[디지털데일리 이종현기자] “2023년의 보안 이슈를 살펴보면 작년보다 더 고도화되고 진화하고 있는 랜섬웨어 공격이 주목된다. 국내외에서 크고작은 랜섬웨어 관련 해킹사고가 발생하고 있는데, 제로데이(Zero-day) 취약점을 적극적으로 사용하고 있다.”(SK쉴더스 EQST 이재우 그룹장)

5일 SK쉴더스의 보안 전문가그룹 이큐스트(EQST)는 2023년 한해 동안 발생한 사이버보안 이슈를 돌아보고 2024년 있을 위협에 대한 전망과 대응 전략을 공유하는 미디어 세미나를 개최했다.

SK쉴더스는 연초 독일 보안 전문가 라디미르 팔란트(Wladimir Palant)가 국내 사이버보안 기업의 제품 취약점을 공개한 건을 비롯해 북한 해커그룹에 의한 공격, 기업용 통신 애플리케이션(앱) 3CX에 의한 소프트웨어(SW) 공급망 공격, 클라우드 계정접근관리(IAM) 솔루션 기업 옥타의 해킹 등 올해 발생한 각종 보안사고를 공유했다.

국내 기업이 북한 랜섬웨어 그룹과 결탁한 사례도 언급했다. 데이터 복구 기업이 북한 해커로부터 랜섬웨어 복호화 키를 전달받아 랜섬웨어에 감염돼 찾아오는 고객을 대상으로 데이터를 복구해준 뒤 복구 자금을 북한과 공유한 건이다. 이호석 EQST 팀장은 “랜섬웨어는 100% 복구가 되지 않는다”며 해당 기업이 700건 이상의 피해를 양산했다고 말했다.

SK쉴더스의 조사 결과 가장 많은 공격이 집중된 것은 전년에 이어 올해도 제조 분야로 나타났다. 제조(20%), 개인(17%), 공공/정부(15%), 금융(12%) 등 순으로 공격이 집중됐다. 각 영역에서 전년대비 제조는 2%포인트(p). 개인은 8%p, 공공/정부는 2%p, 금융은 1%p씩 공격 집중도가 향상됐다. 전년과 가장 큰 차이를 보인 것은 개인이다. EQST는 개인을 노린 피싱 및 큐싱 범죄로 인한 것이라고 설명했다.

유형별 사고 발생 통계로는 중요 정보 유출 사례가 32.5%로 가장 높은 비중을 차지했다. 이는 초기 침투 브로커(IAB, Initial Access Broker)의 활동 증가와 핵티비즘으로 인한 공공/정부를 대상으로 한 기밀정보 유출 공격이 늘어난 것이 원인으로 지목됐다. 악성코드로 인한 해킹 사고도 31.4%로 그 뒤를 이었다.

올해에는 위험도 높은 취약점 탐지 건수가 크게 늘어난 점도 눈길을 끈다. EQST는 전년대비 184%나 증가했다고 밝혔다. 자바(JAVA) 기반의 오픈소스 소프트웨어(SW)인 Log4j 취약점과 더불어 올해 발견된 신규 취약점을 이용한 공격이 성행했으며 오래된 취약점을 이용한 공격시도가 꾸준히 발생한 것으로 조사됐다고 전했다.

제조업을 향한 공격으로 인해 피해가 이어지고 있지만 기업들의 대응은 여전히 미진한 것으로 나타났다. EQST 이호석 팀장은 “공장망에 컨설팅을 하러 가 보면 보안 담당자가 아예 없는 경우가 많다. 해킹을 당하더라도 ‘어쩔 수 없는 거지’하고 넘기는 경우가 많고, 한 번 공격 당한 뒤 ‘두 번은 안 당하겠지’ 하다가 또다시 피해를 입기도 한다”고 말했다.

또 “메이저라고 생각하는 그런 제조 기업들 말고, 1차 협력사 같은 경우 중요 정보를 다루긴 하지만 보안에는 허술한 경우가 많다. 이런 1차, 2차 협력사를 통해서 위로 올라가는 형태의 공격들이 많이 있다”고도 부연했다. 산업 생태계 전반에서 적절한 수준의 보안 조치가 이뤄지지 않을 경우 보안에 투자를 한 대기업이라 할지라도 피해를 입을 수 있다는 의미다.

SK쉴더스가 2024년 전망한 5대 보안 위협은 ▲인공지능(AI) ▲랜섬웨어 전략 고도화 ▲공급망 공격 ▲계정접근관리(IAM) ▲클라우드 등이다.

생성형 AI는 공격과 방어 양 측면에서 모두 적극적으로 활용되는 기술이다. 공격 측면에서는 특히 피싱에 많이 활용되고 있다. 윤리적 안전장치를 제거한 ‘웜GPT’가 대표적인 예다.

이재우 EQST 그룹장은 “피싱메일의 경우 예전에는 어눌한 어투로 작성되서, 문맥상 맞긴 하지만 이상한 형태가 많았다. 그런데 이제는 웜GPT 등을 이용해 보완하다 보니 해외에서도 자연스러운 문장으로 공격을 할 수 있게 됐다”며 “이런 AI를 이용한 피싱을 비즈니스 이메일 침해(BEC)로 활용하지 않을까 전망하고 있다”고 밝혔다.

올해 발생한 CX 사태와 같은 공급망 공격도 더욱 기승을 부릴 것으로 예상된다. 기존 공격은 해커가 타깃으로 삼을 만한 기업‧기관을 정해두고 이뤄졌지만 공급망 공격은 취약점이 있는 SW를 찾으면 이를 사용 중인 기업 전반을 공경할 수 있는 만큼 여파가 훨씬 크다.

클라우드 IAM을 노린 공격도 지속할 것으로 예상된다. 이재우 그룹장은 “클라우드 IAM을 제공하는 서비스 벤더를 해킹할 경우 공격자는 로그를 하나도 남기지 않고 클라우드 인프라에 접속할 수 있게 된다”고 지적했다. 실제 IAM 서비스를 제공 중인 글로벌 벤더 옥타가 해킹돼 서비스 이용 기업들에게 피해가 이어지기도 했다.

이 그룹장은 “옥타를 대체할 만한 벤더가 마땅치 않아서 포털 관리자들도 고민 중”이라며 “해커가 침투할 때 특정 구간에서만 활동할 수 있게 마이크로 세그멘테이션을 하라고 조언하고 있다. 또 그 구간에 대해서는 관리형 탐지 및 대응(MDR)이나 확장된 탐지 및 대응(XDR)와 같은 서비스로 빠르게 탐지‧대응하는 것이 중요하다”고 피력했다.