해커들은 크라우드스트라이크 이용자를 노린 공격을 대거 펼쳤다. 'crowdstrike-hotfix.zip'이라는 압축파일을 해제해 실행파일을 실행시키면 된다고 유인했다. 이 파일을 실행하면 악성코드가 이용자의 PC나 시스템에 설치된다. 이 악성코드는 해커가 이용자의 PC를 원격으로 조종할 수 있게 설계된 것으로 알려졌다. 이같은 악성코드 공격 뿐 아니라 크라우드스트라이크사의 이름을 딴 각종 웹사이트들이 "시스템 장애를 복구해주겠다"며 이용자의 클릭을 유도했다.
영화에서 해커가 현란한 타이핑으로 소스코드를 만들어 타깃 시스템에 즉각 침투하는 것처럼 연출되는 것과 달리 상당 수의 공격은 눈에 띄지 않는 형태로 오랜 시간에 걸쳐 이뤄진다. 가짜 메일이나 문자메시지로 이용자를 속이고 이용자가 직접 자신의 개인 인증 정보를 가짜 홈페이지로 보내도록 유도한다. 이 과정에서 악성코드를 심기 위한 다양한 속임수도 쓰인다. 이같은 지능적이고(Advanced) 지속적인(Persistent) 공격(Threat)은 소위 APT라고도 불린다.
국내 IT 보안·인증 전문기업 라온시큐어에 따르면 APT는 단발성 공격으로 끝나지 않고 1년에서 길게는 5년 이상 장기간에 걸쳐 공격이 이뤄진다. 공격자는 기업 중요 정보 획득 뿐 아니라 정치적 신념 강요 등 목적으로 사이버 위협을 가한다. 내부자 침투, 피싱 메일, 공급망 공격 등 다양한 수법이 이 과정에서 활용된다. 공격자는 공격 대상에 은밀하게 침투해 드러나지 않은 채 지속적으로 공격을 가하는 것을 도모한다.
올 3월에도 리눅스 공급망 해킹 사건인 'XZ-유틸스 백도어' 사건이 있었다. 공격자는 리눅스용 압축 프로그램인 XZ-유틸스를 개발하는 XZ 프로젝트에 3년간 참여해 신뢰를 얻어 관리자 권한을 얻었다. 이후 프로그램에 미묘한 오타를 추가하는 은밀한 방식으로 백도어(Backdoor, 악의적 목적의 숨겨진 기능)를 삽입했다. 다행히 이 백도어는 조기에 발견됐지만 자칫 전 세계 리눅스 서버가 공격에 노출될 수 있었던 사건으로 평가됐다.
글로벌 시장조사 기관인 가트너는 2025년까지 전 세계 조직의 45%가 공급망 공격을 겪게 될 것으로 전망했다. 사이버시큐리티벤처스에 따르면 2031년까지 사이버공격은 1380억달러(약 191조원)에 달할 것으로 전망된다.
생성형 AI(인공지능) 기술은 APT 공격자들에게 막강한 무기가 됐다. AI로 악성코드를 보다 쉽게 생성하고 공격 대상도 더욱 정교한 전략으로 고를 수 있으며 상대방 시스템의 취약점도 자동화된 방식으로 파악할 수 있게 됐기 때문이다. 기존 탐지 시스템을 우회해 새로운 취약점을 공격하는 데도 AI가 쓰인다. 타깃의 시스템에 잠복해 장기적으로 대규모 공격을 자동으로 수행하고 새로운 패턴의 공격도 지속 개발하는 데에 AI가 악용된다.
라온시큐어의 화이트해커로 근무하고 있는 김동민 팀장은 "APT 공격자들은 드러나지 않게 악성코드나 백도어를 심는 방식으로 공격한다"며 "타깃이 된 기업이나 조직들은 잠재적 위험에 노출됐다는 사실을 인지하지 못하는 경우가 많다"고 했다. 김 팀장은 "블라인드 모의 침투, 공급망 솔루션 모의 침투, 피싱 메일을 통한 모의 침투 등 테스트로 지속 점검해 대응하면 공격자가 은밀한 사이버 공격을 행하는 즉시 잡아낼 가능성이 높아진다"고 했다.
그는 "규모가 큰 조직일수록 도입하는 외부 소프트웨어의 종류가 더 다양하다"며 "공급망을 통한 APT 공격 위험에 더 많이 노출돼 있어 지속 점검이 절실하다"고 강조했다. 다만 "소프트웨어를 도입할 때는 물론이고 이를 업데이트할 때도 보안 점검을 제대로 하지 않으면 직원들과 파트너사들까지 연쇄적으로 APT 공격에 노출될 수 있다"며 "모의 침투 테스트는 대개 1회당 3~6개월 이뤄지는데 공격자들은 최장 5년까지 공격을 지속한다는 점을 감안할 때 단발성 점검으로는 한계가 있다"고 당부했다.
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>