“일단 ‘차단’ 성공, ‘비번없는 인증’과 AI 적극 활용” 권고
국제 해커집단들끼리 범죄 위해 서로 기술 협력도
[애플경제 김예지 기자] 사이버공격자들이 최근엔 서로 해킹 기술을 협업하면서 그 수법이 더욱 정교해지고 있다. 마이크로소프트는 이런 협업 해커들이 늘어나면서, 하루에 무려 6억건의 윈도우 ID공격 기록이 확인되고 있다고 해서 우려를 낳고 있다. 전세계의 MS 아키텍처 사용자들로선 잠시도 주의를 게을리하지 않아야 한다는 얘기다.
15일 자사 제품 관리 사이트인 ‘MS Entra’와, 이를 인용한 IT프로포털 등 기술매체들에 의하면 이 회사는 ‘2024 회계연도’에만 6억 건 이상의 신원 공격을 추적했다고 밝히며 “사이버 범죄자들끼리 범죄를 위해 서로 협력하며, 힘을 합치고 있다”고 경고했다. 이를 위해선 “암호 없는 인증(passwordless authentication)으로 전환하고, AI를 적극 활용함으로써 그처럼 첨단 기술과 도구로 무장한 해커들의 공격을 막아낼 수 있을 것”이라고 조언했다.
클라우드 이전으로 신원 기반 해킹 급증
MS는 앞서 ‘Digital Defense Report 2024’에서도 “기업이 클라우드로 이전함에 따라 신원 기반 사이버 공격이 증가하고 있다”고 언급한 바 있다. 그 후 ‘MS Entra’를 통해 “작년 한 해 동안만 6억 건의 수치와 함께 초당 7,000건의 비밀번호 공격이 있었으나, 일단은 차단시켰다”고 밝혔다. 특히 기업을 포함한 MS 고객의 41%가 다중 인증(MFA)을 채택하고 있음에도 불구하고, 범죄자들은 인프라에 대한 공격이나, 중간자 공격(AiTM)과 같은 수법으로 MFA를 우회하고 있다.
그러나 신원 공격의 99% 이상은 여전히 비밀번호 공격이다. 여기에는 도난된 비밀번호를 사용한 무차별 대입 공격과 피싱 공격도 포함된다. MS는 “이러한 공격이 새로운 소셜 엔지니어링 캠페인을 통해 강화되고 있는 만큼, 기업과 개인 고객들은 MFA에 의존하기보다는 ‘비밀번호 없는 인증’으로 전환해야 한다”고 강조했다.
신원 기반 공격이 증가한 반면, 금년 들어 공격에 성공한 랜섬웨어 숫자는 크게 감소한 것으로 나타났다. MS에 따르면 Akira, Lockbit, Play와 같은 사이버범죄 집단이 기승을 떨면서 주도로 금년에 랜섬웨어 공격횟수는 2.75배나 증가했다. 그러나 “피해자 데이터를 탈취하기 위한 성공적인 암호화는 3분의 1로 감소되었다”고 전했다.
그러나 날로 사이버공격 수법이 진화함에 따라 범죄자들을 미리 예측, 대비하는 것도 날로 힘들어지고 있다. MS에서 추적한 사이버 공격 중엔 특히 최근 세계적으로 빈번한 하이브리드 전쟁이 다수 포함되어 있다. 즉 중동전과 우크라전 등의 경우 전통적인 전투 외에도 사이버 공격이 점점 늘어나고 있다. 이들은 군사작전에 대한 침투나, 상대국 정부의 데이터 침해 등을 시도하고 있다.
각국 정부, 해킹집단 직접 지원 사례도 늘어나
실제로 보안 전문가들도 이에 동의하고 있다. 작년에 각국 정부가 직접 지원, 협력하는 사이버 범죄자들이 늘어나면서, 더욱 그 동선을 추적하고 사전에 예방하는 일이 더 어려워지고 있다. 예를 들어, 러시아가 대표적이다. 러시아 정부가 지원하는 사이버범죄 집단은 ‘다크 웹’에서 무료로 구매할 수 있는 악성 소프트웨어인 상용 맬웨어를 공격에 사용하거나, 심지어 다른 사이버범죄 그룹에 정보 수집 작업을 ‘아웃소싱’하는 것으로 파악되었다.
북한도 이에 못지않다. 북한이 지원하는 사이버범죄 집단은 오랫동안 불법으로 얻은 이익을 국가에 직접 제공해온 것으로 의심받고 있다. MS는 또 “북한의 사이버범죄 그룹이 2017년 이후로 국가의 핵 프로그램에 자금을 지원하기 위해 총 30억 달러 상당의 암호화폐를 탈취했다”는 유엔의 주장을 인용한 로이터통신 보도 내용을 환기시키기도 했다. 이에 따르면 또 지난 5월 MS는 또 다른 주요 북한 사이버범죄집단인 ‘Moonstone Sleet’을 발견했다. 이 범죄집단은 항공우주 분야나 방위 산업체를 공격하는 ‘FakePenny’라는 랜섬웨어의 자체 변종을 개발한 것으로 전해졌다.
한편 ‘Digital Defense Report 2024’에 따르면 또 IT 부문이 모든 해킹 피해의 4분의 1(24%)을 차지했고, 교육이나 연구분야가 21%로 그 뒤를 이었다. “교육 기관이 귀중한 ‘정보원’이 될 수 있지만, 대체로 새로운 공격 방법에 대한 ‘테스트 장소’로 사용되는 경향”이라는 설명이다. 보고서는 또 QR 코드를 비즈니스 이메일 침해(BEC) 공격의 침해 수법으로 삼는 사례도 인용했다. 특히 이런 수법으로 가장 활발하게 해킹을 벌인 집단들은 러시아 해커들이다. 이들은 금년 들어 각국 정부 대상 공격의 33%를 차지했고, 각국의 싱크탱크에 대한 공격의 15%에 달했다. 우크라이나 전쟁이 계속되면서 그런 활동은 더욱 활발해졌다.
앞서 MS는 2023년 7월부터 2024년 6월에 이르는 기간 동안 하루에 78조 개 이상의 보안 신호를 추적, 매일 자행되는 6억개의 ID공격을 탐지해냈다. 이는 “2023년의 65조 개에서 증가한 수치이며, 수십억 개의 윈도우 엔드포인트와 MS 데이터를 결합, 전 세계 보안 상황을 파악할 수 있게 되었다”는 것이다.