“2023년엔 서버해킹, 악성코드 감염 등 많아”

[애플경제 이보영 기자] 2023년도엔 DDoS 공격이 전년대비 약 2배로 급격히 증가했다. 유형별로 서버해킹이 45.7%로 가장 높았고, 그 다음으로 악성코드 감염이 23.5%, DDoS 공격이 16.7%, 기타 14.2%인 것으로 나타났다.

18일 한국인터넷진흥원과 과학기술정보통신부가 펴낸 ‘2023년 사이버공격 실태’에 따르면 악성코드 감염 90% 이상의 비중을 랜섬웨어 신고가 차지했다. 앞서 2022년 들어 랜섬웨어 신고는 325건으로 지난 4년간 8.3배로 급속히 증가했으나, 2023년에는 랜섬웨어가 전년 대비 20% 감소한 258건인 것으로 나타났다.

그 중 중견기업이 전년대비 15% 증가한 40건, 중소기업은 200건으로 중소기업과 중견기업의 비중이 전체의 92%에 해당하는 것으로 나타났다.

중소․중견기업이 전체 92%

진흥원 등에 따르면 특히 2023년 6월부터 8월까지 솔루션 개발 업체의 중앙 업데이트 서버를 장악, 고객사 솔루션 서버를 대상으로 악성 파일을 유포하는 형태의 공급망 공격이 확인되었다. 이로 인해 다수의 고객사 시스템에 심각한 보안 위협이 발생했다.

이에 “해당 공격의 핵심은 중앙 업데이트 서버 및 고객사 서버의 정책 업데이트에 대한 무결성 검증 부족에 기인한다”고 지적한 진흥원은 “업데이트 정책에 대한 강력한 무결성 검증이 시행되지 않아, 공격자는 가장 신뢰할 수 있는 채널을 통해 악성파일을 배포할 수 있었다.”고 돌이켰다.

진흥원은 “개발사는 무결성 검증 및 공격을 방어할 수 있는 기술을 적극적으로 도입해야 한다. 업데이트 서버의 무결성을 보장하기 위해 디지털 서명 및 암호화 기술을 도입하여 공격의 가능성을 최소화하는 것이 중요하다.”면서 “또한, 업데이트 무결성을 검증하기 위한 자동화된 프로세스와 정책을 구현하여 공격자의 간섭을 최소화해야 고객사를 대상으로 하는 공격을 사전에 방지할 수 있다.”고 당부했다.

또 고객사는 공급망의 취약성을 식별하고 위험성을 평가하거나, 이상 징후 및 비정상적인 활동을 탐지하는 보안 시스템을 구축하고 모니터링하는 등의 종합적이고 효과적인 공급망 보안 전략을 구축할 것도 강조했다. 특히, “고객사와 솔루션 개발사 간의 긴밀한 협력이 선행되어야 공급망 공격에 대한 보안조치를 더욱 효과적으로 시행할 수 있다”는 것이다.

인터넷서점․입시학원 등서 입시 콘텐츠 자료 절취

8월에는 유명 인터넷서점과 입시학원에서 서비스하고 있는 콘텐츠 자료(e북, 강의영상 등) 일부가 유출된 사고가 있었다. 공격자는 전산망 해킹을 통해 얻은 콘텐츠 자료를 이용하여 피해기업에 금전을 요구하는 새로운 공격 전략을 채택했다. 특히, 금전 요구와 함께 ‘복호화된 콘텐츠의 불법 유포’라는 위협은 금전적 손실뿐 아니라 평판 손상까지 초래할 수 있는 위험성을 안겨주고 있다는 지적이다.

공격자는 홈페이지의 사용자 검증이 미흡한 취약점과, 오래된 버전의 프로그램에서 DRM을 해제할 수 있는 키를 탈취, 자동화를 통한 대량의 DRM(Digital Rights Management)이 적용된 콘텐츠 자료를 다운로드하고 복호화하는 등 높은 수준의 기술력과 전문성을 갖추고 있었다.

