너무나 많은 사람들과 기업들이 각종 네트워크와 통신망, 소프트웨어의 힘으로 연결되어 있고, 더 그렇게 되고 있다. 그래서 공격자들의 침투 경로는 점점 늘어나는 중이다. 방어의 범위가 넓어지고 심도가 깊어져야 하는 이유다.

[보안뉴스 문정후 기자] 2022년 3사분기 전 세계적으로 사이버 공격이 28% 증가했다. 놀랍다면 28%이라는 숫자가 적어 보여서 그런 것이지, 증가했다는 사실이 새로울 것은 없다. 이미 지난 수년 동안 사이버 공격은 모든 면에서 꾸준히 증가했었다. 2023년에 들어 갑자기 이 추세가 역전될 것으로 보이지는 않는다. 매일 더 많은 공격과 피해에 대한 소식으로 가득할 것이라고 예상된다. 보안에 대한 투자가 꾸준히 늘어나고 있고, 보안 인식 수준도 높아지고 있지만 말이다.


사이버 공격의 ‘트렌드’도 2022년에 비해 크게 달라지지 않을 전망이다. 그러나 완전히 똑같지도 않을 것이다. 올해 사이버 범죄자들은 더 ‘기업화’를 이뤄냈고, 사이버 범죄는 하나의 전문 사업으로서 자리를 잡았다. 이를 바탕으로 더 효율적이고 정확한 공격을 할 수 있게 되었으며, 이것이 2023년에는 제대로 효력을 발휘하게 될 것으로 전망된다. 2022년에 일궈둔 것이 2023년에 열매가 될 것이라는 뜻인데, 방어를 담당하는 보안 업계로서는 영 좋지 않은 소식이다.

훼방을 놓기 위한 공격, 더 많아진다
사이버 공격으로 인해 사업 활동이 마비되는 사례가 점점 늘어나고 있고, 2023년에도 이러한 행위는 증가할 가능성이 높아 보인다. 지난 12개월 동안 데이터와 관련된 사고(삭제, 유출, 조작 등) 때문에 사업을 정상적으로 진행할 수 없었던 기업은 93%였다. 영구적으로 데이터를 잃은 기업은 43%였다.

의외로 데이터를 볼모로 잡고 피해자를 협박하는 랜섬웨어 공격은 최근 8% 줄어들었다. 데이터를 삭제하는 등의 단순한 행위를 통해 사업을 일시 중단시키는 것만으로도 충분한 공격 효과를 누릴 수 있다는 게 입증되면서 랜섬웨어라는 복잡한 공격을 할 필요가 없다는 것이 공격자들 사이에서 서서히 알려지는 것으로 보인다.

또한 돈을 받을 생각 같은 건 하나도 없이 오로지 피해자에게 피해를 줄 목적으로만 하는 공격들이 늘어나고 있다는 것도 중요한 고려 요소다. 주로 정치적인 목적과 배경을 가지고 있는 단체들에서 이런 공격을 실시하는데, 2022년에는 러시아를 지지하거나 러시아 정부의 후원을 받는 공격 단체들이 우크라이나나 우크라이나를 지원하는 단체/국가들을 겨냥하여 이런 행위를 많이 저질렀다.

사업 행위가 중단되는 공격의 또 다른 특징은 일반 대중들이 알게 된다는 것이다. 보통 해킹 공격에 당하면 기업이나 기관들은 숨기고 싶어 한다. 외부로 널리 알려지는 것을 원치 않는다. 공격자들에게는 이것이 좋은 효과다. 피해를 입히는 것 자체가 주요 목적인데 해킹 피해 사실이 널리 알려져 피해자의 명성마저 훼손되는 것은 반가운 일이며, 반대로 공격자 자신들의 이름값은 올라가기 때문이다. 예를 들어 콘티(Conti)라는 그룹은 코스타리카 정부 기관들의 웹사이트들과 서비스를 수개월 동안 마비시키면서 유명해졌고, 그후 공격 파트너들을 구하는 일이 쉬워졌다.

재앙에 가까운 사이버 공격이 이어진다
지메일, 왓츠앱, 마이크로소프트 등 세상의 수많은 사람들이 사용하는 주요 IT 서비스들에 아무런 사고가 없이 2023년이 지나갈 확률은 얼마나 될까? 그리고 이런 주요 IT 서비스들이 중단되었을 때의 재앙적인 결과는 어느 정도의 피해를 사회 전반에 미치게 될까? 그런 일이 최소 한 번은 일어날 것이라고 예상은 되지만 그 파장까지는 예측이 어렵다.

왜 그런 예상이 가능하냐면 지난 해 피터 자트코(Peiter Zatko)라는 트위터 보안 담당자의 내부 고발을 통해 국제적인 규모의 대기업이라 하더라도 보안이 허술하다는 걸 알게 되었기 때문이다. 누군가는 그런 사실을 접하고 ‘뚫어볼 만한데?’라고 생각했을 것이고, 그 중에는 사회 혼란 야기 등을 목적으로 실제 공격을 시도하는 사람도 있을 것이다. 그리고 그러한 공격을 성공시키는 사례들도 분명히 나올 것으로 보인다.

