국가 배후 해커조직·외화벌이용 가산자산 탈취 기승
자금세탁 브로커까지 등장한 랜섬웨어
메타버스·디지털신분증 대상 사이버공격 ‘시동’
【서울=뉴시스】송혜리 기자 = 러시아·우크라이나 전쟁 지속과 국가 간 갈등 심화에 따라 내년엔 국가 정부 지원을 받는 해킹 조직의 공격이 더욱 활발할 것으로 전망된다. 이와 더불어 가상자산 탈취는 북한과 제3세계 국가들의 외화벌이에 주요 수단이 될 것으로 전망되며, 랜섬웨어 생태계는 더욱 비대화·세분화돼 자금세탁을 해주는 브로커까지 등장한 상태다.
신기술 측면에선 메타버스 플랫폼을 악용한 ‘다크버스’가 사이버 범죄를 가속하고, 개인정보 탈취엔 ‘디지털신분증’이 새로운 공격 포인트가 될 가능성이 높다.
국내외 보안업계가 바라보는 내년 주요 사이버 위협 동향이다. 내년 대두될 사이버 위협을 5가지 키워드로 꼽아봤다.
◆국제 정세 불안 틈탄 ‘국가 배후 해킹 조직’ 활개
올해 발발한 러시아발(發) 전쟁은 물리적 충돌에 사이버 공격을 결합한 ‘하이브리드전’으로 평가된다. 사이버 보안이 국가 안보와 직결되는 문제로 부상한 것이다.
러시아는 물리적 충돌 전후로 우크라이나 국가 주요 시설과 공공기관·민간기업에 다수의 사이버 공격을 시도했다. 침공 1년 전부터 시스템 파괴, 정보 탈취, 심리전 등 다양한 사이버 공격으로 데이터 유출·시스템을 파괴해 우크라이나 주요 기반 시설의 네트워크를 장악했다. 사이버전과 정보전을 통해 상대국에 물리적 전쟁·테러에 버금가는 피해를 입히는 ‘총성 없는 전쟁’의 위력을 각국 안보당국이 충분히 실감하는 계기가 됐다는 평가다.
마이크로소프트의 ‘디지털 방어 보고서’에 따르면 조직적 해킹 공격의 배후에는 러시아, 북한, 베트남, 이란, 중국, 터키 등이 꼽히고 있다. 이 국가들은 해킹 공격을 지원하고 있으며 다자관계의 사이버 공격 양상을 나타내고 있다. 또한 외교, 안보, 국방, 에너지, 의료 등 다양한 산업 분야에서 공격을 감행하고 있다.
현재 활동 중인 해킹 그룹은 ▲러시아의 에너제틱 베어, UNC2452, APT28 ▲북한의 라자루스 그룹, 김수키 ▲중국의 APT40, UNC2630·UNC2717 ▲이란의 오일리그, 아그리오스 등이 있다.
◆외화벌이 수단이 된 ‘가상자산 탈취’
‘가상자산 탈취’를 목적으로 한 사이버 공격 역시 지속될 전망이다. 특히 가상자산 탈취는 ‘저비용 고효율’의 수익을 가져다주기 때문에 북한과 가난한 국가들의 새로운 외화벌이 수단이 될 가능성이 높다.
북한은 지난 3월 블록체인 비디오 게임 ‘엑시 인피니티’에서 7700억원 규모의 가상자산을 탈취한 배후로 꼽힌다. 탈취한 7700억원 중 1100억원 가량이 북한 소속의 해킹 그룹 ‘라자루스’의 가상자산 지갑으로 이동한 것이 확인됐다.
5~6월에도 북한 연루 해커조직의 가상자산 탈취는 계속 이어졌다. 미국 블록체인 기술 개발 업체인 ‘하모니’에서 1억달러(약 1300억원)의 암호화폐가 도난당하는 사고가 발생했으며, 1억달러의 암호화폐 중 41%를 거래 추적 숨김 서비스인 ‘토네이도 캐시 믹서’로 보낸 것이 확인됐다.
문종현 이스트시큐리티 정보보호 최고책임자(CISO)는 “갈수록 북한의 사이버 위협이 예상 수준을 넘어서고 있다”면서 “정권을 유지하는 통치자금뿐만 아니라 핵실험, 미사일 실험 자금 등으로 활용하고 있는데, 이 때문에 북한 입장에서는 절대로 포기하거나 중단할 수 없는 중요한 외화벌이 수단이 됐다”고 말했다.
