KISA(원장 김석환)는 7일 각 국가 및 국내 보안기업들과 함께 지능화·고도화되는 사이버 위협에 선제적으로 대비하고 사이버 보안 활동을 선도하고자 ‘2021년에 주목해야 할 사이버 위협 시그널’을 발표했다.

먼저 글로벌 사이버 위협 시그널은 ▲표적형 공격 랜섬웨어의 확산과 피해규모 증가 ▲고도화된 표적형 악성 이메일 ▲코로나-19 사이버 공격 팬데믹 ▲다크웹 유출 정보를 활용한 2차 공격 기승 ▲기업을 낚는 사이버 스나이퍼가 포함됐다.

또 국내 사이버 위협 시그널로는 ▲표적 공격과 결합된 랜섬웨어의 위협 확대 ▲보안 솔루션을 우회하기 위한 기법 고도화 ▲사회기반시설 및 중요 인프라를 겨냥한 사이버 위협 범위 확대 ▲5G를 이용한 사물인터넷(IoT)제품의 활성화로 새로운 보안 위협 대두 ▲국가 지원 해킹 그룹의 공격 증가와 위협 대상 확대 및 다양화 ▲클라우드 서비스 목표한 공격 증가 ▲포스트 코로나 시대 비대면(언택트) 전환 후 보안 사각지대를 노린 사이버 위협 증가 ▲거세진 DDoS, 금전까지 요구하는 공격 증가를 선정했다. 자세한 내용은 다음과 같다.

■2021년 국내 사이버 위협 인텔리전스 8대 전망

△[안랩] 표적 공격과 결합된 랜섬웨어의 위협 확대

많은 기업이 피해를 입었던 메이즈(MAZE) 랜섬웨어가 11월 초 은퇴 선언을 하면서 그동안 탈취했던 자료를 모두 공개하는 사건이 있었으나 그리 놀랄만한 일은 아니다. 하나의 랜섬웨어 위협이 없어졌을 뿐 신규 랜섬웨어의 등장과 피해는 꾸준히 발생할 것이기 때문이다. 오늘날 기업은 효율적인 시스템 관리를 위해서 다양한 소프트웨어를 사용하고 있다. 이는 공격자가 악의적인 행위를 할 수 있는 계기를 만들어 주기도 한다. 최근 기업 내부 소프트웨어의 취약점을 악용하여 랜섬웨어가 유포된 사례가 있다. 이처럼 소프트웨어 취약점을 통해 기업 내부 시스템을 장악하고 랜섬웨어를 유포하는 공격이 많이 발생할 것으로 예상된다. 또한, 공격자는 수익 극대화를 위해 다양한 산업 분야로 랜섬웨어를 유포하고 있다. 최근 독일의 한 병원이 랜섬웨어 공격을 받아 의료 시스템이 마비됐고 그 결과로 응급환자가 사망하는 사건이 발생했다. 랜섬웨어 감염으로 사람의 목숨을 잃을 수도 있음을 알 수 있다. 이와 유사한 사건은 꾸준히 발생할 것이며 대상이 확대됨에 따라 피해 또한 커질 것이다.

△[하우리] 보안 솔루션을 우회하기 위한 기법 고도화

최근 악성코드는 실행 파일(EXE, DLL)보다는 보안 솔루션 탐지를 우회하기 쉬운 비실행 파일(LNK, PowerShell, VBS)로 제작되는 추세다. 이러한 파일은 변형이 쉬워 대량으로 빈번하게 제작·배포될 전망이다. 공격자들은 비실행 파일을 이용하여 실제 파일이 없는 ‘Fileless 공격 기법’을 사용한다. 해당 공격 기법을 사용하면 악성코드가 메모리에서만 실행되기에 실제 동작코드를 확보하기 힘들고 즉각적인 탐지가 어렵다. 따라서 공격 대상 및 범위 파악, 공격자 추적이 어려워진다. 여기에 특정 기관이나 개인을 사칭하고 사회적 공통관심사로 위장하는 등 피싱과 결합하여 공격의 시너지를 극대화하고 있다. 최근에는 랜섬웨어, 채굴형 악성코드, 봇넷 등 다양한 악성코드에도 사용되어 사용자의 주의와 효과적인 탐지 기반이 필요하다.

△[NSHC] 사회기반시설 및 중요 인프라를 겨냥한 사이버 위협범위 확대

2020년에 발생한 다수의 사이버 침해사고 중 중요 사례들을 살펴보면 국가 및 사회 기반 시스템에 대한 공격이 증가할 것으로 예상할 수 있다. 지난 5월 대만정부가 국영으로 운영하는 대만중유(CPC)에서 랜섬웨어 공격으로 약 7천대 시스템 가동이 중단되어 주유소 업무가 마비되었다. 이와 함께 대만 반도체 기업인 파워테크 테크놀로지(PTI)도 공격을 받아 반도체 생산 시스템 가동이 중단 되었다. 또한, 6월에 발생한 일본의 혼다(Honda) 해킹 사고는 미국, 터키 및 인도 등 전 세계에 걸쳐 있는 혼다 자동차 생산 시스템의 가동을 중단시켜 큰 피해가 발생하였다. 이러한 공격은 해외뿐만 아니라 국내에서도 발견되고 있으며, 국내 원전시설이나 발전, 가스 공급 등 국가 핵심 기반시설에 대한 사이버 공격 시도가 2천 건이 넘는 것으로 확인된다. 2021년에도 역시 국가 운영에 근간을 둔 기반 시스템들에 대한 사이버 위협은 지속적으로 증가할 것으로 주의가 당부된다

