[데이터넷] 이스트시큐리티가 국방·외교 분야 종사자를 대상으로 대규모 사이버 공격이 포착돼 관련 분야 종사자의 주의를 당부하는 내용을 공개했는데, 알고보니 국방부 내부 훈련용 피싱 메일이었다. 이 메일은 이전에 진행된 공격 캠페인과 유사하게 작동하도록 한 것이었다. 보안기업까지 속일정도로 정교하게 작성된 이 훈련은 매우 잘 설계된 것이라고 평가할 수도 있다.

그런데 만일 공격자가 이 서버에 접근해 어떤 내용으로 훈련이 진행되고 있는지 파악했다면 무슨 일이 일어날까? 모의훈련은 이전에 발생한 침해사고를 기반으로 설계되기 때문에 새로운 공격기법을 적용하지는 않는다. 그런데 공격자가 훈련의 구체적인 내용을 확인한 후 이 방식 외의 다른 방식을 사용해 공격 효과를 높일 가능성도 배제할 수 없다.

실제로 공격자들은 ‘이것이 공격일까’ 싶은 방법으로도 공격을 진행한다. 예를 들어 북한 배후 공격자들은 주요 국가 외교·안보 전문가와 연구자들에게 언론사 인터뷰를 사칭, 북한이나 동북아 정세에 대한 의견을 물어본다. 이메일로 진행되는 언론 인터뷰 답변에 기밀정보가 있을 수 없는데, 북한은 다양한 배경의 전문가로부터 의견을 취합해 다음 전략을 결정하는 중요한 인사이트를 얻는다.

쉽게 많은 돈을 버는 공급망 침해

공격자들은 쉽게 공격해 많은 이익을 취하려고 한다. 체크막스가 라자루스 그룹의 오픈소스 공급망 공격을 분석한 보고서를 보면 얼마나 쉽게 공격이 가능한지 알 수 있다.

공격자는 암호화폐 관련 조직에 종사하는 개발자에게 링크드인, 슬랙, 텔레그램 등을 통해 접근해 친분을 쌓은 후 깃허브 저장소로 초대한다. 여기에 좋은 평판을 가진 것으로 위조된 악성 NPM 패키지를 업로드 해 개발자들이 자사 서비스에 적용하도록 한다. 이 방식으로 미국 ID·액세스 기업 점프클라우드가 감염됐으며, 그들의 고객에게 영향을 주었을 가능성이 제기된다.

해커들은 ROI를 중시하기 때문에 적은 비용으로 큰 효과를 볼 수 있는 공급망에 집중한다. 오픈소스 공급망은 가장 공격하기 쉬운 지점인데, 오픈소스 커뮤니티에 평판이 좋은 개발자와 비슷한 계정을 만들고 감염된 패키지를 업로드하거나, 개발자를 감염시켜 악성 패키지를 유포하도록 한다. 이 방식의 공격이 최근 유행하면서 오픈소스 취약점을 점검하는 보안 솔루션 도입 속도가 빨라지고 있지만, 악성 패키지는 그보다 더 빠른 속도로 확장되고 있다.

많은 조직에서 사용하는 소프트웨어를 감염시키는 전통적인 공급망 공격도 유행하고 있다. 올해 초에는 엑스트레이더-3CX로 이어지는 연쇄적인 공급망 공격이 발견됐으며, 우리나라에서는 보안 소프트웨어를 감염시키는 공급망 공격 시도가 발견됐다. 과학기술정보통신부의 ‘2023년 상반기 주요 사이버위협 동향’ 보고서에서는 기업 내부에서 사용하는 네트워크 모니터링·보안 소프트웨어 취약점을 악용해 직원 PC를 감염시킨 다음, 원격통제 악성코드를 설치해 내부망을 장악하는 공급망 공격 위험성을 경고했다.

패치 안된 취약점 공격 늘어

공급망 공격에 이용할 수 있는 취약점도 크게 늘고 있는데, 한국인터넷진흥원(KISA)에서 운영하는 취약점 신고 포상제도를 살펴봐도, 전년 동기 대비 올해 상반기에 애플리케이션 취약점 신고 건수가 44건에서 92건으로 2배 증가했다. 그 중 보안프로그램이 약 54%를 차지했다.

취약점은 공격자가 가장 쉽게 침투할 수 있는 공격표면이 된다. 그래서 기업·기관은 자사 운영 웹사이트나 자사에서 제공하는 IT 제품의 취약점을 찾으면 포상을 하는 버그바운티를 운영한다. 그러면서 신규 취약점이 더 많이 공개되고 있다.

