.jpg){kind=spacer}
일일 감염단말 IP 수는 일 평균 약 22개씩 누적돼 최대 1,800여개 넘어서
2023년 하반기, 서버해킹 공격이 전체 공격 45.7% 차지...정보통신업 침해사고 442건 최다
KISA, ‘2023년 하반기 사이버 위협 동향 보고서’ 발표
[보안뉴스 김영명 기자] 2023년 유형별 침해사고 신고 통계를 보면 디도스(DDoS) 공격이 전년대비 약 2배 증가했으며, 전체 유형별로는 서버해킹이 45.7%로 가장 높았다. 다음으로 악성코드 감염 23.5%, DDoS 공격 16.7% 순이었다.
한국인터넷진흥원(이하 KISA)의 침해사고 신고 통계를 종합한 결과, 2023년 하반기 침해사고 신고 건수는 613건으로 분석됐다. 2023년 상반기 침해사고 건수는 664건으로 전년 동기대비 40% 증가했다. KISA에서 접수한 2023년 침해사고 신고 통계는 총 1,277건으로 전년 1,142건과 비교해 12% 증가했다. 또한, 2023년 상반기 침해사고 신고건수는 664건으로 전년대비 40% 증가했다.
2023년 상반기 유형별 침해사고 건수는 디도스 공격이 213건으로 전년 대비 가장 많이 증가했다. 반기별 침해사고 신고 현황은 서버해킹이 △2022년 상반기 275건, 하반기 310건 △2023년 상반기 320건, 하반기 263건 등이었다. 악성코드 감염 신고는 △2022년 상반기 125건, 하반기 222건 △2023년 상반기 156건, 하반기 144건이었으며, 디도스 공격 신고는 △2022년 상반기 48건, 하반기 74건 △2023년 상반기 124건, 하반기 89건 등이었다. 유형별 침해사고 기타 분류에는 정보유출, 스팸 문자 및 메일 발송 등의 침해사고가 있었다.
침해사고 유형 중 악성코드 감염 통계에서 전체 악성코드 감염 90% 이상이 랜섬웨어 신고로 드러났다. 2023년 랜섬웨어 침해 현황을 보면 전년 대비 20% 감소한 258건이었으며, 중견기업이 전년대비 15% 증가한 40건, 중소기업은 200건으로 중소·중견기업 비중이 전체의 92%에 해당됐다. 랜섬웨어 침해사고 신고 기관(기업)의 전체 백업률은 △2022년 상반기 44.1%, 하반기 40.1% △2023년 상반기 47%, 하반기 70.2% 등으로 백업비중이 증가했지만, △2022년 상반기 23.1%, 하반기 20.5% △2023년 상반기 42.9%, 하반기 35.6%가 백업까지 감염됐다.
2023년 업종별 침해사고 신고 통계를 보면 도·소매업이 184건으로 전년대비 18%가 증가했으며, 정보통신업이 442건(상반기 250건, 하반기 192건)으로 가장 많은 침해 신고를 받았다. 제조업은 △2022년 상반기 80건, 하반기 165건 △2023년 상반기 130건, 하반기 115건, 협회·단체 등은 △2022년 상반기 30건, 하반기 40건 △2023년 상반기 39건, 하반기 34건이었다.
월별 주요 사고를 돌아보면, 2023년 6월~8월에는 솔루션 개발 업체의 중앙 업데이트 서버를 장악해 고객사 솔루션 서버를 대상으로 악성 파일을 유포하는 형태의 공급망 공격이 확인됐다. 이 공격으로 고객사 시스템 다수에 심각한 보안 위협이 발생했다.
이에 개발사는 무결성 검증 및 공격을 방어하는 기술을 적극적으로 도입해야 한다는 지적이다. 서버 무결성을 보장하기 위해 디지털 서명 및 암호화 기술을 도입, 공격 가능성을 최소화해야 한다는 것. 업데이트 무결성 검증을 위한 자동화된 프로세스와 정책 구현도 공격의 사전 방지에 필수적이다.
