과학기술정보통신부는 내년에 발생할 사이버 위협으로 ▲글로벌 해킹 조직 공격 증가 ▲재난, 장애 등 민감한 사회적 이슈를 악용한 사이버 공격 지속 ▲랜섬웨어 진화 ▲클라우드 전환에 따른 위협 증가 ▲SW 공급망 공격 증가를 꼽았다. 이에 대응하기 위해서는 제로트러스트 보안으로 전환이 필요하며, 공급망 보안체계 및 사이버 레질리언스 대응 체계를 도입할 필요가 있다는 분석이 나온다.
과학기술정보통신부, 한국인터넷진흥원(KISA)은 사이버 위협 인텔리전스 네트워크와 함께 사이버위협에 대한 선제적 예방 및 대응체계 강화를 위해 '2022년 사이버 보안 위협 분석과 2023년 사이버 보안 위협 전망'을 26일 발표했다.
사이버 위협 인텔리전스 네트워크는 사이버 보안 위협 정보공유 및 침해사고 공동 대응을 위해 KISA와 국내·외 보안업체가 운영하고 있는 협력 네트워크다. 국내 기업으로는 안랩, 이스트시큐리티, 이글루코퍼레이션, NSHC, S2W가 참여하고 있으며, 해외 기업으로는 카스퍼스키, 맨디언트, 마이크로소프트, 트렌드마이크로, 스플렁크가 참여한다.
■ 올해 랩서스·킬넷 등 글로벌 해킹그룹 공격 지속 발생
과기정통부는 올해는 주로 ▲국가·사회 혼란을 야기하는 사이버 공격 ▲재택근무, 클라우드 전환 등 IT환경 변화를 악용한 공격 ▲랜섬웨어, 디도스 공격의 사이버 보안 위협이 있었다고 분석했다.
올해는 전 세계적으로 랩서스, 친러시아 성향의 해킹조적인 킬넷 등 글로벌 해킹그룹에 의한 사이버 공격이 지속적으로 발생, 글로벌 기업과 정부기관 등에 피해가 발생했다.
국내에서도 판교 데이터 센터 화재로 인한 카카오 장애 이후 카카오톡 업데이트 파일로 위장한 악성코드가 발견됐다. 이태원 사고와 관련된 공문서로 위장한 공격도 확인되면서 국민적 관심이 집중된 사건·사고를 악용한 사이버 공격이 눈에 띄었다.
정부나 방송사 공식 유튜브 채널 계정을 탈취해 가상자산 관련 영상을 게재하거나 정부 기관을 사칭한 해킹메일을 유포하는 사건도 발생했다.
코로나19 이후 비대면 원격근무 환경 변화로 재택근무 등 보안에 취약할 수 있는 지점을 노려, 기업 내부 침투를 통해 중요 정보가 유출되는 사고도 발생했다.
해외에서도 원격근무가 보편화되면서 기업의 클라우드 활용이 늘어나고 주요 시스템이 클라우드로 전환되는 가운데, 클라우드 기반의 악성코드가 발견되고 클라우드 설정 오류로 인한 공항 데이터 유출, 10억 명의 개인정보가 유출되는 등 클라우드 관련 보안사고가 점차 확대되는 추세다.
디지털 사회 가속화로 IT기술을 이용한 생활 밀접 서비스가 증가되면서 랜섬웨어, 디도스 공격으로 인한 대국민 서비스 중단은 사회·경제적 불편을 넘어 일상생활의 마비로 이어지기도 했다. 배달대행업체가 디도스 공격을 받기도 했으며, 콜택시 중계 서비스 제공사가 랜섬웨어에 감염돼 전국 콜택시가 마비되기도 했다.
올해 KISA에 접수된 침해사고 신고는 전년 대비 약 1.6배 증가했으며, 전체 신고의 약 29%가 랜섬웨어 사고였다. 규모로는 중소기업이 88.5%로 가장 피해가 컸으며, 업종으로는 제조업이 40.3%로 제일 피해가 컸다.
