[데이터넷] 솔라윈즈, 카세야 등 IT 관리 소프트웨어를 이용한 공급망 공격이 전 세계를 위협하고 있다. 코로나19로 재택근무가 확산되면서 원격접속 환경과 소프트웨어 업데이트 등을 위장한 대규모 공격이 등장하고 있으며, 특히 공격자의 수익성을 높이는 랜섬웨어, OT 공격 등이 집중되고 있다.

이글루시큐리티(대표 이득춘)의 ‘2021년 상반기 보안위협 트렌드’에서는 써드파티 소프트웨어를 통한 공급망 공격이 증가했다는 것을 올 상반기 주목해야 할 중요 보안위협으로 꼽았다. 솔라윈즈, 카세야 등 중앙관리형 소프트웨어와 IT 시스템‧단말기의 취약점을 악용한 공격이 두드러지게 나타났다.

솔라윈즈 ‘오리온’ 업데이트 파일을 이용한 공격은 미국 주요 안보기관과 보안 기업 등 1만 8000여 곳을 공격했으며, 115개 이상 국가 5000개 이상 피해를 유발한 마이크로소프트 익스체인지 서버 프록시로그온(ProxyLogon) 취약점은 공급망 공격의 심각성을 드러낸 대표적인 예이다.

재택근무를 위한 원격접속에 VPN 사용이 증가하면서 시트릭스 넷스케일러, 펄스시큐어, 포티넷 등의 취약점 공격이 확산됐으며, 국내에서도 공공기관에서 많이 사용하는 VPN 솔루션의 관리자 페이지 접근 및 계정변경 취약점이 발견돼 긴급 조치를 요구하기도 했다.

원격 액세스 인터페이스(RDP, SSH, VPN)등을 교두보로 삼는 공급망 공격이 증가한 만큼, 전산 자원의 보안등급 재산정을 통한 보안 거버넌스 수립이 요구된다. 협력업체 및 상용 소프트웨어에 대한 검수와 관리감독체계를 통해 사이버 보안의 복원력(resilience)을 강화하고 모니터링 및 사고 대응 체계를 구축하는 데 힘을 기울여야 한다.

산업 전반에 영향을 미치는 랜섬웨어 공격 확대

2021년 상반기에는 디지털 전환 가속화, APT 공격 그룹 간의 불법 정보 공유, 가상화폐 가치 상승의 영향으로 랜섬웨어 공격이 두드러졌다.

미국 바이든 대통령이 사이버 보안 강화 행정명령(Improving the Nation's Cybersecurity)을 발표하게 만들 정도로 전례 없는 대형 보안사고가 연속적으로 발생했다. 미 대형송유관업체인 콜로니얼 파이프라인(Colonial Pipeline)을 공격한 다크사이드(DarkSide), 축산가공업체 JBS 푸즈(JBS Foods)의 레빌(REvil) 랜섬웨어 감염사고가 대표적이다.

대규모 랜섬웨어 감염을 주도하고 있는 공격 그룹들은 서비스형 랜섬웨어(RaaS)를 통해 월간 구독형, 범죄수익율 분배형, 일회성 랜섬웨어 라이선스 수수료 지불형 등으로 서비스를 다양화하면서 사이버 생태계의 무법자로 자리 잡고 있다. 이들은 공격 효과를 극대화하여 범죄수익을 높이기 위해, 파일 암호화에서 나아가 주요 파일을 유출하고 정보주체에게 정보공개를 빌미로 협상을 직접 시도하며, 분산서비스거부(DDoS) 공격을 시도하는 등의 다중 협박 전략을 취하고 있다.

랜섬웨어로 인한 피해를 최소화하기 위해서는 랜섬웨어 위협에 유연히 대응하기 위한 보안 전략 수립이 요구된다. 지속적인 데이터 백업 및 이중화, 접근제어 보안 강화(RDP, VPN 등) 전략을 토대로 랜섬웨어 감염을 예방하기 위한 사용자 행동 지침이 공유되고 주기적인 모의 훈련이 실행되어야 한다.