8월에는 유명 인터넷서점과 입시학원에서 서비스하고 있는 콘텐츠 일부가 유출됐다. 공격자는 전산망 해킹으로 얻은 콘텐츠를 이용해 피해기업에 금전을 요구했다. 기업은 전자 저작물 유통 생태계를 위협하는 공격에 대응하기 위해 보안 시스템을 강화하고 콘텐츠의 접근 권한을 통제해야 한다. 사용자들은 공식 웹사이트에서만 로그인하며, 피싱에 노출되지 않게 노력해야 한다. 기업은 다중 인증 요소 도입 및 계정 잠금 등 효과적인 방어막을 구축할 필요가 있다.
지난해 10월~11월에는 몇몇 기업이 가상자산 보유를 이유로 사이버 공격을 받았다. 이 공격자들은 주로 소셜 엔지니어링, 악성코드 감염, 피싱 공격 등으로 기업 내부에 침투했다. 가상자산 시장이 성장함에 따라 가상자산 관련 기업은 특화된 보안전략을 수립하고 신속한 대응 대책을 마련해야 할 것으로 보인다.
외부에 오픈된 서버를 대상으로 솔루션 에이전트의 N-Day 취약점을 이용한 공격도 급증하고 있다. N-Day 취약점에 대응하기 위해서는 신속한 보안 업데이트 및 패치 적용이 필수적이다. 운영자는 보안 정책 및 프로세스를 강화해 취약점의 대비책을 마련할 필요가 있다.
2023년 사물인터넷(IoT) 분야에서는 IP카메라용 DVR 제품에서 미라이(Mirai) 악성코드 전파 및 디도스 공격 시도가 탐지됐다. 9월부터 인터넷에 빠르게 퍼지고 있는 새로운 디도스 네트워크가 발견됐으며 하루 평균 약 22개씩 감염단말 IP 수가 누적돼 최대 1,800여개를 넘어섰다. 최근에 탐지된 미라이 악성코드는 킬러 모듈로 SSH, HTTP 등의 서비스를 종료시켜 다른 공격자가 IoT 기기를 사용할 수 없게 한다. 또한 감염 여부를 숨기기 위해 프로세스 이름을 sshd로 변경하고, 사용한 데이터를 다시 암호화하는 등 공격기법이 정교해졌다.
IoT 봇넷은 2021년 말 대량의 DDoS 트래픽을 발생시킨 이후 봇넷 네트워크의 규모를 확장하기 위해 악성코드 전파 및 감염을 시도하고 있다. 특히 2023년 9월부터 12월 중순까지 가프짓 미라이 변종에 감염된 기기는 IP 기준으로 최대 1,800여개에 달하고 있다. 따라서 네트워크 스캐닝 솔루션을 이용한 공격에 대비해 기기가 손상되지 않도록 주의해야 한다는 게 KISA 측의 설명이다.
보안취약점 신고포상제로 신고된 취약점 중 대상별로 2021년~2023년 자료를 비교분석한 결과 애플리케이션(Application) 취약점이 2023년에 1.6배 이상 증가했다. 이 가운데 ‘멀티미디어·원격협업 프로그램’ 비율이 50% 이상 늘었으며, ‘보안 프로그램’ 분야가 47%로 가장 높았다.
보안 프로그램 분야에는 백신 이외에 문서보안 솔루션(문서 DRM)과 Non-ActiveX 취약점이 주로 발견됐다. 외부에서 접근 가능한 포트를 활성화해 놓거나 통신 명령어 전송 시 암호화 부분이 취약해 공격자가 명령어 조작이 가능한 사례가 다시 발견됐다. 지난해 상반기에 국내외 침해사고에 악용됐던 취약점으로는 금융보안 및 이메일 프로그램 등이 주로 타깃이었다.
