올해 상반기 사이버 세계를 공격하는 주요 보안 위협 트렌드 5가지가 발표됐다. 안랩이 발표한 ‘2021년 상반기 주요 보안 위협 트렌드 톱 5’는 타깃형 랜섬웨어 공격 증가, 조직 인프라 솔루션을 악용한 공격 지속, 업무 메일을 위장한 정보 유출형 악성코드 유포, 사회적 이슈를 사이버 공격에 적극 활용, 국가지원 추정 해킹그룹 활개 등이다.

안랩 시큐리티대응센터(ASEC) 한창규 센터장은 “공격자는 사이버 공격의 전 과정에서 시스템 취약점부터 사용자까지 가장 약한 고리를 노리고 있다”며 “점차 정교해지는 보안 위협으로 인한 피해를 최소화하기 위해서는 기관과 기업, 사용자 등 모든 주체의 대응 방안 준비와 보안수칙 준수가 필수적”이라고 말했다. 

◇타깃형 랜섬웨어 공격 증가 

안랩은 올해 초 ‘2021년 5대 사이버 보안 위협 전망’에서 타깃형 랜섬웨어 공격 증가를 예상한 바 있다. 이 예상대로 올해 상반기에는 전 세계적으로 수많은 기업이 타깃형 랜섬웨어 공격을 받았다. 공격자들은 기업 및 기관에 침입해 정보 유출과 랜섬웨어 감염을 동시에 실행 후, 금전 지불에 응하지 않을 때는 유출한 정보를 공개하겠다며 이중 협박을 가했다. 이러한 공격 중에는 랜섬웨어 제작에서 유포까지 도와주는 ‘서비스형 랜섬웨어(RaaS, Ransomware as a Service)’ 방식으로 유포된 경우도 다수 확인됐다. 

한번 이 같은 공격을 당하거나 내부 정보를 탈취당하면 또다시 협박의 대상이 될 수 있어서 조직은 보안 솔루션 활용뿐만 아니라 내부 임직원 보안 교육을 강화하는 등 랜섬웨어 공격에 상시 대응해야 한다. 

랜섬웨어 공격의 피해를 예방하기 위해서는 ▲파일 및 프로그램은 공식 경로를 이용하여 다운로드 ▲OS 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등 프로그램 최신 버전 유지 및 보안 패치 적용 ▲백신 프로그램 최신버전 유지 및 실시간 검사 기능 사용 △중요 데이터는 별도 보관 장치에 백업 등의 보안 수칙을 준수해야 한다. 

◇조직 인프라 솔루션을 악용한 공격 지속 

지난해부터 올해 상반기까지 특정 침투 테스트 도구의 해킹 버전을 이용한 AD 서버 탈취 시도와 최근 IT 보안 관리 솔루션인 ‘카세야 VSA’ 취약점을 이용한 랜섬웨어 유포까지 조직의 인프라 솔루션이나 공급망을 악용하는 공격은 끊임없이 계속되고 있다. 조직 내부 자원 관리나 서비스 제공에 사용되는 솔루션을 공격자가 장악하면 해당 조직과 서비스를 이용하는 고객사에도 랜섬웨어 유포나 정보 탈취 등 큰 피해를 유발할 수 있다. 이외에도 공격자들은 코로나 이후 ‘뉴노멀’이 된 원격(재택)근무 환경에 자주 활용되는 VPN(가상사설망) 솔루션의 취약점을 이용한 공격을 적극적으로 펼치기도 했다. 근래에는 

비대면 업무가 일상화된 가운데 전화 회의 요청을 위장한 악성메일이 발견됐다.

악성 메일로 유포되는 악성코드를 살펴보면 공격자는 먼저 실존하는 일본 화장품 기업 관계자의 회신으로 위장해 “전화 미팅을 요청한다”는 내용으로 암호가 걸린 압축파일을 첨부해 메일을 보냈다. 공격자는 본문 상단에 일본어로 일시(日時), 첨부파일명(添付ファイル名)과 함께 압축파일을 풀 수 있는 비밀번호(パスワード) 정보를 적어 첨부된 압축 파일에 대한 신뢰도를 높이려고 했다.

일반적으로 조직에서는 외부에서 유입되는 공격에는 민감하게 대응하지만 기존에 사용하고 있던 프로그램 및 관련 파일에 대해서는 쉽게 신뢰하는 경향이 있다. 따라서 조직의 보안 관리자는 일반적인 보안 정책 외에 TI(위협 인텔리전스) 서비스를 활용해 정보를 수집하는 등 위협 대응 역량을 높이는 노력을 이어가야 한다. 

