[데이터넷] 랩서스와 같이 특정 국가나 정치집단을 배후에 두지 않은 사이버 범죄 조직의 활동이 앞으로 더 빈번하게 일어날 것으로 보인다. 맨디언트의 ‘2023년 사이버 보안 전망’ 보고서에서는 비조직적·비국가적 공격자에 의한 침해가 더 많이 발생할 것이며, 공격자의 연령은 더 어려지며, 친구들이나 온라인에서 자신의 공격 행위를 자랑하기 위해 공격을 저지를 것으로 예측했다.

이와함께 보고서에서는 전문 해커집단을 고용해 공격하는 사례가 증가할 것으로 전망했다. 맨디언트는 국가기반 공격자들이 정보운영(IO)를 아웃소싱하고 있다고 설명했으며, 그 예로 2019년 인도네시아 파푸아에서 일어난 반정부 시위에 대한 여론조작에 IO가 동원됐다고 밝혔다.

맨디언트 OSINT 연구원들이 밝힌 바에 따르면 파푸아주에서 발생한 반정부 시위에 봇 등을 동원한 친정부 여론전이 펼쳐졌는데, 공격자는 가짜 SNS 계정을 만들어 가짜뉴스와 댓글을 만들어 퍼뜨렸다. 이는 자카르타에 본사를 둔 미디어 기업 인사이트가 실시한 것으로 분석됐다.

보고서는 지난해 위협 행위자의 진입장벽을 낮추고 정교한 공격자의 신원을 모호하게 하기 위해 IO 캠페인에 마케팅·홍보회사를 고용하는 것이 증가했다는 메타의 증언을 덧붙였다.

북한 해커, 전 세계로 활동 범위 넓혀

보고서에서는 러시아, 중국, 이란, 북한 등 사이버 공격 세력의 주요 배후 국가 동향에 대해 설명했다. 러시아는 우크라이나 침공과 함께 사이버 공격을 벌였으며, 사이버 스파이, 정보작전 동에 특히 공을 세웠다. 데이터 유출이나 데이터 파괴를 일삼는 러시아 배후의 핵티비스트는 우크라이나뿐 아니라 인접 국가로 확대되고 있다.

특히 유럽 전역으로 사이버 작전을 확대할 수 있다고 보고서는 내다봤는데, 겨울에 물리적 충돌을 늦추고 사이버 위협 활동을 적극적으로 펼칠 것으로 예상했다. 올해 파괴적인 공격은 주로 우크라이나 내에서 일어났지만, 전쟁 상황이 변하면서 우크라이나 인접 지역, 나아가 유럽 전체에 더 많은 파괴적인 사이버 공격을 펼칠 것으로 보인다. 이들은 에너지, 군사업체와 우크라이나에 물자를 공급하는 물류회사, 러시아에 대한 각종 제재를 가하는 국가의 조직에 영향을 미칠 것으로 보인다.

한편 러시아는 올해 초 여러 아시아 태평양 국가들에 대한 제재를 가했으며, 이는 앞으로 더 노골화될 것으로 보인다. 아태지역 조직을 대상으로 한 공격의 예로 보고서는 2018년 평창올림픽 해킹 사고를 들었으며, 이외에도 국제기구에 대한 공격 캠페인도 벌이고 있다.

중국은 공공·민간 부문에서 높은 빈도로, 높은 수준의 위협을 가하는 사이버 스파이 활동을 벌이고 있다. 이들은 중국정부 입장에서 영토 보전, 중국 내 정치적 안정, 지역 패권과 글로벌 정치·경제력을 강화하기 위해 활동한다. 맨디언트는 2022년 친중화인민공화국(PRC) 정보 운영 캠페인을 분석했으며, 베이징에 전략적으로 중요한 산업의 상업적 실체를 직접 겨냥했다는 사실을 밝혀내기도 했다. 맨디언트는 중국 배후 공격그룹이 민간 부문에 대해서도 광범위하게 공격을 펼치며, 중국 기업과 경쟁하는 세계 여러 경쟁사를 노릴 것으로 보인다.

이란의 사이버 스파이 조직은 중동 지역의 적대적 국가에 대한 사이버 스파이 활동을 펼칠 것으로 보인다. 이란은 국제적으로 고립된 상황으로, 파괴적인 사이버 공격을 사용하려는 이란 위협조직의 의지가 높아질 것으로 예상한다.

북한의 경우, 코로나19 문제와 치적·경제적 고립을 해결하기 위해 사이버 스파이 활동을 벌이고 있다. 한국, 일본, 미국에 집중되어 온 북한의 이러한 활동은 유럽, 중동, 북아프리카, 남아시아로 학장되고 있으며, 외교, 군사, 금융, 제약 등의 산업을 중점 공격하고 있다.

