Offcanvas

랜섬웨어 / 보안 / 악성코드

강은성의 보안 아키텍트ㅣ2022년 보안 위협 전망? 해 아래 새것이 없다! 

2021.12.31 강은성  |  CIO KR
백신과 치료약이 우리를 코로나19에서 해방해줄 거라는 희망이 희망 고문으로 끝나가는 한 해다. 백신은 부족하나마 바닥을 기던 우리 삶의 질을 조금 높여줬음에도 치료약이 지지부진하기 때문이다. 그래도 들리는 몇 가지 반가운 소식이 새해에는 어느새 우리 현실로 다가올 수 있기를 희망해 본다.
 
ⓒGetty Images

지난 2년 동안 주간 개인정보 뉴스레터를 만드느라 매주 개인정보 사고와 규제 등 개인정보 관련 뉴스를 찾아보고, 매달 기고를 위해 국내외 보안 위협 관련 이슈를 분석하면서 한 가지 깨달음을 얻었다.

 

“해 아래 새것이 없다!”


새해 보안 위협을 전망하는 것은 미래의 예측력을 자랑하기 위해서가 아니라 각 조직에서 어떤 보안 목표와 전략을 세우고, 보안 투자를 결정하는 데 도움이 되기 위해서일 것이다. 하지만 미래를 예측하는 것은 쉽지 않다. 분명한 것은 올해의 보안 위협은 작년의 연장선 위에 있다는 것이다. 물론 새롭게 나타난 것도 있지만 말이다.

이번 달 칼럼에서 올해의 보안 위협을 좀 더 상세하게 정리해 보려고 한 이유다. 굳이 새해 보안 위협 전망을 하지 않더라도 자연스럽게 새해의 보안 이슈를 조망해 볼 수 있지 않을까 한다.

2021년 ‘올해의 보안 위협’은 작년에 이어 단연코 랜섬웨어다. 랜섬웨어는 미국 대형 보험사 CNA(3월), 세계를 떠들썩하게 했던 미국 송유관 업체 콜로니얼 파이프라인과 세계적인 프랑스 보험사 AXA(5월), 세계 최대의 브라질 육류가공회사 JBS SA(6월) 등 세계적으로 막대한 피해를 줬고, 2020년 11월 대형 유통기업에 이어 국내 자동차 기업의 국외 법인(2월), 10위권의 배달대행업체(5월) 등 국내에서도 피해가 커서 과학기술정보통신부에서 ‘랜섬웨어 대응 지원반’을 운영하기도 했다.

지능형 표적 공격을 통한 랜섬웨어 유포, 서비스형 랜섬웨어 확산, 중요 정보를 훔친 뒤 암호화와 디도스 공격으로 협박하는 이중·삼중 갈취형 랜섬웨어 공격은 범인이 피해자에게 본인 물건을 돈을 내고 도로 사가라는 파렴치한 범죄임에도 불구하고 사업과 서비스의 지속성 문제로 많은 기업이 할 수 없이 막대한 비용을 지불하고 있다. 범죄산업이 수익 모델로 정착하고 있어 우려스러운 상황이다. 백업과 복구, 사업 연속성 관점에서 경영진이 주도하는 준비와 훈련이 필수적이다.

2020년 12월 발견된 미국 SolarWinds의 네트워크 관리 솔루션 Orion을 해킹하여 이뤄진 공급망 공격은, 미국 정부 기구와 기업, 유럽과 한국의 기업에 이르기까지 Orion을 사용하는 수많은 기업이 해킹의 대상이 되어 공급망 공격의 위험성을 피부로 느끼게 됐다.

올해에도 MS Exchange 서버를 통한 해킹(3월), Kaseya의 네트워크 모니터링 솔루션 VSA를 통한 랜섬웨어 유포(7월)로 공급망 공격이 이어졌다. 국내에서는 국산 VPN 제품의 취약점으로 인해 중요 정보를 도난당한 것으로 알려진 국책연구원 사태(6월)가 컸다.

