Home > 전체기사

엔사인 “아태지역 사이버 공격자, IT산업·제조업·금융 분야 집중 표적 삼아”

  |  입력 : 2021-08-17 13:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
코로나19 기간에도 성장한 IT 산업 노려 수익 극대화, 회복 시급한 제조업 공격해 빠른 협상 유도
코로나19 이슈 이용한 피싱 등 사회공학적 기법도 활발하게 감행
글로벌 사이버 보안 기업 엔사인, ‘2021 사이버 위협 동향 보고서’ 발표


[보안뉴스 이상우 기자] 2020년 한해 동안 아시아태평양 지역에서 위협 행위자들이 가장 많이 노린 산업 분야는 IT 산업, 제조업, 은행 및 금융업 부문인 것으로 나타났다. 공격자는 ‘규모의 경제’ 효과를 노리고 코로나19 기간에도 꾸준히 성장해온 IT 산업을 노렸다. 또한, 부품 수급 등 공급망 계획에 차질이 생긴 제조업에 랜섬웨어 공격을 감행한 뒤, 이들을 조급하게 해 협상 테이블로 끌어들였고, 은행 및 금융업에서는 사회공학적 기법을 이용한 공격이 늘어났다.

[이미지=utoimage]


글로벌 사이버 보안 전문기업 엔사인 인포시큐리티(Ensign InfoSecurity, 이하 엔사인)이 2021 사이버 위협 동향 보고서를 17일 발표했다. 이번 보고서는 코로나19 대유행으로 인해 비즈니스 환경이 급격히 변화했던 2020년 아시아태평양 지역 중 홍콩, 말레이시아, 싱가포르, 그리고 대한민국에서 관찰된 새로운 사이버 리스크 및 위협에 대한 인사이트를 제공한다. 해당 보고서는 2021년 새롭게 등장하거나 계속 이어지고 있는 사이버 위협 동향도 다뤘다.

‘규모의 경제’ 효과를 달성하기 위해 IT 산업을 겨냥한 위협 행위자들
비즈니스 연속성 유지를 위해 팬데믹 기간에도 서비스를 제공해온 IT 서비스 기업들은 위협 행위자들이 호시탐탐 노리는 매력적 공격대상이다. 사이버 공격자들은 이러한 IT 서비스 제공사가 보유한 고객들의 자격증명 정보를 획득함으로써 더 많은 기업에 불법적으로 접근할 수 있게 된다.

[이미지=엔사인 인포시큐리티]

사이버 공격자들은 기술 하드웨어 및 소프트웨어 벤더사들을 공격해 침투함으로써 해당 벤더사의 제품 개발 시스템 내부에 악성코드 및 악성 요소를 심으려는 ‘사이버 공급망 공격’도 계속 시도하고 있다. 이러한 시도가 성공하면 공격자들은 신속하게 제로데이 익스플로잇을 개발하거나 제품의 무결성을 훼손하는 백도어를 생성할 수 있어 손쉽게 더 많은 공격 대상에 접근할 수 있다.

디지털 기술에 대한 기업 및 기관들의 투자가 계속 이뤄지고 있는 가운데, 사이버 공격자들이 IT 산업에 주목하고 있다는 점은 매우 우려스럽다. IDC는 2019년 기준 4,300억 달러 수준이었던 디지털 전환을 위한 전 세계 투자액이 2024년이 되면 총 9,210억 달러에 이를 것이라는 전망을 발표하기도 했다. 또한, IDC는 2023년 말까지 아시아태평양 지역 내 기업의 80%가 팬데믹 이전 대비 두 배나 빠른 속도로 클라우드 중심 인프라 및 애플리케이션으로의 전환을 가져올 메커니즘을 도입하게 될 것이라고 내다봤다.

엔사인 샘 고(Sam Goh) 한국지사장은 “기업 및 기관들이 비즈니스 운영을 지원하고 미래 시장에 대비하기 위해 디지털 기술 활용을 확대함에 따라, IT 기업 및 기술 서비스 제공사들은 앞으로도 위협 행위자들이 노릴 만한 매력적 공격 대상일 것이다. 위협 행위자들이 이러한 기업들의 시스템 중 하나라도 성공적으로 침투하게 되면, 모든 산업 및 전 세계에 걸친 다수의 기업 및 기관이 피해를 보게 되는 파급효과가 발생할 수 있다”고 설명했다.

엔사인 한국지사 세일즈 담당 함경식 전무는 “기업 및 기관은 사이버 공급망 생태계가 확장되고 다양하게 변모함에 따라, 이에 수반되는 사이버 리스크 증가에 대응하기 위한 추가적 조치를 취해야 한다는 점을 잊지 말아야 한다. 해당 조직의 네트워크 내부에 있는, 그리고 파트너사 및 벤더사가 관리하는 모든 소프트웨어, 하드웨어 및 정보자산에 대한 정보를 빠짐없이 관리함으로써 상황 인식 수준을 향상시키는 노력도 병행돼야 할 것”이라고 덧붙였다.

코로나19로 인한 비즈니스 차질을 악용하고 영업비밀 탈취를 시도한 위협 행위자들
엔사인은 2020년 위협 행위자들이 공격한 제조기업들의 피해사례도 조명했다. 공격자들은 코로나19 팬데믹이 초래한 공급망 운영의 차질 때문에 제조사들의 생산역량이 제한된 상황을 이해하고 악용했다. 그 결과, 피해 제조사들은 운영을 신속 재개하고 추가적인 생산 차질을 피하기 위해 공격자들의 ‘랜섬(ransom)’ 요구에 더욱 협조적일 수밖에 없었다.

