글로벌 보안업체들, 공통으로 꼽는 ‘2024년, 사이버 위협’

[애플경제 전윤미 기자] [애플경제 이윤순 기자]  연말을 맞아 새삼 2024년도에 활동이 예상되는 사이버 공격에 대한 보고서나 각종 전망 자료도 쏟아지고 있다. 최근엔 또 보안업체 사이버시큐리티 벤처즈, ESENTIRE의 ‘사이버 범죄 보고서’, 구글의 ‘IoT 사이버보안 전망’, 가트너의 ‘2024년 사이버보안 보고서’를 비롯해 사이버린트, 테크타깃, 멀웨어바이츠 등 다양한 분석이 이어지고 있다.

<애플경제>는 이들 자료를 취합, 분석한 결과 일단 공통적으로 가장 많이 언급되는 사이버보안 위협 요인들을 추출, 소개하기로 한다.

가장 많은 공격은 역시 ‘랜섬웨어’

첫 번째는 역시 ‘랜섬웨어’다. 2024년에도 이는 기승을 떨면서, 주로 새로 등장하거나 만들어진 사이버 범죄 그룹들을 중심으로 랜섬웨어를 서비스로 많이 활용(RaaS)할 것이란 전망다. 그래서 이전보다 더욱 랜섬웨어가 활성화될 것으로 보인다.

또한 이중 내지 삼중 강탈과 같은 한층 진화한 수법을 사용, 데이터를 탈취해서 피해자들을 협박할 가능성이 크다.

특히 최근엔 ALPHV/BlackCat 랜섬웨어 그룹이 미국 기업인 ‘MeridianLink’를 공격한 후, 해당 기업이 그런 사실을 쉬쉬했다고 미 증권 당국에 고발하는 어처구니 없는 일도 벌어졌다. 이 사건에서 보듯, 랜섬웨어 조직이 오히려 규제 시스템을 악용하는 일도 벌어지고 있다. 범죄 그룹 ‘BlackCat’은 새로운 미국 증권거래위원회법을 악용, 피해기업인 ‘ MeridianLink’에 압력을 가하기 위해 스스로 범죄를 신고한 것이다.

보고서를 낸 기관들은 또 2024년엔 특히 의료, 정부, 공공 인프라가 랜섬웨어의 표적이 될 것으로 보고 있다. 그래서 기업이나 기관들은 “시스템 업데이트, 강력한 백업 구현, 직원 교육 및 사이버 보험 등으로 랜섬웨어를 방어해야 한다”고 의견을 같이 하고 있다.

OT-IT 취약점 노린 공격도 횡행

OT-IT 보안의 허점도 사이버공격자들의 먹잇감이 되고 있다. 흔히 인프라, 산업 시설, 공공 서비스, 제조업체 등의 운영과 정보 기술의 융합은 사이버 범죄자들에게 새로운 취약점과 공격 기회를 노출하고 있다. IT가 손상된 시스템을 통해 OT 인프라를 공격하면 운영이 중단되고 물리적 손상이 발생하며 공공 안전이 위험해질 수 있다.

예컨대 지난 2023년 11월 말 있었던 미국 공공 서비스에 대한 랜섬웨어 공격이 대표적인 케이스다. 사이버 공격으로 인해 구급차가 행선지를 바꾸고, 미국 여러 주의 의료 응급 서비스가 마비되었다. 또 반이스라엘 성향의 이란 사이버 범죄 그룹이 상수도 시스템을 공격하기도 했다.

이에 보안업체 ESENTIRE는 “OT-IT 시스템을 운영하는 조직은 레거시 기술을 현대화하고, 계층화된 보안을 배포하고, IT 및 OT 네트워크를 분할하고, 강력한 액세스 제어를 구현하여 공격을 방지해야 한다”고 주문했다.

다크웹 ‘파일리스 공격’ 기승 예상

다크웹은 그 특성상 전문적인 소프트웨어와 구성을 통해서만 접근할 수 있다. 그렇다보니 인터넷상 불법 활동의 온상이 되기도 한다. 최근 다크 웹은 또 최소한의 기술 전문 지식이 필요한 노코드 악성 코드나, 사이버 공격을 실행하기 위해 사전에 구성된 ‘플러그 앤 플레이 키트’ 등이 악용되고 있다.

또한 공격자가 다크 웹에서 구매한 훔친 자격 증명을 사용, 기존 악성 코드 흔적을 남기지 않고 시스템에 액세스한다. 이른바 ‘파일리스 공격’이다. 이는 “최근 급격히 늘어나고 있는, 주목해야 할 가장 큰 추세 중 하나”라는 전문가들의 얘기다.

또 ‘제로데이 브로커’도 날로 확산되고 있다. 이는 다크 웹에서 제로데이 익스플로잇을 여러 구매자에게 판매하는 사이버 범죄 그룹이다. 이에 가트너는 “전문 서비스를 통해 다크 웹을 적극적으로 모니터링하고, 사전 예방적 방식을 총동원할 필요가 있다”고 강조했다.

