날로 고도화되고 교묘해지는 사이버공격은 내년에도 계속될 전망이다. 특히 랜섬웨어, 가상화폐 탈취 등 사이버 금융 범죄가 기승을 부릴 것으로 보이며, 공급망 공격 또한 더욱 확대될 전망이다.
보안업계는 기업마다 내년 사이버보안 위협 전망을 발표했다. 각 사가 예측한 내년 사이버 보안 위협을 분석해보면 크게 ▲랜섬웨어 공격 ▲공급망 공격 ▲북한의 사이버 첩보활동 ▲가상자산 공격 ▲메타버스 공격 등이 두드러졌다.
■ 랜섬웨어, 최소 공격으로 최대 수익 효과 노린다
안랩은 앞으로 랜섬웨어 공격 그룹이 최소의 공격으로 최대의 수익과 효과를 노리는 '양보다 질' 전략을 추구할 것으로 전망했다. 이를 위해 공격 그룹은 조직의 핵심 인프라를 장악한 후, 정보유출, 랜섬웨어 감염, 디도스까지 결합하는 '다중 협박'으로 하나의 타깃을 집요하게 노릴 것으로 보인다.
또한 전 세계적으로 랜섬웨어 조직에 대한 수사와 검거가 이어지는 가운데, 압박을 받은 사이버 범죄자들이 대규모 공격을 감행 후 은퇴할 가능성도 제기됐다.
SK쉴더스는 랜섬웨어 공격 그룹이 창궐하면서 생존을 위한 공격 방식을 새롭게 변조하고 있어 이로 인한 피해가 늘어날 것으로 예상했다. SK쉴더스 이호석 EQST 랩장은 "작년 대응 방식으로 올해 랜섬웨어를 못 막을 정도로 랜섬웨어 공격방식이 많이 바뀌었다"고 말했다.
이스트시큐리티는 고(GO), 러스트(RUST), 디랭(Dlang) 등 비교적 덜 알려진 프로그래밍 언어로 제작해 보안 시스템 우회를 시도하는 랜섬웨어가 증가하고, 최신 제로데이 취약점을 활용해 내부망에 침투하고, 파일 암호화뿐만 아니라 정보 탈취, 추가 악성코드 배포 등 APT 공격의 형태로 진화하며 피해 규모가 확대될 것으로 예상했다.
안랩은 "조직에서는 기본적인 보안 체계 구축 외에 위협 인텔리전스(TI)를 활용해 최신 공격 동향과 취약점 정보를 파악해야 한다"고 조언했다.
■ 공급망 보안 위협, 모바일 환경으로 확대
디지털 전환 가속화로 오픈소스 사용이 증가하면서 내년에도 공급망 보안 위협은 지속될 것으로 보인다. 지난해 보안 업계에 최악의 이슈였던 'Log4j 사태'는 오픈소스였던 Log4j에서 발생한 취약점이었다. 'Log4j' 사태 이후 오픈소스에 대한 보안을 강조하고 있지만 여전히 취약점이 관리되지 않고 있는 경우가 많아 공격에 악용될 소지가 상존하고 있다.
공급망 소프트웨어 대부분이 오픈소스로 개발되고 있기 때문에 오픈소스 취약점 문제는 공급망 보안과 직결돼 있다. 소나타입의 보고서에 따르면 지난 1년 동안 공급망 공격수는 총 8만8천건 이상으로, 전년 대비 633%나 증가했다. 라온화이트햇은 오픈소스에 대한 수요는 꾸준히 상승 중이기 때문에 공급망 보안 위협이 앞으로도 지속될 것으로 판단했다.
라온화이트햇 핵심연구팀 강인욱 팀장은 "디지털 전환의 가속화에 따라 새로운 플랫폼과 디지털 환경이 등장하였으나 보안 정책은 그 속도를 따라가지 못하고 있는 것이 현실"이라며 "하지만 사용자 인증과 검증을 강화한다면 많은 부분에서 보안 위협에 대응할 수 있다. '아무도 신뢰하지 않는다'를 전제로 한 사이버 보안 모델인 '제로트러스트'에 기반한 보안 전략 수립이 필요하다"라고 말했다.
국가정보원은 내년에 더욱 다양한 공급망 공격이 나타날 것으로 전망했다. 전산 용역업체를 해킹해 접속정보나 소스코드를 절취한 후 관리 대상 기관 전산망에 우회 침투하는 수법뿐 아니라 소프트웨어 업데이트 서버를 해킹한 후 이를 통한 악성코드 유포 등 다양한 공급망 공격이 나타날 것으로 보인다.
안랩은 그동안 PC용 소프트웨어 중심으로 진행되던 공급망 공격이 모바일 분야로 확대될 것으로 전망했다. 공격자들은 악성 앱을 만들어 유포하는 기존 방식을 택하지 않고 정상 앱 마켓에 앱을 등록할 수 있는 제작사나 제작 도구를 해킹해 앱 제작 초기 단계부터 침투를 시도할 것으로 보인다.
이외에도 모바일 앱의 배포 또는 업데이트 단계에서 악성코드 주입을 시도하거나, 정상 모바일 앱의 인증서를 탈취해 이를 악성 앱 제작과 배포에 활용할 수도 있다. 안랩은 "모바일 서비스 제공자라면 개발 및 배포 과정에서 반드시 보안을 고려하고, 주요 자산에 대한 위협 탐지 및 대응체계를 갖춰야 한다"고 조언했다.
