[정보통신신문=박광하기자]

진화하는 랜섬웨어가 중소규모 기업·기관의 호주머니를 더욱 집요하게 노릴 것으로 전망된다. 악의적 공격자가 금전 갈취 대신 사회 혼란을 목적으로 사회 주요 인프라 대상 해킹에 나설 것이란 예측도 나왔다. 소프트웨어(SW) 산업에서 오픈소스 활용이 증가하면서 공급망 대상 사이버위협 또한 우려되고 있다. 과학기술정보통신부, 국가정보원은 이 같은 내용의 내년도 사이버위협 전망을 공개했다.

■진화된 랜섬웨어 등장

과기정통부는 2022년 KISA에 접수된 침해사고 신고를 분석한 결과, 전년 대비 약 1.6배 증가하는 등 사이버 위협이 지속적으로 증가하고 있는 것으로 나타났다고 밝혔다.

특히, 전체 신고의 약 29%가 랜섬웨어 사고로 피해발생 분포로 보면 중소기업이 88.5%(규모별), 제조업이 40.3%(업종별)로 제일 비중이 큰 것으로 나타났다.

랜섬웨어 피해 중소기업을 보면, 백업률은 정부의 데이터금고 지원 사업 등의 효과로 35.6%(2021년)에서 41.8%(2022년)로 증가한 것으로 나타났지만, 여전히 백업이 없는 중소기업에 대한 지원 확대와 기업의 보안투자를 통해 데이터 복구 신뢰성을 확보할 필요가 있을 것으로 보인다.

과기정통부는 내년에 랜섬웨어가 지능형 지속 공격 및 다중협박으로 무장하는 등 진화한 모습으로 우리 사회를 위협할 것으로 예측했다.

랜섬웨어 공격은 지능형 지속 공격(APT) 형태로 계속 진화하고 있다.

공격경로는 해킹메일, 웹서버 취약점, 인증관리서버, 원격접근 등을 악용하고 있으며, 오픈소스를 활용하거나 상용도구를 활용해 인증정보 탈취와 권한 상승(Privilege Escalation) 등 공격 양상의 변화가 두드러지고 있다.

또한, 백업용 저장장치도 찾아내 훼손해 데이터 복구를 어렵게 하고 피해 시스템의 이벤트 로그나 메모리 증적을 없애 추적을 회피하고 있다.

공격자는 금전적 수익을 극대화하기 위해 암호화 파일 복구, 유출 데이터 공개, 디도스 공격과 함께 기업 고객도 직접 협박하는 등 다중협박(Multi Extortion) 형태로 진화하고 있다.

특히, 공격자는 피해 기업들이 데이터 복구보다 랜섬웨어 피해가 외부로 공개돼 브랜드 이미지 손상을 더욱 우려한다는 점을 노려, 금전을 요구하면서 협박 수단으로 피해 기업의 시스템에서 갈취한 민감 정보를 일부 공개하는 사례가 지속될 것으로 보인다.

또한, 직접적인 수익 창출을 위해 가상거래소, 전자지갑, 탈중앙화 금융(DeFi, Decentralized Finance) 등을 겨냥한 가상자산 타깃형 공격도 더욱 활발해질 것으로 예상된다.

국정원도 공공·기업 대상 랜섬웨어 피해 확산 등 사이버 금융범죄가 빈발할 것으로 전망했다.

글로벌 경제위기 상황에서 중소 병원·플랫폼 기업을 노린 랜섬웨어 유포와 데이터 공개 협박이 이뤄질 것으로 봤다.

대기업이나 기존 금융권에서 정보보호에 예산과 인력을 적정 수준 투입하는 것과 달리, 중소기업은 정보보호 투자에 한계가 있기 때문에 악의적 공격자들이 이 같은 점을 노릴 것이라는 분석이다.

이 밖에도, 탈중앙화 가상자산(DeFi)이나 오픈뱅킹 등 새로운 금융서비스가 사이버위협 대상으로 대두할 것으로 예측했다.

■기반시설 공격, 사회혼란 야기

과기정통부는 우크라이나 사태가 장기화됨에 따라 내년에도 글로벌 해킹 조직의 활동이 늘어나고, 주요 기반시설이나 글로벌 기업을 대상으로 대규모 사이버 공격 시도가 지속될 것으로 전망했다.

한편, 공격자 연령이 점차 낮아지고 소셜미디어(SNS)를 통해 공격행위를 공개하는 등 사이버 범죄 조직의 대담한 활동이 앞으로 더욱 빈번하게 일어날 것으로 예측되면서 랩서스와 같이 비국가적, 비조직적 공격자에 의한 침해사고 우려도 여전하다고 봤다.

공격자들은 공격 대상의 규모, 대외 신뢰도, 피해 파급력, 데이터 민감도 등을 조사해, 피해기관·기업이 그 사실을 대외에 공개하기 어렵거나, 신속한 복구가 필요한 곳을 목표로 선정해 공격할 가능성이 높다.

국정원에서도 IDC 화재사고로 인한 파급력을 학습한 해킹 조직이 사회 혼란을 노리고 주요 기반 시스템에 대한 파괴적 사이버 공격을 자행할 가능성 우려가 크다고 봤다.

