취약점 이슈 급부상, 서비스형 랜섬웨어 생태계 확대…EQST “사이버 팬데믹 본격화”
2022년 상반기에는 제로데이 취약점, 랜섬웨어, 가상자산 탈취 등의 공격이 기승을 부린 것으로 나타났습니다. 전 세계적으로 우크라이나-러시아 전쟁으로 인해 정부·공공부문을 겨냥한 공격과 가상자산을 노린 금융권 대상 공격의 비중이 높았으며, 국내에서는 제조 부문 기업을 노린 공격이 가장 많았던 것으로 집계됐습니다. 이 같은 공격 추세는 하반기에도 이어질 것으로 전망되며, 특히 코로나19가 잦아들면서 다시 사업을 재개할 것으로 기대되는 여행사 등을 노린 공격이 늘어날 것으로 보여 적절한 대비가 요구됩니다. SK쉴더스의 ‘2022 상반기 보안 트렌드 보고서’를 통해 2022년 보안 부문 주요 이슈와 사건들을 살펴봅니다.
2022년 상반기 주요 보안 이슈 및 사건
최근 국내 최대 규모의 화이트해커 전문가 그룹인 SK쉴더스 산하 ‘EQST(이큐스트: Experts, Qualified Security Team)’가 올해 상반기 발생한 사이버 위협 업종별 사고 사례, 주요 공격 이벤트 통계, 취약점, 악성코드 유형 등을 소개하는 자리를 마련했습니다. 이 자리에서는 특히 최근 주목받고 있는 가상자산, RaaS(서비스형 랜섬웨어) 등에 대한 보안 위협요소 및 공격 시나리오 내용도 포함돼 관심을 모았습니다. 상반기에 보안 담당자가 주목해야 할 내용으로는 어떤 것들이 있는지 자세한 내용을 소개합니다.
상반기 ‘제로데이 취약점’, ‘랜섬웨어’, ‘가상자산’ 공격 집중
지난해 12월 자바 로깅 라이브러리인 ‘로그포제이(Log4j)’에서 사상 최악으로 평가되는 취약점이 발견됐습니다. 이어 올해 1월에는 로그포제이와 관련한 3가지 취약점이 추가로 공개됐습니다. 로그포제이 이슈는 전 세계 11%에 달하는 애플리케이션이 자바로 개발되고 있는 것으로 파악됐기에 피해가 클 것으로 예상됐으며, 실제 해커들의 관심도 높았습니다. 여기에 4월에는 전 세계적으로 이용되는 스프링 프레임워크(Spring Framework)에서 ‘스프링포셸(Spring4Shell)’이라는 이름의 고위험도 제로데이가 발견돼 또다시 국내외에서 큰 이슈가 됐습니다.
로그포제이와 스프링포셸을 이용한 원격 명령 실행 시나리오
지난해에 이어 ‘서비스형 랜섬웨어(Ransomware as a Service, 이하 RaaS)’가 상반기에 기승을 부렸다는 점 역시 주목할 만합니다. RaaS 공격은 랜섬웨어 개발자, 시스템 침입과 확산을 담당하는 해커와 봇마스터, 그리고 암호화폐 취득 및 세탁 등을 담당하는 각 역할이 정립되고 분업화되면서 랜섬웨어 관련 생태계가 만들어지고 있다는 점에서 주목되며, 특히 가상자산을 타깃으로 한 사례가 주를 이뤘습니다. 이밖에 유출된 개인정보를 이용해 피해자의 USIM을 발급, 가상자산을 빼돌린 심스와핑(SIM Swapping) 사건이 국내 최초로 발생하기도 했습니다. 심스와핑 공격 역시 가상자산 탈취 피해로 이어졌습니다.
2월에도 가상자산을 노린 피해 사례가 계속해서 발생했습니다. 국내 최대 DeFi(Decentralized Finance) 서비스인 KLAYswap에서 해킹이 발생, 22억 원 규모의 피해를 입은 것입니다. 공격자는 BGP 하이재킹(BGP Hijackinmg) 기법을 통해 네트워크 흐름을 조작하는 방법을 썼습니다. 즉, 정상 SDK 파일로 위장한 악성코드를 다운로드하게 한 후 피해자가 거래 시 공격자의 가상자산 지갑으로 자산을 전송하게끔 조작한 것입니다.
