과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA)이 ‘사이버 위협 인텔리전스 네트워크’와 함께 사이버 위협에 대한 선제적 예방 및 대응 체계 강화를 위해 ‘2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망’을 발표했다.

사이버 위협 인텔리전스 네트워크는 사이버 보안 위협 정보 공유와 침해 사고 공동 대응을 위해 KISA와 국내외 보안업체가 운영하고 있는 협력 네트워크다. 국내에서는 안랩, 지니언스, 이글루코퍼레이션, NSHC, S2W가 참여하고 있으며 국외 기업으로는 Kaspersky, Mandiant, Microsoft, Splunk, Trend Micro가 협력 중이다.

이번 보고서에서 2023년 주요 사이버 보안 위협으로는 ▲보안 프로그램 취약점과 SW 개발자 대상 공급망 공격 확대 ▲개인정보를 노려 진화하는 메신저 사칭 공격과 피해 재확산 ▲랜섬웨어 공격과 산업 기밀 정보 공개를 빌미로 하는 금전 협박이 꼽혔다.

보안 프로그램 취약점과 SW 개발자 대상 공급망 공격 확대

국내에서 온라인 금융 거래를 이용하기 위해서는 개인용 컴퓨터에 보안 인증 프로그램을 필수적으로 설치해야 한다. 기업에서도 보안 강화를 위한 프로그램을 안전하게 사용하려면 수시로 보안 업데이트를 해야 한다. 이때 필요한 프로그램을 대상으로 하는 소프트웨어(SW) 공급망 공격이 2023년 특히 많이 발생했다.

2023년 3월 해킹 그룹 라자루스의 소행으로 추정되는 보안 인증 프로그램의 취약점을 노린 해킹 공격이 확인되었다. 또한 미상의 해킹 그룹이 국내 보안 프로그램 개발사 내부에 침투하여 업데이트 파일 배포 서버를 통해 악성코드를 유포하고 고객사들의 시스템까지 감염시키는 공격도 발생했다.

대표적인 오픈소스 저장소인 NPM(Node Package Manager)에 악성코드가 포함된 패키지를 올리고 이를 이용해 개발된 기업의 서버가 감염된 사례도 있다. 이처럼 오픈소스 커뮤니티를 노려 악성코드가 숨겨진 패키지를 배포하는 공급망 공격도 지속적으로 발생했다.

SW 공급망 공격은 초기 탐지와 조치가 어렵고 그 파급력도 크기 때문에 공격자들에게는 매우 효율적인 공격으로 이용되고 있고 이러한 SW 공급망 공격은 앞으로도 계속 증가할 것으로 예측된다.

과기정통부와 KISA는 유관 기관들과 협력하여 SW 공급망 공격을 분석하고 제조사와 함께 보안 패치를 개발하였으며 보안 공지와 대국민 안내 등을 통해 패치 적용을 독려하는 등 피해 확산 방지를 위해 적극 대응하고 있다.

현재 마련 중인 ‘SW 공급망 보안 가이드라인’을 조만간 발표하여 SBOM(SW Bill Of Material)을 기반으로 하는 보안 취약점 점검 및 조치도 보다 효율적으로 지원할 계획이다.

개인정보를 노려 진화하는 메신저 사칭 공격과 피해 재확산

포털이나 메신저 등 이용자가 많은 서비스를 정교하게 사칭하여 이용자 개인정보를 노리는 사회공학적 기법의 피싱(Phishing) 공격이 갈수록 진화하고 있으며 유출된 개인정보를 이용해 또 다른 피해로 연결되는 사례도 급증했다.

지난 7월 텔레그램 공식 계정인 것처럼 위장한 피싱사이트를 통해 개인정보와 인증번호 입력을 요구하여 계정을 탈취하고, 탈취한 계정에 등록된 지인들에게 마치 본인이 보낸 것처럼 피싱사이트 주소를 전달하는 새로운 해킹 수법이 나타났다. 이는 피해자 입장에서 매우 속기 쉽게 계정 탈취가 이루어진다는 측면에서 국민들의 각별한 주의가 요구된다.

2023년 피싱사이트 탐지, 차단 건수는 전년 대비 약 1.8배(4206건→7534건) 증가한 것으로 나타났다. 택배 배송이나 교통 범칙금, 지인 부고 등을 사칭하는 문자메시지에 링크 주소(URL) 클릭을 유도하여 악성파일을 설치하려는 스미싱 문자도 2023년에만 약 37만 건이 탐지 및 차단되었다.

