침해사고/위협동향

가격 급락·해킹, 이중고 겪는 암호화폐··· SK쉴더스 “하반기도 공격 지속”

이종현
SK쉴더스 EQST담당 김래환 팀장
SK쉴더스 EQST담당 김래환 팀장
[디지털데일리 이종현기자] 우크라이나 전쟁, 미국발 기준금리 인상, 암호화폐 테라 및 루나의 몰락 등으로 급격한 가격 하락을 겪고 있는 암호화폐에 대한 어두운 전망이 추가로 제기됐다. 올해 암호화폐를 겨냥한 해킹 공격이 기승을 부렸는데, 이와 같은 공격이 하반기에도 지속된다는 내용이다. 가격 급락과 해킹이라는 이중고를 겪게 됐다.

22일 SK쉴더스는 올해 상반기 주요 사이버보안 트렌드 및 위협 전망에 대한 인사이트를 공유하는 세미나를 개최했다. SK쉴더스의 화이트해커 전문가 그룹 EQST(Experts, Qualified Security Team)의 분석을 기반으로 한다.

SK쉴더스는 상반기 주목할 만한 위협 사례로 로그4j(log4j) 취약점, 해킹조직 랩서스(LAPSUS$)에 의한 삼성·LG전자의 침해, 암호화폐 시장을 겨냥한 공격, 러시아의 우크라이나 침공 전후의 사이버전쟁 등을 꼽았다.

이중 지난 연말 발견된 로그4j 취약점은 ‘컴퓨터 역사상 최악의 위협’이라고 평가받을 만큼 위험도가 높다. 김래환 EQST담당 팀장은 “자바(JAVA) 로깅 라이브러리인 로그4j는 자바를 이용하는 모든 프로그램에 활용된다고 해도 과언이 아니다. 전 세계 프로그램의 11%가량이 자바를 통해 개발되고 있는데, 이들 프로그램 모두가 위협에 노출됐다고 볼 수 있다”고 말했다.

3월 발생한 삼성전자의 해킹 소식도 국내에 큰 충격을 안겼다. 190기가바이트(GB) 상당의 스마트폰 관련 기밀 자료가 대거 유출됐다. 삼성전자를 해킹한 랩서스는 LG전자를 비롯해 엔비디아, 마이크로소프트(MS), 옥타(Okta) 등 유수의 글로벌 기업들을 잇달아 해킹했다.

◆“가격 급락에도 불구, 암호화폐는 여전히 해커들의 타깃”

금융정보분석원 조사에 따르면 2022년 상반기 국내 암호화폐 거래대금은 코스피를 큰 폭으로 추월했다. 2021년 하반기 대비 2배에 가까운 거래량 상승이 이뤄진 상황이다.

SK쉴더스는 이와 같은 암호화폐 거래 호황이 해커들을 불러올 것이라고 우려했다. SK쉴더스 분석 결과 올해 상반기 가장 많은 침해사고를 겪은 것은 22.1%인 제조업이다. 랩서스에 의한 삼성·LG전자 해킹의 영향이 크다.

그 다음이 금융업이다. 금융 중 대부분이 전통적인 금융 분야가 아닌 암호화폐다. 전체 침해사고의 16.3%로, 정보기술(IT) 12.7%보다도 높다. 글로벌에서는 25%로 가장 많은 침해사고를 겪은 분야다.

이와 같은 소식은 암호화폐 시장에게는 악재다. 그렇잖아도 올해 급락에 충격을 받는 가운데 해커에 대한 대비는 더욱 강화해야 하는 상황에 놓였다. 지속하는 보안사고로 암호화폐 시장에 대한 신뢰도 역시 흔들리는 중이다.

SK쉴더스 분석에 따르면 지난 작년 12월부터 올해 5월까지 국내·외 암호화폐 시장에서는 큼직한 보안사고가 잇달아 발생했다. 지난 3월 발생한 블록체인 모바일 게임 ‘액시 인피니티’를 구동하는 블록체인 네트워크 ‘로닌 네트워크’ 해킹이 대표적이다. 사고 발생 당시 가격 기준, 약 6억1500만달러 상당의 이더리움이 유출됐다. 한화로 약 8000억원에 달하는 금액이다.

국내에서도 지난 2월 클레이튼 기반의 탈중앙화 금융 디파이(De-fi) 서비스 ‘클라이스왑’이 공격에 노출, 당시 가격 기준 22억원 상당의 암호화폐를 탈취당했다. 클레이스왑의 개발사 오지스는 전액 보상을 결정했는데, 오지스가 빠르게 대응하지 않았다면 더 큰 사고로 이어질 수 있었다.

