올해 1 월, 네트워크 보안 업체를 비롯하여 IT 분야의 주요 보안 기업들이 연쇄적으로 해킹 피해를 입었다. 앞서 언급한 공급망 해킹기법을 이용해 내부 네트워크에 침투한 것으로 확인되었으며, 1 만 8 천 개의 고객사가 해킹 피해를 입으면서 엄청난 파급효과를 불러왔다. 이 사고 이후 카세야, 코드코브를 통한 추가 공급망 해킹이 발생하였다.

또한 여행 사이트를 비롯해 사진편집, 개발 분야 웹사이트들까지 해킹을 당해 개인 정보가 꾸준히 DarkWeb 에 유출되고 있는 것으로 나타났다. 유출된 정보는 연간 1 억 5 천 건이고 해당 정보를 사용하여 다른 웹사이트에 접속 시도하는 Credential Stuffing 공격이 이어지므로, 국내 인터넷 사용자의 계정이 매년 3~4 번씩은 유출된다고 볼 수 있다. 따라서 앞으로 중요 서비스들은 Two Factor 인증을 설정해서 보안을 강화시켜야 한다.

3월에는 국내 이동통신사에 가입된 스마트폰 4 만여 대가 해킹 당한 사실이 포착됐다. 해커 조직은 국내 금융기관을 사칭한 가짜 인터넷뱅킹 앱을 통해 해킹을 진행했으며 악성앱이 설치된 사용자들의 통화기록, 문자메시지, 저장 문서 등을 가로채거나 통화를 도청한 정황도 포착됐다.

또한 국내 H 사 내부 기밀정보 3500 여 개 파일이 DarkWeb 에 노출되었다. 유출 자료에는 그룹 계열사들과 관련된 내부망 구조도와 보안 점검 보고서 등이 포함되어 있다. 이렇듯 국내 대기업들이 랜섬웨어 해커조직의 주요 타깃이 되면서, 이를 빌미로 돈을 요구하는 협박 행위가 끊임없이 이어지고 있어 국내 기업들의 핵심기술 유출 가능성도 커지고 있다.

5월에는 美송유관업체가 해킹 당일 해커들에게 약56억을 지불한 것으로 드러났다. 보안업계 등에서는 “대형 인프라 시설을 타깃으로 한 추가 사이버 공격을 불러올 수 있는 ‘잘못된 선례’”라는 지적이 나왔다. 이와 같이 글로벌 해킹 범죄 조직의 랜섬웨어 공격은 갈수록 거세지고 있다.

이외에도 Credential Stuffing 공격으로 전 세계가 몸살을 앓고 있는 것으로 나타났다. 우리나라에서는 DarkWeb 에서 유통되는 개인 정보가 1 억 5 천만 건이지만, 전 세계적으로는 1930 억 건에 달한다. 이 중 금융업에서만 작년 대비 45% 증가한 34 억 건 이상의 Credential Stuffing 공격이 발생하였다. Credential Stuffing 공격의 증가 추세는 금융 서비스 업계를 위협하는 피싱 공격과 직접적인 관련이 있다. 범죄자들은 다양한 방법을 사용해 개인 정보를 조합하고 있으며, 이를 이용해 뱅킹 서비스 직원을 타깃팅하여 침투하는 스피어 피싱 메일이 성행하고 있다. 

7월에는 IT 관리 SW 를 통한 대규모 공급망 공격이 추가로 발생하였다. 약 200 여 곳의 기업에서 랜섬웨어 피해 사례가 발생하였는데, IT 관리용 서버를 통해 랜섬웨어가 업데이트 되어 파일이 암호화되는 피해를 입은 것으로 드러났다. 특히 일부 슈퍼마켓 체인 기업의 경우 이번 공격으로 인한 전산망 마비때문에 점포 800 여 곳이 문을 닫은 것으로 알려졌다. 이번 공격은 랜섬웨어를 실행할 때 MS 윈도우 백신인 윈도우 디펜더의 정상 파일을 사용해서 랜섬웨어를 감염시키는 DLL 사이드 로딩 기법을 사용했다. DLL 사이드 로딩 기법은 정상적으로 보이는 애플리케이션을 사용해 보안 솔루션들을 속임으로써 악성 DLL 을 로딩하는 기법이다.

또한, 연 매출 50 조에 달하는 국내 대기업의 ‘내부망 접근 권한’을 DarkWeb 에 경매로 판매하는 일이 발생했다. 해커들의 주장에 의하면 해당 기업의 Citrix VDI(Virtual desktop Infrastructure)의 접근 권한을 확보했으며 자신들의 주장이 사기가 아니라는 점을 입증하기 위해 VDI 에 접속해 PC 정보, 그룹웨어 접속 화면, 내부문서 열람 정보를 증거로 올렸다. 이렇듯 한국 기업의 기밀 정보와 관리자 접근 권한 탈취를 노린 공격이 잇달아 발생하고 있어 기업들의 보안 관리에 비상이 걸렸다. 특히 재택근무가 많아진 상황에서 원격으로 회사 내부망에 접속이 가능한 가상 데스크톱 인프라(VDI)나 가상사설망(VPN)의 계정 탈취를 노린 공격들이 빈번해지고 있어 각별한 주의가 요구되고 있다.

9월에는 8 만 7 천여 개의 포티넷 SSL-VPN 이 패치 되지 않은 상태로 실행되고 있어 VPN 사용자의 ID, PW 가 대량 노출되었다. 이 취약점은 2018 년에 발견되었으며 아직까지 패치가 되지 않은 업체가 주요 타깃이 된다. 전 세계적으로 가장 많이 익스플로잇 되는 취약점 30 개 중 하나로 9 월에 다시 한번 공격이 유행하면서 이슈가 되었다. 현재 포티넷 VPN Credential 약 50 만 개가 온라인에 올라왔고, 2 만 2500 여 개 조직들이 피해를 입은 것으로 나타났다.

또한, 국내 S 병원에 해킹을 통한 개인정보 유출 사고가 발생했다. 병원 측에 따르면 (구)홈페이지 해킹으로 2013 년 2 월 이전 가입한 회원정보가 유출됐으며 유출된 개인 정보는 ID, PW, 이름, 주민등록번호, 우편번호, 휴대전화번호 등 총 10 개 항목에 달한다. 병원 정보를 노리는 해커들의 공격이 더욱 증가하고 있어 병원 경영진들의 인식변화와 정보보호에 대한 투자가 시급한 상황이다.

11월에는 美 FBI의 외부용 이메일 시스템이 뚫려 해킹 공격을 받았다. 해커들이 FBI의 이메일 계정을 탈취한 후 일반인에게 최소 10 만여 개의 스팸 메일을 무작위로 발송하였다. 해당 메일은 악성코드가 첨부되지 않았으며 명성을 훼손하거나, FBI 에 전화가 쇄도하도록 만들기 위한 의도로 보인다.

그외에도 국내 방산업체 핵심기술 탈취를 위한 선박/해양 분야의 해킹이 지속적으로 일어나는 것으로 드러났다. 지난 2016년에도 잠수함 관련 핵심기술 등 1~3급 군사기밀 60여 건을 포함한 4만여 건의 내부자료를 탈취당한 바 있는데, 이번 해킹은 내부 전산망까지 침투하여 유출 문서나 피해 규모가 더 클 것으로 보고 기관에서 조사하고 있는 것으로 알려졌다.

이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.