글로벌 보안 기업 포티넷의 보안연구소 포티가드랩이 ‘2020년 상반기 글로벌 위협 전망 보고서’를 발표했다. 연구에 따르면, 최근 해커들은 코로나19로 인한 글로벌 팬데믹 상황을 사이버 공격의 기회로 삼고 있는 것으로 나타났으며, 디지털 시대의 핵심 인프라인 사물인터넷(IoT)과 운영기술(OT)을 노리는 랜섬웨어는 더욱 정교하게 진화하고 있는 것으로 나타났다.

모든 해커들의 멋잇감, 코로나19

많은 해커들은 사람의 심리를 파고드는 사회공학적 기법을 활용해 사이버 범죄를 저지른다. 그러나 2020년 상반기에는 기회주의적(opportunistic) 피싱 공격자부터 계획적인 국가-주도 공격자(nation-state actors)까지 많은 해커들이 글로벌 팬데믹 상황을 악용할 수 있는 여러 방법을 찾아내 사이버 공격을 자행하고 있다.

올해 상반기의 사이버 공격은 피싱 및 비즈니스 이메일 침해 계획, 국가 주도적 지원 캠페인 및 랜섬웨어 공격 등 다양한 방식으로 이뤄졌다. 해커들은 전 세계 모든 이들에게 영향을 미치는 팬데믹의 글로벌 속성과 즉각적으로 확장된 디지털 공격 면으로 인해 발생한 기회를 활용하고 있다. 이는 해커들이 팬데믹 상황과 같이 국제적, 사회적으로 광범위하게 영향을 미치는 사안을 공격에 얼마나 잘 활용하는지 보여준다.

원격근무를 노리는 사이버 공격

팬데믹 이후 원격 근무가 확대되며 해커들은 이를 기회로 활용하기 시작했다. 2020년 상반기에는 여러 소비자용 라우터 및 IoT 장치에 대한 익스플로잇 시도가 IPS 탐지 목록 상단을 차지했다. 또 IoT 제품의 오래된 취약점과 새로운 취약점을 타깃으로 삼는 공격자들이 증가하면서 미라이(Mirai)와 고스트(Gh0st)와 같은 악성 봇넷이 활발히 유포되고 있다.

해커들의 이러한 공격 트렌드는 원격 근무자들이 기업 네트워크와의 연결을 위해 사용하는 장치를 악용해 기업 네트워크 공격을 위한 거점을 확보하기 위함이며, 엔터프라이즈 네트워크 경계가 집까지 확장되는 만큼 더욱 세심한 보안 조치가 필요하다는 시사점을 남긴다.

여전한 랜섬웨어 유포

상반기 동안 코로나19 상황은 다양한 랜섬웨어 캠페인의 미끼로 사용됐다. 특히 일부 랜섬웨어들은 데이터를 암호화하기 전에 컴퓨터의 MBR(master boot record)을 변조하기도 했고, 공격자가 피해 조직의 데이터를 잠그고 데이터를 훔치며 광범위하게 사용되는 릴리스를 추가 수단으로 사용하여 몸값을 요구하는 랜섬웨어 사고도 증가했다.

랜섬웨어 공격이 줄어들지 않고 있다는 것은 랜섬웨어 공격으로 기업들이 귀중한 정보나 민감한 데이터를 도난당할 위험이 높아졌음을 의미한다. 전 세계적으로, 그 어떤 산업도 랜섬웨어 공격을 피할 수 없었으며, 랜섬웨어 공격을 가장 많이 받은 산업은 통신, MSSP, 교육, 정부, 테크놀로지 분야였다.

운영기술(OT) 위협하는 사이버 공격

지난 2010년 처음 발견돼 산업 시설을 감시하고 파괴하는 웜 바이러스 ‘스턱스넷’은 OT 보안의 진화에 큰 분기점이 됐다. 이후로 OT 네트워크는 사이버 공격자들의 표적이 되고 있으며, 올해 초 등장한 EKANS 랜섬웨어는 해커들이 랜섬웨어 공격 범위에 OT 환경을 포함시키고 있으며, 공격의 초점을 지속적으로 확대하고 있음을 보여준다.

또 에어-갭(air-gapped)이나 폐쇄망으로 제한된 네트워크 내에서 민감한 파일을 수집 및 유출하도록 설계된 램세이(Ramsay) 프레임워크는 이러한 유형의 네트워크에 침투할 새로운 방법을 찾는 해커들이 늘어나고 있음을 보여준다.

원격 감시제어와 데이터 수집 시스템(SCADA) 시스템 및 기타 유형의 산업 제어 시스템(ICS)를 타깃으로 하는 위협의 확산은 IT를 위협하는 공격보다 횟수는 적지만, 사회 인프라를 목표로 한다는 점에서 위협의 규모는 더욱 크다고 할 수 있다.

최형주 기자 다른기사 보기