[정보통신신문=최아름기자]

코로나19 유행과 비대면 문화의 확산으로 전 산업 분야에서 사이버공격 대상이 크게 확대돼 사이버공격의 '디지털 팬데믹'마저 우려되는 상황이다. 새해에도 로그4제이(Log4j) 위협은 한동안 지속되고, 국내외 대형 이벤트와 맞물려 유력 인사 정보 탈취를 겨냥한 스피어 피싱도 기승을 부릴 전망이다.

■복구 대가로 가상자산 요구…추적 회피

과기정통부는 최근 한국인터넷진흥원(KISA)과 함께 발표한 '2022년 사이버 위협 전망' 자료를 통해 최근 전세계를 강타한 Log4j 취약점 위협이 장기화될 것으로 내다봤다. Log4j는 프로그램 동작 과정에서 일어나는 일련의 기록을 남기기 위해 이용하는 오픈소스(무료) 프로그램을 말한다.

장기화 이유는 Log4j 취약점 문제가 광범위할 뿐만 아니라, Log4j를 주로 사용하는 자바 프로그램의 특성상 압축 파일 안에 또 다른 압축파일 등 여러 단계로 구성돼 있어, 하위단계에 있는 Log4j의 사용 여부를 파악하는 데 많은 시간과 자원이 필요하기 때문이다.

여기에 직접 개발하지 않은 외부 구매 제품의 경우에는 해당 업체가 보안업데이트를 제공해야 하기 때문에 해결에 상당 기간이 소요될 것으로 보인다.

또한 새해에는 보안에 취약한 사물인터넷 기기로 인한 사이버위협이 증가할 것으로 전망된다.

인공지능(AI) 스피커, 스마트TV, IP카메라 등 외에도 드론, 스마트카 등 새로운 연결기기에 대한 보안위협이 현실로 다가오고 있는 상황이다.

추적이 어려운 가상자산의 활성화와 서비스형 금품 요구 악성프로그램(RaaS)의 등장 역시 기업을 괴롭힐 전망이다.

기업의 재무제표 또는 뉴스 검색을 통해 자금여력이 있거나 금품 요구 악성프로그램 감염 시 서비스 중단으로 대규모 영업 손실이 발생할 수 있는 기업 등을 대상으로 삼는 표적형 금품 요구 악성프로그램 공격이 늘 것으로 보이기 때문이다.

또한 방어체계, 특히 백업체계를 무력화하기 위한 공격 시도 및 공격 이후 복구를 미끼로 지하웹 공개 협박, 추적이 어려운 가상자산을 요구하는 형태로 금품 요구 악성프로그램 공격이 지속될 것으로 전망된다.

■스피어피싱‧워터링홀 기승 예상

보안솔루션 전문업체인 이글루시큐리티는 2022년 선거와 대규모 국제 행사를 표적으로 삼는 스피어피싱(spear phishing) 및 워터링홀(watering holes) 공격이 극에 달할 것으로 전망했다. 올해는 제20대 대통령 선거와 제8회 전국동시지방선거, 재보궐선거 등이 치러지며, 국외적으로는 2022 베이징 동계올림픽 및 카타르 월드컵이 열린다.

스피어피싱은 정부 고위간부, 유명인, 군인 등과 같은 특정인의 개인정보를 캐내기 위한 피싱 공격을 말한다. 워터링홀은 공격 대상이 방문할 가능성이 있는 합법적 웹사이트를 미리 감염시킨 뒤 잠복하며 피해자의 컴퓨터에 악성코드를 추가로 설치하는 공격이다.

공격자는 공공기관이나 내부담당자를 사칭한 악성 메일을 통해 기밀정보를 탈취하거나, 프록시 서버를 이용하는 것처럼 사용자와 실제 홈페이지 중간에 위치해 계정정보를 탈취하는 PH프록시 등을 활용해 악성코드를 설치‧전파시키거나 정보를 탈취한다.

또한 이글루시큐리티는 비대면‧원격근무 등 유연화된 근무환경을 공격 요인으로 삼아 조직과 조직 인프라, 조직 구성원들을 노리는 공격이 증가할 것으로 예상했다. 2021년 포티넷 등 굴지의 글로벌 기업의 가상사설망(VPN)에서 공격당할 수 있는 취약점들이 다수 보고됐고, 원자력연구원과 한국항공우주산업 등도 VPN 취약점을 악용한 공격을 받았다.

새해에는 메타버스를 둘러싼 보안위협도 발생할 것으로 보인다. 메타버스는 가상현실(VR)과 증강현실(AR)을 비롯한 실감 미디어 기술을 데이터 통신과 결합해 사용자가 오프라인과 동일하게 경제, 사회, 문화 활동을 영위하고 현실과 상호 작용을 할 수 있게 한다.