2023년 상반기부터는 라자루스(Lazarus) 그룹이 제로데이 취약점을 악용한 공격 정황이 발견됐다. 국가 차원의 지원을 받는 것으로 알려진 라자루스는 2009년부터 악성 활동을 본격적으로 시작했다. 라자루스 그룹의 공격 특징을 분석했을 때 탈취한 소스코드를 분석해 제로데이 취약점을 공격, 실제 활용하기까지는 약 1년이 소요되는 것으로 추정된다. 라자루스 해킹그룹의 공격단계별 기술적 특징으로는 ①공격을 위한 사전 정보를 확보하고, ②제로데이 익스플로잇 코드 등 공격 도구를 개발하며, ③웹사이트를 해킹해 트리거 사이트를 준비한다.
라자루스는 공통으로 최초 침투 시 소프트웨어의 제로데이 취약점을 활용한 워터링홀 기법을 자주 사용했다. 라자루스는 침투가 어려운 서비스 대신 ①사람의 실수를 노린 스피어피싱과 워터링홀 기법을 사용해 기업 내부의 PC를 우선 감염시키고 있다. 라자루스는 ②목표 기업의 IP주소 대역을 MD5로 해시해 필터링하고 있으며 만약 공격대상이 워터링홀 페이지로 접근하면 익스플로잇 코드가 존재하는 다른 사이트로 리다이렉트시킨다.
명령제어 단계에서 라자루스는 ①웹기반 명령제어 체계를 적극적으로 활용하여 공격망을 구성하고, ②다계층으로 구성한 명령제어 체계는 하위 명령제어 서버가 차단당하면 바로 인지해 명령제어 서버를 변경하는 대응이 가능하기 때문에 공격자의 인프라 구성에 안정성을 더한다. 악성코드 실행 단계에서 라자루스는 과거부터 ①서비스 설치를 통한 악성코드 실행을 즐겨 사용했다. 라자루스는 지속성 유지를 위한 악성코드 자동실행 방식으로 ①윈도 인증 관련 레지스트리 경로에 악성코드를 등록한다. 또한 위의 자동실행 방식으로 ②악성코드가 c:\windows\system32 아래 존재해야 하는 의존성이 있다.
2023년에 라자루스 그룹이 사용한 악성코드를 살펴보면, △ScskAppLink.dll(다운로더, 최초 침투에 사용한 다운로더 및 런처) △Irmons.dll(원격제어, 레지스트리 데이터 복호화 및 메모리 인젝션) △proc.sys(원격제어, 레지스트리 데이터 복호화 및 메모리 인젝션) △mi.dll(원격제어, 암호화된 파일 복호화 및 메모리 인젝션) 등이 있다.
라자루스가 최초 침투에 사용한 ScskAppLink.dll 다운로더 악성코드는 Racket Downloader로 알려졌다. 합법적인 소프트웨어로 위장하기 위해 ①실제 존재하는 보안 소프트웨어의 파일명으로 위장한 것이 특징이다. 라자루스는 국내 그룹웨어 및 관리 소프트웨어에 대한 높은 이해를 통해 제로데이 익스플로잇 코드를 개발하고 적극적으로 공격에 활용하고 있다. 2023년 악용된 라자루스는 레지스트리에 저장된 원격제어 악성코드를 메모리에 인젝션해 실행시켰다.
KISA 관계자는 “제로데이 취약점을 100% 방어할 순 없다”며 “제로데이 취약점을 최소화하기 위해 개발 환경에서 보안 취약점이 발생하지 않도록 환경 조성이 필요하다”고 말했다. 이어 “취약점 발견 시 신속한 대응 또한 매우 중요하기 때문에 공격 표면을 구성하는 사이버 보안 취약성과 잠재적 공격 벡터를 지속적으로 발견하고, 분석 및 모니터링할 수 있는 가시성 확보가 중요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]
2023년 하반기, 서버해킹 공격이 전체 공격 45.7% 차지...정보통신업 침해사고 442건 최다
KISA, ‘2023년 하반기 사이버 위협 동향 보고서’ 발표
[보안뉴스 김영명 기자] 2023년 유형별 침해사고 신고 통계를 보면 디도스(DDoS) 공격이 전년대비 약 2배 증가했으며, 전체 유형별로는 서버해킹이 45.7%로 가장 높았다. 다음으로 악성코드 감염 23.5%, DDoS 공격 16.7% 순이었다.