◆자금세탁 브로커까지? 분업화된 랜섬웨어 생태계
랜섬웨어는 여전히 해커들에게 고수익을 창출할 수 있는 수단으로 활용될 전망이다.
해커들은 랜섬웨어로 기업과 공공기관의 대규모·민감 정보부터 개인의 노트북에 있는 정보까지 닥치는 대로 탈취하고 정보를 돌려주는 대신 대가를 요구한다. 이렇게 받아낸 돈을 중간에서 ‘세탁’해주는 브로커, 암시장(블랙마켓)까지 등장하면서 ‘랜섬웨어 생태계’는 꾸준히 성장하고 있다.
특히 해킹 기술이 없더라도 비용만 지불하면 누구나 실행할 수 있는 ‘서비스형 랜섬웨어(RaaS)가 성행하는 것에 보안업계는 촉각을 세운다. 돈을 내고 악성코드를 빌려 사이버 공격을 가하고 이를 풀어주는 대신 대가를 요구한다.
실제 미국 최대 송유관 업체인 콜로니얼 파이프라인을 비롯해 카세야, JBS 푸드 등을 대상으로 발생한 대형 랜섬웨어 사건은 RaaS 공격에 당한 대표적인 사례다. 미국 최대 송유관 관리업체 콜로니얼 파이프라인은 지난해 5월 ‘다크사이드’의 RaaS를 이용한 랜섬웨어 공격을 받아 가스 공급이 중단되는 피해를 본 데다, 임직원 5800여명의 개인정보도 유출됐다. 회사는 데이터를 복구하기 위해 ‘몸값’으로 약 500만달러(약 56억5000만원)를 지불한 것으로 알려졌다.
일각에선 전세계적으로 랜섬웨어 조직에 대한 수사와 검거가 이어지자, 압박을 받은 일부 사이버 범죄자들이 대규모 공격을 감행한 후 은퇴할 수 있다는 전망도 나온다.
안랩 측은 “기업과 기관은 기본적인 보안 체계 구축은 물론 위협 인텔리전스(TI)를 활용해 최신 공격동향과 취약점 정보를 파악해야 한다”고 조언했다.
◆수사기관 추적·감시·잠입 어려운 ‘다크버스’
메타버스를 노리는 사이버 범죄는 기존 정보시스템 취약점을 활용한 개인정보 탈취 사례부터 메타버스와 연계된 가상자산·NFT 탈취 침해사고 등 복합적인 사회적 문제로 발전하고 있다.
실제, 블록체인 데이터 분석 기업 체이널리시스가 발표한 ‘2023 가상자산 범죄 보고서’에 따르면 올해 7월까지 해킹을 통해 도난당한 가상자산은 19억 달러(약 2조 7236억원) 이상으로 전년 동기 12억 달러(약 1조 7202억원) 대비 매우 증가했다. 주요 공격 대상은 디파이(DeFi, 탈중앙화 금융) 서비스다.
최근에는 기업 공식 아바타와 동일한 아바타를 생성해 사기 계약을 맺거나, ‘딥페이크(Deep Fake)’ 기술을 활용한 기밀 탈취, 허위 사실 발표 등 기업 대상 범죄도 증가하고 있다.
라온화이트햇 측은 “현재까지 메타버스에 대한 보안 가이드라인이 마련되지 않았기 때문에 서비스 제공자는 생체인증, 2단계 인증(2FA) 등 이용자의 신원 및 자격 검증을 강화해 이용자의 데이터를 보호해야 할 것”이라고 당부했다.
◆’디지털신분증’ 정조준
올해 7월부터 모바일 신분증 서비스가 본격 시행돼 공공기관에 굳이 방문하지 않아도 주민등록증 등을 발급 받을 수 있게 됐지만, 안타깝게도 해커들의 표적으로도 주목받고 있다.
주민등록증은 물론, 건강보험료 납부 확인서, 의무기록 사본 등과 같은 민감 문서도 개인이 스마트폰에 보관할 수 있게 되면서 해킹조직에겐 새로운 공격 포인트가 됐다.
공격자들은 이미 올 하반기부터 본인인증 ‘패스(pass)’ 앱과 모바일 신분증 앱을 위장한 악성 앱을 유포하기 시작했으며, 내년에는 디지털 신분증과 전자문서 탈취를 목적으로 하는 공격이 시작될 것으로 예상된다.
◎공감언론 뉴시스 chewoo@newsis.com
