임종철 디자이너 /사진=임종철 디자이너크라운스트라이크는 중국과 연계된 공격자들 및 이들과 비슷한 TTP(전술·기술·절차)를 운용하는 이들이 20개국에 걸쳐 39개 글로벌 산업 분야에 대해 공격한 사실을 확인했다고 밝혔다. 공격 대상은 △정부기관 △금융 △통신 △헬스케어 △테크(기술) △항공우주 △국방 △핵 △에너지 △제조업 △NGO(비정부기구) △법률 △미디어 등 분야를 망라한다.
중국 연계 사이버침해의 대상 중 3분의 2가 주로 동아시아와 동남아시아, 중앙아시아 지역의 정부기관이나 기술·통신 등 사업을 영위하는 곳들이었다. 미국과 유럽 지역의 기관을 상대로 한 공격은 크라우드스트라이크가 감지한 중국 연계 공격자들의 활동 중 4분의 1정도에 불과했다.
중국 외에도 러시아, 이란, 북한 등에서도 국가 연계 사이버공격이 주로 자행되고 있다는 지적이다. 러시아에서는 우크라이나 침략전쟁과 연계한 사이버 공격이 주로 자행되고 있고 이란에서는 랜섬웨어를 활용한 공격이 주로 진행된다. 북한은 가상자산 탈취를 통해 자금을 모으기 위한 공격이 주로 감지됐다.
지난달 28일(현지시간) 미국 텍사스 소재 사이버보안 기업 크라우드스트라이크가 발간한 '2023 글로벌 위협 보고서' 캡쳐. 2022년 한 해 중국연계 사이버공격이 타깃으로 한 20개국 39개 섹터의 영역이 어디인지 보여준다. 또 "러시아, 이란의 국가연계 공격은 올해도 지속될 것이고 북한도 통화 탈취와 연계한 활동을 이어갈 것"이라며 "사이버 스파이 활동이 중국 공산당의 전략적·경제적 야망을 뒷받침하는 핵심 도구로 남아 있는 한 중국 연계 침해행위도 줄어들 가능성이 낮다"고 평가했다.
아울러 크라우드스트라이크에 따르면 지난해 탐지된 공격의 71%는 악성코드가 없는(malware free) 형태의 공격이었다. 반면 사람이 직접 키보드로 악성 행위를 자행하는 '상호작용형 침입'(interactive intrusion)의 건수는 전년 대비 50% 늘었다. 크라우드스트라이크는 이에 대해 "인간의 정교한 공격이 안티바이러스 백신을 통한 보호나 기계에 의존한 보호를 얼마나 쉽게 무너뜨리는지를 보여준다"고 했다.
이 상호작용형 침입이 시스템을 뚫는 데 걸리는 평균 시간은 2021년 98분에서 2022년 84분으로 줄었다. 더 짧은 시간 내에 시스템 침입이 가능해졌다는 의미다.
다크웹 등을 통한 접속정보 중개상들의 광고 활동은 2500건 이상 감지됐다. 이 역시 전년 대비 112% 늘어난 수치다. 침해 공격을 위해 신원정보(ID)와 자격증명을 다크웹에서 구하려는 이들도 그만큼 늘어났다는 것을 보여준다.
클라우드 환경을 노리는 공격자들의 수도 늘고 있다. 클라우드 환경에 대한 공격은 전년 대비 95% 늘었다. 로그4쉘(log4shell) 등과 같은 종전 인터넷 취약점을 다시 공격하는 형태의 공격도 지난해 주로 감지된 사안들로 꼽힌다.