RaaS인 블랙캣(BlackCat) 랜섬웨어도 기승을 부렸습니다. 12명의 피해자에게 총 1,400만 달러를 요구하며 비용을 지불하지 않을 경우 디도스(DDoS) 공격을 수행할 것이라고 협박한 블랙캣 랜섬웨어 그룹은 기존에 사용하지 않던 러스트(Rust) 언어를 사용해 랜섬웨어를 제작했습니다. 러스트 기반의 블랙캣은 리눅스와 윈도우 시스템에서 모두 실행 가능해 범용성이 뛰어나고, 많이 알려지지 않은 언어라 보안 시스템 우회에 용이하며, 리버스 엔지니어링을 이용한 분석에 어려움을 주고 있는 것으로 파악됩니다.
3월에는 러시아가 우크라이나를 침공하면서 위성 통신망을 해킹하고 사회기반시설에 대한 공격을 시도하는 등 국제적 위협 상황이 발생했습니다. 우크라이나는 인터넷 연결과 전기 공급 등 측면에서 피해를 입었습니다. 이러한 사례는 국가 안보에 사이버 공격 대비가 필수라는 점을 전 세계에 널리 각인시켰습니다.
4월에는 현역 장교가 4,800만 원가량의 가상자산을 받고 북한 해커에게 군 기밀정보 유출을 시도한 정황이 발견됐습니다. 악성코드를 이용한 해킹 시도가 아닌, 직접적 포섭을 통한 시도라는 점에서 주목받았으며 디스코드, 텔레그램 등의 암호화 채널을 이용한 점도 특징입니다. 이와 함께 북한 소속 해킹 부대인 ‘라자루스’가 블록체인 기반 온라인 게임인 ‘엑시 인피니티’를 해킹해 7,700억 원 규모의 가상화폐를 탈취한 사건도 벌어졌습니다. 엑시 인피니티는 자체 제작한 로닌 네트워크를 통해 이더리움 기반으로 거래를 진행하는데, 로닌 네트워크에 존재하는 취약점을 이용해 가상화폐를 탈취한 것으로 조사됐습니다. 미국 국무부는 탈취한 7,700억 원 중 1,100억 원가량이 라자루스의 가상자산 지갑으로 이동했음을 확인했다고 밝혔습니다.
라자루스의 공격은 5월에도 지속됐습니다. 사이버 보안 업체 트렐릭스(Trellix)는 북한 당국이 외화 탈취를 위해 신종 랜섬웨어 4종을 유포한 정황을 포착했다고 발표했습니다. 해당 랜섬웨어에서는 라자루스의 VHD 랜섬웨어와 유사한 소스코드가 발견됐으며, 협박 메시지의 이메일 주소 역시 이전 이메일 주소와 동일하거나 유사한 점을 들어 북한 당국과의 연관성이 높은 것으로 추정됐습니다. 이밖에 캐나다 민간 군사 업체 톱에이스(Top Aces)는 록비트2.0(LockBit2.0) 랜섬웨어 그룹에게 공격받아 44GB의 데이터를 유출당했으며, 몸값을 지불하지 않을 시 데이터를 공개할 것이라는 협박을 받았습니다.
국외 금융권, 국내 제조업 침해사고 최다
SK쉴더스 산하 국내 최대 규모 화이트해커 전문가 그룹인 ‘EQST(Experts, Qualified Security Team)’의 분석에 따르면, 2022년도부터 탈중앙화금융(DeFi) 시스템 사용자가 늘어나는 등 가상자산 거래가 활성화됨에 따라 가상자산 탈취를 위한 금융권 대상 공격이 가장 높은 비중을 보인 것으로 나타났습니다. 금융권을 대상으로 한 침해사고는 2022년 상반기 전체 사고 중 국내와 국외 각각 16.3%와 25%의 비중을 차지했습니다. 국내에서 가장 높은 통계를 기록한 업종은 제조업 침해사고로 22.1%를 기록했으며, 특히 해킹 그룹 ‘랩서스’가 국내 최대 제조사인 S사와 L사의 핵심 중요 정보를 탈취하는 데 성공한 사건이 큰 이슈가 됐습니다.
국외에서는 러시아-우크라이나 전쟁의 영향으로 인해 기반 시설을 노린 사이버 공격이 대대적으로 이뤄진 것이 통계에 반영돼 공공/정부기관을 겨냥한 침해사고가 22.2%로 높은 비중을 차지했습니다.
