[블루팀 리포트] 코로나 사태에 사이버범죄 활개…상반기 보안위협 동향

다수 보안기업들, '랜섬웨어 위협 급증' 지적

사회공학공격에 "코로나19·재난지원금·백신"

북한·러시아 등 '국가지원 해커' 움직임 활발

외부 IT관리툴 노린 '공급망 공격' 피해 확산

[사진=게티이미지뱅크]

기업들이 원격·재택근무 체제를 도입해 코로나19 상황에 대응하는 방안이 보편화되면서 사이버범죄의 표적이 될 수 있는 위험도 커졌다. 원격·재택근무를 실행하는 데 필요한 온라인서비스·디지털기술과 기존 기업 내 정보시스템·IT인프라의 틈을 노린 보안위협이 두드러지는 추세다. 코로나19 상황을 악용해 사이버범죄가 활개를 치고 있다는 게 보안 전문가들의 중론이다.

1일 업계에 따르면 국내 주요 정보보안 기업들이 올해 상반기 보안위협의 공통분모로 기업 업무환경과 기반시설 등 산업 전반을 노린 랜섬웨어, 악성코드 유포, 코로나19 상황을 악용한 사회공학 공격, 국가를 배후에 두고 움직이는 해커조직의 위협 활동 확대 등을 꼽고 있다. 안랩, 이스트시큐리티, 이글루시큐리티, ADT캡스가 발표한 상반기 위협동향 분석 결과를 소개한다.
 

2021년 상반기 주요 보안위협 트렌드 톱5 [자료=안랩 제공]

엔드포인트·네트워크보안 솔루션과 보안관제서비스, 클라우드 보안관리를 제공하는 종합 정보보안 전문기업인 안랩은 지난달 16일 '2021년 상반기 주요 보안위협 트렌드 톱5'로 '타깃형 랜섬웨어 공격 증가', '조직 인프라 솔루션을 악용한 공격 지속', '업무 메일을 위장한 정보유출형 악성코드 유포', '사회적 이슈를 사이버공격에 적극 활용', '국가지원 추정 해킹그룹 활개' 등을 선정했다.

공격자들은 타깃형 악성코드 공격으로 기업·기관 전산망에 침입해 데이터를 훔치고 시스템에 랜섬웨어를 감염시킨 뒤, 금전 지불에 응하지 않은 이들에게 훔친 데이터를 유포하겠다고 협박했다. 안랩은 한 번 이런 공격을 당하고 내부 정보를 탈취당한 조직은 다른 협박 대상이 될 수 있어, 보안솔루션을 활용하고 내부 임직원 대상 보안교육을 강화해 대비해야 한다고 조언했다.

침투테스트 도구를 이용한 액티브디렉토리(AD) 서버 탈취 시도와 최근 IT보안관리 솔루션 '카세야VSA' 취약점을 노린 랜섬웨어 유포 등 조직 인프라 솔루션과 공급망 악용 공격이 지난해부터 올해 상반기까지 지속됐다. 원격근무에 필요한 가상사설망(VPN) 솔루션 취약점 공격도 발생했다. 일반 보안정책 외에 위협인텔리전스 서비스를 활용해 대응역량을 높일 필요가 있다.

안랩 시큐리티대응센터(ASEC) 통계에 따르면 '폼북'과 '에이전트테슬라' 등 정보유출형 악성코드가 올해 상반기 가장 많이 발견됐다. 이들은 송장, 발주서, 주문서 등 실존기업이나 거래처를 사칭한 한국어 업무메일을 발송해 첨부파일이나 본문 악성URL 링크 실행을 유도하는 방식으로 유포됐다. 출처 불명 이메일의 첨부파일과 URL 실행을 피해야 한다.

코로나19 상황으로 사회적 관심이 높은 키워드를 사용한 악성 이메일이나 문자메시지를 보내 본문의 첨부파일이나 URL 링크 실행을 유도하는 공격도 많았다. 올해 상반기 특히 확진자 동선, 재난지원금, 소상공인 지원 종합안내 등 표현을 담은 공격이 있었다. 전문가들은 "공격자가 생활밀착형 키워드를 활용할 가능성이 높다"라며 "검증된 웹사이트, 플랫폼을 이용하라"고 당부했다.

국가지원 추정 해커조직 활동이 정치, 사회, 경제, 문화, 방산, 의료, 암호화폐 등 특정 분야에 국한되지 않고 광범위하게 나타났다. 코로나19 백신과 치료제를 개발하고 있는 국내외 제약회사 대상 사이버공격 시도도 있었다. 웹브라우저 연동 프로그램 취약점 공격, 국내 유명 포털 사칭 피싱사이트 제작 등 수법이 고도화되고 있어, 사용 중인 프로그램의 최신 업데이트 등이 요구된다.

랜섬웨어, 사회공학 공격, 국가지원 해킹그룹의 위협 확대는 지난달 21일 발표된 이스트시큐리티의 '상반기 주요 보안위협 톱5'에서도 꼽혔다. 이스트시큐리티는 특히 북한을 배후로 하는 해커조직 활동을 짚고, 랜섬웨어 위협이 국가 핵심 인프라를 위협하고 있으며, 개인정보 유출 피해가 증가하고 있다는 점도 부각시켰다.
 

2021 상반기 주요 보안 위협 톱5 [자료=이스트시큐리티 제공]

이스트시큐리티에 따르면 올해 상반기 '라자루스'와 '탈륨(김수키)' 등의 북한 해커조직이 국방·통일·외교·안보 및 대북 관계자 등 특정 타깃을 대상으로 공격 활동을 벌였다. 이들이 국내외에서 국가 핵심 인프라를 공격하고 유명 검색서비스를 거점으로 활용해 민간 전문가를 표적으로 삼는 정황이 나타났고, 정치권에서 북한의 해킹 공격활동 재발방지 대책을 촉구하는 목소리도 나왔다.