[이미지=gettyimagesbank]
한국인터넷진흥원(이하 KISA)의 침해사고 신고 통계를 종합한 결과, 2023년 하반기 침해사고 신고 건수는 613건으로 분석됐다. 2023년 상반기 침해사고 건수는 664건으로 전년 동기대비 40% 증가했다. KISA에서 접수한 2023년 침해사고 신고 통계는 총 1,277건으로 전년 1,142건과 비교해 12% 증가했다. 또한, 2023년 상반기 침해사고 신고건수는 664건으로 전년대비 40% 증가했다.
2023년 상반기 유형별 침해사고 건수는 디도스 공격이 213건으로 전년 대비 가장 많이 증가했다. 반기별 침해사고 신고 현황은 서버해킹이 △2022년 상반기 275건, 하반기 310건 △2023년 상반기 320건, 하반기 263건 등이었다. 악성코드 감염 신고는 △2022년 상반기 125건, 하반기 222건 △2023년 상반기 156건, 하반기 144건이었으며, 디도스 공격 신고는 △2022년 상반기 48건, 하반기 74건 △2023년 상반기 124건, 하반기 89건 등이었다. 유형별 침해사고 기타 분류에는 정보유출, 스팸 문자 및 메일 발송 등의 침해사고가 있었다.
▲유형별 침해사고 신고 현황[자료=KISA]
침해사고 유형 중 악성코드 감염 통계에서 전체 악성코드 감염 90% 이상이 랜섬웨어 신고로 드러났다. 2023년 랜섬웨어 침해 현황을 보면 전년 대비 20% 감소한 258건이었으며, 중견기업이 전년대비 15% 증가한 40건, 중소기업은 200건으로 중소·중견기업 비중이 전체의 92%에 해당됐다. 랜섬웨어 침해사고 신고 기관(기업)의 전체 백업률은 △2022년 상반기 44.1%, 하반기 40.1% △2023년 상반기 47%, 하반기 70.2% 등으로 백업비중이 증가했지만, △2022년 상반기 23.1%, 하반기 20.5% △2023년 상반기 42.9%, 하반기 35.6%가 백업까지 감염됐다.
2023년 업종별 침해사고 신고 통계를 보면 도·소매업이 184건으로 전년대비 18%가 증가했으며, 정보통신업이 442건(상반기 250건, 하반기 192건)으로 가장 많은 침해 신고를 받았다. 제조업은 △2022년 상반기 80건, 하반기 165건 △2023년 상반기 130건, 하반기 115건, 협회·단체 등은 △2022년 상반기 30건, 하반기 40건 △2023년 상반기 39건, 하반기 34건이었다.
월별 주요 사고를 돌아보면, 2023년 6월~8월에는 솔루션 개발 업체의 중앙 업데이트 서버를 장악해 고객사 솔루션 서버를 대상으로 악성 파일을 유포하는 형태의 공급망 공격이 확인됐다. 이 공격으로 고객사 시스템 다수에 심각한 보안 위협이 발생했다.
▲2023년 하반기 월별 주요 사이버 보안 사고 현황[자료=KISA]
이에 개발사는 무결성 검증 및 공격을 방어하는 기술을 적극적으로 도입해야 한다는 지적이다. 서버 무결성을 보장하기 위해 디지털 서명 및 암호화 기술을 도입, 공격 가능성을 최소화해야 한다는 것. 업데이트 무결성 검증을 위한 자동화된 프로세스와 정책 구현도 공격의 사전 방지에 필수적이다.
