[디지털데일리 이종현기자] 2021년에는 국내·외에서 굵직한 해킹 사고가 줄을 이었다. 그동안 사이버보안 업계에서 경고해오던 공급망 공격, 운영기술(OT) 및 사물인터넷(IoT) 해킹 등이 현실화됐다.

2021년 1월에는 2020년 12월 발생했던 대규모 공급망 공격 ‘솔라윈즈(Solar Winds)’ 사태의 여파가 채 가시기도 전, 마이크로소프트(MS) 익스체인지 서버 해킹 시작됐다. 1~2월 물밑에서 시작됐던 해당 공격은 3월부터 피해가 신고되기 시작했는데 3만여개 이상 기업·기관이 피해를 입었다.

또 3월 국내 이동통신사에 가입된 스마트폰 4만여대가 가짜 인터넷뱅킹 애플리케이션(앱)을 설치해 해킹된 사례도 밝혀졌다. 국가정보원에 따르면 가짜 앱을 내려받은 피해자는 통화기록과 문자메시지 등 유출에 더해 통화 내용의 도청 정황도 포착됐다.

중국 해커 그룹이 중국 신장 출신 위구르족을 대상으로 사이버 스파이 전술 활동을 펼쳤다는 의혹도 제기됐다. 메타(구 페이스북)은 “어스 엠부사(Earth Empusa) 또는 이블아이(Evil Eye)로 알려진 중국 해커 그룹이 중국 신장 출신의 위구르족과 언론인 및 반체제 인사를 표적으로 악성코드를 감염시켜 감시했다”고 발표했다.

4월에는 페이스북의 개인정보 유출 사고가 발생했다. 피해 규모는 5억3300만명으로, 한국 이용자는 12만여명이다. 페이스북 아이디를 비롯해 이름, 전화번호, 생일, 경력 및 학력, 이메일, 주제 공유 내역 등이 유출됐다.

카이스트(KAIST)의 학내 전광판 화면을 위·변조하는 디페이스 공격도 이뤄졌다. 평소 학과 안내를 송출하던 디스플레이에는 ‘Hacked by Black Joker’라는 문구와 트위터 아이디가 표시됐는데, 6월 한국외대 도서관의 디스플레이도 같은 디페이스 공격을 당했다.

◆OT 공격 심각성 일깨운 콜로니얼 파이프라인 해킹

5월에는 미국 송유관 업체 콜로니얼 파이프라인의 해킹 소식이 전 세계를 강타했다. 피해는 미국에 한정됐으나 일반인들에게도 피해를 미치는 산업시설에 대한 공격이라는 점에서 크게 주목받았다. 국내에서도 공장이나 에너지 시설 등의 운영기술(OT) 보안에 대한 경각심을 불러왔다는 점에서 2021년을 대표할 만한 대형 사고로 꼽힌다.

같은 달 말 글로벌 육가공업체 JBS도 랜섬웨어 공격에 당했다. 다크웹을 통해 아이디, 패스워드 등 계정정보와 취약점을 확보한 뒤 가상사설망(VPN) 서비스에 침투했다. 5테라바이트(TB) 상당의 데이터를 훔쳐낸 뒤 랜섬웨어로 전체 시스템을 마비시켰다.

6월 국내 원자력 관련 기술을 담당하고 있는 한국원자력연구원, 한국항공우주산업(KAI)의 해킹 소식이 주목받았다. 국가정보원(이하 국정원)과 국내·외 보안기업은 공격자로 북한 해킹조직을 지목했다. VPN 취약점을 이용한 공격으로 알려졌다.

7월에는 정보기술(IT) 관리용 솔루션 기업 카세야(Kaseya)의 플랫폼 ‘VSA’가 랜섬웨어의 유포 경로로 악용됐다. 공급망 공격의 일환으로 지난 연말 발생한 솔라윈즈 사태와 유사한 방식이다. 카세야의 플랫폼을 이용하는 기업·기관들이 광범위하게 피해를 입었다. 보안기업 이셋(ESET)은 17개국에서 피해가 발생했다고 전했다.