‘서비스형 악성코드’ 보편화될 듯

MaaS(Mobility as a Service) 환경이 보편화되면서 액세스 범위를 넓히는 플랫폼과 도구도 급격히 증가하고 있다. 이를 악용한 악성코드나 공격도 날로 늘어나고 있다. 또한 MaaS 사용자 인터페이스도 점점 더 직관적이 되고, 단순화된 프로세스가 다양해지면서 더욱 서비스형 악성코드의 공격 여지도 넓어지고 있다.

고용된 해커나 해킹 그룹의 활동도 왕성해질 전망이다. 카스퍼스키(Kaspersky) 보고서에 따르면 공격 횟수와 정교함이 급증하고, 해킹 그룹도 많이 늘어날 것으로 예상된다.

이에 ESENTIRE는 “악성 소프트웨어가 뿌리를 내리기 전에 탐지하고 차단할 수 있는 강력한 계층형 보안 솔루션을 구현하는게 중요하다”면서 “특히 기업들은 직원들에게 MaaS, 고용된 해커 위협, 맬웨어 배포에 사용되는 사회 공학 전술에 대한 지식을 제공하는게 바람직하다”고 했다. 또한 “제로 트러스트 보안 모델과 결합된 정기적인 데이터 백업과 암호화를 통해 잠재적인 데이터 손실을 최소화하고, 엄격한 엑세스 제어와 방어가 보장될 것”이라고 덧붙였다.

피싱 수법, 날로 진화

피싱 공격도 급증할 것으로 보인다. 이는 개인 메시지를 활용, 피해자를 속여 중요한 정보를 공개하거나 악성 파일을 다운로드하거나 클릭하도록 하는 것이다.

대량 메일로 발송되는 일반 메시지와 같은 전통적인 방법은 이제 드물다. 그 대신에 개인화되고 피해자들에게 매우 설득력있는 수법이 횡행하고 있다. AI를 사용하여 자동화하고, ㄷ상에 대한 자세한 정보를 담은 메시지로 속이는 것이다. 특히 ‘딥 페이크’와 같은 설득력 있는 콘텐츠를 생성하는 것도 즐겨 쓰는 수법이다.

IoT, IIoT 공격 급속히 증가 전망

IoT 및 산업용 IoT 장치도 주요 표적이 되고 있다. 이미 2023년에도 사이버 공격자들은 그 취약점을 활용, 분산 서비스 거부 공격을 하거나, 데이터를 도용하고 운영을 방해하는 등 IIoT 장치에 대한 공격을 남발했다. 이는 특히 공급망 취약성을 악용하고, 펌웨어 업데이트를 손상시키는 등 새로운 수법으로 진화하고 있다.

가트너는 ‘2024년 사이버보안 위협 보고서’에서 “이렇게 진화하는 위협으로부터 보호하기 위해 조직은 전체 IoT 생태계에 걸쳐 강력한 보안 관행의 우선 순위를 지정해야 한다”고 주문했다. 여기엔 보안 코딩 관행, 정기적인 소프트웨어 및 펌웨어 업데이트, 강력한 인증 프로토콜 활용, 의심스러운 활동에 대한 네트워크 모니터링 등이 포함된다

“또한 조직은 제로 트러스트 보안 모델을 채택하고, 세분화 전략을 구현하여 손상된 장치를 격리하고 공격 영향을 최소화해야 한다”고 가트너는 강조했다.

정치, 사회적 목적의 국가 지원 사이버 공격 급증

최근 한국인터넷진흥원 등 국내 보안 당국도 특정 국가가 지원하는 사이버공격을 강조한 바 있다. 즉, 특정 국가의 사실상 후원하에 정치적, 전략적 목표를 달성하기 위해 사이버 공격을 퍼붓는 사례가 늘어나고 있는 것이다. 이는 중요한 공공 인프라를 표적으로 삼고 민감한 정보를 탈취함으로써 필수적인 공공기능을 마비시킬 수도 있다.

특히 2023년에는 북한과 연계된 국가 지원 사이버 범죄 활동이 확대된 것으로 알려졌다. 이를 통해 사이버 공격자들은 북한 당국에게 무기와 자금을 지원하고, 국제 제재를 헤쳐나가기 위한 새로운 메커니즘을 제공하기도 했다.

또 다른 해커들은 러시아를 도와 우크라이나 침공을 지원하고 사이버 전쟁을 국제 수준으로 끌어올리는데 한 몫했다.

그래서 ‘사이버린트’는 “2024년에는 국가가 후원하는 공격을 막기 위한 사전 예방적인 접근 방식이 필요하다”면서 “정교한 사이버 보안 솔루션, 위협 인텔리전스 모니터링 및 강력한 사고 대응 계획을 포함한 다층적인 방어가 필요하다”고 권고했다.

이들 보안 전문가들은 “생성AI, 노 코드 앱, 자동화, 사물 인터넷 등 새로운 혁신 기술의 등장과 급속한 확산은 모든 산업의 사이버 보안 환경을 극적으로 변화시켰다”면서 “사이버 범죄자들은 이에 맞는 새로운 수법과 도구, 소프트웨어를 사용하고 있다”면서 주의를 당부하고 있다.