올해 상반기 가상자산 해킹 공격 '활개'

[아이뉴스24 김혜경 기자] 올해 상반기 가상자산 탈취 공격이 기승을 부린 가운데 이같은 추세는 하반기에도 이어질 것으로 보인다. 특히 코로나19로 위축됐던 경제활동이 재개되면서 여행업 등을 겨냥한 침해사고도 급증할 것으로 전망된다.

SK쉴더스의 화이트해커 그룹인 '이큐스트(EQST)'는 22일 미디어 세미나를 열고 상반기 보안 위협 동향과 하반기 전망을 발표했다.

EQST에 따르면 국외 기준 침해사고 비중이 가장 높았던 업종은 금융권으로 나타났다. 전체 사고 중 25%를 차지했으며 국내 금융권 침해사고는 16.3%로 집계됐다.

국내에서 가장 침해사고가 많았던 업종은 22.1%를 기록한 제조업으로 조사됐다. 이는 국외(15.3%) 대비 높은 수준이다. 반면 공공‧정부기관을 겨냥한 공격의 경우 국내는 10.8%로 나타났지만 국외에서는 22.2%를 기록했다. 제조업의 경우 최근 다수의 글로벌 기업을 해킹한 랩서스

제로데이 취약점과 랜섬웨어, 가상자산을 노린 공격이 상반기에 집중됐다고 EQST는 설명했다. 1월에는 로그포제이(Log4j), 3월에는 스프링포쉘(Spring4shell) 취약점이 연달아 공개되면서 관련 침해사고가 늘었다. 2월에는 탈중앙화 금융(Decentralized Finance, DeFi) 서비스 해킹 공격으로 22억원 규모의 가상자산 피해가 발생한 바 있다.

유형별로는 악성코드 침해사고가 39.2%로 가장 많았다. 이는 서비스형 랜섬웨어(RaaS)의 대중화로 사이버 공격에 대한 진입장벽이 낮아진 영향으로 분석된다. 대표적인 RaaS 랜섬웨어로는 '락빗(LockBit)'과 '콘티(Conti)', '블랙캣(BlackCat)' 등이 있다. 악성코드에 이어 ▲정보유출 32.3% ▲피싱‧스캠 15.7% ▲시스템 장악 11.8% 순으로 침해사고가 많았다.

상반기 가장 활발하게 활동한 랜섬웨어 그룹은 락빗으로 다른 조직 대비 3배 이상 활동량이 많은 것으로 분석됐다. 콘티의 경우 실행부와 개발부, 조사부, 해석부 등 기업 조직의 형태를 갖추고 있어 EQST는 특별히 유의해야 하는 랜섬웨어 그룹으로 꼽았다.

EQST는 하반기 사이버 보안 위협으로는 ▲여행사 등 리오프닝 산업 공격 ▲가상자산 탈취 공격 ▲랜섬웨어 공격 등을 선정했다.

이호석 SK쉴더스 EQST 랩(Lab)장은 "리오프닝 관련 산업들이 활기를 띄면서 공격자들 관심이 집중되고 있다"며 "지난해 여행‧서비스 산업은 국내 침해사고에서 15.7%를 차지했지만 올해 상반기에는 22.6%로 크게 늘었다"고 설명했다.

이 랩장은 "여행사 이벤트로 위장한 피싱메일을 주의해야 한다"며 "여행 관련 사이트에 지능형지속위협(APT) 공격을 수행하거나 웹 취약점을 이용해 RaaS를 유포하는 공격도 가능한 것으로 분석됐다"고 말했다.

Raas 공격은 하반기에도 이어질 것으로 전망된다. 랜섬웨어 그룹들은 수사당국의 감시를 회피하기 위해 조직을 재정비하거나 점조직 형태로 활동하고 있다. 앞서 콜로니얼 파이프라인을 해킹한 '다크사이드(Darkside)'는 수사망이 좁혀오자 '블랙매터(Blakc Matter)'로 조직을 재정비했다.

지난해 11월부터는 블랙캣 랜섬웨어가 국내에서도 포착되고 있다. EQST는 블랙캣을 블랙매터에서 파생된 조직으로 추정하고 있다.

김래환 EQST담당 PL은 "블랙캣은 최초의 '러스트(Rust)' 언어 기반의 랜섬웨어"라면서 "공격자들은 C 언어 등 유명한 프로그래밍 언어가 아닌 상대적으로 희귀한 언어를 사용하는 방식을 통해 분석을 회피하고 있다"고 말했다.

이어 "락빗의 경우 중견‧중소기업을 겨냥한 공격이 72%에 달했다"며 "최근 상대적으로 보안이 취약한 곳을 노리는 공격이 급증하고 있으므로 맞춤형 대비가 필요하다"고 덧붙였다.

김혜경 기자의 다른 기사 보기

• 'RaaS'로 누구나 랜섬웨어 공격자가 된다

• RaaS 패권 노리는 '락빗' 랜섬웨어…"올해 1Q 46%"