[데이터넷] 사상 최악의 취약점으로 알려진 log4j 취약점이 장기화 될 것으로 보이며, 이를 이용한 공급망 공격도 심각한 위협이 될 것으로 예상된다. 과학기술정보통신부와 한국인터넷진흥원(KISA)의 ‘2021년 사이버 위협 분석과 2022년 사이버 위협 전망’에서 이같이 밝히며 소프트웨어 개발 라이프사이클(SDLC) 전반의 보안 강화가 필요하다고 강조했다.

보고서에서는 log4j가 광범위한 서버·서비스에 사용되고 있으며, 영향을 받는 시스템을 식별하기 쉽지 않다고 지적했다. 써드파티 제품을 사용할 경우, 해당 업체가 보안 업데이트를 하지 않으면 대처하기 어렵기 때문에 문제 해결에 상당한 시간이 걸릴 것으로 보인다. 특히 자바 프로그램 특성상, 압축 파일안에 또 다른 압축파일 등 여러 단계로 구성되어 있기 때문에 하위단계에 있는(Log4j의 사용여부를 파악하는데 많은 시간과 자원이 필요하다.

이에 소프웨어 공급망 보안의 중요성이 부각되면서 소프트웨어 개발부터 유지관리까지 수요자 측면에서 SDLC 전반의 보안이 필수라고 강조했다.

가상자산 활성화로 랜섬웨어 극성

이 보고서에서 주목한 두번째 위협은 IoT 기기다. 아파트 월패드 해킹 사고를 비롯해 다양한 IoT 기기 해킹 사고가 이어졌다. AI 스피커, 스마트TV, IP 카메라, 드론, 스마트카 등 연결기기에 대한 보안위협이 현실화됐다. 사물인터넷기기가 취약할 경우 사생활 정보유출, 디도스 공격 등 사이버 공격 수단으로 악용될 수 있어 사물인터넷 기기에 대한 점검과 보안취약점 조치 강화가 필요하다.

세 번째로 주목한 것은 금품요구와 악성프로그램이다. 추적이 어려운 가상자산이 활성화되고, 서비스형 금품 요구 악성 프로그램이 등장하며 금품 요구 악성프로그램 범죄 생태계 성장이 촉진되고 있다.

서비스형 랜섬웨어(RaaS)가 발전하면서 이러한 위협은 더욱 심각해진다. 공격자들은 기업의 재무제표 또는 뉴스 검색을 통해 자금여력이 있는 곳을 상대로 서비스를 중단시켜 대규모 영업손실을 일으키거나 공격을 하겠다고 협박하면서 금품을 요구하는 한다. 이들은 백업체계도 무력화 하며, 다크웹에 훔친 데이터를 공개하겠다고 협박하면서 대응을 어렵게 한다.

네 번째 위협은 클라우드이다. 클라우드 전환이 빨라지면서 이를 노리는 공격도 급격히 증가하는데, 누구나 접근할 수 있는 클라우드는 해킹·디도스 공격의 표적이 되기 쉽고, 사고 발생 시 대규모 피해가 발생할 수 있다.

다음으로, 새로운 가상세계를 노리는 신종 공격을 들 수 있다. 메타버스, NFT, AI 등 새로운 기술을 대상으로 위협이 발생할 가능성이 높다. 이 서비스에도 취약점이 있을 수 있으므로 이용자 정보탈취, 시스템 마비 등을 노리는 공격이 발생할 수 있다. 자본이 몰리고 있는 NFT의 권한을 탈취한 후 부정판매할 수 있고, AI 학습을 방해하거나 오판·오인식을 유도하는 공격이 발생 할 수 있다.

장기화되는 코로나19, 대통령선거·지방선거 등 대규모 선거 상황을 악용한 사기도 우려된다. 사회적 현안을 악용한 문자결제사기, 해킹메일 유포를 통한 개인정보 탈취가 증가할 것으로 예상되며, 탈취한 개인정보를 이용한 보이스피싱과 지능화된 표적 사기가 우려된다.

비대면 환경 취약점 악용 공격 잇달아

한편 이 보고서에서는 올해 발생한 사이버 위협으로 대상을 가리지 않는 랜섬웨어 공격을 들었다. 콜로니얼 파이프라인, JBS 등 대규모 기업·기관이 잇달아 공격을 당했으며, 국내에서도 대기업과 중소기업, 지역 기업등 업종과 지역을 가리지 않고 공격이 이어졌다. 피해 기업의 93%가 보안에 취약한 중소기업이었으며, 서울 이외의 지역에 위치한 기업이 63%였다. 백업을 하지 않아 피해 복구가 어려운 사고도 65%에 이르렀다.

비대면 서비스 환경은 해커의 타깃이 되고 있다. VPN 취약점 악용 사고가 이어졌으며, MS 익스체인지 서버 취약점으로 랜섬웨어 공격이 발생하기도 했다.

아파트 월패드 해킹사고는 전 국민을 두려움에 떨게 만든 것이었다. 아파트 통합주택 제어판이 해킹돼 사생활 영상이 다크웹에 판매된 사건이다. 일반인의 일상생활까지 위협하는 사이버 공격이 앞으로 더 극성을 부릴 것으로 보인다.

김선애 기자 다른기사 보기