과기정통부는 "랜섬웨어 피해 중소기업을 보면 백업률은 정부의 데이터금고 지원 사업 등의 효과로 35.6%(2021년)에서 41.8%(2022년)로 증가한 것으로 나타났지만, 여전히 백업이 없는 중소기업에 대한 지원 확대와 기업의 보안투자를 통해 데이터 복구 신뢰성을 확보할 필요가 있을 것으로 보인다"라고 말했다.
디도스 공격 또한 지속적으로 증가하고 있으며, 공격에 악용된 기기 대부분이 사물인터넷(IoT) 악성코드에 감염된 영상저장장치, 셋톱박스 등으로 확인됐다. 감염된 다수의 IoT기기로 이루어진 봇넷을 통해 대량의 디도스 공격을 발생시키는 것으로 분석된다.
■ 글로벌 기업 대상 사이버 공격 지속 및 랜섬웨어 진화
내년에는 올해 있었던 사이버 보안 위협이 지속 확대될 전망이다. 먼저 우크라이나 사태가 장기화됨에 따라 내년에도 글로벌 해킹 조직의 활동은 증가할 것이며, 주요 기반시설 이나 글로벌 기업을 대상으로 대규모 사이버 공격 시도가 지속될 것으로 보인다. 올해 발생한 랩서스 공격과 같이 비국가적, 비조직적 공격자에 의한 침해사고 우려도 여전하다.
공격자들은 수익 극대화를 위해 공격 대상의 규모, 대외 신뢰도, 피해 파급력, 데이터 민감도 등을 조사하여, 피해기관·기업이 그 사실을 대외에 공개하기 어렵거나, 신속한 복구가 필요한 곳을 목표로 선정하여 공격할 가능성이 높다.
또한 직접적인 수익 창출을 위해 가상거래소, 전자지갑, 탈중앙화 금융(디파이) 등을 겨냥한 가상자산 타깃형 공격도 더욱 활발해질 것으로 예상된다.
사회적 이슈를 악용한 피싱, 스미싱, 해킹메일 유포 뿐 아니라 지능형 지속 공격(APT)도 지속적으로 내년에도 나타날 전망이다. 또한 사회공학적 기법을 통해 악성코드가 지속적으로 유포될 것이며, 이메일 뿐만 아니라 SNS 등 개인화된 채널을 활용한 공격도 증가될 것으로 보인다.
랜섬웨어 공격도 지능형 지속 공격(APT) 형태로 계속 진화 중이다. 공격경로는 해킹메일, 웹서버 취약점, 인증관리서버, 원격접근 등을 악용하고 있으며, 오픈소스를 활용하거나 상용도구를 활용해 인증정보 탈취와 권한 상승 등 공격 양상의 변화가 두드러지고 있다.
또한 백업용 저장장치도 찾아내 훼손하여 데이터 복구를 어렵게 하고 피해 시스템의 이벤트 로그나 메모리 증적을 없애 추적을 회피하고 있다.
공격자는 금전적 수익을 극대화하기 위해 암호화 파일 복구, 유출 데이터 공개, 디도스 공격과 함께 기업 고객도 직접 협박하는 등 다중협박 형태로 진화하고 있다.
특히 공격자는 피해 기업들이 데이터 복구보다 랜섬웨어 피해가 외부로 공개되어 브랜드 이미지 손상을 더욱 우려한다는 점을 노려, 금전을 요구하면서 협박 수단으로 피해 기업의 시스템에서 갈취한 민감 정보를 일부 공개하는 사례가 지속될 것으로 보인다.
코로나19 장기화로 사회 전반이 더욱 빠르게 디지털로 전환되면서, 클라우드 전환 과정에서 새로운 보안 취약점이 드러나고, 향후 클라우드 전환 증가와 함께 고려가 필요한 클라우드 보안 아키텍처와 보안전략 미흡으로 위협도 증가할 것으로 예상된다. 특히, 계정 관리 실수와 과잉 권한으로 위협이 증가하고 데이터 유출로 이어질 가능성이 있다.
