내년에는 최근 오픈소스 소프트웨어(SW) '로그4j'에서 발견된 심각한 보안 취약점에 의한 보안 문제가 지속적으로 영향을 미치고, 대량 정보 유출 사고를 유발했던 월패드 등 IoT 기기를 대상으로 한 사이버위협이 증가할 것으로 전망됐다.
기업의 디지털 전환에 따라 도입이 늘고 있는 클라우드와, 메타버스·대체불가토큰(NFT)·인공지능(AI) 등 존재감이 커지는 신기술을 대상으로 한 위협도 늘어날 것으로 분석됐다.
올해 피해가 급증한 랜섬웨어 공격과, 각종 사회적 이슈를 악용해 공격을 시도하는 스미싱 및 해킹메일도 지속될 것으로 예상됐다.
26일 과학기술정보통신부는 한국인터넷진흥원(KISA) 및 국내 주요 보안 기업인 안랩, 빛스캔, 이스트시큐리티, 하우리, 잉카인터넷, NSHC와 함께 올 한해 사이버위협 분석과 내년 사이버위협 전망을 이같이 발표했다.
■랜섬웨어 기승 부린 2021년…'원격' 공격도 다수 발생
과기정통부는 올 한해 가장 위협적인 침해사고로 랜섬웨어 공격을 꼽았다. 해외에서는 에너지, 식료품 공급 등 기반시설을 대상으로 한 랜섬웨어 공격으로 대규모 피해가 발생했으며, 국내에서도 중소 및 지역 기업 등 업종과 지역을 가리지 않고 랜섬웨어 피해가 나타났다.
피해 발생 분포를 살펴보면 보안이 취약한 중소기업이 93%, 서울 외 지역이 63%로 나타났으며 특히, 백업을 하지 않아 랜섬웨어 피해 복구가 어려운 경우가 65%로 나타났다.
코로나19 지속으로 원격 교육·근무 등 비대면 서비스 확산에 따라 비대면 서비스를 대상 사이버위협도 증가했다. 이에 따라 원격 보안 접속 프로그램, 이메일 및 가상사설망(VPN)의 취약점 악용한 해킹사고가 빈번하게 발생했다.
IoT 기기의 일종인 국내 다수의 아파트 월패드가 해킹돼 사생활 영상이 해커에 유출, 다크웹에 판매되면서 IoT 기기에 대한 보안 우려를 야기하기도 했다.
과기정통부는 "그 동안 사이버위협이 기업 등 일부 한정된 범위 내에서 공격과 피해가 발생했다면, 앞으로의 사이버위협은 우리의 안전까지 위협하는 형태로 진화하고 있는 상황"이라고 진단했다.
■'로그4j' 취약점 문제 해결 쉽지 않아…IoT·클라우드 공격도 지속
과기정통부는 전세계를 강타한 로그4j 취약점에 대해 ▲영향이 광범위하고 ▲취약점이 유효한 영역을 식별하기 쉽지 않다는 점 ▲서드파티 제품의 경우 제품 개발사가 보안 업데이트를 제공해야 한다는 점 등의 문제로 보안 우려를 종식하기까지 상당 시간이 소요될 것이라고 전망했다. 이와 관련 SW 공급망 보안의 중요성이 부각됨에 따라, SW 개발부터 유지관리까지 수요자 측면에서 전반적인 SW 사용주기(SDLC)에 대한 보안 강화가 필요하다고 강조했다.
월패드 등 IoT 기기 대상 공격 시도도 끊임없이 이어져 보안에 취약한 IoT 기기 관련 사고가 발생할 가능성이 높을 것으로 봤다. IoT기기가 취약할 경우 사생활 정보 유출, 분산서비스거부(DDoS) 공격 등 사이버공격 수단으로 악용될 수 있어 IoT 기기에 대한 점검과 보안 취약점 조치 강화가 필요하다고 조언했다.
추적이 어려운 가상자산의 활성화, 서비스형 랜섬웨어(RaaS)의 등장으로 랜섬웨어 공격도 내년 지속될 것으로 봤다. 자금 여력이 있거나, 랜섬웨어 감염 시 서비스 중단으로 대규모 영업 손실이 발생할 수 있는 기업 등을 노린 랜섬웨어 공격이 증가할 것으로 분석했다. 기업의 랜섬웨어 방어 체계, 특히 백업체계를 무력화하기 위한 공격 시도 증가와 공격 이후 데이터 복구를 미끼로 다크웹 공개 협박, 추적이 어려운 가상자산을 요구하는 형태로 랜섬웨어 공격이 지속될 것으로 예측했다.
서비스, 플랫폼, 인프라 등 다양한 정보통신환경이 클라우드 기반으로의 디지털 대전환이 이뤄지고 있어 이를 악용한 보안 위협도 증가할 것으로 전망했다.
메타버스, NFT, AI 등 신기술에 대해서는 새로운 SW 개발 과정에서 방치된 개발자 실수, 설계상 보안이 고려되지 않아 발생하는 무결성, 인증체계에 대한 허점 등 취약점을 노린 공격이 나타날 것으로 봤다.
코로나19 지속, 정치적 상황 등 사회적 이슈를 악용한 스미싱, 해킹메일 유포를 통해 개인정보를 탈취하고, 탈취 정보를 바탕으로 지능화된 보이스 피싱 등 전기통신금융사기도 지속될 것으로 전망했다. 특히 탈취한 개인정보를 분석해 수신자로 하여금 의심을 갖지 않도록 교묘하게 속이는 지능화된 스피어피싱이 증가할 것으로 예측했다.
관련기사
- 국제 사이버 분쟁 가시화…한국도 휘말릴 듯2021.12.15
- 중소기업·기반시설 '랜섬웨어' 보안 강화된다2021.08.05
- 개인정보 유출 곳곳에서 발생...'로그4j' 사태도 발발2021.12.17
- "로그4j, 버전 1도 위험"…새 취약점 발견2021.12.15
홍진배 과기정통부 정보보호네트워크정책관은 “로그4j 취약점이 해결이 장기화될 조짐과 사회적 이슈를 악용한 스미싱 범죄의 지속, 메타버스 등 신기술 대상으로 신종 위협의 출현 등 사이버환경은 더욱 악화될 것”이라며 “기업은 보안 내재화(Security by Design)를 필수적으로 고려하고, 국민들은 정보보호 실천 수칙 준수를 생활화해 보다 안전한 디지털 세상을 만드는데 함께 하기를 바란다“고 밝혔다
아울러 ”정부도 진화하는 사이버위협에 선제적으로 대응하기 위해 ’K-사이버방역' 추진전략 시행과 랜섬웨어 대응 강화 방안 추진 등 노력으로 사이버위협으로부터 안전한 디지털 세상을 만들기 위한 최선을 다하겠다”고 덧붙였다.