2022년 상반기 업종별 침해사고 발생 통계 (자료: SK쉴더스)
유형별 사고 발생 통계로는 악성코드를 통한 침해사고가 39.2%로 가장 높은 비중을 차지했으며, 중요 정보 유출이 32.3%, 피싱/스캠이 15.7%를 차지했습니다. 그 외 시스템 장악이 11.8%, 공급망 공격이 1.0%로 뒤를 이었습니다.
2022년 상반기 침해사고 유형별 발생 통계 (자료: SK쉴더스)
가장 많은 비중을 차지한 악성코드 감염은 최근 RaaS가 대중화되면서 사이버 공격에 대한 진입장벽이 낮아진 것이 주요 원인인 것으로 분석됩니다. RaaS는 개발자가 판매하는 랜섬웨어를 공격자가 구매해 유포하고, 공격이 성공하면 수익을 나눠 갖는 형태입니다. 랜섬웨어를 구매해 이용하기 때문에 공격자의 악성코드 개발 역량이 부족해도 손쉽게 랜섬웨어 공격을 시도할 수 있습니다. 이에 따라 랜섬웨어 공격의 발생 빈도나 피해 규모가 크게 증가하고 있습니다.
RaaS 랜섬웨어로는 ‘록비트(LockBit)’, ‘콘티(Conti)’, ‘블랙캣(BlackCat)’ 등이 대표적입니다. 특히 상반기 가장 활발하게 활동한 랜섬웨어 그룹은 ‘록비트’로, 타 랜섬웨어 그룹보다 3배 이상 많이 활동한 것으로 관측됐습니다. 2019년 9월부터 활동을 시장한 록비트는 파일을 ‘.lockbit’ 확장자 파일로 암호화하며, 부분 암호화 기술을 사용해 다른 랜섬웨어에 비해 암호화 프로세스 속도를 높인 것이 특징입니다. 이로써 데이터 암호화를 가장 빠르게 수행하고, 랜섬웨어 탐지 기술을 우회까지 할 수 있습니다. 이밖에 ‘콘티’ 또한 대형 랜섬웨어 그룹으로 꼽힌다. 콘티는 총괄 리더를 필두로 인사, 교육, 교섭 및 홍보팀을 두고 있으며 기업을 대상으로 공격을 진행하는 실행부, 개발부, 조사부, 해석부 등 기업 조직의 형태를 갖추고 있어 특별히 유의해야 하는 그룹으로 지적됐습니다.
2022년 상반기 상위 랜섬웨어 그룹 (자료: CyberInt)
악성코드 감염 다음으로는 ‘중요 정보 유출’이 높은 비중을 차지했습니다. 공격 대상 서버의 보안 취약점을 이용해 중요정보를 탈취하고 다크웹이나 블랙마켓을 통해 판매함으로써 이익을 취하거나 중요정보를 인질로 삼아 금전을 요구하는 형태를 보이고 있습니다.
15.7%를 차지한 피싱/스캠은 가상자산 탈취를 목적으로 크리덴셜 정보 수집에 주로 이용됐습니다. 공격자는 피싱을 통해 대상의 크리덴셜을 획득하고 이를 이용해 암호화폐 거래소에 접근, 피해자의 가상자산을 탈취합니다. EQST 측은 가상자산 거래량이 늘어난 만큼 암호화폐 거래소 이용자를 타깃으로 한 피싱 공격이 증가하고 있어 각별한 주의가 필요하다고 조언했습니다.
한편 2022년 상반기 랜섬웨어 피해 기업의 규모 통계를 살펴보면, 사원 수 1천 명 이하 규모의 기업이 72%를 차지한 것으로 나타났습니다. 2021년 국내 기업에 대한 랜섬웨어 피해 조사에서도 93%가 중소기업이었던 것을 돌이켜보면, 상대적으로 보안이 취약한 작은 규모의 기업들이 피해를 입고 있는 것으로 파악됩니다. SK쉴더스 측은 “랜섬웨어에 대한 피해를 줄이기 위해서는 보안 솔루션을 도입하고, 주기적인 백업을 해야 한다”고 조언했습니다.
