[데이터넷] 사이버 범죄 시장은 지속적으로 커지고 있다. 딜로이트는 전 세계 사이버 범죄 복구 비용이 2021년 말 6조달러에서 2025년 10조5000억달러로 증가할 것이라고 내다봤다. 2023년에는 이 규모가 훨씬 더 커질 것으로 보인다. 장기화되는 러시아-우크라이나 전쟁, 불안정한 국내외 정치상황, 심각한 인플레이션 등이 경제위기를 고조시킬 것으로 보인다. 경기가 위축되면 기업의 투자가 줄어들며, 당연히 보안 투자도 줄어든다. 공격은 진화하는데 보안은 제자리에 있으면 사이버 위협은 높아질 수 밖에 없다. 2023년 한층 더 심화될 것으로 보이는 대표적인 위협 사례를 소개한다. <편집자>
공급망 생태계 위협하는 공격자
공급망 공격이 전 산업을 위협하고 있다. 전 세계에 펼쳐진 공급망의 취약점을 이용하면 공급망 생태계의 모든 기업을 효과적으로 공격할 수 있다. 딘(Dyn), 솔라윈즈, 카세야 사고에서 볼 수 있듯, 소프트웨어 제작사, 서비스 기업을 공격하면 이 서비스를 이용하는 전 세계 고객을 위험에 빠뜨릴 수 있다. 로그4j 취약 점은 오픈소스 코드 취약점을 이용해 광범위한 공격이 가능하다는 것을 보여줬다.
세계경제포럼 조사에 따르면 전 세계 기관의 40%가 공급망 내 사이버 보안 사고를 경험해 봤다고 답했으며, 거의 모든 응답자가 공급망 생태계의 중소기업 보안 취약성과 낮은 회복력에 우려를 표했다. 지난 3월 일본 도요타 자동차의 부품업체가 공격을 받아 도요타 일본 내 모든 공장이 중단됐다. 공급망 파트너를 통해 도요타 자동차 전체를 타격한 대표적인 공급망 공격이다.
오픈소스 이용 공급망 공격 위험 수준 높아
소프트웨어 취약성은 공급망 공격에 가장 쉽게 이용된다. 얼마 전 국내 결제앱 코드사인이 유출돼 악성앱 제작에 사용된 정황이 발견돼 큰 파장이 일어난 바 있다. 우리나라 보안 소프트웨어 기업의 코드사인이 탈취돼 공공·금융 서비스 이용을 위한 보안 모듈이 감염된 채 유포되는 일도 자주 발생했다. 얼마 전에는 마이크로소프트의 정식 서명이 있는 하드웨어 드라이브가 감염된 상태로 유포돼 EDR을 중지시키고 랜섬웨어 공격을 하는 것이 발견되기도 했다.
오픈소스 사용이 늘어나면서 소프트웨어 공급망 공격은 더 극성을 부리고 있다. 로그4j 취약점을 이용한 공급망 공격이 대표적인 사례다.
하나의 소프트웨어를 개발할 때 수백, 수천의 오픈소스를 사용하는데, 그 중 하나에만 취약점이 있으면 이를 이용해 공격할 수 있다. 오픈소스 커뮤니티에서는 취약한 라이브러리를 빠르게 찾아 패치를 제공하거나 취약점 제거 방법을 알려준다. 그러나 취약점의 영향을 받는 코드가 어떤 시스템에 적용돼 있는지 파악하지 못할 뿐 아니라 취약점이 공개됐다는 사실도 알지 못한다.
기업이 사용중인 오픈소스의 신규 취약점 정보와 패치를 적용하는 전문 솔루션이 있지만, 소프트웨어 내에 몇 차례 패킹돼 있거나 일부만 사용하는 스니펫 코드, 코드를 변경해서 적용한 경우 찾는데 한계가 있다.
컨테이너 이미지의 취약점 문제는 클라우드 전체의 공급망 위협으로 작용할 수 있다. 속도가 중요한 클라우드 서비스 개발 시 이미지 취약점을 점검하지 않는다는 점을 이용한 것이다.
공격자는 신뢰할 수 있는 이미지 혹은 개발자를 감염시키거나, 정상 이미지의 이름, 개발자 계정과 비슷한 것을 만들어 업로드 해 감염된 이미지를 사용하도록 유도한다. 파이썬 리포지터리 내 정상적인 패키지 안에 멀웨어를 심는 공격은 자주 보도된다.
제로데이·엔데이 취약점 공격 성행
금융보안원은 제로데이·엔데이 취약점 위험이 더욱 높아지고 있다고 설명한다. 제로데이 취약점은 취약점 발견 후 패치되기까지 기간을 말하며, 엔데이는 취약점 공개와 패치가 배포된지 시간이 지나 사람들의 관심에 서 멀어진 상황에서도 패치되지 않은 상태를 말한다.
제로데이, 엔데이 취약점 해결을 위해서는 패치 공개 즉시 적용해야 하지만, 취약한 시스템을 파악하지 못 하고, 다른 시스템에 영향을 받게 될까봐 패치하지 못 하며, 사용 중인 시스템도 해당 패치를 지원하지 못하는 경우도 있다.
안랩은 금전거래, 개인정보 활용이 모바일을 통해 이뤄지고 있기 때문에 모바일 타깃 공격이 더 극성을 부릴 것으로 예상했다. 모바일 앱 배포 또는 업데이트 단계에서 악성코드 주입을 시도하거나, 정상 모바일 앱의 인증서를 탈취해 이를 악성 앱 제작과 배포에 활용할 수도 있다. 따라서 모바일 서비스 제공자라면 개발 및 배포 과정에서 반드시 보안을 고려하고, 주요 자산에 대한 위협 탐지 및 대응체계를 갖추어야 한다.
