[데이터넷] 최근 미국과 일본의 대학에서 암호화한 레이저를 이용해 아마존 알렉사, 애플 시리, 구글 어시스턴트 등 AI 스피커를 해킹하는데 성공했다. 이 처럼 지능형 CCTV, AI 스피커 등 인터넷 연결 기기 사용이 일상화되면서 일상생활 전반이 사이버 공격에 노출되고 있다.

한국인터넷진흥원(KISA)이 5일 발표한 ‘2020년도 7대 사이버 공격 전망’에서는 일상에서 많이 사용되는 IoT 결합 서비스를 대상으로 한 사이버 위협에 대해 경고했다. 내달 윈도우7과 서버 2008 지원 지원 종료에 따라 해커의 표적은 더욱 늘어날 것으로 보인다. 2017년 워너크라이 랜섬웨어도 보안 업데이트 지원이 중단된 윈도우XP를 집중 공략한 점을 보고서에서 경고하며, 현재 국내 PC의 25%가 윈도우7을 사용하고 있어 워너크라이 같은 대규모 해킹 사고가 일어날 가능성이 있다고 지적했다.

"기본 보안관리 철저히 해야"

이 보고서는 ‘사이버위협 인텔리전스 네트워크’에 참여하는 KISA, 안랩, 빛스캔, 이스트시큐리티, 하우리, 잉카인터넷, NSHC 등이 함께 작성한 것으로, 이 협의체는 사이버 위협정보 공유와 침해사고 공동 대응을 위해 활동하고 있다.

이번 보고서에서는 ▲일상으로 파고든 보안 취약점 ▲공공기관·기업으로 확대되는 랜섬웨어 공격 ▲해킹에 취약한 암호화폐 거래소 ▲문자 이메일 안으로 숨어드는 악성코드 ▲진화하는 지능형 표적 공격 ▲모바일 소프트웨어 공급망 공격 ▲융합 서비스 대상 보안 위협 등이 포함됐다.

김석환 KISA 원장은 “해킹 공격을 예방하기 위해서는 인터넷 공유기, IP카메라 등 사물인터넷(IoT) 기기에 대한 안전한 초기 비밀번호 설정, 최신 보안 업데이트 조치, 취약점 점검 등 기본적인 보안관리를 더욱 철저히 해야 한다”고 당부하며 “KISA는 초연결 시대를 맞아 새로운 유형의 사이버 위협에 능동적으로 대응할 수 있도록 민간 분야와 공동 침해사고 대응체계를 강화하고 위협정보를 공유하는 허브 역할을 더욱 단단히 하겠다”고 말했다.

보고서에서 주목한 사이버 공격 유형은 다음과 같다.

▲랜섬웨어, 개인에서 공공기관·기업으로 피해 확대= 랜섬웨어 공격 동향에 주목한 안랩은 공격자들이 더 높은 수익을 얻을 수 있는 공공기관·기업을 대상으로, 지능형 타깃 공격 기법을 결합해 랜섬웨어 공격을 진행하고 있다고 분석했다. 올해 초 유행한 클롭 랜섬웨어의 경우, 특정 기관을 사칭해 문서 파일이나 실행 파일을 첨부한 이메일을 국내 기업 대상으로 유포했다.

향후 APT를 통해 기업 내부망까지 랜섬웨어에 감염시킴으로써 피해를 확대시키고, 이에 따라 점차 높은 금액의 복구 비용을 요구할 것으로 보인다. NAS 장비에 저장된 데이터가 암호화된 피해 사례가 국내에서도 보고된 바 있고, NAS 장비를 노리는 새로운 랜섬웨어 이코랙스(eCh0raix)가 발견되면서 백업만으로는 안심할 수 없는 환경이 될 것이고, 그에 따라 사용자도 데이터 및 장비에 대한 보안에 관심을 더 가져야 할 것이다.

안창용 안랩 책임은 “유관기관이나 협력업체로 사칭한 이메일을 통해 랜섬웨어 유포를 시도할 것”이라며 “지능형 표적(APT) 공격과의 결합은 물론, 기업의 백업 파일까지 암호화할 것”이라고 밝혔다.

▲취약한 암호화폐 거래소= 암호화폐 거래소 해킹으로 인한 피해는 밝혀진 것만 최근 3년간 1200억원이 넘는다. 암호화폐 탈취는 물론 대규모 개인정보 유출 사고까지 벌어졌다. 세계 최대 암호화폐 거래소 바이낸스가 해킹당하자 비트코인 시세가 급락한 바 있다.

또한 거래소를 사칭해 가짜 암호화폐 투자 계약서를 발송하거나 암호화폐 지갑 프로그램으로 위장한 악성코드를 암호화폐 사용자에게 보내는 공격도 진행된다. 이 악성코드는 사용자의 암호화폐를 탈취하고 사용자 PC를 암호화폐 채굴에 악용한다. 채굴형 악성코드는 사용자들이 눈치채기 어렵기 때문에 앞으로도 다양한 타깃을 대상으로 꾸준히 유포될 것이다.