△[잉카인터넷] 5G를 이용한 사물인터넷(IoT)제품의 활성화로 새로운 보안 위협의 대두

5G를 활용하여 사물인터넷 기반 서비스가 확대되고 있다. 의료, 스마트 홈, 스마트공장, 스마트 농업 등 전 산업군의 실제 생활 영역에 적용되면서 생활과 밀접화된 공격이 증가하고 있다. 보안이 취약한 도어락의 원격 개폐기능을 악용하여 가정 내 무단침입을 시도하거나, 취약한 비밀번호가 설정된 IP 카메라를 해킹하여 사생활 노출협박 및 금전을 요구 하는 사례도 빈번히 발생하고 있다. 특히 이러한 IoT 기기는 보안 기능이 제한적이거나 없는 경우가 많기 때문에 공격이 상대적으로 쉽다. 또한, 글로벌 기업 HP의 조사 결과에 따르면, 상위 10개의 IoT 제품에 최소 25개 이상의 취약점이 존재하며 취약점 개선을 위한 제조사의 펌웨어 업데이트와 같은 대응책은 부족한 상황이다. 올해 초 등장한 ‘dark_nexus’ IoT 봇넷 악성코드는 라우터, 영상 레코더, 열화상 카메라 등을 포함해 1천 300대가 넘는 다양한 IoT 기기를 감염시켰다. 중국, 한국, 태국, 브라질, 러시아 등 전 세계적으로 공격이 이루어졌으며, 이러한 봇넷을 통해 DDoS 공격이 증가 하고 있다. 앞으로 가능한 모든 기기가 연결되고, IoT의 활용이 늘면서 IoT 기기에 저장 된 개인정보를 탈취하거나 악성코드의 새로운 유포지로 활용되는 등의 사이버 공격이 증가할 것으로 예상된다.

△[이스트시큐리티] 국가 지원 해킹 그룹의 공격 증가와 위협 대상 확대 및 다양화

국가의 지원을 받아 활동하는 해킹 그룹의 공격은 갈수록 고도화, 지능화되고 있다. 정부차원의 체계적인 훈련과 교육을 받아 활동하는 사이버 공간의 위협 조직들은 여전히 시공간을 초월해 활동반경을 확대하고 있으며, 모든 면에서 변화를 꾀하고 있다. 공격 기술도 진화를 거듭하고 있어 대응에 여러 어려움이 나타나고 있어 보다 체계적인 보안 역량 강화가 요구된다. 특히, 한국의 정치·외교·안보·통일·국방 전 현직 관계자와 활동가들이 주요 공격목표가 되고 있는 현실을 부정하기 어렵다. 2021년에 이들의 공격 수준은 국가 사이버 안보를 위협할 정도로 발전할 것으로 예상되며, 공공기관 뿐만 아니라 민간시설에 대한 공격도 계속 이어질 것으로 전망된다. 이메일을 기반으로 한 스피어 피싱은 전형적인 수법이지만 아직도 매우 유효한 사이버 공격무기로 활용되고 있으며, 수신자의 심리를 교묘하게 파고드는 멀티 트랙 전략을 구사하고 있어 2021년도 대표적인 위협벡터로 꼽힌다. 국가 간 외교문제와 연계된 APT 조직의 위험수위가 상대적으로 매우 높아 민관 위협 인텔리전스의 지속적인 협력 강화가 필요하다.

△[안랩] 클라우드 서비스 목표한 공격 증가

클라우드 서비스 사용이 증가하면서 클라우드 서비스를 대상한 공격 시도가 증가하고 있다. 클라우드 내 시스템을 전문적으로 노리는 TeamTNT 사이버 범죄그룹은 암호화폐 채굴 악성코드에 Docker 및 Kubernetes 시스템에서 평문 상태의 AWS 크리덴셜 및 설정 파일을 훔치는 기능을 추가하였다. 공격자는 훔친 로그인 정보를 바탕으로 클라우드 시스템에 접근할 수 있다. 또한, 클라우드 시스템을 관리하는 프로그램(Weave Scope 등)은 클라우드 내부 서비스에 자유롭게 접근할 수 있다. 이를 악용하면 관리도구를 백도어로 활용할 수 있어 주의가 필요하다. 공격자는 클라우드 서비스 내 서버를 장악해 악성코드를 배포하거나 C&C 서버로 활용하는 등 다양한 공격을 시도하고 있다. 앞으로도 클라우드 서비스를 직·간접적으로 이용한 공격이 증가할 것으로 예상되며 관리자들은 로그인 정보와 관리시스템 보안을 강화해야 한다.