이에 접근 통제를 위한 인증과 접근 프로세스 도입 등 '보안을 고려한 클라우드 관리 전략'을 체계적으로 수립하고, '하이브리드 클라우드', '멀티 클라우드' 등 각 기업의 업무 특성을 반영한 클라우드 운영 형태에 맞춰 빈틈없는 클라우드 보안대책 수립이 요구된다.
갈수록 복잡해지는 기업의 SW 공급망을 노린 공격도 증가할 전망이다. 기업 공급망은 다양한 SW제품, 개발업체, 수요자 등 구성요소가 많고, IT자산, 개발환경, 인력, 계약관리 등 관계가 복잡하여 공격 탐지와 조치가 어렵고 파급도가 매우 큰 특징을 가지고 있다.
최근 SW개발자들이 깃허브 등 소스코드 개발 공유사이트를 많이 이용하는 점을 노려 그 안에 악성코드를 삽입하거나 소스코드를 탈취하는 공격이 증가할 것으로 예상된다. 오픈소스의 사용도 증가하면서 로그4j 등 유명 오픈소스의 심각한 취약점을 악용하거나, 라이브러리에 악성코드를 삽입하는 등 광범위한 보안문제를 발생시킬 것으로 보인다.
또한 SW 개발업체에 직접 침투하여 업데이트 서버 변조를 통한 악성코드 유포, 소스코드에 악성기능 추가와 기업의 정상 인증서 탈취 후 위조 서명된 악성코드 등을 유포하는 공급망 공격 시도도 나타날 것으로 전망된다.
■ "경계형 보안→제로트러스트 보안으로 전환해야"
이에 과기정통부는 모든 대상에 대한 잠재적인 위협을 미리 식별하고, 새로운 접근에 대해서는 거듭 확인해 적절한 권한을 부여하는 '제로트러스트'에 주목할 필요가 있다고 밝혔다.
SW 개발부터 운영, 유지보수 등 SW 공급 全단계가 복잡해지고 구성요소도 많아지면서, SW 공급망의 보안 위협을 줄이고 위험성을 관리해야 할 필요성도 강조했다.
미국 바이든 정부도 국가 사이버보안 개선에 대한 행정명령을 발표하면서 제로트러스트 아키텍처를 미국 연방정부에서 구현하도록 요구하고, 연방기관에 SW내장 제품을 납품할 경우 SBOM 제출을 의무화 하는 등 공급망 보안 강화에 집중하고 있다.
과기정통부와 KISA도 올해 초부터 연구반을 구성하여 보안모델과 가이드 마련 필요성을 제시한 바 있으며, 이를 구체화하고 능동적으로 대응하기 위해 지난 10월 ‘제로트러스트·공급망 보안 포럼’을 발족했다.
과기정통부는 또한 사이버 침해를 당하더라도 업무 중단이 되지 않도록 백업체계를 마련하고 신속한 복구 프로세스를 사전에 훈련하는 등 사이버 레질리언스 대응체계를 도입할 필요가 있다고 밝혔다.
관련기사
- 과기정통부, '제로트러스트·공급망 보안' 포럼 발족2022.10.26
- 정부, 악성코드·침해사고 관련 AI 학습데이터 8억 건 구축2022.07.21
- 과기정통부-KISA, 메타버스‧NFT 보안 협의체 발족2022.07.14
- 과기정통부, 7월 한 달간 제11회 정보보호의 달 운영2022.07.03
과기정통부 김정삼 정보보호네트워크정책관은 "디지털 기술이 발전하고 적용분야도 확대됨에 따라 사이버 공격의 가능성이 더욱 높아진 상황이며, 사이버 공격의 전략과 전술이 정교해지고 대규모 피해를 야기하는 새로운 보안 위협이 출현할 가능성이 높다"라고 말했다.
이어 "기업은 스스로 자산을 보호하기 위한 보안체계를 강화하고, 국민들도 정보보호 수칙 준수를 생활화해 보다 안전한 디지털 세상을 함께 만들어 주셨으면 한다”며 “정부도 날로 진화하는 사이버 공격에 선제적으로 대응해 나갈 것이며, 신종 사이버 위협들로부터 디지털 기반을 보호하기 위해 최선의 노력을 다하겠다”라고 밝혔다.
