[데이터넷] 새해벽두부터 우크라이나 정부가 사이버 공격을 당하면서 러시아와의 갈등이 전쟁으로 치닫는 양상이다. 국가기반 공격은 지난해 특히 극성을 부렸다. 상대국의 중요 인프라를 공격해 혼란을 일으켰으며, 우리나라는 외교·통일·안보 관련 정보를 탈취하기 위한 북한 기반 공격자들의 집요한 공격이 이어졌다.
국가기반 공격은 올해 한층 더 심각한 양상을 띨 것으로 보인다. 코로나19로 전 세계가 혼란을 겪고 있는 가운데, 전체주의 성격을 갖는 극우성향 집단들이 사이버상에서 국가주의적인 선동을 벌이면서 갈등을 일으키고 있다. 경쟁국가의 공격집단이 이들을 부추겨 사회를 혼란하게 하는 추세도 보이고 있다.
국가기반 공격자들은 정치적 목적뿐 아니라 금전적 수익을 위해서도 공격을 진행한다. 그래서 대규모 랜섬웨어, 크립토마이너, 데이터 탈취와 협박 등에 특정 정부 후원을 받는 공격자가 배후에 있는 경우가 많다.
거의 대부분 사이버 공격의 목적은 ‘돈’이다. 사이버 범죄 시장은 서비스 형 모델(CaaS)을 채택하면서 급속도로 확장되고 있는데, 미국 FBI에 보고된 사이버 범죄 손실은 2020년 40억달러(약 4조8000억원) 이상이다. VM웨어가 2021년 초 발표한 ‘모던뱅크 하이스트4.0’ 보고서에서 사이버 범죄 산업이 2022년 6조달러, 2025년에는 2배로 성장할 것이라고 예상한 바 있는데, 2021년 대규모 랜섬웨어 공격이 잇달았던 것을 감안하면, 실제 피해 규모는 이보다 훨씬 커질 가능성이 있다.
또한 이들은 공격에 필요한 각 업무를 세분화, 전문화 해 발전 속도를 한층 높이고 있다. 기업이 생산성을 극대화하기 위해 조직을 세분화, 전문화하는 것과 같은 전략을 차용, 공격도구를 제작하는 조직과 이를 운영하는 조직, 유통하는 조직, 마케팅·홍보를 하는 조직 등으로 나뉘어 발달하고 있는데, 특히 개발 조직과 운영조직의 전문성이 높아지고 있다는 특징이 있다.
사이버리즌은 공격자들이 자신의 영향력을 극대화하기 위해 운영조직을 공격의 토대를 만드는 IAB(Initial Access Broker)와 계열사에 공격 인프라를 제공하는 RaaS로 분리해 성장시키고 있다고 설명한다. 랜섬옵스(RansomOps)라고 불리는 이들은 타깃 조직에 맞춤화된 공격도구와 초기 침투 기반을 제공하면서 전문성을 높이고 있다고 설명했다.
디지털 전환으로 ‘사이버 공격자 천국’ 펼쳐져
전 세계 각국, 사회 각 분야에서 디지털 혁신이 진행되면서 ‘공격자들의 천국’이 펼쳐지고 있다. 모든 것이 연결되는 스마트한 사회로 전환되면서 공격자들의 진입이 더 쉬워졌다. 첨단 ICT 기술, 우주·항공 분야 연구 성과, 스마트 국방과 현대적인 무기체계 등 큰 수익을 얻을 수 있는 값진 정보가 클라우드를 통해 공유되고 있다.
국가정보원의 ‘2022년 사이버 위협 전망’ 보고서에서는 우리나라 첨단 제조기술을 노리는 공격이 빈번하게 발생하고 있으며, 민감한 안보현황 관련 정보를 절취하려는 시도도 지속적으로 발견되고 있다고 설명했다. 또 2022년 새롭게 시작하는 새로운 정부의 대북정책과 외교정책, 안보현안 정보 수집을 위한 국가배후 해킹 공격이 증가하고 있다고 설명했다.
전 세계에서 가장 많은 공격을 받는 국가는 미국인데, 미국 정부가 사이버 범죄와의 전쟁을 벌이면서 주요 공격그룹을 와해시키는 성과를 거두자 공격자들은 다른 지역, 특히 아시아로 눈을 돌리게 됐다. 아시아에는 글로벌 제조사의 생산시설과 고객지원센터가 운영되고 있는데, 보안의식이나 투자가 소홀한 곳이 많아 공격자들이 쉽게 돈을 벌 수 있을 것으로 예상할 수 있다.
