“공격자가 노릴 만한 표면 더욱 넓어질 것”

오눈 2022년, 유연화된 근무 환경, 공급망, 메타버스 등 공격자가 노릴 만한 공격 표면 더욱 넓어질 것이라는 전망이 나왔다.

이에 따라, 융합보안 모니터링, SOAR, 공격 표면 관리, AI 등 보안 역량 등이 요구될 것이라는 예측이다.

2일, 이글루시큐리티(대표 이득춘 www.igloosec.co.kr)는 2022년 보안 위협에 대한 주요 예측을 담은 ‘2022년 보안 위협ㆍ기술 전망 보고서’를 발표하며 이같이 전했다. 

이글루시큐리티 보안분석팀의 예측에 기반해 올해 10번째로 작성된 이번 보고서에는 2022년 발생할 주요 사이버 보안 위협과 이에 대응하기 위한 보안 기술과 방법론이 함께 제시됐다. 

먼저, 이글루시큐리티 보안분석팀은 2022년에 공격자가 노릴 만한 ‘공격 표면(Attack Surface)’이 더욱 넓어질 것이라고 내다봤다.

코로나19 및 선거•국제 행사 등의 사회적 이슈를 악용한 사이버 공격이 지속되고, 유연화된 근무 환경의 허점을 파고드는 공격도 더욱 증가할 것이라고 전망했다.

또한 국가 지원을 받는 해킹 그룹에 의한 공급망 공격이 늘어나고, ‘다크웹(Dark Web)’을 통한 정보 거래 및 유통이 더 활발히 이뤄질 것으로 예측했다.

더불어 디지털화된 사용자 정보가 폭넓게 활용되는 ‘메타버스(Metaverse)’ 플랫폼을 둘러싼 보안 위협도 발생할 것으로 예상했다. 

이같은 보안 위협에 맞서, 모든 기업•조직 인프라와 자산에 대한 가시성을 확보하고 위협 대응 속도를 높일 수 있는 보안 기술과 방법론의 중요성이 부각될 전망이다.

이글루시큐리티 보안분석팀은 IT와 OT 환경을 아우르는 ‘융합보안 모니터링 체계’와 보안관제 효율성을 높일 수 있는 ‘보안 오케스트레이션•자동화 및 대응 (SOAR)’, 인프라•데이터•소프트웨어•사용자 측면에서 위협 요인을 탐지하는 ‘공격 표면 관리(ASM)’의 중요성이 높아질 것이라고 내다봤다.

덧붙여 인공지능(AI)의 역기능을 최소화하고 데이터 활용의 안전성을 높이는 기술 도입의 중요성도 부각될 것이라고 예측이다.

김미희 이글루시큐리티 보안분석팀 팀장은 “전 세계적으로 디지털 전환과 공급망 재편이 빠르게 이뤄지고 여러 이기종 산업과 ICT(정보통신기술) 융합에 가속도가 붙으면서, 공격자가 공략할 공격 표면은 더욱 넓어질 것이다. ‘넥스트 노멀(Next Normal)’ 시대 도래에 발맞춰, 흩어진 기업•조직 인프라와 자산에 대한 폭넓은 가시성을 확보하고 위협에 기민하게 대응할 수 있는 보안 기술과 방법론을 적용해야 할 것”이라고 강조했다.

한편, 이글루시큐리티는 보고서 발표를 기념해, 2일부터 8일까지 이글루시큐리티 페이스북에서 ‘숨은 보안 상식 찾기’ 이벤트를 진행한다.

‘이글루시큐리티 2022년 보안 위협•기술 전망 보고서’ 내용을 토대로 숨어있는 보안 상식 단어 세 가지를 맞추면 응모 자격이 부여된다.

총 50명의 정답자를 추첨하여 치킨 기프티콘을 증정한다. 13일 이글루시큐리티 페이스북을 통해 당첨자를 발표할 예정이다. 

- 이글루시큐리티 선정 2022년 5대 보안 위협 전망 -

◆“사회적 이슈 악용한 사이버 공격 급증” = 코로나19 백신 접종과 진단 시약 보급 확대에 힘입어 단계적 일상회복 수준의 ‘위드 코로나(With Corona)’ 전환이 이뤄지고 있다.

반면, 사이버 환경은 여전히 ‘위드 사이버 위협(With Cyber Threats)’ 상태에 머물러 있다. 코로나19 및 최신 사회적 이슈를 이용한 공격이 꾸준히 발생하고 있기 때문이다.

▲ <2022년 주요 사이버 공격 키워드 기반 공격 전략 및 공격 기법>(출처 : 이글루시큐리티 제공)

올해 공격자들은 방역 마스크, 손 소독제, 사회적 거리두기, 코로나 백신, 코로나 감염 현황 등의 코로나 관련 키워드를 꾸준히 이용해 왔다.

이들은 앞으로도 ‘백신 부스터 샷’, ‘먹는 코로나 치료제’ 등의 최신 코로나19 관련 이슈들을 사용하며 공격을 이어갈 것으로 예상된다.