전 세계적으로는 코로나19 팬데믹이 계속되어 원격근무가 일반화됨에 따라 VPN 사용이 급속도로 늘면서 국외에서도 Pulse Secure VPN과 Fortinet의 FortiGate VPN에 대한 공격(4월)이 나타났다. 콜로니엄 파이프라인 랜섬웨어 공격(5월) 역시 2단계 인증을 지원하지 않는 구버전 VPN이 침투 경로였다. 글로벌 사례에 대해 국내 솔루션 업체와 솔루션 사용 기업들의 기민한 대응이 필요해 보인다.

IoT 기기의 보안 이슈는 2016년 인터넷 공유기, IP 카메라 등 보안이 취약한 IoT 기기를 봇넷으로 활용한 Mirai 악성코드의 DDoS 공격으로 본격화됐다. 국내에서는 베이비캠이나 펫캠을 공격한 사생활 침해 범죄로 이따금 나타났는데, 올해 국내 아파트 700여 곳의 월패드가 해킹되어 사생활을 찍은 동영상이 다크웹에서 판매되는 사건(11월)이 알려지면서 사회적 문제로 떠올랐다.

카메라 렌즈를 가리라는 초보적인 대책부터 그동안 업계의 반대로 이뤄지지 못한 ‘지능형 홈네트워크 설비의 설치 및 기술기준’ 고시의 개정과 IoT 기기의 보안 인증에 관한 관심까지 구체적인 대책이 논의되고 있다. 소비자들도 IP 카메라의 구매, 아파트의 선택, 시공사의 선정 등 IoT 기기와 관련된 선택을 할 때 보안도 중요한 고려사항의 하나로 여겨야 할 것 같다.

2021년 12월에 아파치 Log4j 2에서 원격코드실행(RCE) 취약점이 터져서 이를 악용한 공격이 진행 중이다. CVSS 10.0에 이르는 심각도와 아파치 웹 서버 등 자바로 개발된 많은 SW에서 로깅용으로 쓰이는 사용 현황을 볼 때 신속하게 대응하지 못하면 OpenSSL의 HeartBleed 취약점(2014년)이나 Apache Struts2 RCE 취약점(2017년)과 같이 피해가 커질 수 있다.

올해에도 크고 작은 개인정보 유출 사고가 끊이지 않았다. 해외에서는 5억 3,300만 명의 개인정보가 유출되어 한 해킹 포럼에서 유통된 페이스북 사건(4월), 해킹을 당해 5,400만 명의 개인정보가 유출된 T-Mobile 사건(8월)이 있었고, 국내에서는 상담 채팅봇 서비스 업체(7월), 저축은행(8월), 대형 병원(9월), 데이팅 앱 서비스(10월) 등에서 해킹으로 인한 개인정보 유출 사건이 있었다.

특히 상담 채팅 서비스는 이를 이용하는 국내 굴지의 기업들이 발 빠르게 보상책을 내놓는 등 개인정보 처리위탁사로서의 역할을 수행하여 파장을 최소화했는데, 수탁사 선정 시 보안 요구사항에 대한 고려뿐 아니라 사고 발생 시 대응에 대한 준비 역시 중요하다는 점을 알게 해줬다.

개인정보보호위원회에서 클라우드에서 개인정보가 유출된 클라우드 서비스 이용 4개 기업에 대해 과징금과 과태료 등 행정처분을 부과(9월)한 것도 눈여겨 볼만한 대목이다. 개인정보위에 따르면 모두 보안 설정이 제대로 되어 있지 않은 것이 원인이었다고 하니 클라우드 이용 기업이 계속 늘어나는 상황에서 클라우드 보안에 대한 역량 확보가 절실한 상황이 됐다.

이렇게 짚어 보면 2020년의 연속선 위에서 보이지 않았던 2021년의 보안 이슈는 공급망 보안 정도인 것 같다. 2022년 역시 2021년을 기준으로 준비한다면 큰 무리가 없지 않을까 싶다. 보안의 기본기를 탄탄히 해야 함은 물론이다. 

별사건 사고 없이 함께하고 싶은 이들과 연말연시를 조용히 소소한 행복을 누리며 지날 수 있기를 보안 동네에 있는 모든 분과 함께 기대해 본다. 

* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr
 
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.