2022년 상반기 국내·외 사이버 위협 및 취약점 동향-랜섬웨어 갱단의 활발한 활동
“관심도가 낮았던 제품 취약점이 완벽하게 조치되지 않고 수년간에 걸쳐 지속적으로 재 발견되는 상황"
2022년 상반기 국내·외 사이버 위협 동향은 랜섬웨어 갱단의 활발한 활동과 가상자산의 공격 피해로 요약할 수 있다.
KISA 2022년 상반기 사이버 위협 동향 보고서에 따르면, 랩서스(Lapsus$)는 가장 활발하게 활동한 랜섬웨어 갱단이라고 언급했다. 이들은 2021년 12월에 브라질 보건부 해킹을 시작으로 올해 마이크로소프트, 엔비디아 등 세계 유수의 기업뿐 아니라 옥타(Okta)와 같은 글로벌 보안 전문기업을 해킹했다.
블랙캣(BlackCat)은 이탈리아 패션 브랜드 몽클레르(Moncler)와 스위스 항공서비스 기업 스위스포트(Swissport)를 공격하면서 2022년 상반기 새로 모습을 드러낸 랜섬웨어 갱단이다.
러시아에 기반을 둔 콘티(Conti)와 락빗(Lockbit)2.0 랜섬웨어 갱단은 작년에 이어 올해도 악명을 떨쳤다. 기업과 공공을 가리지 않고 공격하는 그들은 코스타리카와 페루의 정부기관, 캐나다 민간 군사훈련 기업 등으로 공격 대상을 확대했다.
2월에 시작한 러시아·우크라아나 전쟁은 물리 공간과 함께 사이버 공간에서도 전투가 벌어지는 하이브리드 전쟁이 됐다.
러시아는 침공 이전부터 악성코드 배포, DDoS 공격 등 사이버 공격을 했고, 침공 이후에도 군사 공격을 하기 전후로 사이버 공격을 적극 활용했다. 또한, 사이버전에 양쪽을 지지하는 해커그룹이 참여하면서 다른 나라와 민간기업에 대한 공격으로 확산되는 양상을 보였다.
한편 2021년 NFT 시장이 폭발적으로 증가되며 NFT를 탈취하려는 공격이 극성이다. 이 공격은 관리자와 같은 특수권한 계정을 탈취하고, 이를 이용해 피싱 메시지를 보내는 전통적인 방식으로 이뤄졌다. 국내에서도 적지 않은 피해가 발생했다.
또 가상자산 업계에서 탈중앙화 금융(DeFi)이 성장하면서 가상자산 변환을 위한 블록체인 브리지가 공격의 표적이 됐다. 브리지는 많은 가상자산을 보유하고 있어서 피해 규모가 수천억 원 규모에 이르기도 한다.
일례로 국내 대형 DeFi 중 하나인 클레이스왑(KLAYswap)에 대한 공격은 BGP 하이재킹을 이용한 것으로 드러났다.
그리고 2022년 1월, 북한의 주요 사이트와 인터넷이 일제히 접속 불가 상태를 보인 것은 특이한 동향이다. 이것이 자신의 소행이라고 하는 미국의 보안 연구자의 주장은 흥미롭다. 또한 올해 상반기 북한 연계그룹의 활동으로 보이는 피싱 공격이 여러 건 발생했다.
◇2022 상반기 취약점 동향
2022년 상반기 취약점 동향을 살펴보면, 2021년말 우리를 긴장 시켰던 아파치 Log4j 취약점, 그리고 Log4j의 긴장감이 다 풀리기도 전인 3월말 Spring4Shell 취약점을 공격하는 코드가 공개되면서 우리는 또 다시 긴장 할 수 밖에 없었다.
2022년 상반기 동안 국내에서는 버퍼오버플로우 공격에 의한 원격 명령이 가능한 취약점들도 노출이 되었으나, 홈페이지 제작이나 사이트 관리를 편하게 작업 할 수 있도록 도와주는 제품등에서 SQL 인젝션, 크로스사이트(XSS) 또는 파일 업로드 취약점 등 웹 서비스 개발시 기본적으로 제거되어야 하는 취약점들이 노출되는 등 아직은 국내 소프트웨어 시장의 보안 검수 수준에 대한 고민이 필요함을 느끼게 해 주는 시기였다고 보고서는 말한다.
이번 보고서에는 △오픈소스 보안 라이브러리 잠재적 위험-OpenSSL 취약점 △방심이 불러온 취약점의 부활-사파리 취약점 △협업의 도구의 숨은 위협-아틀라시안 컨플루언스 취약점 등에 대해 분석 내용과 대응방안에 대해 상세히 설명하고 있다.
보고서 내용에서는 “이 세상에 새로운 것은 없다. 취약점도 공격 코드도 우리의 관심이 느슨해 지면서 다시 우리의 일상을 파고 들게 된다. 2022년 상반기는 OpenSSL과 같이 과거 아픈 기억을 주었던 오픈소스 라이브러리에 대한 잠재적인 취약점의 재 발견과 안전한 것이라고 믿어 왔던 애플의 제품에서 반복 생산되는 취약점을 포함하여, 상황이 변화함께 따라 기존에는 관심도가 낮았던 제품의 취약점이 완벽하게 조치되지 않고 수년간에 걸쳐 지속적으로 재 발견되는 등의 사례가 많이 눈에 띄었던 시기였다”고 정리했다.
이번 2022년 상반기 사이버 위협 동향 보고서는 데일리시큐 자료실에서도 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!★