이에 “기업은 앞으로도 전자 저작물 유통 생태계를 위협하는 공격의 도전에 대비하기 위해 보안 시스템을 강화하고 콘텐츠에 대한 접근 권한을 엄격히 통제해야 한다”는 지적이다. 또 표준화된 전자책 보안 기술 개발, DRM 시스템의 보안성 강화 등을 통해 콘텐츠 탈취 시도를 사전에 차단할 필요가 있다.

특히 진흥원에 따르면 ‘크리덴셜 스터핑’은 대량의 사용자 이름과 비밀번호 조합을 시도, 시스템에 무단으로 접근하는 공격으로 최근 몇 년간 지속적으로 피해가 발생하고 있다. 이는 무단접근을 시도할 뿐만 아니라 사용자 검증이 미흡한 취약점을 이용하여 계정정보를 획득하는 등 공격이 다양한 형태로 나타나고 있어 기업 및 개인 사용자에게 심각한 보안 위협이 되고 있다는 우려다.

공격자는 대량의 계정정보를 다양한 경로로 수집한다. 특히 최근에는 네이버 로그인 페이지를 모방한 피싱 사이트가 많이 나타났다. 이 페이지는 실제 네이버 로그인 페이지와 놀랍도록 흡사하게 제작되어 사용자로부터 아이디, 비밀번호 등을 입력받고 이 정보는 곧바로 공격자에게 전송되어 개인정보 유출의 위험성을 야기한다.

이에 “사용자들은 신뢰성 없는 링크를 피하고 공식 웹사이트를 통해서만 로그인을 해야 하며, 피싱에 노출되지 않도록 하는 노력이 필요하다”는 진흥원의 당부다. 또 기업은 다중 인증 요소를 도입하거나 계정 잠금 등의 강화된 보안 정책을 적용하고, 비정상 접근에 대한 탐지 시스템 도입을 통해 무단 로그인 시도를 차단해야 한다.

기업 보유한 가상자산 노린 공격도

한편 가상자산 시장의 급격한 성장으로 가상자산을 기업이 보유하고 있는 경우가 늘어나면서, 사이버 공격자들은 금융정보와 함께 가상자산에 접근할 수 있는 공격 대상으로 인식하고 있다.

실제 10월과 11월에 몇몇 기업은 가상자산을 노린 사이버 공격을 경험한 것으로 전해졌다. 공격자들은 주로 소셜 엔지니어링, 악성코드 감염, 그리고 피싱 공격을 통해 기업 내부로 침투했다. 또한, 가상자산 보유에 따른 특별한 보안 취약점이 존재하며, 블록체인 기술을 악용하거나 스마트 계약과 같은 새로운 기술을 통해 기존의 보안 전략을 무력화 하고 있다.

진흥원은 “앞으로도 가상자산 시장의 성장으로 기업을 향한 공격은 더욱 증가할 것으로 예측되며, 가상자산 보유에 따른 보안 위협을 감지·대응하기 위해 특화된 보안전략을 수립하고 신속하게 대응할 수 있는 대책을 마련해야 한다.”고 강조했다.

외부에 오픈된 서버를 대상으로 솔루션 에이전트의 N-Day 취약점을 이용한 공격도 최근 부쩍 늘어나고 있다. N-Day 취약점은 이미 발표되었지만 해당 취약점에 대한 패치나 보안 업데이트가 운영자에 의해 미처 적용되지 않았음을 의미하는 것이다.

진흥원은 “이런 취약점을 이용한 공격은 주로 기업의 IT에 심각한 영향을 미친다”며 “해당 취약점이 공개된 후에도 패치가 시스템에 적용되지 않으면, 공격자는 해당 취약성을 이용하여 시스템에 침투하고 중요한 정보를 탈취하거나 조작하는 등의 악의적인 행위를 수행할 수 있다.”고 지적했다.

실제로 진흥원에 의하며 지난해 10월에 백업 솔루션의 N-Day 취약점을 이용하여 다수의 업체를 공격한 정황이 확인되었다.

그래서 “N-Day 취약점에 대응하기 위해서는 신속한 보안 업데이트 및 패치 적용이 필수적이며, 발견된 취약점에 대해 빠르게 판단, 시스템을 최신 보안 상태로 유지해야 한다.”는 당부다.