2024년 글로벌 사이버 전선... 보안 위협 3대 키워드는 랜섬웨어, 북한, 인력부족

제13회 정보보호의 날 기념식에서 ‘국제 정보보호 컨퍼런스 2024’ 열려
‘글로벌 보안 위협 대응 전략’ 세션... 안랩·지니언스·스틸리언에서 강연

[보안뉴스 박은주 기자] 디지털 대전환 이후 전 세계에서 시간과 공간 제약 없이 실시간으로 상호 연결될 수 있는 ‘초연결 시대’. 사이버 공간 확장으로 다양한 보안 위협 또한 전 세계적으로 발생하고 있다. 올해는 랜섬웨어 공격으로 인도네시아 국가 데이터센터가 마비됐고, 북한이 대법원 전산망과 보건복지부 SNS를 해킹하는 사건이 발생하기도 했다.

[이미지=gettyimagesbank]

조직적으로 행동하고 규모를 키워가는 사이버 위협에 대응하는 방법과 공격을 당해도 업무 및 서비스를 유지할 수 있는 ‘리질리언스(Resilience)’ 체계를 마련해야 하는 상황이다. 국제 정보보호 컨퍼런스(ICIS) 2024에서 전 세계에서 벌어진 보안 위협 현황을 알아보고, 대응방향을 짚어보는 시간을 가졌다.

Ransomware Ran Somewhere
2023년 랜섬웨어로 인한 피해 금액은 125억달러(한화 약 17조 3,112억원)로 전년 대비 2.2억달러 증가세를 보였다. 랜섬웨어 조직이 벌어들인 수익금 역시 2022년 5억 6,700만 달러(약 7,755억)에서 2023년 11억 달러(약 1조 5,272억원)로 2배 가까이 늘어났다. 현재까지 활동 중인 랜섬웨어는 1,000종 이상이며 제작 및 변조를 통해 그 수가 늘어나고 있다. 특히 공공·금융·군 및 경찰 등 기관에서 주로 피해가 발생했다.

▲안랩 A-FIRST 이명수 팀장[사진=보안뉴스]

안랩 A-FIRST(AhnLab Forensic & Incident Response Service Team) 이명수 팀장은 “만일 랜섬웨어가 금전요구가 아니라 사이버전에 사용됐다면 핵무기급 파괴력을 가졌을 것”이라고 평가했다.

랜섬웨어 공격자는 MS-SQL이나 RDP 공격을 감행하고, GO·RUST 등 새로운 언어를 사용하며 취약점을 노린다. 과거에는 랜섬웨어를 불특정 다수에게 무작위로 배포했다면 최근에는 특정 산업을 표적해 공격한다. MS 기술지원부서 사칭, 보험 규모 확인 후 협상이나 기부금을 요구하는 등 다양한 협박을 이어가고 있다.

안랩 이명수 팀장은 코인마이너 악성코드 감염이 랜섬웨어 감염으로 이어진 사례를 공유하며 “악성코드 감염 원인을 파악해야 2차, 3차 피해를 예방할 수 있다”고 설명하며 “데이터 백업과 복구를 사전에 훈련하고, 백신 설치 등 실시간 탐지 및 주기적인 보안 로그 점검이 필요하다”며 랜섬웨어 감염 대응방안을 설명했다. 그는 “만일 랜섬웨어에 감염됐더라도 공격자와 협상하지 말고, 전문업체에 도움을 요청하는 것이 바람직하다”고 말했다.

각국에서는 랜섬웨어에 관한 대응을 강화하는 추세다. 국제 랜섬웨어 대응회의 CRI(Counter Ransomwre Initiative)에서는 랜섬웨어 해킹에 금전을 지불하지 않겠다는 공동 성명을 발표했다. 미국 증권거래위원회에서는 중대 사고 발생 시 4일 이내 신고하는 침해 사고 공개 규정을 강화했고, FBI나 사법 당국에서는 200억 규모의 현상금 제도를 운용하고 있다.

공공분야 1일 162만건 사이버 공격 발생, 80%는 ‘북한’
국가정보원은 2023년 기준 공공분야를 대상으로 하루 162만건 사이버 공격이 발생하고, 그중 80%가 북한 소행이라는 조사 결과를 발표했다. 북한발 사이버 공격이 쏟아지는 상황이다.

▲지니언스 문종현 센터장[사진=보안뉴스]

일례로 1월 1일 언론사에 노출된 기사를 바탕으로 피싱 메일을 유포한 사례가 있다. 지니언스 문종현 센터장은 “공격자는 보안 프로그램 탐지를 회피하기 위해 파일에 비밀번호를 걸었고, 파일을 열어본 1시간 뒤 공격이 시도하게끔 예약해 사용자 의심을 피하는 치밀함을 보였다”고 설명했다.

해당 악성코드는 구글 드라이브에 연동됐으며, 현직 미 부통령 계정으로 위장한 사실이 드러났다. 계정을 추적해 보니, 오픈소스 악성코드를 변경해 사용하고 있었고, 웹서버를 만들려는 흔적에서 북한에서 4차 산업혁명을 뜻하는 ‘새 세기’라는 표현을 발견할 수 있었다. 이 밖에도 건설협회 관련 사이트 보안 프로그램을 위장해 악성코드를 유포하거나, 북한 전문 취재 기자를 타깃으로 한 스피어피싱 공격 등 다양한 공격이 감행됐다.

문종현 센터장은 “북한에서 배포한 악성 파일이 바이러스 토탈 탐지에서 한 건도 잡아내지 못한 경우도 있었다”며 “(북한에서) 국가 주도로 육성되는 공격 인력이 많고, 수준이 높은 것으로 보인다”고 말했다.

문 센터장은 “국경을 초월한 사이버 안보 위협이 일상화되고 있는 만큼, 국가 차원에서 관심이나 대응이 필요하다”며 “사후 보강하는 식이 아니라 평소 보안에 더욱 신경쓰고, 빈틈이 생기지 않도록 관리가 필요하다”고 제언했다.

글로벌 해킹 조직에 대응하는 우리의 현재는... ‘인력 부족’

▲스틸리언 신동휘 부대표[사진=보안뉴스]

사이버 공격은 ‘금전 갈취’라는 공동의 목표를 달성하고자 국경 구분 없이 진행되고 있다. AI 등 발전하는 기술은 공격자에게 새로운 시장이 되고 있다. 공격 수준이 상향평준화 되고 있고, 보안을 유지할 대상이 늘어가는 상황이다. 이에 여러 기업과 기관에서는 다양한 영역에서 안전을 유지할 수 있는 다양한 솔루션과 대안을 마련하고 있다.

다만, 그럼에도 사고는 발생한다. 그 이유를 스틸리언 신동휘 부대표는 ‘인력 부족’이라고 설명했다. 신 부대표는 “보안 솔루션 도입은 쉽지만, 운영에서 늘 어려움을 겪는다”며 “보안에 관한 지식을 가지고 제품을 운용할 수 있는 인력이 부족하다”고 말했다.

신 부대표는 “최근 보안 인재를 양성한다는 표현을 많이 한다”며 “‘양성’에는 가르쳐서 유능한 사람을 길러낸다는 뜻 외에도 실력이나 역량을 길러 발전시키다는 의미도 담겨 있다. 이 부분이 강조돼야 할 것”이라고 말했다.

이어 그는 “어떤 보안 업무가 맡겨지더라도 지식을 습득하고, 적용해 발전할 수 있는 인재가 필요하다”며 “문제를 발굴하고 해결할 수 있는 능력을 끌어낼 수 있는 교육이 필요하다”고 제언했다.
[박은주 기자(boan5@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)