△[빛스캔] 포스트 코로나시대 비대면 전환 후 보안 사각지대를 노린 사이버 위협 증가

코로나-19로 인한 업무 환경의 변화를 틈새로 새로운 공격 시도가 나타나고 있다.사내 업무 공간이 축소되고 원격근무 환경 전환이 가속화되고 있어, 재택근무자를 공격하여 기업 내부 침입을 시도하는 비율이 증가하고 있다. 보안기업 Avast의 침해사고 사례에 따르면 공격자는 원격근무에 이용되는 직원의 VPN 계정 정보를 획득하고 보안 취약점을 이용해 기업 내부망에 접근한 후 기업의 특정 S/W 제품 변조를 시도하였다. 이는 기업 네트워크 경계가 집까지 확장되어 보다 주의 깊은 보안조치가 필요하다는 점을 시사하고 있다. 또한, 비대면 교육 환경의 변화를 이용하여 원격 수업 파일 다운로드를 통한 랜섬웨어 공격, 코로나-19 관련 메시지와 첨부파일로 악성코드 감염을 유도하는 등의 공격도 증가하고 있다. 인터폴에서 발표한 보고서(INTERPOL report shows alarming rate of cyberattacks during COVID-19)에 따르면, 전 세계 사이버 범죄 중 59%가 스피어 피싱이며, 스피어 피싱 메일 제목에는 주로 '코로나19', ‘COVID-19’, ‘WHO’, ‘MASK’, 특정 종교집단 관련 등 코로나-19 관련 주의를 알리는 어휘가 사용되었다. 이는 공격자들이 사회적으로 광범위하게 영향을 미치는 사안을 공격에 얼마나 잘 활용하는지를 보여준다. 포스트 코로나시대에 사이버 보안 위협으로부터 효과적으로 대응하기 위해 코로나-19 이전에 준수했던 보안 수칙보다 적극적이고 강화된 보안 수칙을 마련하고 이를 통해 중무장해야 한다.

△[KISA] 거세진 DDoS, 금전까지 요구하는 공격 증가

DDoS 공격은 꾸준히 증가하고 있다. 미국, 인도, 이란, 유럽 등 전 세계에서 DDoS 공격이 발생하고 있으며, 국내외로 금융, 교육, 공공기관 등을 노린 대규모 DDoS 공격이 끊이지 않고 있다. 과거에는 정치·사회적 목적의 대형 공격이 집중된 반면, 최근에는 금전을 요구하는 ‘랜섬 디도스’ 공격이 증가하고 있다. 공격 전 금전을 요구하고 지불하지 않으면 추가 공격을 예고하는 형태다. 최근 국제 사이버 범죄 그룹 ‘팬시 베어’가 국내 은행을 대상으로 약 2억 5000만원 상당의 비트코인을 요구했으며, 지불하지 않으면 대규모 트래픽 공격을 하겠다고 예고했다. 이러한 공격은 금융뿐만 아니라 대학, 공공 서비스 분야에서도 나타나고 있으며, 앞으로도 계속될 것으로 보인다. 또한, 지난 6월 DDoS 공격의 신기록이 수립됐다. 초당 1.44 TByte와 초당 3억 8500만 패킷 규모의 공격이 두 웹사이트에서 연달아 발생했다. 공격에 활용된 트래픽의 종류만 9개가 넘고, 진원지도 전 세계적이다. 공격자는 여러가지 도구와 기법들을 활용한 것으로 보인다. 앞으로 이러한 형태의 공격은 끊임없이나타날 것이며, 점점 고도화될 것으로 예상된다.

■랜섬웨어, 2021년 가장 주목해야 할 사이버 위협 중 하나

특히 이번 2021년 위협 시그널 발표에서는 랜섬웨어에 대한 각별한 주의를 당부하고 있다.

랜섬웨어는 전 세계적으로 가장 주목해야 할 사이버 위협 가운데 하나로 나타나고 있다. 최근 국내의 한 기업은 랜섬웨어 공격으로 영업을 조기에 종료하는 상황이 벌어졌으며, 일본의 한 자동차 기업은 전 세계 11곳의 공장 시스템이 마비돼 출하가 일시 중단되는 일이 발생하기도 했다. 이 외에도 해외에서는 랜섬웨어로 병원 시스템이 마비돼 긴급 이송하던 환자가 사망한 사건이 발생했다.

이렇게 랜섬웨어는 더 이상 분야를 가리지 않고 대상을 표적해 공격할 뿐 아니라, 기업의 중요 정보, 고객 개인정보 및 결재정보를 가지고 협박하는 수단 또한 다양해질 것으로 보인다. 따라서 무엇보다 ▲최신 보안 업데이트 조치 ▲출처 불명확한 이메일과 URL 링크 실행 주의 등 기본적인 보안 관리뿐 아니라 ▲백업 체계 구축 및 보안성 강화 등 철저한 관리가 필요하다.

★정보보안 대표 미디어 데일리시큐!★