정영석 잉카인터넷 이사는 “암호화폐 거래소 직원으로 사칭하거나 암호화폐 지갑 프로그램으로 위장한 악성코드를 통해 공격할 것”이라고 내다봤다. 이어 그는 “또한 소프트웨어 공급망 공격이 모바일까지 확대돼 모바일 앱, 스마트폰 제조사를 대상으로 사이버 공격이 가해질 것”이라고 밝혔다.

▲문자 메시지, 이메일 안으로 숨어드는 악성코드= 하우리는 모바일 기기 표적 공격에 주목했다. 최근 탈북자와 대북 분야 관련자를 대상으로 한 모바일 APT 공격이 발견됐는데, 문자메시지나 이메일 링크, 사진 뷰어, 모바일 메신저를 사칭한 악성앱 설치를 유도했다. 공개된 플랫폼이 아니라, 링크로 공유되는 만큼 악성코드 유포 과정에서의 탐지가 매우 어렵기 때문에 주의를 기울여야 한다.

▲은밀하고 정교하게, 진화하는 APT 공격= 이스트시큐리티는 지능화되는 스피어피싱에 대해 집중 분석했다. 최근 스피어피싱은 거래 업체 견적 의뢰서, 언론사 보도자료 등 정상 문서 파일을 위장하거나 기업에서 일반적으로 활용하는 정상 서비스 등을 악용해 보안 탐지를 우회한다.

문서 소프트웨어 자체 암호 설정 기능을 악용하면 맞춤형 표적공격과 함께 보안 솔루션의 탐지를 회피하고, 수신자의 신뢰를 얻기도 쉽다. 구글 드라이브나 드롭박스, 슬랙과 같은 상용 서비스를 활용해 악성코드와 통신하는 사례가 보고되었는데, 이러한 서비스들은 기본적으로 암호화 통신을 사용하기 때문에 보안 모니터링을 우회하기 용이하고, 정상 서비스처럼 위장하기 쉽다. 이 밖에도 공격자들이 국내외 웹 서버를 해킹하거나 호스팅 서비스를 받아 이메일 서버를 자체 구축해 발신지를 실제 공식 도메인처럼 조작하는 스피어 피싱 위협이 성행하고 있다.

▲스마트카·스마트 헬스케어로 확대되는 소프트웨어 공급망 공격= NSHC는 IoT 환경으로 확대된 소프트웨어 공격망 공격을 경고했다. 모바일 기기는 미리 설치된 앱이 많고 삭제가 쉽지 않아, 모바일 앱 제조사뿐만 아니라 스마트폰 제조사도 공격의 대상이 될 수 있다.

특히 스마트카, 의료기기들은 소프트웨어 업데이트 및 추가 설치가 쉽지 않아 기본적으로 설치된 소프트웨어가 악성코드에 감염됐을 경우, 피해가 클 수 있다. 이러한 융합 서비스들은 상대적으로 최신 기술로써, 보안이 검증되지 않거나 보안에 대한 투자가 미비해 기존 소프트웨어 공급망보다 공격에 취약할 수 있다.

하드웨어 공급망도 위험하기는 마찬가지다. 지난 3월 대만 PC 제조사 에이수스 소프트웨어 업데이트 시스템 해킹으로 전 세계 100만대 이상 PC가 악성코드에 감염된 상태로 판매됐다. 이 악성코드는 제작단계부터 특정 회사를 대상으로 정밀하게 제작됐으며, 소수의 PC만을 선택해 내부 정보를 유출하도록 추가 악성코드에 감염시켰다.

▲융합 서비스 노리는 새로운 보안 위협= 빛스캔은 스마트시티·스마트팩토리·스마트 헬스케어 등 융합 환경의 보안 위협에 대해 경고했다. 자율주행·무인셔틀 서비스가 대중화 될 경우 해킹 사고로 인해 인명피해까지 발생할 수 있다. 스마트 공장의 경우, 수십에서 수만 개의 IoT 기기가 서로 연결되어 있어 해킹을 당한다면 공장 전체의 가동이 중단될 수도 있다.

또한 APT 공격을 통해 공장 시스템이 장악될 경우, 시스템 오동작 및 파괴를 목적으로 공장 곳곳에 악성코드를 감염시킬 수 있다. 최근 AI 기술의 발달로 인해, 의료기관에서 지능화된 의료 시스템을 적극적으로 도입하고 있다. 이러한 의료 시스템에는 환자의 개인정보는 물론 처방전 등 의료 데이터도 저장되어 있어, 해커들의 좋은 타깃이 될 수 있다. 뿐만 아니라 의료기기에 악성코드를 삽입하여 오동작을 일으키거나 처방전이나 영상기록을 조작할 경우, 환자들의 생명도 위협할 수 있다.

김선애 기자 다른기사 보기