[데이터넷] 전 세계 경제위기가 사이버 위협 환경까지 영향을 미치고 있다는 보고서가 발표됐다. 프루프포인트의 ‘2023년 사이버 보안 전망’ 보고서에서는 글로벌 경기둔화와 물리적 갈등에 따른 압박이 구조적 리스크를 가중시켜 디지털 생태계 전반에 여파가 미칠 것으로 예상하고 있다.

보고서는 실업, 금리인상, 생활수준 저하, 인플레이션 등 경기둔화 압박 요인으로 인해 근로자는 물론 각 가정에 금전적·심리적 부담이 가중되고 있다는 점을 지적했다. 근무중 산만해지고 불만도 증가하는 시기의 심리적 약점을 틈타 위협 행위자의 공격이 훨씬 수월해진다는 설명이다.

사이버 위협 행위자들이 사람들의 불안한 심리상태를 악용해 기승을 부린다. 러시아의 우크라이나 침공 등 물리적 갈등 역시 글로벌 불안 요소로 신종 사이버공격을 일으키고 조직 내 구조적 리스크를 확대시킨다고 설명했다.

공격자, 데이터 유출 영향받는 모든 기관 협박

이 보고서에서는 올해 발생한 사이버 위협 사고로 세계 각지에서 발생한 랜섬웨어 피해를 들었다. 코스타리카는 국가 비상사태를 선언했으며, 미국 링컨칼리지가 공격을 당해 폐쇄되고, 도요타자동차가 하루동안 생산을 중단하는 사태가 벌어졌다. 미국 공항을 노린 러시아 해커, 통신망 취약성을 악용한 중국의 국가 주도 위협 행위자 공격 등 핵심 인프라에 대한 공격이 지속됐다. 또 본인인증 기술 관련 사이버공격으로 디지털 공급망 위협이 증가했다.

랜섬웨어는 전 세계에서 가장 심각한 피해를 입힌 사이버 공격인데, 서비스형 랜섬웨어(RaaS)가 유행하면서 다크웹이 번성하고, 랜섬웨어가 확산됐다. 신규 다크웹 툴을 이용해 특별한 기술 없이도 랜섬웨어 공격이 가능하기 때문에 토르 브라우저를 갖고 시간만 투자하면 누구나 사이버 범죄자가 될 소지가 있다.

다크웹 커머스가 성장하면서 사이버 공격 가능성이 증가한다는 사실은 쉽게 짐작할 수 있다. 스미싱 공격과 모바일 장치 해킹 툴이 자주 등장할 것으로 보여 특별한 기술이 없는 위협 행위자라도 차단하기가 더욱 어려워질 전망이다.

사이버 공격은 한 번의 해킹으로 끝나는 것이 아니라, 데이터 유출과 디도스, 랜섬웨어 협박을 동시 혹은 시간차를 두고 공격하는 다중갈취 공격을 택하고 있다. 2019년 다중갈취 공격을 하는 공격집단은 한 곳이었지만, 2021년 1분기 전체 사이버 공격의 77%가 데이터 유출 위협을 수반했다.

최근 들어서는 목표로 설정한 조직뿐만 아니라 데이터 유출 영향을 받을 수 있는 모든 기관으로부터 결제가 이루어지도록 공격하는 추세다. 위협 행위자들이 점점 대범해지고 현금화 전략도 과감해지고 있는 것이다. 단순한 암호화 공격으로 시작해 피봇팅 공격 발생이 불가피하다.

사람의 약점 악용하는 사이버 범죄

보안 강화를 위해 다중요소인증(MFA)를 채택하고 있지만, 위협 행위자들은 MFA까지 우회하는 방법을 찾아냈다. 프루프포인트 연구진은 2년 전 MFA 우회공격의 취약성을 검증했는데, 최근에는 토큰을 빼내가는 피싱 키트 등 공격 실행 툴이 새롭게 생겨나고 있다.

점점 위협을 격파하기 어려워지는 이유는 기술뿐만 아니라 인간의 약점을 악용한 범죄가 증가하고 있기 때문이다. 사이버 공격자들은 타깃이 된 직원에게 결제요청을 수락할 때까지 계속 보내는 등 알림 메시지를 통해 압박하는 방식에 의존하는 경우가 빈번하다.

또한 공격자들은 디지털 공급망의 취약성을 이용해 피해를 광범위하게 확산시킨다. 외부 파트너와 공급사가 주요 공격 채널 중 하나로 부상할 것이 분명하다. 특히 공급망 공격 확산에 악용될 가능성이 높은 것이 API로, 프루프포인트는 여러 기관들이 안전한 API 통합관리 경험이 부족하기 때문에 위협 행위자들이 악용하기 매우 쉽다고 경고했다.

보고서는 딥페이크를 이용한 공격도 발생할 가능성이 매우 높다고 설명했다. 딥페이크는 디지털 사기, 비즈니스 이메일 침해(BEC)에 사용될 가능성이 높으며, 기업 경영진을 사칭해 주가를 폭락·급등시킬 발언을 하거나 생체정보나 신원정보를 도용해 각종 범죄를 일으킬 가능성도 배제할 수 없다.

사이버 하이진·방어전략 총체적 접근 중요

보고서에서는 CISO의 역할과 권한이 높아져야 한다고 강조했다. 미국 증권거래위원회(SEC) 공시 요건안에서 기업이 스스로 사이버 보안을 강화해햐한다고 강조하면서 CISO에게 요구되는 기대가 이전과는 달라지게 됐다. 특히 우버 판결을 통해 이사회가 CISO에게 법적책임을 전가했다는 비판이 제기되면서 사이버 보안 전문가 채용이 어려워 질 것이라는 의견도 있다.

프루프포인트 조사에서는 CISO 중 절반만이 소속사 이사회와 직접 접견하여 보고하고 있는 것으로 나타나, CISO에 대한 기대와 사이버 공격에 대한 개인적 책임 부담이 증가할 경우 이사회와 CISO의 관계만 경색될 가능성이 높고, 조직 사이버 보안에 미치는 파장도 클 것으로 예상된다.

프루프포인트는 “내년 사이버 위협 환경은 사람과 데이터를 보호해야 한다는 기본 전제로 귀결될 것이며, 위협 행위자는 사람들을 우선 공격대상으로 정하고 원하는 데이터를 노릴 것이다. 따라서 사이버 하이진과 방어전략의 총체적 접근이 상당히 중요하다”며 “개별 조직을 넘어 큰 그림을 봤을 때 보안 회복력을 강화하기 위해서는 공공·민간부문의 협력이 절실해지고 있다. 최근 사이버 보안이 국가안보 문제로 부상했으므로, 업계와 정부가 협력하여 사이버 보안 문제를 해결해 나갈 필요가 있다”고 지적했다.

김선애 기자 다른기사 보기