국내 기업과 기관들을 대상으로 하는 크리덴셜 스터핑(Credential Stuffing) 공격도 연이어 발생했다. 크리덴셜 스터핑은 타 사이트에서 수집한 사용자의 계정 정보를 무작위로 대입해 로그인을 시도하는 공격 방식이다. 2023년에 인터파크 78만 건, 한국고용정보원(워크넷) 23만 건의 개인정보가 유출되었으며 지마켓의 상품권 번호 도용, 스타벅스의 카드 충전금 도용 등 금전적 피해를 입히는 공격으로 확산되기도 했다.

특히 최근 침해 사고 조사 결과 크리덴셜 스터핑 공격 시 로그인 시도 대비 성공률이 약 0.3% 가까이 되는 경우도 나타나고 있어 각 기업과 기관들은 로그인 시도 횟수 제한, 2차 인증 기능 제공 등 이용자 인증 관련 보안성을 더욱 강화할 필요가 있다.

이외에도 2023년 초 LG유플러스 사용자로 추정되는 고객정보가 해킹 포럼 게시판에 공개된 바 있다. 과기정통부와 KISA는 사고 원인 분석을 위해 민관 합동으로 특별조사점검단을 구성하여 피해 확산 방지, 복구와 재발 방지 등 조치 방안을 수립하고 LG유플러스의 후속 조치 이행 여부를 점검했다.

과기정통부와 KISA는 통신사들과 협력하여 개인정보 입력을 유도하는 피싱사이트를 긴급 차단하고 보호나라 웹사이트와 118 신고 전화 등을 통해 피해 여부 확인과 조치 방법 등을 안내하고 있다. 이용자들도 메신저 서비스에 2차 인증 기능을 설정하고 출처가 불분명한 사이트는 접속하지 않는 등 주의가 필요하다.

랜섬웨어 공격과 산업 기밀 정보 공개를 빌미로 하는 금전 협박

기업 내부의 산업 기밀 정보 유출과 함께 데이터 암호화를 통한 복구 비용 지불을 요구하는 금전 취득 목적의 공격이 지속적으로 발생하였으며 국가 배후의 해킹 그룹이 상대국의 중요 인프라의 운영을 방해할 목적으로 랜섬웨어 공격을 실행하기도 했다.

KISA 침해 사고 신고를 분석해 보면 사이버 보안 위협은 2020년 603건, 2021년 640건, 2022년 1142건, 2023년 11월까지 1184건으로 매년 지속적으로 증가했지만 랜섬웨어 공격 건수는 2022년 325건에서 2023년 11월까지 237건 다소 줄어든 것으로 나타났다.

대신 최근 랜섬웨어 공격은 주로 중소기업(78.1%)과 제조업종(36.7%)을 대상으로 하여 먼저 기업의 기밀 정보를 빼내고 운영 서버와 백업 서버 자료까지 찾아 암호화하여 금전을 요구하는 복합적인 방식(Multi Extortion: 다중협박)으로 이루어져 공격 양상이 더욱 심각해지고 있다.

과기정통부와 KISA의 중소기업 백업 체계 구축 지원 사업과 안내 등을 통해 랜섬웨어 피해를 신고한 중소기업의 약 50.3%(2021년 35.6%)는 데이터 백업 체계를 구축하여 피해를 최소화할 수 있었지만 나머지 기업들은 여전히 데이터 복구에 어려움을 겪고 있는 것으로 보인다.

랜섬웨어에 대비하기 위해 각 기업들은 외부에 노출되어 있는 서버에 대해서는 비정상적인 접근 차단과 보안 취약점 제거 등을 통해 내부로 침입할 수 있는 위협 접점을 제거하는 공격 표면 관리를 더욱 철저히 하고 백업 서버는 반드시 별도의 분리된 환경(망 분리 등)에 따로 구축하여야 한다.

KISA는 랜섬웨어 대응 역량이 부족한 지역과 중소 및 영세기업을 대상으로 무상 보안 취약점 점검과 서버 보안 점검(내서버돌보미)을 지원 중이며 한국정보보호산업협회(KISIA)도 랜섬웨어 대응 보안 솔루션 패키지 지원 사업을 진행 중에 있다. 2023년에 보안 취약점 점검은 400건, 내서버돌보미는 350건 실시됐으며 KISIA 보안 솔루션 패키지도 147건 지원됐다.

석주원 기자 다른기사 보기