물리적 공격뿐만 아니라 사이버공격으로도 전국적으로 이용되는 온라인 플랫폼, 서비스를 마비시킬 수 있고, 공격이 성공할 경우 국가적인 피해가 발생하기 때문이다. 특히, 주요 플랫폼, 서비스 운영 기관·기업이 이중화 등의 대응 태세 준비에 소홀할 경우, 사이버공격에 의한 피해는 장기화될 가능성이 크다.

아울러, 첨단기술·안보현안 절취 목적의 사이버첩보 활동이 심화될 것으로 예측했다. 북한·중국 등 국가배후 해킹조직은 원자력·우주·반도체·방산 관련 첨단기술과 함께 한미의 대북정책과 방위 전략을 대상으로 지속적인 해킹 시도를 할 것으로 전망했다.

■SW 공급망 '약한 사슬' 노린다

기업 공급망은 다양한 SW제품, 개발업체, 수요자 등 구성요소가 많고, IT자산, 개발환경, 인력, 계약관리 등 관계가 복잡해 공격 탐지와 조치가 어렵고 파급도가 매우 큰 특징을 가지고 있다.

과기정통부는 최근 SW개발자들이 깃허브(GitHub) 등 소스코드 개발 공유사이트를 많이 이용하는 점을 노려 그 안에 악성코드를 삽입하거나 소스코드를 탈취하는 공격이 증가할 것으로 예상된다고 전했다. 오픈소스의 사용도 증가하면서 로그4j 등 유명 오픈소스의 심각한 취약점을 악용하거나, 라이브러리에 악성코드를 삽입하는 등 광범위한 보안문제를 발생시킬 것으로 보인다고 덧붙였다.

또한, SW 개발업체에 직접 침투해 업데이트 서버 변조를 통한 악성코드 유포, 소스코드에 악성기능 추가와 기업의 정상 인증서 탈취 후 위조 서명된 악성코드 등을 유포하는 공급망 공격 시도도 나타날 것으로 전망했다.

클라우드를 대상으로 하는 사이버공격도 우려된다.

코로나19 장기화로 사회 전반이 더욱 빠르게 디지털로 전환하고 있다. 물리적 위치에 제한이 없고 업무 확장이 용이한 클라우드의 장점 때문에 기업들은 온프레미스 환경에서 클라우드 환경으로 전환하는 추세다.

과기정통부는 "이러한 클라우드 전환 과정에서 새로운 보안 취약점이 드러나고, 향후 클라우드 전환 증가와 함께 고려가 필요한 클라우드 보안 아키텍처와 보안전략 미흡으로 위협도 증가할 것으로 예상된다"며 "특히, 계정 관리 실수와 과잉 권한으로 위협이 증가하고 데이터 유출로 이어질 가능성이 있다"고 전했다.

국정원 또한 이와 같은 맥락의 전망을 내놨다. 국정원은 용역업체·클라우드 등 민간 서비스를 악용한 공급망 해킹이 지속될 것으로 내다봤다. 전산 용역업체를 해킹, 절취한 계정정보·소스코드를 고객사 침투 단서로 악용하거나 공공에 확대 중인 민간 클라우드의 보안 취약점을 집중 공격할 것이란 이야기다.

■사이버위협 방어 대책은

비대면 원격근무의 확산과 클라우드 전환으로 기업 업무망이 복잡해지고, 네트워크 경계가 모호해지면서 내부 직원의 계정과 권한을 탈취한 해커를 정상 이용자로 신뢰하면서 내부망의 자료가 유출되는 등 사고사례가 증가하고 있다.

이러한 문제를 해결하기 위해 모든 대상에 대한 잠재적인 위협을 미리 식별하고, 새로운 접근에 대해서는 거듭 확인해 적절한 권한을 부여하는 '제로트러스트'가 주목받고 있다.

또한, SW 개발부터 운영, 유지보수 등 SW 공급 全단계가 복잡해지고 구성요소도 많아지면서, SW 공급망의 보안 위협을 줄이고 위험성을 관리해야 할 필요성이 늘고 있다.

이에 미국 바이든 정부도 국가 사이버보안 개선에 대한 행정명령을 발표하면서 제로트러스트 아키텍처를 자국 연방정부에서 구현하도록 요구하고, 연방기관에 SW 내장 제품을 납품할 경우 소프트웨어 자재명세서(SBOM, Software Bill of Materials) 제출을 의무화 하는 등 공급망 보안 강화에 집중하고 있다. SBOM은 SW의 구성요소를 식별하기 위한 명세서다.

과기정통부와 KISA도 올해 초부터 연구반을 구성해 보안모델과 가이드 마련 필요성을 제시한 바 있으며, 이를 구체화하고 능동적으로 대응하기 위해 지난 10월 '제로트러스트·공급망 보안 포럼'을 발족했다.

과기정통부는 여러 고도화된 방어체계에도 불구하고 예측 불가능한 침해사고가 발생하기 마련이며, 조직은 방어에만 치중하기 보다는 그 피해가 확대되지 않도록 조기에 대응하고 회복하는 대응체계를 갖추는 것이 중요하다고 말했다. 또한, 사이버 침해를 당하더라도 업무 중단이 되지 않도록 백업체계를 마련하고 신속한 복구 프로세스를 사전에 훈련하는 등 사이버 회복탄력성(Cyber Resilience) 대응체계를 도입할 필요가 있다고 제안했다.

박광하 기자 다른기사 보기