과기정통부, ‘21년 사이버위협 분석 및 22년 전망 분석’ 발표

과학기술정보통신부(이하 “과기정통부”)는 한국인터넷진흥원(이하 “KISA”)과 함께 코로나19 지속, 디지털 전환 가속화 속에 날로 지능화ㆍ고도화되는 사이버 위협으로부터 선제적인 예방 및 대비태세 강화를 위하여 2021. 12. 24. 「21년 사이버위협 분석 및 22년 전망 분석」을 발표하였습니다.

과기정통부는, 2021년에 발생한 주된 사이버위협은 ① 대상을 가리지 않는 금품 요구 랜섬웨어 공격, ② 해커의 타켓이 된 비대면 서비스 환경, ③ 통합주택제어판(월패드) 해킹이라고 분석하였으며, 2022년 예상되는 주된 사이버위협으로 ① 로그4제이(Log4j) 취약점 문제의 장기화, ② 사물인터넷(IoT) 기기 대상 사이버위협, ③ 금품 요구 랜섬웨어 공격, ④ 클라우드 보안 위협, ⑤ 메타버스, NFT, AI 등 신기술 대상 신종위협, ⑥ 사회적 현안을 악용한 문자결제사기(스미싱) 등을 전망하였습니다.

1. 2021년 사이버위협 분석

(1) 대상을 가리지 않는 랜섬웨어 공격

과기정통부는 2021년 한 해 가장 위협적인 침해사고로 금품 요구 악성프로그램 공격을 꼽았습니다. 2021년 5월 미국 최대 송유관 기업인 콜로니얼 파이프라인의 시스템이 랜섬웨어 공격으로 인해 마비되어 송유관 가동이 6일간 전면 중단된 사건이 발생하는 등 사회기반시설을 대상으로 한 금품 요구 악성프로그램 공격으로 대규모 피해가 발생하고 있는 상황입니다.

국내에서도 중소기업 및 지역 기업 등 업종과 지역을 가리지 않고 금품 요구 악성프로그램 공격이 지속적으로 발생하였고, 피해발생 분포를 살펴보면 주로 보안에 취약한 중소기업이 93%, 서울 외 지역이 63%로 나타났으며, 백업을 하지 않아 피해복구가 어려운 경우는 65%로 나타났습니다.

(2) 해커의 타겟이 된 비대면 서비스 환경

한편, 코로나19 지속으로 원격교육, 재택근무 등 비대면 서비스 확산에 따라 이를 대상으로 하는 사이버위협이 증가하였습니다. 원격보안접속 프로그램, 전자우편 및 가상사설망(VPN) 솔루션의 취약점을 악용한 해킹사고가 빈번하게 발생하였습니다. MS 익스체인지 서버(이메일 관련 솔루션)의 취약점으로 전세계적으로 피해가 발생한 바 있으며, 국내에서는 한국원자력연구원, 한국항공우주산업에서 VPN 해킹사고가 발생한 사례가 있습니다.

(3) 통합주택제어판(월패드) 해킹 등 일상을 파고드는 사이버위협

국내 다수의 아파트 통합주택제어판(월패드)이 해킹되어 사생활 영상이 유출되고, 다크웹에 판매되는 등 일상까지 파고드는 사이버위협이 사회적으로 큰 이슈가 된 바 있었습니다. 그동안 사이버위협은 기업 등 일부 한정된 범위 내에서만 공격 및 피해가 발생하였다면, 사물인터넷(IoT) 기기가 보편화 됨에 따라 이제는 일상의 안전까지 위협하는 형태로 진화하고 있는 상황입니다.

2. 2022년 사이버위협 전망

(1) 로그4제이(Log4j) 취약점 위협의 장기화와 공급망 보안위협

2021년 12월 전세계를 강타한 로그4제이(프로그램 동작 과정에서 일어나는 일련의 기록을 남기기 위해 이용하는 오픈소스 프로그램) 취약점 문제가 광범위할 뿐만 아니라, 로그4제이의 사용여부를 식별하기 쉽지 않고, 직접 개발하지 않은 외부 구매 제품의 경우에는 해당 업체가 보안업데이트를 제공해 주어야 함으로 인해, Log4j 취약점 사태를 해결하는 것에 상당기간이 소요될 것으로 예상됩니다.

이와 관련하여, 과기정통부는 Log4j 취약점 사태로 인해 소프트웨어공급망 보안의 중요성이 부각되었으며, 이에 따라 수요자 측면에서 소프트웨어 개발부터 유지관리까지 소프트웨어의 전반적인 사용주기(SDLC: Software Development Life Cycle)에 보안 강화가 필요하다고 보았습니다.

(2) 다양한 사물인터넷(IoT) 기기 대상 사이버위협 증가

또한, 과기정통부는 보안에 취약한 사물인터넷 기기를 대상으로 한 사이버위협이 증가할 것으로 전망하였습니다. 인공지능 스피커, 스마트 티브이, 아이피카메라 등 일반적으로 알려진 사물인터넷 기기 외에 무인기(드론), 스마트카 등 새로운 연결기기에 대한 보안위협이 현실로 다가오고 있는 상황입니다. 배송용 드론을 해킹하여 물건을 탈취하거나, 스마트카 자율주행 시스템을 해킹하여 운행을 방해하거나 교통사고를 유도하는 등의 위협이 예상됩니다.

