이스트시큐리티는 다가오는 2023년을 맞이하여, '2023년 사이버 위협 전망 TOP 5' 및 ‘2022년 주요 사이버 위협동향 결산 및 회고 Top5’를 정리해 보았습니다. 

1. 국가배후 해킹 조직의 사이버 안보 위협 고조

러시아, 우크라이나 전쟁의 지속 및 국가 간 갈등이 심화됨에 따라, 국가의 지원을 받는 해킹 조직의 공격이 빈번해 질 것으로 예상됩니다.

국방, 안보, 방산  영역의 해킹공격 지속과 함께 미사일 발사 및 방어 기술에 활용되는 항공우주산업과 이동통신을 대상으로 한 해킹 공격이 대폭 증가할 것으로 예상됩니다. 또한 국가간 갈등 심화는 다국적 구성원들로 이루어진 해킹 그룹 내부의 갈등을 촉발시키고, 이에 따른 정보 유출도 빈번하게 이루어 질 것으로 예상됩니다.

2023년도에는 국가적 지원을 받는 전문 APT 그룹들의 공격과 유출된 정보들을 활용한 공격들이 함께 성행하면서, 글로벌 보안 위협이 증대될 것입니다.

2. 랜섬웨어 변종 지속적 유포 및 APT 공격 형태로의 진화

23년도에도 랜섬웨어는 여전히 해커들에게 고수익을 창출할 수 있는 수단으로 활용될 것입니다.

GO, RUST, Dlang 등 비교적 덜 알려진 프로그래밍 언어로 제작하여 보안 시스템 우회를 시도하는 랜섬웨어가 증가하고, 최신 제로데이 취약점을 활용하여 내부망에 침투하고, 파일 암호화 뿐만 아니라 정보 탈취, 추가 악성코드 배포 등 APT 공격의 형태로 진화하며 피해 규모가 확대될 것으로 예상됩니다.

랜섬웨어의 위협이 가속화되고 더 독창적인 형태로 진화할 것으로 예상되는 만큼 기업, 기관에서는 최신 랜섬웨어 동향 파악 및 맞춤형 대응 방안의 준비가 필요하겠습니다.

3. 디지털 신분증 및 전자문서 서비스의 보편화로 인한 개인정보 탈취 공격 우려

올해 7월부터 모바일 주민등록증과 모바일 운전면허증 발급 서비스가 시행되었으며, 점차 확대될 예정입니다. 또한 주민등록 등본, 건강보험 납부 확인서, 의무 기록 사본 등과 같은 민감한 문서들도 전자 문서 형태로 발급받을 수 있는 서비스가 시행되어 국민들의 편의성이 한층 더 강화되었습니다. 하지만 공격자들도 이러한 기조에 발맞춰 하반기부터 본인인증 pass 앱과 모바일 신분증 앱을 위장한 악성 앱을 유포하기 시작하였으며, 23년도에는 디지털 신분증 및 전자 문서 탈취를 목적으로 하는 공격이 대폭 증가할 것으로 예상됩니다.

4. 가상자산을 노린 사이버 공격의 다변화

가상 자산 투자에 참여하는 참여자와 NFT 발생을 돕는 플랫폼의 증가는 공격자들에게 더 큰 공격 기회를 만들어 주고 있습니다. 뿐만 아니라 가상자산 탈취는  ‘저비용 고효율’의 수익을 가져다 주기 때문에 가난한 국가들에게 새로운 외화벌이수단으로 각광받고 있으며, 가상자산 탈취를 통한 외화벌이를 목적으로 한 전문 해킹 조직도 점점 더 증가할 것으로 예상됩니다. 

사회공학적 기법을 이용한 구성원들에 대한 해킹 공격 뿐만 아니라 ISP 해킹과 같은 다양한 공격방식을 통한 가상자산 탈취 시도도 빈번해질 것으로 예상됩니다.

5. Zero-Day 및 N-Day 취약점을 악용한 공격의 증대

코로나 이후 많은 기업들이 원격근무 제도를 도입하고 다크웹이 활성화 되면서 새로 발견되는 제로데이 취약점 수가 점점 증가하고 있습니다.

점점 더 많은 APT 조직들이 공격에 제로데이를 활용하고 있으며, 다크웹에서의 제로데이 취약점 가치가 높아지면서 많은 공격자들이 제로데이 발굴에 뛰어들고 있습니다. 공급과 수요가 동시에 증가함에 따라 제로데이 시장이 활성화되고, 이에 따른 제로데이 공격도 함께 증가하고 있습니다.

N-Day 취약점의 경우 공개된 지 일정 시간이 지났기 때문에 상대적으로 관심도가 낮으며, 기업들이 활용하는 솔루션들이 점차 다양해짐에 따라 모든 솔루션들에 대한 공개된 취약점 및 패치 여부를 확인하는 것에 어려움이 있습니다. 이러한 점을 악용한 N-Day 취약점을 활용한 공격도 증가할 것으로 예상됩니다.