8월에는 유명 인터넷서점과 입시학원에서 서비스하고 있는 콘텐츠 일부가 유출됐다. 공격자는 전산망 해킹으로 얻은 콘텐츠를 이용해 피해기업에 금전을 요구했다. 기업은 전자 저작물 유통 생태계를 위협하는 공격에 대응하기 위해 보안 시스템을 강화하고 콘텐츠의 접근 권한을 통제해야 한다. 사용자들은 공식 웹사이트에서만 로그인하며, 피싱에 노출되지 않게 노력해야 한다. 기업은 다중 인증 요소 도입 및 계정 잠금 등 효과적인 방어막을 구축할 필요가 있다.
지난해 10월~11월에는 몇몇 기업이 가상자산 보유를 이유로 사이버 공격을 받았다. 이 공격자들은 주로 소셜 엔지니어링, 악성코드 감염, 피싱 공격 등으로 기업 내부에 침투했다. 가상자산 시장이 성장함에 따라 가상자산 관련 기업은 특화된 보안전략을 수립하고 신속한 대응 대책을 마련해야 할 것으로 보인다.
외부에 오픈된 서버를 대상으로 솔루션 에이전트의 N-Day 취약점을 이용한 공격도 급증하고 있다. N-Day 취약점에 대응하기 위해서는 신속한 보안 업데이트 및 패치 적용이 필수적이다. 운영자는 보안 정책 및 프로세스를 강화해 취약점의 대비책을 마련할 필요가 있다.
▲IoT 봇넷 공격 흐름도[자료=KISA]
2023년 사물인터넷(IoT) 분야에서는 IP카메라용 DVR 제품에서 미라이(Mirai) 악성코드 전파 및 디도스 공격 시도가 탐지됐다. 9월부터 인터넷에 빠르게 퍼지고 있는 새로운 디도스 네트워크가 발견됐으며 하루 평균 약 22개씩 감염단말 IP 수가 누적돼 최대 1,800여개를 넘어섰다. 최근에 탐지된 미라이 악성코드는 킬러 모듈로 SSH, HTTP 등의 서비스를 종료시켜 다른 공격자가 IoT 기기를 사용할 수 없게 한다. 또한 감염 여부를 숨기기 위해 프로세스 이름을 sshd로 변경하고, 사용한 데이터를 다시 암호화하는 등 공격기법이 정교해졌다.
▲일일 IoT 봇넷 감염단말 수[자료=KISA]
IoT 봇넷은 2021년 말 대량의 DDoS 트래픽을 발생시킨 이후 봇넷 네트워크의 규모를 확장하기 위해 악성코드 전파 및 감염을 시도하고 있다. 특히 2023년 9월부터 12월 중순까지 가프짓 미라이 변종에 감염된 기기는 IP 기준으로 최대 1,800여개에 달하고 있다. 따라서 네트워크 스캐닝 솔루션을 이용한 공격에 대비해 기기가 손상되지 않도록 주의해야 한다는 게 KISA 측의 설명이다.
보안취약점 신고포상제로 신고된 취약점 중 대상별로 2021년~2023년 자료를 비교분석한 결과 애플리케이션(Application) 취약점이 2023년에 1.6배 이상 증가했다. 이 가운데 ‘멀티미디어·원격협업 프로그램’ 비율이 50% 이상 늘었으며, ‘보안 프로그램’ 분야가 47%로 가장 높았다.
보안 프로그램 분야에는 백신 이외에 문서보안 솔루션(문서 DRM)과 Non-ActiveX 취약점이 주로 발견됐다. 외부에서 접근 가능한 포트를 활성화해 놓거나 통신 명령어 전송 시 암호화 부분이 취약해 공격자가 명령어 조작이 가능한 사례가 다시 발견됐다. 지난해 상반기에 국내외 침해사고에 악용됐던 취약점으로는 금융보안 및 이메일 프로그램 등이 주로 타깃이었다.