(3) 끝나지 않는 금품 요구 악성프로그램과의 싸움

추적이 어려운 가상자산의 활성화와 서비스형 금품 요구 악성프로그램(금품 요구 악성프로그램의 개발, 유포, 관리 등이 분업화되어 서비스 형태로 제공)의 등장은 금품 요구 악성프로그램 범죄 생태계의 성장을 촉진하고 지속적인 위협이 될 것으로 예측됩니다.

기업의 재무제표 또는 뉴스 검색을 통해 자금여력이 있거나 금품 요구 악성 프로그램 감염 시 서비스가 중단되면 대규모 영업 손실이 발생할 수 있는 기업 등을 대상으로 하는 표적형 금품 요구 악성프로그램 공격이 증가하고, 기업의 백업체계를 무력화하기 위한 공격 시도 증가와 추적이 어려운 가상자산을 요구하는 형태로 금품 요구 악성프로그램 공격이 지속될 것으로 전망됩니다.

(4) 디지털 대전환의 핵심 기반, 인터넷 기반 자원공유(클라우드) 보안 위협 증가

서비스, 플랫폼 등 다양한 정보통신환경이 인터넷기반자원공유(클라우드) 기반으로의 디지털 대전환이 이루어지고 있는 상황에서, 이를 악용한 보안위협 또한 증가할 것으로 전망됩니다. 클라우드 컴퓨팅은 자원공유 등의 특성으로 인한 보안 위협을 내재하고 있으며, 정보기술자원 및 사용자들의 정보가 집적되어 있기 때문에 해킹, 디도스 공격의 표적이 되기 쉬울 뿐만 아니라, 사고 발생 시 대규모 피해가 발생할 수 있습니다.

(5) 메타버스, NFT, AI 등 신기술 대상 신종 위협 발생

또한, 본격적으로 신규 정보통신기술 시장을 창출하고 있는 메타버스, NFT(대체불가토큰), AI(인공지능) 등 신기술을 대상으로 그 취약점(새로운 소프트웨어 개발과정에서 개발자의 실수, 인증체계에 대한 허점 등)을 악용한 새로운 유형의 사이버위협이 발생할 것으로 예상됩니다.

이와 관련하여 구체적으로는 (ⅰ) 메타버스 이용자의 정보탈취, 시스템 마비 등을 노리는 공격, (ⅱ) 자본이 몰리고 있는 NFT 관련하여 권한 탈취 후 부정 판매, (ⅲ) 인공지능을 접목한 각종 서비스가 급증하면서 인공지능의 학습을 방해하거나 오판ㆍ오인식을 유도하는 공격 등의 발생이 예상됩니다.

(6) 사회적 이슈를 악용한 문자결제사기(스미싱), 해킹메일 지속

코로나19 지속, 정치적 상황 등 사회적 현안을 악용한 문자결제사기(스미싱), 해킹메일 유포 등을 통하여 개인정보를 탈취하고, 탈취한 정보를 바탕으로 지능화된 사기전화(보이스피싱) 등 전기통신금융사기가 지속될 것으로 전망됩니다. 실제로 코로나 발생 초기에 KISA의 스미싱 탐지건수가 증가한 바 있습니다(2019년 36만여건 ? 2020년 95만여건).

특히, 탈취한 개인정보를 분석하여 수신자로 하여금 의심을 갖지 않도록 교묘하게 속이는 지능화된 표적온라인사기(스피어피싱; 성공률을 높이기 위하여 공격 대상의 정보를 수집ㆍ분석하여 피싱 공격을 수행하는 기법)이 증가할 것으로 예측됩니다.

3. 향후 전망

코로나19로 인하여 디지털/비대면 시장의 급격한 성장으로 모든 산업분야 즉, 디지털금융, 메타버스, NFT, AI 등 신기술분야 까지 정보보호는 내재화가 되어, 정보보호분야가 국가산업의 근간이 되어 가고 있습니다.

이에 정부는 관계부처 합동으로 ‘K사이버방역 추진전략’을 수립하여 개인정보유출, 영업비밀해킹, DDOS 공격으로 인한 국가전산망 마비 등 정보보호사고를 강력하게 예방하여 지속 가능한 디지털경제, ‘디지털 안전망’구축이라는 국가전략을 수립하여 추진중입니다. 특히, 최근에 APT월패드 해킹사건을 통하여 기존의 산업분야 해킹에서 일상생활 깊숙히 개개인의 직접적인 피해까지 입히고, 무엇보다 log4j 보안취약점은 4차 산업혁명의 근간이 되는 각 기업의 정보시스템을 다양한 방법으로 향후 지속적으로 피해를 줄수 있는 매우 위협적인 정보보호 리스크로 부상하였습니다. 22년도에는 과기부에서 금번 발표한 기술적 보안취약점을 집중공력하여 핀테크, 빅테크 등 디지털금융 분야를 대상으로 하는 직간접적인 해킹사고를 사전에 예측하고 각 기업에서는 정보보호체계 개선, 모의해킹, 보안취약점 점검 등 기술적 리스크 관리를 더욱 노력이 필요합니다. 특히, 개인정보보호법, 정보통신망법, 신용정보법 등 정보보호 관련 법률 정책적 리스크 관리는 사전에 철저하게 점검하고 검토하여, 만약에 불의의 해킹사고가 나더라도, 신속하게 기업의 정보시스템 및 서비스를 복구하고, 효과적인 전방위적 법률 대응을 할 수 있을 것입니다.

이광욱 변호사 (kwlee@hwawoo.com)

이근우 변호사 (klee@hwawoo.com)

선민 변호사 (msun@hwawoo.com)

백재환 전문위원 (jhb@hwawoo.com)

리걸 에듀

1/3