자격증명 탈취 공격 늘며 비밀번호 없는 인증 ‘주목’

공격 양상도 바뀌었는데, 이전과 같이 악성코드를 이용하기보다 자격증명과 계정에 대한 액세스 권한을 확보하는데 더 집중하고 있다. 공격자는 사회공학 기법, 내부 데이터 소스에서 정보를 수집하며, 도난당한 자격증명 매입, MFA 우회, IAM 남용 등을 결합해 교묘하게 시스템에 침투한다.

자격증명 도용을 위해 사용되는 도구인 REDLINE 스틸러, VIDAR 및 RACOON 스틸러는 지하시장에서 쉽게 구입할 수 있으며, 다른 곳에서 탈취한 자격증명도 쉽게 구입할 수 있다. 초기 진입에 성공한 후 그 액세스 정보를 판매하는 액세스 브로커도 늘어나고 있어 공격 전문성이 없는 범죄조직도 쉽게 범죄에 가담할 수 있게 한다. 자격증명, 쿠키도 더 저렴하게 판매되면서 범죄 접근성을 높이고 있다.

그래서 비밀번호 없는(Passwordless) 인증이 중요해지고 있는데, 자격증명을 탈취해도 시스템에 액세스 할 수 있는 비밀번호가 없으면 공격이 어려워지기 때문이다. 비밀번호 없는 인증은 FIDO 혹은 W3 컨소시엄 표준을 기반으로 생체인증, 사용자 기기를 이용한 MFA 혹은 PIN 인증 등을 채택한다. 보고서는 CISO가 암호없는 인증을 도입하기 위해 엔터프라이즈 ID 플랫폼을 요구할 것이며, 향후 1년동안 기업 중심의 암호 없는 인증 솔루션 수요가 늘어날 것으로 예상했다.

RaaS 데이터 유출 사이트 운영에 집중

보고서에서는 랜섬웨어가 코로나19 기간 동안 중단된 공급망을 이용해 더 큰 피해를 만들어 낼 것이라고 예상했다. 특히 반도체 산업 공급망에 대한 랜섬웨어 공격이 우려되는데, 지금까지 반도체 기업을 타깃으로 한 공급망 공격이 빈번하게 발생했기 때문에 더 심각한 상황을 걱정할 수밖에 없다. 이러한 상황이 지정학적 긴장과 결합돼 2023년 반도체 산업에 추가적인 혼란을 야기할 것이라고 예상했다.

한편 내년 랜섬웨어 발생 건수는 줄어들지만 피해 규모는 더 커질 것으로 보인다. 랜섬웨어 서비스(RaaS) 제공업체는 유출 사이트를 운영하는데 더 초점을 맞출 것으로 예상했는데, 이는 피해 기업이 데이터 유출 피해와 함께 사회적인 비난을 받는 것을 유도하기 위한 것이다.

랜섬웨어 공격이 가장 많이 발생했던 미국보다 유럽을 대상으로 한 공격이 증가할 것으로 예측했다. 대규모 랜섬웨어 공격을 연이어 받은 미국은 국가 차원에서 랜섬웨어와 사이버 공격에 대한 강력한 수사를 벌여 공격자를 잡아들이고 범죄자금을 회수해왔다. 또한 정부·기업 전반의 보안을 강화하도록 의무화해 공격자가 쉽게 접근하지 못하게 됐다. 그래서 공격자들은 유럽을 타깃으로 활동을 벌이고 있는 상황이다.

유럽은 에너지 공급·가격으로 인한 사이버 분쟁도 걱정해야 한다. 친 러시아 국가가 지원하는 공격을 당할 수 있으며, 특히 에너지 수급에 차질을 빚게 해 경제 위기를 초래할 것으로 보인다. 공격자는 이를 위해 유럽 각국 정부의 에너지 정책에 대한 정보를 수집할 것이며, 중요 인프라를 공격해 더 많은 피해를 입힐 수 있다.

공격자, 보안 커뮤니티 전문가 글 분석하며 진화

공격자들은 최근 일상 생활의 서비스를 이용한 사이버 공격도 펼친다. 맨디언트는 2022년 발견된 한 사건을 예로 들었는데, 우편함에 배달된 소포에 신분증, 신용카드 번호 도용 사이트로 안내하는 QR코드가 있었다. 보고서는 일상적인 물리적 자원을 사용해 피해자를 속이는 캠페인을 늘어날 것으로 예상했으며, 가짜 광고, 가짜 USB 키, 가짜 영수증 등 공격자가 이용할 수 있는 것이 매우 많다고 경고했다.

공격자들은 보안 커뮤니티에 게시되는 전문가의 글을 분석하면서 공격 전술, 기술, 방어 전략을 학습하고, 이를 우회하며 취약성을 이용하는 방법을 알아낸다. 이들은 조직에 침입하는 영리한 방법을 발견하거나 몇 년 전 개발된 전략 중 아직 사용되지 않은 공격 기술을 연습해 활동할 수 있다고 보고서는 설명했다.

김선애 기자 다른기사 보기