국가기반 공격자, 사이버 스파이·여론조작에 집중
[데이터넷] 우리나라와 이스라엘, 우크라이나가 대륙별로 가장 많은 사이버 공격을 받은 국가인 것으로 분석됐다.
마이크로소프트의 ‘2023 디지털 위협 방어 보고서’에 따르면 아시아 태평양 지역에서 발생한 사이버 공격 중 17%가 우리나라를 타깃으로 한 것이었으며, 대만(15%), 인도(13%)의 순이었다. 유럽에서는 33%가 우크라이나를 목표로 했으며, 중앙아시아와 북아프리카는 38%가 이스라엘을 향한 것이었다.
산업별 위협 현황을 보면, 아시아 태평양 지역에서는 22%가 교육기관, 17%가 IT 기업이었다. 유럽은 17%가 싱크탱크와 NGO, 14%가 정부기관이었다. 중앙아시아와 북아프리카는 19%가 교육, 13%가 각각 정부와 IT 기업이었다. 이 분야는 공격자들이 특정 국가의 국방·안보·방위산업과 정책 분야 첩보를 수집하기 위한 목적인 것으로 보인다.
높아지는 중요 인프라 타깃 공격
이 보고서에서 주목할만한 점은 국가기반 공격자들이 대규모 파괴 공격으로 물리적인 타격을 주는 것 보다 사이버 스파이 활동과 상대국을 혼란하게 만들 수 있는 여론조작에 집중하고 있다는 점이다.
사이버 스파이 활동은 중국 기반 공격자들이 전례없는 규모로 전개하고 있는 활동이다. 파괴적인 공격은 일시적으로 영향을 줄 수 있지만, 사이버 스파이는 정부와 중요 산업의 무결성에 장기적인 위협이 될 수 있다.
여론조작은 러시아-우크라이나 전쟁에서 본격적으로 등장했다. 특히 러시아는 우크라이나와 우호적인 국가들의 갈등을 부추기고, 우크라이나 국내 여론을 악화시키기 위해 허위 소식을 퍼뜨리면서 여론전을 전개했다.
중국, 이란의 경우, 갈등관계에 있는 국가, 반체제 인사를 대상으로 여론전을펼치고 있다. 조작된 정부인사의 가짜 메시지를 전달하거나, 민주주의 국가를 대상으로 SNS 인플루언서를 통한 가짜 뉴스를 퍼뜨린다. AI가 생성한 프로필 사진을 이용하고 멀티미디어 콘텐츠를 만들어 실제 뉴스와 여론인 것처럼 조작하고 사회를 혼란하게 만든다.
중요 인프라를 노리는 공격도 국가기반 위협 행위자들의 중요한 수법이다. 중국과 연계된 것으로 알려진 볼트 타이푼은 2021년 중반부터 미국 통신, 유틸리티, 교통, 정부 등의 침투를 시졷했으며, 러시아 배후의 조직인 포레스트 블리자드는 NATO 회원국 내 방위산업 기지와 교통 부문을 대상으로 공격했다.
북한은 올해 초 전 세계 원자력 기관을 표적으로 공격을 진행했으며, 지난해 가을에는 잠수함 기술 탈취를 목표로 해양 기관 침투를 시도했다. 북한 공격자는 최근 공급망 취약점과 오픈소스 취약점을 이용한 공격과 암호화폐 탈취 공격을 이어가고 있다. 마이크로소프트는 올해 초 북한 배후 공격자 제이드 슬릿이 10억달러 규모의 암호화폐를 훔쳤다고 발표한 바 있다.
IoT 기기 78% 중 46%, 패치 적용 못해
중요 인프라를 노리는 공격자는 국가기반 공격자뿐만 아니라 금전 목적의 공격자들도 있다. 중요 인프라가 IT와 연결되면서 공격자가 접근하기 쉬워졌기 때문인데, OT에 연결된 IoT 기기 78% 중 46%는 패치를 적용할 수 없으며, OT 기기 펌웨어 57%가 공개된 취약점을 갖고 있다.
클라우드도 중요한 공격 타깃 중 하나가 됐는데, 클라우드의 취약점을 악용하거나 클라우드 인프라를 공격 기지로 사용하면서 탐지를 회피하고 있다. 망고 샌드스톰이라는 이란 배후 공격자는 엔드포인트와 클라우드 아키텍처를 대상으로 하는 대규모 랜섬웨어를 수행하기도 했다.
공격자들은 지속성을 확보하고 탐지를 회피하기 위해 더 은밀한기술을 사용하고 있는데, 중국 기반공격자는 위조된 인증 토큰을 사용해 전 세계 주요 조직 25곳의 이메일 계정에 액세스하고, 마이크로소프트 계정(MSA) 소비자 서명 키를 사용해 피해자의 이메일에 접근했다.
비즈니스 이메일 손상(BEC) 공격은 지속적으로 늘어나 매일 15만6000건 이상 발견됐으며, ID 전반에 대한 공격도 크게 늘어 한 달 30억 건에서 300억건 이상으로 10배 이상 증가했다. 또한 공격자들은 ID 플랫폼의 잘못된 구성이나 보호되지 않고 노출된 ID 인프라, 오남용된 권한 액세스 설정과 보호되지 않은 측면이동, MFA가 없거나 약한 경우 등을 악용하고 있다.
보고서에서는 이러한 공격을 막기 위해 외부 공격표면을제거하고, 클라우드 보호 기능을 사용하며, 강력한 MFA 설정·비밀번호 없는 인증, 강력한 ID·권한 설정 관리, XDR과 최신 보안 프레임워크 채택 등이 필요하다고 설명했다.