▲2023년 하반기 주요 취약점[자료=KISA]
2023년 상반기부터는 라자루스(Lazarus) 그룹이 제로데이 취약점을 악용한 공격 정황이 발견됐다. 국가 차원의 지원을 받는 것으로 알려진 라자루스는 2009년부터 악성 활동을 본격적으로 시작했다. 라자루스 그룹의 공격 특징을 분석했을 때 탈취한 소스코드를 분석해 제로데이 취약점을 공격, 실제 활용하기까지는 약 1년이 소요되는 것으로 추정된다. 라자루스 해킹그룹의 공격단계별 기술적 특징으로는 ①공격을 위한 사전 정보를 확보하고, ②제로데이 익스플로잇 코드 등 공격 도구를 개발하며, ③웹사이트를 해킹해 트리거 사이트를 준비한다.
▲라자루스 공격그룹의 최초침투 개요도(2020·2023)[자료=KISA]
라자루스는 공통으로 최초 침투 시 소프트웨어의 제로데이 취약점을 활용한 워터링홀 기법을 자주 사용했다. 라자루스는 침투가 어려운 서비스 대신 ①사람의 실수를 노린 스피어피싱과 워터링홀 기법을 사용해 기업 내부의 PC를 우선 감염시키고 있다. 라자루스는 ②목표 기업의 IP주소 대역을 MD5로 해시해 필터링하고 있으며 만약 공격대상이 워터링홀 페이지로 접근하면 익스플로잇 코드가 존재하는 다른 사이트로 리다이렉트시킨다.
명령제어 단계에서 라자루스는 ①웹기반 명령제어 체계를 적극적으로 활용하여 공격망을 구성하고, ②다계층으로 구성한 명령제어 체계는 하위 명령제어 서버가 차단당하면 바로 인지해 명령제어 서버를 변경하는 대응이 가능하기 때문에 공격자의 인프라 구성에 안정성을 더한다. 악성코드 실행 단계에서 라자루스는 과거부터 ①서비스 설치를 통한 악성코드 실행을 즐겨 사용했다. 라자루스는 지속성 유지를 위한 악성코드 자동실행 방식으로 ①윈도 인증 관련 레지스트리 경로에 악성코드를 등록한다. 또한 위의 자동실행 방식으로 ②악성코드가 c:\windows\system32 아래 존재해야 하는 의존성이 있다.
▲라자루스의 웹기반 명령제어 체계 활용사례(2018·2023)[자료=KISA]
2023년에 라자루스 그룹이 사용한 악성코드를 살펴보면, △ScskAppLink.dll(다운로더, 최초 침투에 사용한 다운로더 및 런처) △Irmons.dll(원격제어, 레지스트리 데이터 복호화 및 메모리 인젝션) △proc.sys(원격제어, 레지스트리 데이터 복호화 및 메모리 인젝션) △mi.dll(원격제어, 암호화된 파일 복호화 및 메모리 인젝션) 등이 있다.
라자루스가 최초 침투에 사용한 ScskAppLink.dll 다운로더 악성코드는 Racket Downloader로 알려졌다. 합법적인 소프트웨어로 위장하기 위해 ①실제 존재하는 보안 소프트웨어의 파일명으로 위장한 것이 특징이다. 라자루스는 국내 그룹웨어 및 관리 소프트웨어에 대한 높은 이해를 통해 제로데이 익스플로잇 코드를 개발하고 적극적으로 공격에 활용하고 있다. 2023년 악용된 라자루스는 레지스트리에 저장된 원격제어 악성코드를 메모리에 인젝션해 실행시켰다.
KISA 관계자는 “제로데이 취약점을 100% 방어할 순 없다”며 “제로데이 취약점을 최소화하기 위해 개발 환경에서 보안 취약점이 발생하지 않도록 환경 조성이 필요하다”고 말했다. 이어 “취약점 발견 시 신속한 대응 또한 매우 중요하기 때문에 공격 표면을 구성하는 사이버 보안 취약성과 잠재적 공격 벡터를 지속적으로 발견하고, 분석 및 모니터링할 수 있는 가시성 확보가 중요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
김영명기자 기사보기
[2025-04-03] 
