올해 상반기에는 작년에 이어 서비스형 랜섬웨어¹인 RaaS(Ransomware-as-a-Service)가 지속적으로 발생했고, 가상자산을 타깃으로 한 해킹 사례가 주를 이루었다. 1월에는 Log4j와 관련된 취약점이 추가로 공개되었다. 작년 12월 자바 로깅 라이브러리인 Log4j에서 강한 파급력을 가진 취약점이 발견된 이후, 관련 취약점이 꾸준히 제보되고 있다. 4 월에는 전세계적으로 이용되는 Spring Framework 에서 Spring4Shell 이라는 별칭을 가진 고위험도 제로데이가 연달아 발견되면서 국내외에서 큰 이슈가 되었다. 

또한, 유출된 개인정보를 이용하여 통신사를 속이고 피해자의 USIM 을 발급하여 가상자산을 빼돌린 심스와핑(SIM Swapping) 사건이 국내 최초로 발생했다. 다수 사람들이 공격을 받았으며 주로 가상자산을 탈취당하는 피해를 입은 것으로 밝혀졌다. 2 월에는 국내 최대 DeFi(Decentralized Finance) 서비스인 KLAYswap ² 에서 해킹이 발생했다. 공격자는 BGP Hijacking ³ 기법을 통해 네트워크 흐름을 조작하여 정상 SDK 파일로 위장한 악성코드를 다운로드하게 하였다. 악성코드가 설치된 피해자가 거래를 이용할 시 공격자의 가상자산 지갑으로 자산이 전송되는 형태로 공격이 이루어졌으며, 이로 인해 발생한 피해액은 22 억 원 규모에 달했다.

또한, BlackCat 랜섬웨어 그룹은 12 명의 피해자에게 총 1,400 만 달러를 요구하였고 비용을 지불하지 않을 시 DDoS 공격을 수행할 것이라고 협박했다. BlackCat 랜섬웨어 그룹은 기존에는 사용되지 않던 러스트(Rust) 언어를 사용하여 랜섬웨어를 제작하고 이를 공격에 사용하고 있다. 러스트로 제작된 랜섬웨어는 리눅스와 윈도우 시스템에서 모두 실행될 수 있어 범용성이 뛰어나고 많이 알려지지 않은 언어이기에 보안 시스템 우회에 용이하며, 리버스 엔지니어링을 이용한 분석에 어려움을 주고 있다. 3월에는 러시아가 우크라이나를 침공하면서, 위성 통신망 해킹 및 사회기반시설에 대한 공격을 시도하였고 이로 인해 인터넷이 연결되지 않거나, 전기가 공급되지 않는 등의 피해를 입었다는 보도가 이어졌다. 이제는 사이버 보안이 국가 안보에 필수적인 요소이며 사이버 공격에 대한 대비의 중요성을 강조하는 직접적인 사례가 되었다.

또한, 남미의 해킹 그룹 랩서스가 국내외 대기업을 노린 공격이 포착되었다. 국내 S 社에서 190GB 의 소스코드가 유출되었으며, L 社에서 임직원 이메일 계정 정보가 탈취되었다. 국외의 그래픽 제조업체 N 社를 대상으로 회로도, 펌웨어 등 중요정보가 포함된 1TB 의 데이터가 탈취되기도 했다. 랩서스는 다크웹을 통해 임직원의 계정을 구매하거나 악성 메일을 통해 계정 정보를 획득한 뒤 내부 시스템에 침투하여 내부 정보를 탈취한 것으로 확인되었다.

4월에는 현역 장교가 4,800 만 원가량의 가상자산을 받고 북한 해커에게 군 기밀정보 유출을 시도한 정황이 발견되었다. 기존의 해커가 악성코드를 이용하여 해킹을 시도한 것과 달리 군 현역 장교를 직접 포섭하였고, 디스코드, 텔레그램과 같은 암호화 채널을 이용하여 더욱 은밀하게 포섭을 시도할 수 있었던 것으로 보인다.

또한, 북한 소속 해킹 부대인 '라자루스'가 블록체인 기반 온라인 게임 엑시 인피니티를 해킹하여 7,700 억 원 규모의 가상화폐를 탈취했다. 엑시 인피니티는 자체 제작한 로닌 네트워크를 사용하여 이더리움 기반으로 거래를 진행하는데, 로닌 네트워크에 존재하는 취약점을 이용하여 가상화폐를 탈취했다. 미 국무부는 탈취한 7,700 억 원 중 1,100 억 원가량이 라자루스가 소유한 가상자산 지갑으로 이동했음을 확인했다고 전했다.

금전을 요구하는 협박 메시지의 이메일 주소가 이전에 사용되었던 이메일 주소와 동일하거나 유사한 점을 근거로 북한 당국과의 연관성이 드러났다고 지적했다. 또한, 캐나다 민간 군사 업체(Top Aces 社)가 LockBit2.0 랜섬웨어 그룹에게 공격당해 44GB 의 데이터를 유출 당했고 몸값을 지불하지 않을 시 데이터를 공개할 것이라고 협박을 당했다.

1. 서비스형 랜섬웨어: 개발자가 랜섬웨어를 제작하여 판매하고, 공격자는 이를 구매하여 유포하는 형태로 공격에 성공할 경우 수익을 나눠가지는 구조 2. KLAYswap: 국내 K 社의 블록체인 플랫폼 클레이튼(Klaytn)을 기반으로 한 DeFi 서비스 3. BGP hijacking: BGP 라우터에 침투하여 지속적인 브로드 캐스트를 통해 라우팅 테이블 정보를 조작 

이 콘텐츠의 저작권은 ㈜SK쉴더스에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. COPYRIGHT ⓒ 2021 SK SHIELDUS. All Rights Reserved.