2022년에는 정국 향방에 큰 영향을 미칠 수 있는 선거와 대규모 국제 행사를 공격 키워드로 삼는 ‘스피어 피싱(spear phishing)’ 및 ‘워터링홀(watering holes)’ 공격이 극에 달할 것으로 전망된다.

국내에서는 특히 제20대 대한민국 대통령선거와 제8회 전국동시지방선거 등의 정치적 키워드를 이용한 공격이 많이 발생할 것으로 점쳐진다.

국외에서는 2022 베이징 동계올림픽, 2022 피파(FIFA) 카타르 월드컵과 연관된 공격이 증가할 전망이다.

각 이슈와 밀접히 관련된 조직 또는 일반 사용자들을 노리는 공격이 늘어날 것으로 예상되는 만큼, 이에 대한 만반의 대비가 필요할 것으로 보인다. 
 
◆“근무 형태 유연화에 따른 보안 위협 증가” = 코로나19 팬데믹을 계기로 산업 전반에서 원격 데스크톱 프로토콜(RDP)과 가상사설망(VPN) 등에 기반한 비대면•원격 근무가 빠르게 확산됨에 따라, 유연화된 근무 환경을 노리는 보안 위협도 증가할 전망이다.

▲ <원격 데스크톱 프로토콜(RDP)을 이용한 내부망 침투 공격 구성도>(출처 : 이글루시큐리티 제공)

반면, 클라우드를 통해 지리적•기술적인 제약이 해소되고 망분리 규제 완화 등의 제도적 지원이 뒷받침되면서, 시간과 공간의 제약 없이 업무를 수행할 수 있는 근무 체계 유연화가 빠르게 이뤄지고 있다.코로나19 발발 초기에는 자택이나 공유 오피스 등에서 근무하며 근무 장소를 분산화하는 단편적 형태가 주를 이뤘다.

최근에는 확장 현실(XR), 홀로그램, 메타버스(Metaverse) 등의 다양한 ICT 융합기술들이 집약된 디지털 근무 환경(Digital Workspace)으로까지 발전하는 추세다.

이에 발맞춰 유연화 된 근무환경을 새로운 공격 요인으로 삼고, 조직과 조직 인프라, 조직 구성원들을 노리는 공격 역시 증가할 것으로 예측된다.

2021년에는 여러 글로벌 기업의 VPN에서 공격자가 이용할 수 있는 다수의 취약점들이 보고됐고, 국내에서도 주요 연구 기관에 침투하고자 VPN 취약점을 악용한 공격이 이뤄진 바 있다.

앞으로도 원격 접근을 지원하는 소프트웨어 및 VPN을 악용한 공격이 증가할 것으로 예상되는 만큼, 기업 인프라를 위협할 수 있는 접근 경로에 대한 보안 점검과 이러한 공격에 대한 대응 전략 마련이 필수적으로 요구될 것으로 보인다.
 
◆“국가지원 해킹 그룹에 의한 공급망 공격 증가” = 상수도시설, 제조공장 등 운영기술/산업제어시스템(OT/ICS) 환경을 노린 사이버 공격도 변함없이 지속될 전망이다.

▲<OT/ICS 환경의 보안 사고 분석 결과>(출처 : 이글루시큐리티 제공)

2010년 이란의 원심 분리기 100여 대를 파괴한 스턱스넷(Stuxnet) 공격 발생 이후, 대만의 반도체 업체 TSMC 및 노르웨이의 알루미늄 제조사인 노르스크 하이드로(Norsk Hydro) 등 세계 유수의 생산시설을 겨냥한 사고가 지속적으로 발생해 왔다.

올해 2월에는 미국 플로리다 주에서 원격 데스크톱 프로토콜(RDP)을 이용해 수도 인프라에 접근, 식수의 수산화나트륨 농도를 비정상적 수준으로 높이려는 공격 사례가 발생해 경각심을 더욱 높인 바 있다.

OT/ICS 환경에서 발생한 보안 사고를 분석해보면 공통적으로 ▲공격 범위의 다양화 ▲공격도구의 보편화 ▲공격 파급력 확대 ▲융합보안 인식 부재 등의 특징들이 도출된다.

기존에는 폐쇄망 환경으로 운영됐던 OT/ICS 환경이 운영 효율성 향상 및 자동화 목적에서 클라우드, 액티브 디렉터리 등의 IT 기술과 연계되면서, 공격자가 뚫고 들어갈 만한 공격 범위가 확대됐다.

또한 과거에는 공격자가 스턱스넷, 트리톤(Triton) 등 특정 소프트웨어•장비를 표적으로 삼는 전용 악성코드를 만들어 공격을 시도했던 것과 달리, 최근에는 고도의 기술 없이도 랜섬웨어, RDP을 비롯한 공개된 소프트웨어, 오픈소스를 활용해 공격하는 사례가 급증하고 있다는 점 역시 괄목할만하다.