이미 우리는 전 국가 및 전 세계적으로 통용되는 소프트웨어나 통신 플랫폼이 마비되었을 때 어떤 일이 벌어질 수 있는 지를 수년 전부터 경험한 바 있다. 수많은 사람들의 개인정보가 노출될 위험에 처하고, 수많은 기업들이 집계조차 힘든 피해를 입는다. 이런 상황을 만들고자 하는 공격자들은 세상에 차고 넘친다.

공급망 공격, 공격자들에게 날개를 달다
소프트웨어가 생산되고 유통되는 과정 중에 개입하여 악성 코드를 퍼트리는 공격인 ‘공급망 공격’은 2022년 공격자들이 가장 많이 훈련하고 시도해 본 유형의 공격 중 하나다. 한 번의 공격 성공으로 수많은 피해자를 낳을 수 있기 때문에 공격의 가성비가 뛰어나다. 공격의 가성비는 공격자들이 가장 중요하게 생각하는 요소라고 볼 수 있다.

지난 3년 동안 공급망 공격은 8배나 늘어났다. 공급망 공격을 전문으로 하는 단체들도 생겨나고 있고, 이런 단체들과 협력하는 하청 그룹들도 우후죽순 늘어나는 중이다. 심지어 국가 정부 기관들도 이 생태계에 끼어들고 있다. 공급망 공격을 원활하게 할 수 있도록 공격 그룹을 후원하고 안전한 도피처도 마련해 준다. 그러면서 공급망 공격자들이 성장할 기반이 탄탄하게 갖춰져 가는 중이다.

랜섬웨어 공격자들의 배경이 든든해지면서 사이버 범죄는 보다 조직화, 기업화, 전문화 되고 있다는 것을 우리는 알고 있다. 공급망 공격을 전문으로 하는 단체들도 비슷한 길을 걸어갈 것이라고 예상된다. 이들은 보다 조직적으로, 전문적으로 공급망 공격을 이어갈 것이고, 그러면서 일종의 기업화, 더 나아가 산업화까지 이룰 수 있다. 그렇다는 건 일반 기업과 기관들이 공급망에 대한 경계 태세를 보다 삼엄하게 취해야 한다는 뜻이 된다. 이제는 우리 회사 우리 기관만 챙기는 게 그리 강한 효력을 발휘하지 못한다.

개인화 된 공격 역시 우회로를 찾는다
2023년에는 개개인을 노리는 협박 공격 역시 보다 다양해지고 많아질 것으로 예상된다. 특히 공격 대상이 되는 기업을 노리기 위해 서드파티를 공략하듯, 개인을 협박하기 위해 지인들을 노리는 시도들이 이어질 것으로 보인다. 이미 그러한 사례들은 과거에도 있어 왔다.

가장 좋은 예가 섹스토션 공격이다. 피해자의 수치심을 유발할 수 있는 외설적이거나 음란한 사진들을 스스로 촬영하도록 유도한 뒤 빼앗거나, 이미 그러한 사진들이 있다면 외부로 빼돌린 후 “돈을 주지 않으면 이 자료를 당신의 지인에게 보내겠다”고 협박하는 것이 섹스토션 공격이다. 돈 대신 회사 네트워크 비밀번호 등을 요구하는 사례들도 있다.

누구나 섹스토션과 같은 개인 협박 공격의 대상이 될 수 있다. 기업의 임원진이든 일반 직원이든, 유명 인사든 가리지 않는다. 숨기고 싶은 비밀은 거의 모든 사람들에게 있고, 해커들도 이를 잘 이해하고 있다. 예를 들어 한 10대는 어느 날 이메일을 한 통 받았다. 당사자가 동성연애자라는 사실을 누설하겠다는 내용이었다. 가족들은 모르던 사실이었다. 이런 일이 발생하는 걸 원치 않는다면 집 네트워크에 특정 파일을 심으면 된다는 협박 포함되어 있었다. 이 파일을 통해 공격자는 아이의 어머니에게 접근하는 데 성공했다. 그 어머니는 거대한 회사의 임원이었다.

이처럼 공격자들은 자신들이 목표로 하는 지점에 도달하는 여러 길들을 잘 찾아낸다. 그 중에는 가까운 친인척과 지인들도 포함되어 있다. 공격자들은 이러한 부분을 절대로 간과하지 않을 것이다. 2023년에는 더 많은 공격자들이 자신들의 표적에 닿기 위해 개인이라는 통로를 적극 활용할 것으로 보이고, 이는 기업들의 방어 범위가 훨씬 더 넓어진다는 의미가 된다.

글 : 루벤 아로나쉬빌리(Reuven Aronashvili), CEO, CYE
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>