하반기 리오프닝 산업 공격 증가 예상
SK쉴더스 EQST는 코로나19로 인해 디지털 전환이 가속화되고, 가상자산이 대중화되면서 일명 ‘사이버 팬데믹’이 시작된 상황이라고 분석하고 있습니다. 2021년 1분기와 2022년 1분기를 비교해보면 침해사고가 63% 늘었으며 피해액도 23% 증가했습니다. 2015년 3조 원 규모였던 사이버 범죄 피해규모는 2021년 7조 원을 지나 2025년에는 10조 원 규모까지 늘어날 전망입니다. 이에 EQST는 하반기 주목해야 할 키워드로 △코로나19 이후 디지털 전환의 가속화로 ‘리오프닝’ 관련 산업 공격 △‘가상자산’ 거래 대중화로 관련 공격 확대 △RaaS 포함 랜섬웨어 공격 등을 선정했습니다. 특히, 코로나19로 위축됐던 경제활동이 재개되면서 호텔, 항공사, 여행사 등을 포함하는 관광산업 등에서의 침해사고가 꾸준히 증가할 것으로 전망했습니다.
예를 들어, 해커가 여행사 이벤트로 위장한 피싱메일을 발송하고 사용자가 피싱 사이트에 중요정보를 입력하게 되면 입력한 중요정보를 탈취하는 공격이 가능하다. 여행 관련 사이트에 APT공격을 수행하거나 웹 취약점을 이용해 RaaS를 유포하는 공격도 가능한 것으로 분석됐다. 실제로 국내 침해사고 통계에서 여행/서비스 산업의 침해사고가 작년 15.7%에서 올해 22.6%로 6.9%p 증가한 것으로 나타났다. 해당 산업군들은 코로나19 기간 동안 매출 감소로 인해 산업 전반에 걸쳐 인원이 감축됐고, 보안 관련 인원 역시 축소됐다는 점에서 공격자들의 손쉬운 공격 대상이 될 수 있어 각별한 주의가 필요하다는 분석입니다.
가상자산 피해 및 랜섬웨어 공격도 꾸준히 증가
가상자산 거래량 증가로 관련 플랫폼 사용이 급증하면서 가상자산 사고도 꾸준히 발생하고 있습니다. 가상자산 관련 피해액은 매년 증가 추세를 보이고 있으며, 2020년 대비 2021년에 급증한 것으로 나타났습니다.
가상자산 피해액 증가 추이 (자료: 체이널리시스)
여기에 탈중앙화 금융인 DeFi가 새롭게 등장하면서 가상자산을 타깃으로 한 공격이 더욱 많아질 것으로 예상됩니다. 체이널리시스(Chainalysis)는 2022년 상반기 동안 도난당한 가상자산이 16억 8천만 달러(한화 약 2조 1554억 원)에 달하며, 이 중 97%가 DeFi 플랫폼을 통해 발생했다고 발표했습니다. 거래소에 의존하던 기존 방식에서 탈 중앙화 방식의 DeFi 시장 규모가 증가하면서 DeFi 플랫폼을 노린 공격이 증가한 것입니다. EQST는 “이처럼 단순히 피싱, 스미싱 등을 이용한 거래소 계정 탈취뿐만 아니라 관련 플랫폼의 취약점을 이용한 공격 위협 또한 증가할 것으로 보인다”고 분석했습니다.
가상자산 거래 유형별 비율 (자료: 체이널리시스)
마지막으로 EQST는 상반기에 활발히 이뤄졌던 RaaS 공격이 하반기에도 이어질 것으로 전망했습니다. 특히, 랜섬웨어 공격 그룹들이 수사당국의 감시를 회피하기 위해 기존 랜섬웨어를 정비하는 ‘리브랜딩(Re-Branding)’ 전략을 펼치는 가운데, 하반기 이러한 움직임이 더욱 활발해질 것이라고 분석했습니다. 대표적인 예로 지난해 미국 최대 송유관 운영 회사인 콜로니얼 파이프라인을 해킹한 ‘다크사이드’ 랜섬웨어 그룹이 최근 ‘블랙 매터(Black Matter)’로 리브랜딩하는 등 다양한 공격 방법을 선보일 것으로 예상됩니다.
랜섬웨어 그룹의 리브랜딩 (자료: SK쉴더스)
SK쉴더스 이재우 EQST사업그룹장은 “사이버팬데믹 시대가 도래하며 개인, 사회, 기업 모두가 사이버 공격의 대상이 되고 있어 경제적·사회적 피해가 커지고 있다”면서 “EQST는 전문 역량을 바탕으로 클라우드, 블록체인, 랜섬웨어 등 뉴ICT(New ICT)에 대한 연구를 지속해 향후 발생하는 다양한 공격과 위협에 대한 정확한 인사이트를 제공하기 위해 최선을 다하겠다”고 말했습니다.
*원문 출처 : http://www.itdaily.kr/news/articleView.html?idxno=208869