사이버 범죄자들과 국가-주도 공격자(nation-state actors)들이 코로나 19 팬데믹 상황을 악용, 세계적으로 다양한 사이버 공격을 감행할 기회로 삼고 있는 것으로 나타났다.

14일, 포티넷코리아(대표 조원균 www.fortinet.com/kr)는 자사의 보안연구소 포티가드랩이 발간한 ‘2020년 상반기 글로벌 위협 전망 보고서’를 발표, 이같이 밝혔다. 

보고서에 따르면, 사이버공격자들은 기업 네트워크 외부에서 일하는 원격 근무자들의 증가로 디지털 공격 면이 확대되는 상황을 악용하고, 코로나 19 글로벌 팬데믹으로 인한 불확실성과 공포를 틈타 대규모 사이버 공격을 실행하고 있는 것으로 조사됐다. 

이 보고서는 많은 위협 트렌드가 팬데믹 상황과 연관돼 있지만, 일부 위협들은 여전히 고유한 목표를 가지고 있으며, 예를 들어 IoT 장치 및 OT(운영기술)을 타깃으로 하는 공격과 랜섬웨어는 감소하지 않고 더욱 정교한 공격으로 진화하고 있다고 강조했다.

보고서는 아울러, 대부분의 위협은 전세계적으로 또한 산업 전반에서 나타나지만, 일부 지역적으로 또는 산업별로 차이를 보이기도 한다고 밝혔다.

코로나 19 팬데믹과 마찬가지로, 특정 위협은 한 지역에서 시작됐다가 결국 거의 전 지역으로 확산돼 대부분의 조직에게 영향을 줄 수 있으나, 보안 정책, 관행, 대응 등 여러 요인에 따라 감염률에 있어서는 지역별 차이가 있을 수 있다고 설명했다.

◆글로벌 이벤트에서 기회 포착 = 이전 공격자들은 사회공학적(시스템이 아닌 사람의 취약점을 공략해 원하는 정보를 얻는 기법) 접근 전술을 사용해왔으나, 2020년 상반기에는 이 같은 움직임이 다음 단계로 이동했다.

기회주의적(opportunistic) 피싱 공격자부터 계획적인 국가-주도 공격자(nation-state actors)까지 그들은 엄청난 규모로 이익을 얻기 위해 글로벌 팬데믹 상황을 악용할 수 있는 여러 방법을 찾아냈다.

이 방법에는 피싱 및 비즈니스 이메일 침해 계획, 국가 주도적 지원 캠페인 및 랜섬웨어 공격 등이 포함된다.

그들은 전세계 모든 이들에게 영향을 미치는 팬데믹의 글로벌 속성과 즉각적으로 확장된 디지털 공격 면으로 인한 이점을 극대화하고자 노력하고 있다.

이같은 트렌드는 공격자들이 글로벌 차원에서 사회적으로 광범위하게 영향을 미치는 사안을 공격에 얼마나 잘 활용하는지 보여준다.

◆사용자의 집으로 네트워크 경계 확장 = 원격 근무의 확대로 거의 하룻밤만에 기업 네트워크에 극적인 변화가 발생할 수 있는데, 사이버 공격자들은 이를 즉시 기회로 활용하기 시작했다.

2020년 상반기에는 여러 소비자용 라우터 및 IoT 장치에 대한 익스플로잇 시도가 IPS 탐지 목록의 상단을 차지했다.

IoT 제품의 오래된 취약점과 새로운 취약점을 타깃으로 삼는 공격자들이 증가하면서 봇넷 탐지와 관련 ‘미라이(Mirai)’와 ‘고스트(Gh0st)’의 활동이 가장 두드러졌다.

이같은 트렌드는 원격 근무자들이 기업 네트워크와 연결을 위해 사용하는 장치를 악용해 기업 네트워크 공격을 위한 거점을 확보하려는 사이버 범죄자들의 의도를 보여주며, 이는 엔터프라이즈 네트워크 경계가 집까지 확장되어 더 주의 깊은 보안 조치가 필요하다는 점을 시사하고 있다.

◆브라우저도 표적 = 이어 보고서에 따르면, 원격 근무 체제 전환으로 인해 공격자들이 여러 방법을 통해 개인 사용자를 타깃으로 삼을 수 있는 기회가 더욱 확대됐다.

예를 들어 올해 초, 피싱 캠페인 및 기타 스캠에 사용된 웹 기반 멀웨어가 기존의 이메일 전송 벡터보다 순위가 높았다.