국가지원 해킹 그룹의 위협 증가

특정 국가의 지원을 바탕으로 대규모 사이버 공격을 주도하는 사례들이 빈번히 발생하고 있다. 이들은 정치적·금전적 목적으로 국방, 외교, 안보, 언론, 보안, 의료 등 다양한 산업분야를 타깃으로 공격을 지속하고 있다. 코로나 19등 사회적 이슈를 이용한 사이버 공격 시도도 꾸준히 증가하는 추세다.

해 상반기에 발생한 국가보안시설 해킹사고나 공급망 공격 등의 대규모 보안사고의 주체로 러시아, 북한 등이 지목되고 있다. 미국 정부는 행정명령발표를 통해 사이버 보안 문제가 보안 영역을 넘어 국가 간의 외교 분쟁으로 이어질 수 있다는 점을 시사했다.

사이버전(CyberWar)에 유연히 맞서기 위해서는 최신 사이버 위협 인텔리전스를 적시에 확인할 수 있는 위협 정보 공유 체계와 사이버 보안의 복원력(resilience)을 강화하기 위한 능동적인 대응 체계가 마련되어야 한다.

팬데믹 이슈 악용 사이버 공격 활발

코로나19 팬데믹이 장기화되면서, 의료, 제약 분야를 대상으로 하는 사이버 공격도 꾸준히 발생하고 있다. 올 상반기에도 코로나 백신 제약회사를 사칭하거나 코로나 연구결과, 중앙재난안전대책본부, 코로나 백신업체 등 코로나와 관련된 키워드를 사이버 공격에 활용한 사례들이 연이어 포착되었다. Covidvirus, Covid19, pandemic 등 코로나19 관련 키워드를 이용한 신규 도메인이 급증하고 악성 도메인 활용 비율이 급격히 증가했다. 출처가 불분명한 메일, 문자 열람을 금지하고, URL 클릭, 첨부 파일 열람, 파일 다운로드 시 각별히 주의를 기울이기를 권고한다.

정보 유출 증가 및 다크웹을 통한 정보 판매 피해 급증

국가기관 및 조직에서 획득한 중요 정보 및 개인 정보를 빌미로 대가를 요구하고 협상에 응하지 않는 경우에는 다크웹을 통해 적극적으로 정보를 판매하는 행위가 증가하였다. 국내에서도 다크웹을 통해 정보가 유출되고 이 정보를 악용한 크리덴셜 스터핑(Credential Stuffing) 및 스피어 피싱(Spear Phishing)등의 추가 공격이 발생하는 사건이 일어나면서, 다크웹에 대한 경각심이 높아졌다. 실제로 다크웹을 통해 389억 건의 공공기관 도메인 메일서비스 주소를 포함한 계정정보가 유출되고, E그룹의 카드정보 200만 건을 탈취한 클롭(Clop) 랜섬웨어 공격 조직이 다크웹을 통해 일부 정보를 공개하며 협상을 유도하는 사건들이 일어났다.

또한 민감 정보와 개인 정보와 함께 원격 제어 프로그램 접속 계정도 다크웹을 통해 활발히 판매되고 있어 문제가 되고 있다. SW 업데이트 서버 및 개발서버 등을 통해 악성코드를 유포하는 형태의 공급망 공격에 악용될 여지가 있으므로 예상 피해 범위를 추산하기 어려운 상황이다.

유출된 정보를 토대로 시도되는 사이버 공격에 맞서기 위해서는 조직 내 중요 정보 유출 정보를 모니터링할 수 있는 위협 인텔리전스(Threat Intelligence) 확보, 주기적인 계정 정보 변경 관리, 공격 면(Attack surface) 식별을 통한 보안 대응 체계 수립이 요구된다.

김선애 기자 다른기사 보기