◇업무 메일을 위장한 정보 유출형 악성코드 유포 

안랩 시큐리티대응센터(ASEC)가 수집한 악성코드 분석 통계에 따르면 올 상반기 가장 많이 발견된 악성코드는 폼북(Formbook), 에이전트테슬라(AgentTesla)로 대표되는 정보 유출형 악성코드다. 이들 중 다수가 송장·발주서·주문서 등으로 사칭한 메일로 첨부파일 혹은 메일 본문의 악성 URL 실행을 유도하는 방식으로 유포됐다. 특히 신뢰도가 높은 실존 기업을 사칭하거나 어색한 표현 없이 자연스러운 한글을 구사해 관련 업무를 담당하는 직원은 조금만 부주의해도 악성코드에 감염되기 쉽다. 

최근 발견된 무역 배송 관련 표로 위장한 엑셀 파일의 경우, 파일 내에 ‘엑셀 호환 이슈(Excel Compatibility issue)’라는 문구와 함께 ‘자세한 내용을 보려면 콘텐츠 사용 버튼을 누르세요(For view details, please Enable Content)’라는 내용을 포함해 사용자를 속이고자 했다.

유출된 정보는 타깃형 공격 등 2차 공격에 사용될 가능성이 있기 때문에 사용자는 메일 발신자와 첨부파일을 유심히 살펴보고 출처가 불분명한 이메일 속 첨부파일이나 URL은 실행하지 말아야 한다. 

◇사회적 이슈를 사이버 공격에 적극 활용 

사회적 관심이 높은 이슈를 활용한 공격은 공격자가 자주 사용하는 방식이다. 특히 올해 상반기에는 △코로나19 확진자 동선 △재난 지원금 △소상공인 지원 종합안내 등 코로나19 상황과 관련한 키워드를 사용한 공격이 다수 발견됐다. 최근에는 ‘한미 정상회담’ 등 특정 그룹에서 관심을 가질만한 사회적 이슈를 악용한 공격이 발견되기도 했다. 해당 이슈를 이용한 이메일에 악성 첨부파일 및 URL을 첨부하거나 코로나 관련 안내를 위장한 문자메시지 내 URL 클릭을 유도하는 등 공격 방법 또한 다양했다. 

지난 4월 발견된 ‘4차 재난지원금 지원 대상자 안내’ 위장 문자 메시지를 보면 공격자는 기획재정부로 사칭해 ‘귀하는 4차 재난지원금 지원 대상자입니다. 절차 확인 바랍니다’라는 내용과 함께 특정 URL을 포함해 유포했다. 사용자가 무심코 해당 문자메시지 내 URL을 실행하면 주식투자 관련 업체의 회원모집을 위한 광고용 카카오톡 채널로 연결된다. 

피해를 막기 위해서는 △출처가 불분명한 정보성 문자메시지 내 URL/첨부파일 실행금지 △스마트폰에 모바일 백신 설치 △‘알 수 없는 출처의 앱 설치 제한’ 설정 등 필수 보안 수칙을 실행해야 한다. 앞으로도 공격자는 사용자를 유인하기 위해 생활밀착형 키워드를 활용할 가능성이 높으므로, 사용자는 문자메시지나 메일 속 출처가 불분명한 URL의 실행을 금지하고 이슈 검색 시에는 검증받은 웹사이트나 플랫폼을 이용해야 한다. 

◇국가지원 추정 해킹그룹 활개 

올해 상반기에는 특정 국가의 지원을 받는 것으로 추정되는 해킹그룹의 활동에 대한 보고서가 국내·외에서 다수 발표됐다. 보고서에 따르면 이들의 해킹 활동은 특정 분야에 국한되지 않고 정치·사회·경제·문화·방산·의료·암호화폐 등 다양한 분야에서 발생했다. 특히 최근 코로나19 감염자 증가에 따라 국내·외 제약 회사를 대상으로 사이버 공격 시도가 발생하기도 했다. 

공격 방식도 IE(인터넷 익스플로러), 크롬 등 웹 브라우저 취약점을 악용했을 뿐만 아니라 국내 웹 브라우저와 연동돼 실행되는 프로그램 취약점을 악용하거나 국내 유명 포털을 사칭한 피싱 사이트를 제작하는 등 점차 고도화되고 있다. 이에 따라 개인과 조직은 사용하고 있는 모든 프로그램을 최신 버전으로 업데이트하고 보안 패치를 적용하는 등 기본 보안 수칙을 반드시 실천해야 한다. 

이와 관련 서울 경찰청 사이버 수사대 관계자는 "이미 알려진 바 대로 해커는 ‘다크웹, 표적공격, 악성코드’라는 3가지 휴형으로 정보를 빼가려고 시도한다"면서 "혹여 실수로 링크를 잘못 눌러 악성코드 등에 감염되면  즉시 삭제하고 사이버 수사대에 신고한 뒤 안내해 주는 대로 대응 방법을 강구해 줄 것"을 당부했다.