 대한 공격에 효과적으로 대응하지 못한다면, 그 피해는 온라인에서만 국한되는 것이 아니라 사회 전반에 대한 사이버 테러가 될 수 있다. 공격자들은 경험과 학습을 통해 더욱 지능적인 공격 시나리오나 전략을 계획할 수 있어 철저한 대응이 필요하다.
2024년 사이버 보안 위협 전망에 따른 대응전략
따라서 2024년은 예전보다 더 높은 경각심과 경계 태세를 유지해야 할 때이며, 민·관이 더 긴밀히 협력해 사이버 보안 체계를 상시 점검하고 강화해 나가야 한다. 기관, 기업 등 조직은 보안시스템을 도입해 운영과 함께 만일의 상황에 대비해 사이버 침해를 당하더라도 업무 중단이 되지 않도록 백업체계를 마련하고 신속한 복구 프로세스를 반복해서 점검하고 강화해야 한다.
과기정통부와 KISA는 유관기관들과 협력해 면밀한 공격 탐지와 차단, SW 개발사와 신속한 보안패치 배포 등 피해 확산 방지 대응, 보안역량이 취약한 기업들을 위해 홈페이지, 시스템 등의 보안 취약점 점검, 실전형 모의침투 훈련 지원뿐만 아니라, 국민들을 대상으로 모바일기기·PC의 자가 보안점검 서비스를 제공 중이다.
또한, 지난 7월 발표한 ‘제로트러스트 가이드라인 1.0’을 기반으로 국내 기업 환경에 적용할 수 있는 ‘제로트러스트 기본모델 2종’도 지난 주 공개한 바 있다. 내년 초에는 ‘SW 공급망 보안 가이드라인’을 마련, 제공해 기업의 정보보호 역량 강화를 계속 지원할 계획이다.
과기정통부 홍진배 네트워크정책실장은 “우리 사회를 대상으로 하는 사이버 공격은 이제 단순히 서비스 장애나 불편을 넘어서, 사회 전체를 마비시키고 생명을 위협할 수 있는 중대사고가 될 수 있다”면서, “민관이 함께 협력해 알려진 사이버 위협은 또다시 재발하지 않도록 철저히 분석하여 대책을 마련하고, 새로운 위협은 선제적으로 예방할 수 있도록 노력해 안전한 디지털 세상을 만들어 가겠다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(1).jpg){kind=spacer}
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
