“내년엔 ‘제로데이, 한국형 랜섬웨어, 오픈소스 해킹’ 급증”

[애플경제 김향자 기자]디지털금융이 활성화되고, 암호화폐와 전자지갑 거래 등 디지털자산이 대중화되면서 보안사고의 유형도 다양해지고 있다. 최근엔 특히 제로데이 취약점이나, 한국 기업만을 노리는 ‘한국형 랜섬웨어’, 비대면인증방식이나 클라우드의 관리 미비 등을 노린 사이버 공격이 늘어나고 있다. 이런 위협 요인들은 특히 2023년의 주요 사이버 보안의 이슈가 될 것이란게 전문가들의 전망이다.

제로데이 취약점 노린 사이버 공격 증가

특히 금융권에선 제로데이 등 고위험 보안 취약점을 이용한 사이버 공격을 우려하는 목소리가 높다. 금융보안원이 최근 공개한 2023년도 사이버보안 전망에 따르면 특히 제로데이 취약점으로 인해 원격코드 실행과 권한 상승 등이 가능한 고위험 보안 취약점을 노리는 사이버 공격이 빈발해질 것으로 보인다. 제로데이 취약점은 SW 제조사나, 개발자가 인지하거나, 공식적인 패치를 배포하기 전에 발견된 것을 말한다.

이에 취약점을 선제적으로 식별하고 방어하기 위해 일종의 취약점 신고․보상 제도인 버그바운티를 적극 활용해야 한다는 주문이다. 구글이나 MS 등 글로벌 빅테크 기업은 자사 제품이나 서비스의 보안 취약점을 선제적으로 찾아내기 위해 버그바운티를 활용하고 있다. 보안기업이나 관련 연구기관에서도 이를 위한 연구에 집중 투자하고 있다. 국내 금융권도 모바일 애플리케이션이나 보안 프로그램 등 사용 중인 소프트웨어의 보안 취약점을 신고받는 버그바운티를 운영하고 있다.

버그바운티 적극 활용해야

이 외에도 보안 취약점에 대한 모니터링과, 최신 패치의 신속한 적용 등도 중요하다. 즉, “Log4j와 같이 취약점의 영향을 받는 시스템 숫자가 많고, 광범위한 패치가 필요한 경우, 엔데믹 취약점으로 잔존하여 위협이 될 가능성이 있어, 지속적인 주의와 관심이 필요하다.”는 조언이다.

국내에서도 취약점 관리를 위해 버그바운티를 운영하고 있으나, 수집된 취약점에 대한 조치나 공개에 대한 체계화되고 정형화된 공식 절차는 미비하다는 지적이다. 즉, 취약점 제보 풍토를 촉진하고, 공급업체가 취약점 완화에 힘쓰도록 하는 동기 부여가 중요하다. 효과적인 취약점 관리를 위해 미국, EU 등에서 운영 중인 체계적 취약점 공개 제도의 수립을 고려해볼 필요도 있다는 주문이다.

‘한국형 랜섬웨어’도 극성

최근엔 랜섬웨어 공격이 활발한 가운데, 한국만을 겨냥한 ‘한국형 랜섬웨어’도 지속적으로 발견되고 있다. 실제로 2022년 상반기 중 가장 활발했던 사이버 공격 또한 한국형 랜섬웨어다. 이는 최근 다중 갈취(Multi extortion)로 수법이 진화되고 있다. 랜섬웨어 공격의 증가는 서비스형 랜섬웨어(RaaS)의 보편화, 특정 국가가 배후에서 조종하는 공격 그룹의 활동 증가도 한 몫하고 있다. 또 ‘귀신(Gwisin)’ 랜섬웨어 등과 같이 국내 기업만을 노리는 랜섬웨어도 계속 유포되고 있다.

오픈소스를 노리는 사이버 공격도 급증하고 있다. 오픈소스는 SW 개발 기간과 비용을 단축시킬 수 있다는 이점으로 인해, 디지털 전환의 필수 요소로 주목받고 있다. 그러나 누구나 접근할 수 있고, 검증없이 재사용되는 경우가 많다는 것이 취약점으로 지적된다. 이를 노려 악성코드를 심거나, 정상 패키지와 유사한 이름의 악성패키지나 도메인을 등록하여 사용자의 실수를 유인하는 타이포스쿼팅도 급속히 늘어나고 있다.

오픈소스 허점 악용 사고도 늘어

실제 사례를 보면, 유명 오픈소스 라이브러리인 colors.js, faker.js 관리자가 해당 라이브러리에 악성코드를 삽입하여 NPM, 즉 패키지 관리자를 통해 배포한 사례도 있다. 또한 UA-Parser-JS 관리자의 NPM 계정이 탈취되어, 해당 라이브러리에 악성코드를 삽입한 오픈소스를 배포한 경우도 있다. 또 RubyGems 리포지터리에 비트코인을 훔치기 위해 제작된 700여 개의 악성 패키지가 업로드된 타이포스쿼팅 사례도 발생했다.