러시아 해커조직 '다크사이드'가 수행한 것으로 추정되는 랜섬웨어 공격으로 미국 송유관 관리 업체 '콜로니얼파이프라인'의 시스템이 중단되는 등 대규모 피해 사례가 발생했다. 이례적으로 미국 연방수사국(FBI)이 해커에게 지불된 금액 중 절반가량인 230만 달러어치의 암호화폐를 압류·회수하는 데 성공했지만, 향후 세계 각국이 이 같은 공격에 대비해야 한다는 경고가 이어졌다.

코로나19 이슈를 테마로 한 사회공학 공격 주제가 다양해지고 있다. 안랩이 지적한 것에 더해 이스트시큐리티는 최근 코로나19 백신 보급과 접종이 진행되면서 '백신 예약', '백신 관련 설문조사' 등을 주제로 한 피싱 이메일과 스미싱 공격도 진행되고 있다고 밝혔다. 올해 초 주춤했던 코로나19가 다시 급속하게 확산하면서 이 같은 공격이 당분간 지속될 전망이다.

스미싱과 함께 악성 앱 공격이 다수 발생해, 주로 안드로이드 스마트폰 기기 사용자를 위협했다. 택배, 건강검진, 금융, 수사기관, 암호화폐, 청첩장 등을 소재로 작성된 문자에 악성 URL을 포함한 메시지가 사용자들에게 전송됐고, 이 URL을 실행한 경우 기기에 악성 앱이 설치됐다. 악성 앱은 기기의 사진, 연락처, 통화내용, 위치정보 등을 빼돌리고 기기 사용을 방해하는 피해를 입혔다.

일련의 해킹 공격 피해는 기업 자체 피해를 넘어 정보시스템에 저장된 일반인 고객 개인정보를 유출시킨 것으로 확대됐다. 국내 유명 자동차 제조사 대상 랜섬웨어 공격으로 다크웹에 고객 개인정보와 기업 내부 자료가 공개됐고 그 해외 법인의 정보시스템에 장애가 발생했다. 이 밖에도 암호화폐거래소, 의료기관, 게임사, 이커머스 등이 개인정보 유출 문제를 일으켰다.
 

2021년 상반기 주요 보안 위협 트렌드 [자료=이글루시큐리티 제공]

지난달 26일 이글루시큐리티와 지난 6월 30일 ADT캡스가 각각 발표한 상반기 동향에서도 서드파티 소프트웨어(SW)를 통한 '공급망 공격', 미국 콜로니얼파이프라인 사례와 같은 랜섬웨어 공격의 산업 전반 확산, 북한을 비롯한 국가지원 해커조직의 위협 증가, 기업 내부정보 탈취사례 증가와 다크웹을 통한 정보유출 피해 증가, 코로나19 이슈를 악용한 공격 위협 등이 꼽혔다.

이글루시큐리티는 공급망 공격의 위협과 심각성을 최우선으로 소개했다. 미국 주요 안보·국가기관과 보안기업 등 1만8000여곳을 공격한 일명 '솔라윈즈 오리온' 악성코드 사건과, 115개국 5000개 시스템에 피해를 일으킨 '마이크로소프트 익스체인지서버 프록시로그온 취약점' 해킹을 대표 사례로 짚었다. 재택근무로 사용이 늘어난 VPN을 활용한 공격에 대해서도 대비를 권했다.

랜섬웨어로 대규모 피해를 일으킨 공격에는 악성코드 기술을 제공하는 해커와 실제 공격을 벌이는 범죄자의 수익배분 모델인 '서비스형랜섬웨어(RaaS)'가 있었다. 공격자들은 랜섬웨어를 활용하는 데이터 무단 암호뿐 아니라, 암호화 전의 데이터 탈취와 유출 및 분산서비스거부(DDoS) 공격 등 3중의 위협으로 금전을 요구해 범죄수익 극대화를 시도했다.

이글루시큐리티는 또 상반기 국가보안시설 해킹사고와 공급망 공격 배후로 국가지원 해커조직을 지목한 미국 정부가 관련 행정명령을 발표하는 등 사이버보안이 국가 간 외교분쟁으로 번지는 양상을 지적했다. 사회공학 기법 중 하나로 'Covidvirus', 'Covid19', 'pandemic' 등 코로나19 관련 키워드를 이용한 신규 도메인의 악성공격 활용 비율이 증가했다고 분석했다.

ADT캡스도 공급망 공격, 이메일 피싱, 기업 정보 다크웹 유출, 개인정보 유출, 랜섬웨어를 이슈로 짚었다. 침해사고 30%가 제조업에 집중됐고, 한 사이트에서 유출된 계정 정보로 다른 사이트에 로그인을 시도하는 '크리덴셜스터핑'이 사고원인의 33%였고, 침해 유형의 36%가 '악성코드 감염'임을 지적하고, 제조업 전반에 걸친 운영기술(OT)과 산업제어시스템(ICS) 보안을 강조했다.

가정, 공유업무공간, 클라우드 등 3개 분야의 원격근무 위협 시나리오를 구체화했다. 재택근무 시 PC 취약점 공격, 피싱, 물리적 침입 가능성을 지적했다. 공유오피스와 공공장소에선 복제 출입카드로 침입, 크리덴셜스터핑, 공용 인터넷공유기 탈취 위협을 경고했다. 클라우드서비스의 크리덴셜스터핑, 원격근무자 PC를 통한 공격, 서드파티를 통한 클라우드 공급망 공격 위험성도 짚었다.
 

2021년 상반기 보안 트렌드 [자료=ADT캡스 제공]