또한, 사이버 공격자들은 산업 디자인, 운영 지식, 원재료 및 공급사 등을 포함한 영업비밀을 탈취하려는 목적으로 제조사들을 공격했다. 이러한 정보를 탈취하면 피해 기업의 경쟁력을 약화시키는 것은 물론, 경쟁사의 역량을 강화하는 결과를 가져올 수 있어 공격자들은 이러한 정보가 매우 가치 있다고 판단한다.

은행 및 금융업 부문에서 사회공학적 공격 강화하고 원격근무 형태 악용한 공격 펼친 위협 행위자들
2020년 코로나19 팬데믹으로 인한 봉쇄 조치가 내려지면서 온라인 뱅킹 서비스 이용도 늘어났다. 위협 행위자들은 이러한 상황을 악용해 은행을 사칭하는 웹 사이트와 모바일 애플리케이션을 만들어 은행 고객들이 자격증명 정보를 공개하도록 속이는 등의 사회공학적 기법을 활용한 공격들을 적극적으로 수행했다.

엔사인 위협 동향 보고서는 은행 및 금융업 부문에서 원격근무 환경 확산에 따른 위협 행위가 현저하게 증가했으며, 원격근무 솔루션을 겨냥한 익스플로잇 시도가 다른 산업 부문보다 특히 은행 및 금융 부문에서 빈번했다는 점을 밝히기도 했다. 자격증명 정보를 이용해 은행 및 기타 금융기관에 대한 접근권한을 획득할 수도 있기 때문에 위협 행위자들은 자격증명 정보 탈취에 혈안이 되어 있었다는 설명이다. 위협 행위자들은 이러한 정보를 랜섬웨어 운영자 및 금융기관들의 핵심 네트워크 내부로 침투할 수 있는 다른 지능형 공격 그룹에 팔아넘길 수도 있다.

아시아 태평양 지역에서 가장 많이 관찰된 멀웨어는 이모텟과 트릭봇
엔사인의 조사결과, 2020년 해당 지역에서 가장 빈번하게 관찰된 멀웨어는 트릭봇(TrickBot) 과 이모텟(Emotet)이었으며, 특히 홍콩, 말레이시아, 그리고 싱가포르 지역에서 탐지된 명령제어(C&C) 서버 위협 활동의 대다수가 트릭봇 및 이모텟 멀웨어를 활용한 것으로 드러났다.

이모텟 및 트릭봇은 자격증명 정보를 탈취하고 정보를 획득해 침입한 네트워크의 더 깊숙한 곳으로 이동하고 침해된 디지털 환경에 추가적으로 악성 페이로드를 삽입할 수 있도록 하는 설계상의 유연성을 갖추고 있어 위협 행위자들이 흔히 사용하는 공격 방법이다. 이 두 가지 멀웨어 패밀리는 감염된 시스템에 더 많은 멀웨어를 내려받을 수 있어 위협 행위자들이 기술 서비스 제공사를 공격하는데 빈번하게 활용한다. 이모텟과 트릭봇은 세계 곳곳에서 벌어진 피싱 캠페인에도 활용된 것으로 관찰됐다.

코로나19 테마를 이용한 피싱 캠페인을 펼친 기회주의적 위협 행위자들
해당 보고서는 위협 행위자들이 코로나19 팬데믹으로 인해 사람들이 느끼는 불안, 공포, 호기심의 감정을 악용해 피싱 공격을 펼쳤다고 설명했다. 엔사인 보고서는 2020년 싱가포르에서 탐지된 피싱 캠페인의 99%가 코로나19 관련 주제를 이용했으며, 싱가포르에서 시행된 단기 봉쇄 조치는 위협 행위자들이 피싱 공격을 실행할 최적의 기회를 제공했다고 밝혔다.

한국에서도 피싱 이메일의 대부분이 팬데믹 상황을 악용한 것으로 나타났다. 아시아태평양 지역에서 활동하는 주요 공격자 중 하나인 라자루스 그룹은 2020년 6월 한국 정부를 사칭해 코로나19 대응 현금 지원 및 지역상품권을 제공한다는 피싱 캠페인을 벌이기도 했다. 라자루스 그룹은 과거 데이터 유출 사고를 통해 불법적으로 수집한 70만 개의 이메일 주소를 해당 피싱 공격의 대상으로 삼았다.

엔사인은 코로나19를 테마로 한 피싱 공격이 실제 공격 효과가 높다는 사실도 발견했다. 엔사인이 고객사 중 한 곳에서 사이버 보안 조치들의 실효성을 알아보기 위한 모의해킹을 진행한 결과, 해당 기업의 임직원 중 35%가 엔사인이 발송한 모의실험용 코로나19 관련 피싱 이메일에 포함된 악성 링크를 클릭하고 개인정보를 제공했다. 이는 엔사인이 과거 실시한 피싱 훈련들에서 나타난 평균치보다 10% 포인트 높은 비율로, 맞춤형으로 설계된 피싱 공격이 적절한 타이밍에 실행될 경우 공격 효과가 높다는 사실을 보여주는 결과였다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야