■ 북한의 사이버 첩보 활동 지속
사이버 첩보 활동 또한 심화될 것으로 보인다. 국정원은 북한이 '국가 경제개발 계획' 3년 차를 맞아 이를 완수하기 위한 기술자료 절취를 지속하면서 외교·안보 정보 수집에도 열을 올릴 것으로 전망했다.
또한 과거 북한이 남북관계 악화시 또는 핵실험 후 정부·금융망 대상 사이버테러를 자행했던 것을 감안하면, 군사도발·대남비방과 연계한 사이버 사보타주 공격이 우려되며, 우크라이나 전쟁에서 사용된 딥페이크 활용 허위 동영상 유포 등 사회혼란 유도를 위한 공작을 전개할 가능성이 있다고 바라봤다.
미국-중국 기술패권 경쟁속에서 반도체 기술 등 연구자료 관련 해킹도 증가할 것으로 예측했다.
보안업체 맨디언트는 "북한 정권이 수익원과 전략적 인텔리전스를 모두 얻기 위해 사이버 공격을 지원하는 작전을 계속 추진할 것"이라며 "공중 보건 문제와 더불어 국제 정치와 경제적인 고립으로 인해 북한의 사이버 스파이는 외교, 군사, 금융 및 제약 분야를 표적으로 삼을 것"이라고 전망했다.
■ '가상자산 지갑' 탈취 공격 심화
개인의 가상자산 지갑을 노린 공격도 심화될 전망이다. 최근 대형 암호화폐 거래소나 주요 블록체인 서비스에 대한 해킹 공격이 발생하며, 코인·대체불가능한토큰(NFT) 등 가상자산을 개인 지갑으로 옮기는 사용자가 증가하고 있다. 이에 따라 안랩은 내년에는 개인의 가상자산 지갑을 노린 공격 시도도 증가할 것으로 예상했다.
예를 들어, 많은 사용자들이 계정 소유권 인증 및 지갑 복구를 위해 사용되는 시드구문이나 12개(혹은 24개)단어로 이루어진 니모닉키를 외우지 못해 사진 또는 이메일, 핸드폰 메모 등으로 기록한다. 공격자들은 이런 니모닉키 정보와 지갑 계정 정보를 탈취하기 위해 정보유출 악성코드나 유명 가상자산 지갑을 사칭한 피싱 웹사이트·앱 유포를 확대할 것으로 보인다.
이에 안랩은 "개인 지갑 사용자는 시드구문이나 니모닉키를 안전한 곳에 보관하고, 키 분실 위험으로부터 안전한 지갑을 사용해야 한다"며 "송금하려는 지갑의 범죄 연루 등도 꼼꼼히 확인해야 한다"고 조언했다.
국정원은 "북한은 디파이(DeFi)에 대한 지속적인 해킹 공격과 함께 가상자산을 탈취할 수 있는 NFT·메타버스 등 탈중앙화 웹(웹 3.0) 플랫폼으로도 공격을 확대할 것"이라고 전망했다.
이스트시큐리티는 "가상자산 탈취는 '저비용 고효율'의 수익을 가져다주기 때문에 가난한 국가들에게 새로운 외화벌이 수단으로 주목받고 있다"며 "가상자산 탈취를 통한 외화벌이를 목적으로 한 전문 해킹 조직도 점점 더 증가할 것"이라고 내다봤다.
■ 메타버스 내 기업용 아바타 해킹 확대
메타버스 내 비즈니스 타깃 범죄도 확대될 전망이다. 라온화이트햇 핵심연구팀은 "메타버스 내 범죄 위험이 비즈니스 영역으로 확대 진행되고 있다"며 "초기에는 사용자 계정을 탈취하는 등의 개인을 대상으로 한 보안 위협이 대부분이었으나 최근에는 비즈니스 영역으로까지 진화하고 있다"고 설명했다.
관련기사
- 北 해킹 조직, 대학교수·공무원 사칭해 외교·안보 종사자 해킹 시도2022.12.20
- "글로벌 조직 절반 이상 공급망 내 랜섬웨어 공격 경험"2022.09.08
- 40만 가구 집안 들여다본 해킹범 잡혔다…경찰 "구속영장 재신청 검토"2022.12.21
- 마이크로소프트, 급증하는 OT 장비 보안 위협 증가2022.12.16
라온화이트햇은 해커들이 기업을 타깃으로 메타버스에서 기업 공식 아바타와 동일한 아바타를 생성 또는 해킹해 사기 계약을 맺거나 딥페이크 기술을 활용한 기밀 탈취, 허위 사실 발표와 같은 활동을 통해 비지니스에 심각한 피해를 끼칠 것으로 바라봤다.
현재까지 메타버스에 대한 보안 가이드라인은 마련되지 않았다. 이에 라온화이트햇은 "서비스제공자는 생체인증, 2단계 인증(2FA) 등 이용자의 신원 및 자격 검증을 강화하는 인증체계 강화를 통해 이용자의 데이터를 보호하고, 사용자 역시 불필요한 개인정보는 공유하지 않는 등 보안 인식 제고가 필요하다"라고 강조했다.