이처럼 소프트웨어 공급망에 대한 공격이 중요 사이버 이슈로 떠오르고 있다. 즉, SW의 개발과 배포, 설치, 유지․보수 과정에 개입하여 변조한 다음, 이를 사용자 시스템에 전달되게 하는 소프트웨어 공급망 공격이 극성을 부리고 있다. 특히 업데이트 서버를 공격해 파일을내려받는 시스템을 감염시키는 등 신뢰관계를 악용하는 수법이 많이 동원되고 있다.

디지털자산 갈취범들도 대거 출몰

디지털자산의 가치가 날로 상승하고, 널리 거래되면서 이 역시 사이버공격의 주요 대상이 되고 있다. 사이버범죄자들은 랜섬웨어 및 DDoS 공격을 중단하는 대가로 코인 등 디지털자산을 요구하거나, 아예 이를 직접 탈취하기 위해 거래소를 공격하는 사례도 잦아지고 있다.

실제로 금융보안원에 따르면 최근 거래소를 해킹, 고객 정보를 유출하거나 삭제하기도 했고, 해외에선 거래소 내 전자지갑의 개인 키를 해킹, 무려 2억달러 상당의 디지털자산을 탈취한 경우도 있었다. 특히 전자지갑이 최근에는 주요 표적이 되고 있다. 하드웨어 전자지갑에 스파이 칩을 부착, 디진털자산을 훔치거나, 아예 전자지갑을 개설할 때 타인 명의로 신원증명을 하고, 지원금을 편취한 사례도 있다.

특히 분산 개념의 ‘디파이’ 개념을 악용, 스마트계약 코드의 보안 취약점을 악용해 거래를 위조함으로써 디지털자산을 무단 발행하기도 했다. 또한 BGP를 공격하여 정상적인 요청을 공격자가 가로채어 악성코드를 유포한 후 디지털자산을 탈취한 사례도 있다.

클라우드 보안 사고도 자주 발생

클라우드 시스템이 날로 확산되면서 클라우드 보안도 큰 문제가 되고 있다. 특히 금융권의 경우는 디지털 전환을 위해 애플리케이션 운영과 자동화, 빅데이터 분석 등 다양한 기술을 활용함에 따라 좀더 유연한 인프라를 운용할 필요가 커졌다. 이에 클라우드를 본격 도입하고 있으나, 관리 미흡 등으로 인한 보안 사고가 계속 생겨나고 있다.

실제로 클라우드 이용과 관련된 계정 도난, 설정 오류, 운영 실수 등에 따른 서비스 중단, 데이터 유출 등이 지속적으로 발생하고 있다. 그러나 클라우드 보안 사고의 경우는 대부분 기술적인 문제보다는 관리상의 허점에서 발생하는 것으로 파악되고 있다.

대표적인 사례를 보면, 온라인 예약 소프트웨어 제공업자의 클라우드 접근 계정이 도난당해 무려 37만명의 이름과 이메일, 주소, 전화번호 등 개인정보가 유출된 사고도 있었다. 또 비(非)인가자가 클라우드 데이터에 접근할 수 있도록, 서버가 설정되어 있어 저장된 백업 차일과 4만7천 명의 데이터가 유출되었다. 역시 비인가자가 클라우드 내 데이터에 접근할 수 있도록 설정되는 바람에 클라우드 접속키, 데이터, 결제 내역 등이 담긴 내부 문서와 데이터가 온라인에 노출되기도 했다.

클라우드 제공업체(CSP)의 운영 실수도 한몫하고 있다. 가상 서버의 인터넷 연결에 문제가 생겨, 서울 지역 데이터센터의 장애가 발생하고, 해당 클라우드 서비스 사용자의 접속이 20여 분이나 마비되기도 했다. 또한 유지․보수 작업 중 고객 사이트가 삭제되어, 400여 개의 고객 서비스가 중지되는 사고도 발생했다.

비대면 신원증명도 허점 많아

‘코로나19’ 이후의 비대면 신원증명 방식도 문제가 되고 있다. 실명확인증표 사본 제출이나, 바이오 인증, 생체인식 등 기존의 비대면 신원증명 방식은 개인정보 유출이나 해킹, 신원 도용 등의 위험이 따른다. 특히 실명확인증표는 이용자가 신원정보를 어디까지 노출할 것인가가 애매하고, 훼손이나 도난, 위․변조를 통해 범죄에 악용될 소지가 크다는 지적이다.