공격 가성비 높이는 다양한 기법
공격자들은 일상적으로 사용하는 도구와 프로세스를 이용해 넓은 타깃에게 퍼뜨리는 방식으로 공격을 진행한다. 유명 공격그룹의 활동 범위가 대부분 전 세계 주요 국가, 주요 산업에 고르게 퍼져 있다는 사실이 이를 증명한다.
공격자들은 사회공학 기법과 기존에 탈취된 자격증명, 공개된 취약점, 방치된 서버와 클라우드를 이용해 쉽게 침투하며, 데이터를 적당히 수집해 유출한 후 데이터·시스템을 잠그고 랜섬머니를 요구하는데, 공격 시작부터 협박까지 그리 오랜 시간을 들이지 않는다.
공격자들이 자주 사용하는 수법 중 하나는 휴일을 이용하는 것이 있다. 최초 침투 후 수평이동할 때, 보안조직이 근무하지 않는 퇴근시간이나 주말, 휴일동안 네트워크를 탐색하면서 권한을 상승시키고 중요 서버에 접근해 정보를 유출한다. 이러한 행위에 대해 보안 탐지 시스템이 알람을 발생시키는데, 보안인력이 정상 근무하는 시간에는 이 행위가 차단·격리될 가능성이 높다. 그러나 분석가가 근무하지 않는 시간 혹은 최소 인력만 근무하는 시간에는 알람에 즉시 대응하지 못하기 때문에 더 자유롭게 침해활동을 벌일 수 있다.
공개된 취약점은 공격 가성비를 높이는 일등 공신이라 할 수 있다. 로그4j(Log4j) 취약점의 예를 들어보면, 거의 대부분의 서버에서 사용하고 있기 때문에 취약한 버전을 모두 찾아 패치하거나 조치하기가 쉽지 않아 공격자들이 얼마든지 이용할 수 있다. 센티넬원은 이 같은 심각한 수준의 취약점이 2022년 한 해 동안 2번 이상 등장할 것이라고 예상하기도 했다.
공격 가성비를 높이는 방법 중 하나는 AI를 이용하는 것이다. 공격자들은 공격도구를 개발하고, 제로데이 변종을 만들며, 목표 조직에서 노출된 취약점을 찾아 침투하고, 첫 번째 피해자가 될 사용자에게 악성메일을 보내는 과정에 AI를 이용한다. 단순반복적인 작업은 AI와 자동화 봇을 이용해 시간과 비용을 절감시켜 더 많은 조직을 공격해 성공률을 높이고 있다.
공급망 공격, 가성비 끝판왕
공급망 이용해 대규모 피해 일으켜 공급망 공격은 그야말로 ‘가성비 끝판왕’이라고 할 수 있다. 한 기업을 해킹하면 관련된 다른 기업까지 침투할 수 있기 때문이다. 소프트웨어 패치·업데이트 파일을 오염시키고, 감염된 도커 이미지를 도커허브에 게시하면 이를 적용한 모든 서비스를 공격할 수 있다. 클라우드 공급업체, 매니지드 서비스 기업을 공격하면 이 서비스를 이용하는 모든 고객들에게 피해를 입힐 수 있으며, 파트너사를 해킹해 함께 협력하는 모든 기업에 침투할 수 있는 통로를 마련할 수 있다.
가트너는 클라우드 공급업체, 매니지드 서비스 기업들이 타사에 의존하고 있어 제 4자의 취약점으로 인해 보안문제가 발생할 수 있다는 점을 지적하고 있다. 카세야 공급망 공격이 그 대표적인 예로, 카세야를 이용해 서비스를 제공하는 매니지드 서비스 기업(MSP)과 그들의 고객인 중소기업이 큰 피해를 입었다.
솔라윈즈 공격에 이용된 아일랜드 호핑도 공급망 공격에 사용되는 방식이다. 하나의 네트워크에 침투해 제휴 네트워크로 이동하는 공격 방식으로, VM웨어가 금융기관을 대상으로 조사한 바에 따르면 2021년 38%의 금융기관이 아일랜드 호핑을 경험했다고 밝혔는데, 이는 2020년보다 13% 증가한 것이다.