실제로 웹 기반 피싱 미끼와 스캠의 모든 변종을 포함하는 멀웨어군은 1월과 2월 멀웨어에서 1위를 차지했으나, 6월에는 탑5 아래로 떨어졌다.

이는 가장 취약하고 공격에 노출되기 쉬운 개인 사용자들이 집에서 웹 브라우저를 사용할 때 사이버범죄자들이 공격을 시도했다는 사실을 보여준다.

사이버범죄자들이 원격 근무자들을 계속 타깃으로 삼고 있어, 장치뿐 만 아니라 웹 브라우저도 주요 타깃이 되고 있다.

◆랜섬웨어는 사라지지 않아 = 잘 알려진 랜섬웨어 위협은 지난 6개월간 감소하지 않았다. 코로나 19 관련 메시지와 첨부파일은 다양한 랜섬웨어 캠페인의 미끼로 사용됐다.

다른 랜섬웨어들은 데이터를 암호화하기 전에 컴퓨터의 MBR(master boot record)을 변조하는 것으로 나타났다.

공격자가 피해 조직의 데이터를 잠그고 데이터를 훔치며 광범위하게 사용되는 릴리스를 추가 수단으로 사용해 몸값을 요구하는 랜섬웨어 사고가 증가했다.

이는 향후 랜섬웨어 공격으로 인해 기업들이 귀중한 정보나 민감한 데이터를 도난당할 위험도가 높아졌음을 의미한다.

전세계적으로 그 어떤 산업도 랜섬웨어 공격을 피할 수 없었으며, 최신 자료에 의하면 랜섬웨어 공격을 가장 많이 받은 산업은 통신, MSSP, 교육, 정부, 테크놀로지 분야였다.

서비스형 랜섬웨어(RaaS)의 증가와 특정 변종의 계속되는 진화는 랜섬웨어가 사라지지 않을 것이라는 점을 시사한다.

◆스턱스넷(Stuxnet) 이후의 OT 위협 = 6월은 OT(운영 기술) 위협 및 보안의 진화에 있어 중요한 역할을 한 스턱스넷(Stuxnet)이 10주년을 맞는 시기다.

그 이후 몇 년이 지난 현재, OT 네트워크는 사이버 공격자들의 표적이 되고 있다.

올초 등장한 ‘EKANS 랜섬웨어’는 공격자들이 랜섬웨어 공격 범위에 OT 환경을 포함시키고 공격의 초점을 지속적으로 확대하고 있다는 사실을 잘 보여준다.

에어-갭(air-gapped) 또는 폐쇄망으로 제한된 네트워크 내에서 민감한 파일을 수집 및 유출하도록 설계된 램세이(Ramsay) 프레임워크는 이러한 유형의 네트워크에 침투할 새로운 방법을 찾는 위협 행위자(threat actors)의 한 예라고 할 수 있다.

SCADA(Supervisory Control And Data Acquisition, 원격 감시제어와 데이터 수집 시스템) 시스템 및 기타 유형의 ICS(industrial control systems, 산업 제어 시스템)를 타깃으로 하는 위협의 확산은 IT를 위협하는 공격보다 양적인 면에서는 적지만, 중요성 측면에서는 결코 작다고 할 수 없다.

데릭 맨키(Derek Manky) 포티넷 보안 인사이트 & 글로벌 위협 얼라이언스를 총괄은 “2020년 상반기에 우리는 전례없는 사이버 위협 환경을 목격했다. 공격 방법의 빠른 진화와 대규모 확장은 사이버범죄자들이 전세계적인 코로나 팬데믹을 중심으로 현재의 사태를 이용하여 이익을 극대화하기 위한 전략을 얼마나 민첩하고 신속하게 구사하는지 잘 보여준다. 지금과 같은 상황에서 기업들은 재택근무로 인해 집으로 확장되는 네트워크 경계를 보호할 수 있는 방어 전략을 구축해야 한다. 즉, 장기적으로 원격 근무자들이 사용하고 있는 디바이스 및 홈 네트워크를 보호할 수 있는 방안을 마련해야 한다. 또한 현재 운영중인 사이버 바이러스 방지 전략과 동일한 대응 전략이 필요하다. 즉, 사이버 사회적 거리두기는 리스크를 인지하고 거리를 유지하는 방법”이라고 강조했다.

<김동기 기자>kdk@bikorea.net