이스라엘 기업 NSO 그룹의 스파이웨어(첩포툴) ‘페가수스’로 불거진 논란도 7월이다. 페가수스는 모바일 운영체제(OS)인 안드로이드, iOS 취약점을 이용, 스마트폰의 활동 전반을 엿볼 수 있도록 하는 소프트웨어(SW)다. 범죄자 추적, 테러 방지 등에 사용돼야 하나 인권탄압 및 정치·언론인 도·감청에 악용됐다. 에마뉘엘 마크롱 프랑스 대통령도 페가수스의 피해자다.

◆일상까지 위협하는 해킹··· 홈IoT 노리는 해커들

8월 과학기술정보통신부(이하 과기정통부), 국정원은 국내 사이버 위기 경보를 ‘정상’에서 ‘관심’ 단계로 상향했다. 5월부터 북한 해킹조직 소행으로 추정되는 사이버공격이 이어짐에 따라 경계를 강화했다. 9월 이스트시큐리티는 기업·기관뿐만 아니라 일반인을 대상으로 한 PC, 스마트폰 도·감청 시도가 늘었다고 전한 바 있다.

10월에는 소개팅 애플리케이션(앱) ‘골드스푼’이 해킹됐다. 이름, 전화번호와 같은 기본 개인정보를 비롯해 직업, 학력, 자산/연소득, 수입차량 보유 등까지 확인하는 ‘상위 1%를 위한 소개팅 앱’을 표방하는 터라 2차·3차 피해가 우려된다. 피해 규모는 13만여명이다.

10월부터 11월 사이, 넷플릭스의 인기 드라마 ‘오징어게임’을 이용한 해킹 활동도 다수 발견됐다. 불법 다운로더를 겨냥해 오징어게임 영상 속에 악성코드 삽입, 시즌2 탤런트 캐스팅 일정 사칭한 악성메일, 스트리밍 영상 사이트 사칭한 피싱 등이 대표적이다.

다크웹에 한국 아파트 내부를 촬영한 동영상의 대규모 유출 사건도 발생했다. 벽에 부착된 형태로 가정 내 사물인터넷(IoT) 기기를 제어하는 단말기 월패드가 해킹된 건이다. 700여개 아파트 단지가 피해를 입은 것으로 알려진 가운데 정부와 산업계는 대응책 마련에 한창이다.

◆‘컴퓨터 역사상 최악의 위협’ log4j 취약점

다사다난했던 한해가 마무리될 12월에도 사고가 이어졌다. ‘컴퓨터 역사상 최악의 위협’이라고 불리는 아파치 소프트웨어 재단 오픈소스 프로그램 ‘log4j’의 취약점이다. 원격코드실행(RCE) 취약점으로 0~10점으로 위험성을 평가하는 CVSS 점수에서 가장 높은 10점을 받았다.

log4j 관련 취약점은 여전히 해결되지 않은 상태다. 워낙 광범위하게 쓰이는 오픈소스 프레임워크인 만큼 기업들이 자사 시스템에 log4j를 쓰고 있는지 파악하는 것이 어렵기 때문이다.

아직 국내에서 log4j 취약점으로 인한 피해 사례는 접수되지 않았다. 다만 취약점이 발견되기 전부터 이를 이용한 공격을 해왔던 정황이 파악된 만큼 피해는 불가피하다는 것이 업계 통설이다.

한편 국내 기업·기관 및 전문가를 대상으로 한 북한발 해킹 위협은 1년 내내 발생했다. 주요 기술을 노린 기업들부터 통일부를 사칭해 북한 전문가나 언론인 등을 타깃으로 한 지능형지속위협(APT)이 활발히 이뤄졌다. 노태우 전 대통령 사망 당시 조문 뉴스를 가장한 피싱 이메일을 유포하기도 했다.

국정원은 2021 사이버안보 보고서를 통해 내년도 주요 위협으로 국가 배후 해킹조직에 의한 20대 대통령 선거 전후 우리정부의 대미·대북정책 정보 절취가 우려된다고 발표했다. ‘국가 배후 해킹조직’이라고 표현했지만 사실상 북한이 그 대상이다.