'코로나 블루'가 위험한 이유…해커가 노린다

/사진=임종철 디자인기자

새해에 해커들이 '코로나 블루'와 같은 심리나 재택근무·원격수업 등 비대면 상황을 악용한 공격을 이어갈 것으로 전망된다. 한국인터넷진흥원(KISA)과 국내 보안업체들은 세밑에 내놓은 2021년도 사이버 보안 위협 전망에서 공통적으로 코로나19 상황을 악용한 랜섬웨어와 피싱이 기업 정보와 개인 정보를 노릴 것이라며 주의를 당부했다. 국내 보안업계가 공통적으로 예측한 5대 사이버 보안 위협은 다음과 같다.

① '코로나 블루' 빠진 개인 노린 '피싱·스미싱 팬데믹'

보안업계는 코로나19로 인한 불안 심리를 악용해 개인정보를 노린 피싱(이메일을 이용한 개인정보 탈취)이나 스미싱(문자메시지를 이용한 개인정보 탈취) 공격이 급증할 것을 우려했다. 비대면 결제 등에 꼭 필요한 개인정보가 다크웹 등에 유출될 위험성이 높아지고 있다는 설명이다.

스미싱 공격을 하는 해커들이 코로나 블루를 해소할 여가·문화생활 수요나 온라인 충동 구매 수요 등을 악용해 클릭을 유도하는 메시지를 보내는 등의 사례가 예상된다는 것이다. 보통 스미싱은 문자메시지에 다운로드 링크 등을 추가해 스마트폰에 악성 앱을 다운로드하도록 유도한 뒤 스마트폰에 저장된 개인정보를 탈취한다.

안랩과 이스트시큐리티 등 국내 보안업체들은 최근 아마존 등 온라인 쇼핑몰이나 유통업체를 사칭해 배송 안내 메일 등으로 위장한 피싱과 스미싱이 자주 보고되고 있다고 밝혔다. 라온시큐어의 화이트해커 그룹 라온화이트햇도 "코로나19로 인한 사회적 거리두기 완화 시 여행, 공연 등 문화생활 관련 수요의 폭발적 증가를 노린 사회공학적 기법을 활용한 피싱이 급증할 것"이라고 내다봤다.

② '대기업 스나이퍼' 표적형 랜섬웨어

보안업계는 새해 기업을 노린 랜섬웨어 규모와 빈도가 증가할 것이라고 공통적으로 예측했다. 과거엔 해커들이 무차별적으로 랜섬웨어를 유포했다면 최근에는 특정 기업을 교묘하게 노린 지능적인 표적형 공격을 자행하는 추세라는 설명이다.

특히 앞으로의 랜섬웨어 공격은 데이터를 아예 갈취해 2차 피해를 가중시킬 수 있다는 우려가 나온다. 실제로 데이터 갈취용도로 개발된 것으로 알려진 메이즈(Maze) 랜섬웨어가 2019년 말부터 꾸준히 보고되고 있다. 게다가 지난해 11월 이랜드 그룹에 클롭(Clop) 랜섬웨어 공격을 감행한 해커 조직은 기업의 영업을 중단시켰을 뿐 아니라 이후 탈취한 고객 정보를 다크웹에 유출했다.

문제는 랜섬웨어 공격 수법이 백신 탐지를 우회하는 등 고도화되고 있다는 점이다. SK인포섹 화이트해커 조직 EQST에 따르면 최근에는 가상머신을 사용하거나 윈도우 캐시 매니저 등을 이용해 백신(안티바이러스 프로그램)을 우회하는 공격 건수가 증가하고 있다.

③ 가정용 네트워크 타고…재택근무 PC·홈 IoT 공격

사회적 거리두기 강화에 따라 재택근무나 원격 수업이 불가피해지면서 보안이 취약한 개인 PC와 가정용 네트워크가 기업 대상 랜섬웨어 유포 등 사이버 공격의 허브(Hub)가 될 우려도 제기된다.

기업들은 최근 이같은 가정용 네트워크 취약점을 보완하기 위해 VPN(가상 사설망)을 활용하거나 원격 근무용 보안 솔루션을 사용하고 있다. 하지만 이스트시큐리티는 해커들이 아예 VPN 자체나 이같은 원격 근무 프로그램에 정보 탈취 기능이 포함된 악성코드를 심어놓을 가능성도 배제할 수 없다고 지적했다.

개인PC뿐 아니라 AI(인공지능) 스피커 등 가정용 네트워크에 연결되는 홈 IoT(사물인터넷) 기기 해킹을 통한 개인정보 탈취 위협도 증가할 것으로 관측된다. 더 나아가 SK인포섹 EQST는 최근 건강정보·생체정보 등 개인 민감 정보가 다크웹에서 신용정보보다 비싼 최대 1000달러(약 109만원) 규모로 팔리면서 디지털 헬스케어용 IoMT(의료기기와 소프트웨어로 이뤄진 디바이스가 통신을 통해 서비스와 연결되는 시스템)기기가 공격 받을 가능성도 높다고 전망했다.

④ 기업용 클라우드·스마트제조시설 대상 공격

기업마다 퍼블릭·하이브리드 클라우드나 디지털 전환 계획에 따라 스마트 제조 시설을 도입한 경우가 늘어나면서 이를 위한 네트워크에 대한 공격도 늘어날 것으로 전망된다. 원격 근무가 늘어나며 기업용 클라우드나 클라우드와 연동되는 산업제어시스템의 보안 취약점을 악용하는 공격이 늘어날 것이라는 관측이다. KISA는 사회기반시설 등 중요 인프라까지 사이버 공격의 먹잇감이 될 수 있다고 우려했다.

이 때문에 기업들이 데이터 보호를 위해 중요 데이터 계정을 분리하는 등 대비가 필요하다는 지적이 나온다. 안랩에 따르면 최근 클라우드 내 시스템을 전문적으로 노리는 팀(Team)TNT라이는 사이버 범죄그룹이 암호화폐 채굴 악성코드에 평문 상태의 AWS(아마존웹서비스) 크리덴셜(로그인 인증 정보)와 설정 파일을 훔치는 기능을 추가했다. 이 공격자는 클라우드 서비스 내 서버를 장악해 악성코드를 배포하거나 다른 공격을 위한 중개 서버로 사용하고 있다고 한다.

⑤ 특정 정권·국가 지원 받는 APT 공격

2021년에는 북한 등 특정 정권이나 세력, 정부 차원의 지원을 받는 대규모 APT(지능적지속위협) 공격도 전망된다. 특히 한국의 경우 2022년에 대선이 있기 때문에 대선 정국을 노리고 대북 업무를 하는 공무원이나 연구원, 기자 등 특정 인물들을 노린 북한 측의 스피어피싱 등 공격 위협도 적잖을 것이라는 설명이다.

또 최근 전세계적으로 국가별 코로나19 백신 확보를 위한 물밑 경쟁이 이어지는 가운데 백신 정보를 탈취하기 위해 정부 지원을 받는 해커들의 대리 '사이버 전쟁' 가능성도 있다는 우려도 나온다. 이스트시큐리티는 "2020년말부터 코로나19 바이러스 백신 대량 생산과 임상실험 정보 등을 탈취하는 등 국가 차원의 총성 없는 정보 전쟁이 일어나고 있다"고 했다.