공격 비용 최소화·수익 극대화 위해 공격 횟수 줄이고 큰 수익 얻을 공격에 집중
쉽게 이용할 수 있는 취약점·개인 디지털 지갑 노려 수익 얻을 것
[데이터넷] 사이버 범죄자들은 자신들의 활동을 ‘비즈니스’라고 생각한다. 그래서 수익을 극대화 하기 위해 들이는 시간과 비용을 최소화하려고 한다. 잦은 공격보다 한 번에 큰 수익을 낼 수 있는 대규모 공격, 한 번 침투한 후 장기간 피해 기업에 숨어서 지속적으로 데이터를 유출해 꾸준히 돈을 벌 수 있는 기생형 공격을 추구한다. 침투하기 쉬운 취약점과 방치된 시스템을 사용해 비싼 맞춤형 공격도구를 사용하지 않고도 목표를 이룰 수 있게 한다.
안랩의 ‘2023년 5대 사이버 보안위협 전망’에 이러한 공격자의 특징이 잘 나타나있다. 안랩은 공격자들이 ‘양보다 질’ 전략을 추구하고 있다고 설명했다. 특히 랜섬웨어 공격 그룹은 최소의 공격으로 최대의 수익과 효과를 얻으려고 하며, 조직의 핵심 인프라를 장악한 후 정보유출, 랜섬웨어 감염, 디도스까지 결합하는 ‘다중 협박’으로 하나의 타깃을 집요하게 노린다고 설명했다.
전세계적으로 랜섬웨어 조직에 대한 수사와 검거가 이어지는 가운데, 압박을 받은 사이버 범죄자들이 대규모 공격을 감행한 후 은퇴할 가능성도 있다. 따라서 조직에서는 기본적인 보안 체계구축 외에 위협 인텔리전스(TI)를 활용해 최신 공격동향과 취약점 정보를 파악해야 한다.
보고서는 ‘기생형’ 공격을 예측하기도 했다. 공격자들은 은밀하게 목표 시스템에 침투해 인프라를 장악한 후 장기간에 걸쳐 핵심기술이나 민감 정보를 유출할 것으로 보인다. 이전에는 해킹 사실을 공개하면서 몸값을 받아내고 자신의 유명세를 높이기도 했는데, 이제는 장기간 꾸준한 수익을 얻을 수 있는 방향으로 선회하고 있다는 설명이다. 또 공격 방식도 계정정보 수집은 물론 화면캡쳐, 영상 녹화 및 음성 녹음 등 광범위하게 확대될 수 있다. 안랩은 조직은 시스템의 모든 영역을 아우르며 대응할 수 있는 통합 보안체계를 구축해야한다고 조언했다.
모바일 앱 이용 공급망 공격 ‘위험’
최근 마이크로소프트가 정식 서명한 하드웨어 드라이버에 취약점이 있어 EDR 등 엔드포인트 보안 솔루션을 무력화하고 랜섬웨어 유포를 시도한 사례가 발견됐다. 이 같은 드라이버 악용 공격이 내년에도 이어질 것으로 보이는데, 공격자는 드라이버 뿐만 아니라 PC, 모바일, 클라우드, OT 등 파급력이 높은 ‘잭팟’ 취약점을 찾아 공격에 악용할 것으로 보인다.
공격자들은 보안패치 지원이 끊긴 SW나 아직 패치가 되지 않은 취약점을 직접 발굴하거나 다크웹 등에서 구매해 정보유출이나 랜섬웨어 공격에 악용할 수 있다. 때문에 조직 보안 담당자와 구성원은 주기적으로 보안 패치를 적용하고 미사용 프로그램은 삭제해야 한다.
파급력이 큰 공격 중 하나가 공급망 공격으로, 그동안에는 소프트웨어 취약점을 악용하거나 업데이트 파일을 감염시켜 공격했다. 앞으로는 모바일을 이용한 공격이 성행할 것으로 보인다. 정상 애플리케이션 마켓에 등록할 수 있는 제작사나 제작도구를 해킹해 앱 제작 초기단계부터 침투를 시도할 것으로 보인다.
금전거래, 개인정보 활용이 모바일을 통해 이뤄지고 있기 때문에 모바일 타깃 공격은 더욱 극성을 부릴 것으로 보인다. 모바일 앱 배포 또는 업데이트 단계에서 악성코드 주입을 시도하거나, 정상 모바일 앱의 인증서를 탈취해 이를 악성 앱 제작과 배포에 활용할 수도 있다. 따라서 모바일 서비스 제공자라면 개발 및 배포 과정에서 반드시 보안을 고려하고, 주요 자산에 대한 위협 탐지 및 대응체계를 갖추어야 한다.
암호화폐 거래소와 블록체인 서비스가 공격받으면서 사용자들은 가상자산을 개인 지갑으로 옮기고 있는데, 이로 인해 개인 가상자산을 노리는 공격이 증가할 것으로 보인다.
많은 사용자들이 계정 소유권 인증 및 지갑 복구를 위해 사용되는 시드구문이나 12개 혹은 24개 단어로 이뤄진 니모닉키를 외우지 못해 사진 또는 이메일, 핸드폰 메모 등으로 기록한다. 공격자들은 이런 니모닉키 정보와 지갑 계정 정보를 탈취하기 위해 정보유출 악성코드나 유명 가상자산 지갑을 사칭한 피싱 웹사이트·앱 유포를 확대할 것으로 보인다. 개인 지갑 사용자는 시드구문이나 니모닉키를 안전한 곳에 보관하고, 키 분실 위험으로부터 안전한 지갑을 사용해야 한다. 또 송금하려는 지갑의 범죄 연루 등도 꼼꼼히 확인해야 한다.
안랩 시큐리티대응센터(ASEC)의 김건우 센터장은 “사회전반에 걸쳐 디지털화로 보안은 더 이상 특정 주체만의 이슈가 아니다”라며 “앞으로도 공격자들은 효과 극대화를 위해 모든 공격 포인트를 활용할 것이므로, 하나의 ‘보안 만능키’를 찾기보다 조직과 사용자의 다면적인 접근이 필요한 시기”라고 말했다.