메타버스 플랫폼 내 재화의 구매유통이 가능한 특성을 고려할 때 사용자들은 민감한 개인정보 유출 및 데이터 위변조 등에 노출될 가능성이 있다. 플랫폼 내에서 사용자들은 데이터 및 뇌파‧혈압‧호흡 등 생체 신호 및 행동‧감정 정보 데이터, 접속시간, 위치, 소비성향, 재산 현황 등 다양한 정보들을 활용하게 되기 때문이다.

코로나19 지속에 따라 ‘확진자 동선’, ‘소상공인 지원 안내’, ‘백신접종 확인’ 등 관련 키워드를 사용한 이메일 피싱, 스미싱 등 종합적인 공격도 다수 발생할 것으로 예상된다. 또한 온라인동영상서비스(OTT) 시장의 지속 성장에 따라 회원 아이디, 암호, 결제정보 등 개인정보를 겨냥한 위협도 기승을 부릴 전망이다.

■SW 전주기 관리 필수

전문가들은 소프트웨어나 시스템 설계 시부터 위험 요소를 가능한 한 차단해야 할 필요성과 함께, 보안 솔루션 도입 및 주기적인 패치와 보안성 검사 등을 강조했다.

과기정통부는 로그4제이(Log4j) 취약점 사태는 소프트웨어공급망 보안의 중요성이 부각되면서 소프트웨어 개발부터 유지관리까지 수요자 측면에서 소프트웨어 전반적인 사용주기(SDLC)에 보안 강화가 필요하다고 밝혔다.

또한 오픈소스 활용 시에는 코드 보안성 검사, 주기적인 패치와 함께 오픈소스 라이선스와 취약점을 일괄 분석해 조치 사항을 자동 식별해주는 오픈소스 분석‧점검 서비스 활용 등도 검토해 볼 필요가 있다. 현재 저작권위원회(코드아이), 카카오(올리브플랫폼) 등에서 서비스를 제공하고 있다.

참고로 글로벌 보안 기업 시놉시스의 2020년 5월 발표에 따르면, 오픈소스 소프트웨어의 주요 취약점은 △리소스 누수 △초기화되지 않은 변수 △널(Null) 포인터 역참조 △크로스 사이트 스크립팅(XSS) △메모리 손상 △호출 시 추가인수 오류 △에러처리 문제 △안전하지 않은 데이터 처리 △제어흐름 문제 △고려되지 않은 예외 사항 등이다.

금융보안원은 기업 내부에서 접속한 사용자를 포함해 모든 사용자를 기본적으로 신뢰하지 않고 검증하는 것을 기본으로 하는 ‘제로 트러스트 전략’을 도입할 필요성을 언급하기도 했다.

미국표준기술연구소(NIST)에서 2020년 8월 제창한 제로 트러스트의 원칙에는 △모든 데이터 소스와 컴퓨팅 서비스는 리소스로 간주 △네트워크 위치와 관계없이 모든 통신을 안전하게 함 △기업 리소스에 대한 접근은 각 세션에 기반해 승인됨 △리소스에 대한 접근은 ID, 애플리케이션, 서비스, 자산의 상태 등 동적 정책에 의해 결정 △기업은 소유한 모든 관련 자산의 무결성과 보안 상태를 모니터링하고 측정 △리소스에 대한 모든 인증 및 승인은 동적으로 수행되며 접근을 허용하기 전 엄격히 적용 △기업은 자산, 네트워크, 인프라 통신 상태 정보를 수집하고, 이를 통해 보안을 개선 등이 포함된다.

기업은 제로 트러스트 전략에 기반에 강력한 인증 수단을 지원하는 솔루션을 도입할 수 있다. 이 전략의 성공을 위해서는 기존의 워크로드에 대한 상세한 분석 및 고위험 업무에 필요한 통제가 식별될 필요가 있다.

■이기종 보안솔루션 컨트롤 기술 필요

또한 메타버스 활성화로 메타버스 내 지급‧결제 등 금융수요가 증가하면 이용자의 아바타가 상시 무자각 지속 인증 상태를 유지할 필요성이 예상되고, 이 경우 홍채정보, 시각정보 등 개인 생체‧민감정보가 지속적으로 수집‧활용될 가능성이 있기에 이러한 정보의 안전 관리에 유의가 필요하며, 새로운 체계 내에서의 자금세탁 방지, 과도한 변동성 완화를 위한 방안도 마련돼야 한다.

이글루시큐리티는 이기종 보안 솔루션을 효율적으로 운영, 보안관제 복잡성을 해소하기 위한 보안 오케스트레이션자동화 및 대응(SOAR) 기술의 필요성을 강조했다.

SOAR는 다양한 보안 솔루션을 일괄 지휘하는 자동화된 컨트롤타워 시스템이다. SOAR의 효가적 도입을 위해 △보안 사고 대응 프로세스 표준화 △보안 오케스트레이션 및 자동화 △위협 데이터 분석을 통한 선제적 대응체계 구축 등이 필수적이다.

최아름 기자 다른기사 보기