[데이터넷] 종전선언 가능성이 높아지고 한반도 평화의 훈풍이 불어오고 있지만, 북한발 사이버 위협이 사그라들 것으로 보이지 않는다. 북한은 사이버 공격을 통해 국가 재정을 보충하고 있는 것으로 알려지고 있으며, 북한에 대한 국제 제재가 이어지는 한 북한은 유용한 외화벌이 수단인 사이버 공격을 멈추지 않을 것으로 전망된다.

맨디언트의 ‘2022년 보안 시장 전망’ 보고서에서는 ‘2022년 이후 사이버 보안 예측’을 발표하며 국가기반 공격을 분석했다. 그 중 “북한은 지리적, 국제적, 재정적 어려움을 겪고 있기 때문에 많은 위험을 감수할 용의가 있다. 부족한 국력을 보충하기 위해 사이버 능력을 강화할 것이며, 핵 개발을 위한 자금 조달과 전략정보를 수집해 정권 유지를 위해 노력할 것”이라고 전망했다.

이 보고서에서는 러시아, 이란, 중국 등 주요 국가기반 공격에 대해서도 설명했다. 중국에 대해서는 “사이버 스파이 활동을 이용한 일대일로 계획을 지지하면서 계속해서 매우 공격적인 태도를 보일 것”이라고 설명했다.

중국은 국가안전보위부와 인민해방군은 조직개편을 대부분 완료했기 때문에, 그들의 작전은 훨씬 더 집중될 것이다. 지정학적 긴장이 계속 고조되고 있어 ‘중국이 알려졌지만 사용되지 않은 파괴적 능력을 발휘할 것인가’가 문제라고 지적했다.

러시아는 나토, 동유럽, 우크라이나, 아프가니스탄 그리고 에너지 분야를 목표로 하는 것을 지속적으로 강조하면서 내년에도 공격적인 자세를 유지할 것으로 보인다. 특히 미국 정부가 솔라윈즈 공급망 공격에 러시아가 광범위한 영향을 미칠 수 있다고 분석한 바 있는데, 맨디언트는 이 추세가 내년에도 이어질 것으로 예상했다.

더불어 러시아 배후 UNC2452가 하이브리드 클라우드·온프레미스 환경에서 인증 방법을 조작하는 혁신적인 전술을 이어가면서 공격 캠페인을 정교하게 운영하고, 공격 범위도 확대될 것으로 예상된다.

중동지역의 사이버 위협도 심각한 수준으로 높아지고 있다. 특히 이란이 이스라엘과 중동의 다른 나라를 집중 공격하는 양상이 계속될 것으로 보인다. 또 맨디언트는 아프가니스탄 미군 철수로 시작된 극심한 혼란은 사이버 스파이 활동을 촉발시키고 있다고 분석했다.

미국 정부 대응강화되며, 공격자 APJ로 이동

올해 특히 심각한 피해를 입힌 랜섬웨어는 앞으로 위협 수준을 더 높일 것으로 보인다. 맨디언트는 랜섬웨어가 수익성이 너무 높으며, 서비스형 랜섬웨어(RaaS) 모델이 자리잡으면서 더 쉽게 공격할 수 있다고 지적했다.

랜섬웨어 공격 대응을 위해 미국을 비롯한 세계 각국 정부가 협력해 공격자를 추적하고 피해 금액을 회수하고 있으며, 공격을 당했다 해도 공격자에게 돈을 주지 말 것을 권고하고 있지만, 민감데이터 탈취와 암호화 혹은 디도스까지 병행하는 다중탈취 공격을 이어가는 범죄자에 맞서기가 쉽지 않다. 또 공격자들은 목표 조직 내부에서 취약점을 찾거나 공격에 가담할 내부자를 적극 모집하면서 공격 성공률을 높이고 있다.

미국은 랜섬웨어 공격자들을 추적하고 불법 탈취 자금을 회수하거나 전문 협상가를 통해 피해액을 낮추고 있어, 범죄자들이 미국 외의 다른 지역 기업이나 미국법의 적용을 받지 않는 지역으로 공격 범위를 확대하고 있다는 문제도 있다.