1. 北 배후 위협그룹, 외교·안보·국방 및 대북분야 표적공격 전방위 확산

국내의 국방·통일·외교·안보 및 대북 관계자 등을 대상으로 한 북한 배후의 해킹 조직 공격이 지속되었으며, 더 정교한 공격 방식을 통해 공격 성공률을 향상시켰습니다.

공격자들은 정상적인 이메일 발송 후 관심을 보이는 대상자를 선별하여 악성파일을 개별 첨부하거나 일정 시간 간격을 두고 후속 공격을 진행하는 시간차 공격을 진행하였으며, 다른 경로로 탈취한 내부 문서를 공격에 활용하는 정황도 포착되었습니다. 뿐만 아니라 초청장이나 설문지 등을 위장하여 공격 대상자들의 개인정보 및 계정정보를 탈취하여 더 정교한 후속 공격을 준비하는 모습도 확인되었습니다.

2. 랜섬웨어 공격방식의 고도화

랜섬웨어가 공격자들 사이에서 고수익을 창출할 수 있는 공격 방식으로 자리 잡으면서 2022년도에도 랜섬웨어의 공격은 지속되었습니다.

수익의 극대화를 위하여 파일 암호화 뿐만 아니라 탈취한 기밀정보를 공개하거나, 추가적으로 Amadey봇이나 Neshta웜과 같은 다른 악성코드를 설치하는 등 랜섬웨어에 대한 지속적인 고도화가 이루어 졌습니다. 뿐만 아니라, 한국 기업만을 타깃으로 하는 귀신 랜섬웨어의 공격 피해도 다수 발생하였는데, 해당 조직은 유창한 한국어를 구사할 뿐만 아니라 국내 보안 전문기관에 대한 높은 이해도를 갖고 있는 등 랜섬웨어 공격 타깃의 국지화 양상도 보였습니다.

3. 국가간 분쟁, 물리공간을 넘어 사이버공간으로 확대되는 하이브리드 전쟁 양상

2022년 초 시작된 러시아·우크라이나 전쟁은 현재까지 이어지고 있으며, 이는 사이버 공간으로도 확대되었습니다.

해커들은 상대 국가에 DDoS 공격을 하여 통신망을 마비시키고, 데이터 파괴를 목적으로 하는 와이퍼 악성코드를 유포하여 국가기반 시설에 막대한 피해를 야기하였습니다. 또한 Follina 취약점, Docker Remote API 무단 접근 취약점 등 다양한 취약점을 공격에 활용하는 등 적극적으로 공격에 가담하고 있습니다. 

양국 간의 사이버전은 지속되고 규모도 커질 것으로 전망됩니다.

4. 사회적 혼란을 악용한 해킹 공격 기승

사회적 혼란을 틈탄 해킹 공격이 기승을 부렸습니다.

10월 중순 IDC 화재로 인해 국내 PC 및 모바일 메신저가 먹통되는 사태가 발생했으며, 사건 발행 2-3일 후 해당 이슈를 악용한 해킹 메일 및 스미싱 공격이 발견되었습니다. 뿐만 아니라 10월 말 수많은 사상자를 낸 참사 사건이 발생하였을 때에도, 사건발생 3-4일 후 해당 참사를 악용한 악성코드가 발견되기도 했습니다.

대형 사고가 발생한 직후 이를 악용하는 해킹 공격은 지속적으로 발생해 왔지만, 22년도의 경우 그 시간이 크게 단축되고 공격 방식도 정교해 졌으며, 이메일 뿐만 아니라 메신저를 새로운 공격 채널로 이용하는 등 위협 수위가 한층 더 높아졌습니다.

5. 포털사 및 고객센터를 위장한 피싱 공격의 지속

국내 포털사 및 고객센터를 위장한 피싱 공격이 지속되었습니다.

링크가 포함된 국내 포털사를 위장한 피싱 메일을 불특정다수에게 발송하며, 링크 클릭 시 정교하게 제작된 피싱 페이지로 이동하여 계정정보 입력을 유도하는 방식이 주를 이루었습니다. 이렇게 유출된 계정 정보는 다른 사람들에게 스팸메일을 발송하는데 사용되거나 동일한 계정을 사용하는 다른 웹 서비스의 접속을 통해 추가 피해를 유발할 수 있습니다. 뿐만 아니라 일부 사용자들에게 가상화폐 거래소 고객센터나 사이버 수사관을 사칭한 피싱 메일을 통한 악성파일 유포 시도도 다수 포착되었습니다.

피싱 메일을 통한 계정 정보 탈취 공격은 성공률이 높은 편으로 이와 같은 공격 방식은 향후에도 지속될 것으로 예상됩니다.

2022년 한해를 돌아보며 주요 보안이슈를 정리해 보았으며, 2023년 사이버 위협에 대해서도 전망해 보았습니다. 사이버 위협이 지속되고 있습니다. 2023년도에도 알약과 함께 안전하게 PC 및 모바일을 사용하시기를 바라겠습니다.

이스트시큐리티는 2023년에도 더욱 안전한 세상을 만들 수 있도록 최선을 다하겠습니다.
감사합니다.