SK쉴더스는 하반기에도 암호화폐 시장을 중심으로 한 사고가 이어질 것으로 전망했다. 특히 기존 금융권을 거치지 않고 예금, 송금 등이 가능한 디파이의 경우 제대로 된 규제가 갖춰지지 않기에 많은 피해가 늘어날 수 있다고 전했다.

◆가장 큰 위협은 랜섬웨어··· 분업화된 ‘산업’으로 성장했다

SK쉴더스가 가장 위협적인 공격 유형으로 꼽은 것은 랜섬웨어다. 전문 지식이 없더라도 사이버공격을 할 수 있도록 하는 서비스형 랜섬웨어(RaaS)가 지속해서 늘고 있다.

김래환 EQST담당 팀장은 “과거에는 해커가 소스 코드를 직접 개발하고, 이를 바탕으로 기업이나 개인 등을 가리지 않고 광범위하게 공격했다. 하지만 오늘날 랜섬웨어는 전문 개발자가 따로 있고, 공격하는 사람 따로, 자금을 받은 뒤 이를 세탁하는 사람 따로 분업화가 이뤄졌다. 기업이나 마찬가지”라고 말했다.

김 팀장에 따르면 가장 큰 규모의 랜섬웨어 그룹 콘티(Conti)는 조직원이 350여명에 달한다. 러시아 조직으로 알려진 콘티는 우크라이나 전쟁 국면에서도 활발한 활동을 이어가는 중이다.

올해 상반기 가장 많은 공격을 수행한 락빗(LockBit)의 경우 왕성한 활동량으로 사이버보안 전문가들의 경계 대상 1순위에 올랐다. 2022년 상반기 락빗은 268건의 활동이 포착됐는데, 이는 98건으로 2위인 콘티의 약 3배에 달한다.

작년 미국 송유관 업체 콜로니얼 파이프라인을 공격해 전 세계에 산업시설의 사이버보안 중요성을 주지시킨 조직 다크사이드(Darkside)는 수차례 이름을 바꿔가며 활동을 이어오고 있다. 2021년 5월 콜로니얼 파이프라인 공격 이후 미국 정부 및 수사기관의 감시를 피해 7월 ‘블랙매터(BlackMatter)’로 이름을 바꿨고, 11월부터는 ‘블랙캣(BlackCat)’이라는 이름으로 활동 중이다.

SK쉴더스는 국내·외 사이버보안 기업 및 법무법인, 손해보험사 등 8개 기업·기관과 손잡고 랜섬웨어 대응 협의체 ‘카라(Korea Anti Ransomware Alliance, KARA)’를 발족했다. 랜섬웨어 예방 및 대응과 관련된 서비스 일체를 제공한다는 계획이다.
SK쉴더스 EQST담당 이호석 팀장
SK쉴더스 EQST담당 이호석 팀장

◆‘사이버 팬데믹’이 온다··· 리오프닝 산업 노린 공격 대비해야

올해 1분기 침해사고는 전년동기대비 63%나 늘었다. 2021년 글로벌 연간 사이버범죄 피해 규모는 7조달러에 달하는데, 2025년에는 10조달러까지 커질 것으로 점쳐진다. 사이버 공격의 대유행, ‘사이버 팬데믹’을 앞두고 있다고 경고했다.

SK쉴더스는 하반기 해커들의 타깃이 될 시장으로 암호화폐와 함께 리오프닝(Re-Opening) 산업을 지목했다. 리오프닝 산업이란 코로나19 이후 축소됐다가 엔데믹으로 성장 중인 항공, 운송, 여행, 숙박 등을 뜻한다.

숙박업 지표를 발표하는 기업 온다(ONDA) 조사에 따르면 올해 1분기 숙박업 매출이 전년동기대비 87% 증가했다. 또 국토교통부 조사에 따르면 올해 상반기 국제선 여객 수는 전년대비 3배 증가했다. 코로나19 유행 기간 동안 어려움을 겪던 산업계가 간만의 활황을 누리고 있는데, 이를 노린 사이버 범죄로 위기를 겪을 수 있다는 분석이다.

이호석 EQST담당 팀장은 “코로나19로 매출 감소를 겪은 리오프닝 산업계는 버티는 와중에서 보안을 관리하는 인원 역시 줄었다. 이와 같은 허점을 노린 공격들이 이어질 수 있는 만큼 각별한 주의가 필요하다”고 전했다.

또 그는 사이버 팬데믹을 앞둔 기업, 개개인을 위한 조언으로 “다소 식상하지만 주기적인 소프트웨어(SW) 업데이트, 피싱 의심 메일 및 문자메시지 주의, 불필요한 웹사이트 접속 지양 등이 해답”이라며 이와 같은 기본 원칙만 지키는 것이 사이버보안의 시작이라고 강조했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널