새로운 취약점이 많이 공개된다는 것 자체가 위협은 아니다. 오히려 알려지지 않은 취약점을 식별해 빠르게 패치하는 것이 더 보안에 도움이 될 수 있다. 문제는 패치나 취약점 보완 조치를 하지 않는다는데 있다. 취약점과 패치가 공개됐다는 사실을 인지하지 못하거나, 취약점 영향받는 시스템을 찾지 못할 때, 혹은 취약점 패치로 다른 시스템에 영향이 있지 모른다는 우려 때문에 패치하지 않는다.

패치가 불완전해 변종 취약점 공격에 노출되는 것도 문제다. 구글 위협분석그룹(TAG) 지난해 발견한 새로운 취약점이 41개였는데, 그 중 17개는 제로데이 변종이었다. 불완전한 패치와 변종 취약점은 쉽게 악용되기 쉽다. 지난해 공개된 ARM 말리 GPU 취약점은 이를 수정한 새로운 드라이버에서도 취약점 악용 버그가 발견된 것이 그 대표적인 예이다.

암호화폐 탈취 공격 증가

공격자들의 목적은 대부분 ‘금전’인데, 클라우드플레어는 특히 아시아 지역에서 암호화폐, 게임관련 기업들이 집중 공격을 당하고 있다고 설명했다. 몸값을 지불할 때까지 디도스 공격을하는 랜섬디도스 공격이 빈도를 높이고 있는데, 디도스는 대규모 IoT 봇넷을 이용해 큰 비용을 들이지 않고도 많은 돈을 갈취할 수 있어 공격자에게 좋은 수익 모델이 되고 있다고 설명했다.

암호화폐는 범죄자금을 세탁하기 쉽기 때문에 공격자들이 범죄자금을 암호화폐로 받거나 암호화폐를 직접 훔치는 공격을 이어가고 있다. 특히 북한 공격자들이 암호화폐 탈취 공격을 이어가고 있는데, 지난달에도 아토믹 월렛(Atomic Wallet)을 해킹해 3500만달러 규모의 암호화폐를 훔쳤다.

디파이 플랫폼 커브 파이낸스(Curve Finance), 엘립시스(Ellipsis), 알키믹스(Alchemix), 메트로놈DAO(MetronomeDAO) 등이 7월 말 해킹으로 수백만달러를 잃었는데, 블록체인 스마트컨트랙트 바이퍼(Vyper) 취약점을 악용한 공격이었다. 커브 파이낸스는 6100만달러를 도난당했는데, 일부는 화이트햇을 통해 되돌려받을 수 있었다. 이 공격의 배후는 아직 밝혀지지 않았지만, 대체로 암호화폐 탈취 공격을 이어온 북한 배후 공격자의 소행으로 의심하고 있다.

진화하는 피싱·스캠

코로나19 기간동안 주식, 부동산, 암호화폐 등의 가치가 급등하면서 ‘돼지도살(Pig-butchering Scam)’이라고 불리는 신종 스캠이 극성을 부렸다. 미국 연방거래위원회(FTC)는 2021년 돼지도살 범죄로 18세에서 59세 34%가 돈을 잃었다고 보고했으며, FBI IC3는 2022년 25억7000만달러의 손해가 발생했다고 집계했다.

트렌드마이크로는 돼지도살 피해액이 40%가 1만달러에서 10만달러에 이르며, 30세에서 49세의 사람들이 큰 금액의 피해를 입었다고 분석했다. 돼지도살은 높은 투자수익을 약속하면서 투자금을 빼돌리는 사기수법이기 때문에 여유자금이 있는 전문가, 퇴직자가 많은 피해를 입었다.

돼지도살까지는 아니어도 피싱 공격은 지속적으로 진화하고 증가하고 있다. 공격자들은 지인을 사칭할 뿐 아니라 탈취한 계정을 이용해 지인이 직접 보내는 것처럼 위장한다. 공격자는 피해 계정으로 접속한 후 등록된 지인에게 전화번호와 인증코드 등을 입력하도록 요구한다. 실제 지인의 계정을 통해 메시지가 전송되기 때문에 피해자가 속기 쉽다.

KISA에 신고된 텔레그램 메신저 계정 탈취 공격은 7월 1일부터 28일까지 접수된 상담사례가 253건이었다. 그런데 상반기 접수 건수는 월 평균 16.7건으로, 7월 한 달 동안 크게 늘어난 것으로 나타났다.