공격자가 최근 주목하는 곳이 아시아 태평양 일본(APJ) 지역으로, 데이터 침해와 유출 공격이 더 빈번하게 발생할 것으로 예상된다. 맨디언트는 APJ 조직에 대한 다면적인 강탈이 늘어날 것으로 예상했는데, APJ 조직이 이러한 위협에 대한 경험이 없거나 심각하게 받아들이지 않고 있다고 지적했다.

랜섬웨어 수익성이 높아지면서 사이버 범죄자 사이의 갈등이 발생하는 사례도 등장하고 있다. RaaS 생태계 내에서 약속한 수익금을 배분하지 않거나, 충분한 보수를 받지 못했을 때 서로를 공격하거나 훔친 데이터를 일방적으로 공개하기도 한다. 이 과정에서 공격을 받은 조직의 피해가 더 악화될 수 있다.

랜섬웨어를 비롯한 사이버 범죄자들은 분업화된 지하세계의 질서 내에서 움직이는데, 악성코드를 개발하는 조직, 공급하는 조직, 제휴 프로그램을 제공하는 조직 등이 발달해 있으며, 아웃소싱을 통해 사이버 위협 활동을 벌이기도 한다. 이들은 특정 정부의 후원을 받아 공격활동을 하기도 하며, 합법적인 취약성 탐지·모의해킹을 진행하기도 한다.

사이버 범죄 커뮤니티가 전문화되고 상품이 다양해지는 한편, 합법과 불법을 넘나드는 활동으로 인해 범죄에 가담하는 사람 중 사실 자신이 범죄활동을 하고 있다는 것도 인식하지 못할 수 있다. 광범위한 인재풀을 운영하는 공격자로 인하 사이버 리스크가 증가하고 있다는 사실을 지적하면서 맨디언트는 “행위자 동기와 전략·전술·프로세스(TTP)에 초점을 맞춘 방어 전략을 개발하고 대응하는 것도 복잡해지고 있다”고 설명했다.

OT·IoT 공격 증가…타깃 맞춤형 딥페이크 발전

수익성을 쫓는 공격자들은 큰 돈을 벌 수 있는 운영기술(OT) 환경과 쉽게 공격할 수 있는 IoT 공격에도 집중하고 있다. 대부분의 IoT와 OT는 보안을 고려하지 않으며, 보안패치도 제대로 하지 않고, 지원 종료된 소프트웨어도 계속 사용하기 때문에 보안위협이 매우 높다.

올해는 특히 OT를 노린 랜섬웨어가 잇달아 발생했는데, 낮은 수준의 공격으로도 OT 침해가 가능하다는 것을 입증하면서 더욱 더 많은 공격이 집중되고 있다. 내년에는 이러한 공격이 더 심화될 것이며, 인명까지 위협할 수 있다.

보고서에서는 AI의 발전으로 인한 부작용인 ‘딥페이크’ 위험에 대해서도 경고했다. 맨디언트는 지하시장에서 러시아어와 영어를 기반으로 한 범죄 포럼에서 딥페이크 기술 게시물과 광고를 분석했는데, 사용자 맞춤형 딥페이크 비디오와 이미지 광고, 사용자 조작 미디어를 만들 수 있도록 훈련시켰다.

특히 딥페이크 오디오는 비즈니스 이메일 침해(BEC) 유형의 사기를 용이하게 했으며, 다단계 인증(MFA)와 고객 신원 확인(KYC)를 우회해 접근할 수 있게 했다. 2022년 딥페이크 기술의 보급에 따라 범죄와 스파이 행위자들이 소셜 엔지니어링으로 설득력 있고 콘텐츠에 맞춤화 돼 있으며, 신원확인 시스템 무력화를 시도하는 공격이 늘어날 것으로 예상했다.

김선애 기자 다른기사 보기