OT/ICS를 둘러싼 보안 위협과 사고 발생에 따른 영향은 더욱 확대될 것으로 보인다.

올해 발생한 미국 송유관 해킹 사고는 러시아 해킹 조직 ‘다크사이드(DarkSide)’에 의해 수행된 것으로 추정된다.

북한 해커 조직 역시 국가 기반 시설을 노린 사이버 공격을 수행하고 있는 것으로 드러났다. 

OT/ICS 환경에서 발생한 사이버 공격의 상당 수가 국가 지원을 받는 해킹 그룹들에 의해 이뤄진 것으로 분석되는 만큼, 앞으로도 OT/ICS 환경에 최적화된 사이버 대응 방안 마련의 중요성이 더욱 높아질 것으로 예상된다.

◆“다크웹을 통한 정보 거래 및 유통 증가” = 2022년에는 ‘다크웹(Dark Web)’을 통한 정보 거래 및 유통이 더 활발히 이뤄질 것으로 예상된다.

‘다크웹’은 암호화된 네트워크에 기반을 두고 있어 일반적인 검색 엔진이나 브라우저를 통한 접근이 제한된다.

초기에는 해커들의 기술 공유 목적으로 사용되었지만, 몇 년 전부터는 강력한 익명성을 토대로 마약, 총기 등은 물론 개인 정보 및 기업 주요 정보 등을 거래하는 사이버 범죄의 온상으로 자리 잡게 됐다.

실제로 다크웹 상의 불법 거래 규모는 지속적인 증가 추이를 보이고 있다.

한국인터넷진흥원(KISA)에 따르면, 2019년 기준 국내 다크웹 접속자 수는 하루 평균 1만 5000명에 달했다.

이는 2016년과 비교해 3배 이상 늘어난 수치다.

다크웹 시장은 특유의 익명성을 토대로 불법 행위와 관련된 거래의 장 역할을 하며 빠르게 확대될 것으로 보인다.

이 다크웹을 통한 기업 기밀 정보 및 개인 정보 판매 문제는 꾸준히 제기되고 있으나, 기업 인프라에 접근 가능한 원격 접속 계정 등이 무분별하게 거래되고 있어 현재로서는 그 피해 규모를 산정하기조차 어려운 상황이다.

또한, 다크웹에서는 불법적인 정보 거래와 더불어 워터링홀(watering holes), 웹 스키머(web skimmers), 분산서비스 거부(DDoS), 랜섬웨어 등을 서비스 형태로 제공하는 ‘청부 해킹’ 거래도 이뤄지고 있어, 더욱 강력한 대응 전략 마련이 요구된다.

◆“초연결 신기술 확산으로 인한 보안 이슈 증가” = 코로나19 이후 디지털 비대면 기술이 널리 확산되면서 ‘메타버스(Metaverse)’를 둘러싼 보안 위협도 발생할 전망이다.

메타버스는 가상현실(VR)과 증강현실(AR)을 비롯한 각종 실감 미디어 기술을 데이터 통신 기술과 결합한 개념으로 사용자가 오프라인과 동일하게 경제, 사회, 문화 활동을 영위하고 현실 세계와 상호 작용을 할 수 있게 한다.

실제로 발생할 수 있는 상황을 가상현실에서 시뮬레이션• 모델링하는 ‘디지털 트윈(Digital Twin)’과 유사하나, 현실 세계의 자아와 연결된 다중적 자아 ‘멀티 페르소나(Multi Persona)’를 통해 플랫폼 안에서 재화를 구매•유통할 수 있다는 차이점이 있다.

이같은 메타버스의 특성을 고려할 때, 메타버스 플랫폼 사용자들은 민감한 개인정보 유출과 데이터 위•변조 등의 보안 위협에 노출될 가능성이 있다.

메타버스 플랫폼에서 사용자들은 마우스•키보드 등의 입력 장치를 통해 생성되는 데이터와 더불어 뇌파•혈압•호흡과 같은 생체 신호, 행동 및 감정 정보 데이터, 그리고 접속 시간 및 위치, 소비 성향, 재화 보유 현황 등 디지털화된 다양한 정보들을 같이 활용하게 된다. 

이같은 정보들이 유출되거나 위•변조될 경우에는 심각한 프라이버시 침해 및 자산 가치 하락 등의 피해가 발생할 수 있다.

반면, 메타버스 산업이 활성화되기 위해서는 이에 대한 선제적인 보안 규제와 대응 방안 수립이 마련되어야 할 것으로 보인다.

특히, 수집되는 사용자 데이터의 저장 형태, 저장 위치, 적용 컴플라이언스에 따라 그 규제 범위와 처리 방식이 상이할 수 있어 메타버스 플랫폼 상의 개인정보보호를 위한 제도적 지원과 사이버 보안 강화 노력이 수반돼 야만 할 것이다.

<김동기 기자>kdk@bikorea.net