​랜섬웨어에 딥페이크까지...2023년 '사이버 사보타주' 온다

첨단기술·안보현안 등 국제적 고립 벗어나기 위한 활동 전망

남북관계 악화에 따라 사회 혼란 노린 공격 늘어날 것으로 예상

[사진=게티이미지뱅크]

올해 사이버 안보 주요 동향으로는 글로벌 암호화폐 시장을 노린 북한의 사이버 공격이 꼽혔다. 내년에는 국가 간 분쟁으로 인해 첨단기술과 안보현안 정보 절취를 위한 공격이 더 활발해질 것으로 전망된다.

23일 국가정보원에 따르면 올해 사이버 안보 주요 이슈로는 우크라이나 전쟁, 중국-대만 갈등 등 국가 간 분쟁이 사이버 공격으로 이어진 사례가 많았다. 또 국제 해킹조직의 랜섬웨어 공격이 증가하며 사회혼란과 인명피해가 발생하기도 했다.

코스타리카는 해킹조직의 공격으로 정부 행정기능이 마비돼, 국가 비상사태를 선포했고, 영국과 프랑스는 의료서비스 시스템이 공격을 받아 중단된 바 있다.

우리나라 역시 각종 사이버 공격에 노출되고 있는 추세다. 국정원은 올해 11월 기준 하루 평균 약 118만건의 국가 배후·국제해킹 조직의 공격 시도를 탐지해 대응했다고 설명했다. 이 중 북한발 사이버 공격 비율이 55.6%로 가장 많았으며, 중국발 공격은 4.7%로 나타났다.

◆암호화폐 해킹으로 외화 버는 북한...웹 3.0으로 공격 확대 전망

국정원은 북한이 지난 2016~2017년 핵실험과 미사일 발사로 인해 국제연합(UN)의 제재를 받으며, 심각한 경제난을 겪어왔다고 밝혔다. 이를 타개하기 위해 북한은 외화벌이 해킹에 사활을 걸어왔다는 것이 국정원 관계자의 설명이다. 우리나라의 경우 2017년부터 암호화폐 투자 열풍이 불었다. 이러한 분위기가 북한의 외화벌이 해킹 기조와 맞물리면서, 국내 암호화폐 거래시스템 대상 공격도 증가했다.

암호화폐 시장 초기인 2017~2018년 거래소의 보안이 상대적으로 취약했다. 북한은 취약점이 노출된 거래소 서버를 해킹하거나, 거래소 직원을 대상으로 해킹 메일을 발송해 PC를 장악, 협박하는 수법을 사용했다.

2018~2021년 사이에는 암호화폐 거래 소프트웨어에 악성코드를 심고, 개인 투자자가 보유한 암호화폐를 직접 탈취하는 방법도 사용했다. 거래소 직원으로 속여 투자자에게 접근하고, 악성 프로그램을 암호화폐 관련 소프트웨어로 속여 설치하도록 하고 직접 탈취하는 방식이다.

2021년부터 북한은 탈중앙화 금융(디파이)을 노린 공격에 집중하고 있다. 국정원에 따르면 2020년 말 디파이 예치 자산은 160억 달러 규모에서 2022년 4월 기준 2190억 달러로 크게 늘었다. 특히 서비스 운영 주체가 모호하고, 정부 규제 사각지대에 놓인 경우가 많아 상대적으로 공격이 수월하다. 주요 공격 방식으로는 조작된 명령어를 통해 암호화폐를 다른 지갑으로 이체하는 방식 등이 주로 쓰인다.

국정원 관계자는 "암호화폐 해킹 시 초기 침투를 위해 악성코드를 유포하고, 사용자의 개인정보나 심리 상태를 활용하는 사회공학적 기법을 자주 활용하고 있다. 특히 웹사이트나 링크드인 페이지를 허위로 만들어 신뢰를 높이는 경우도 있다"며 "북한의 암호화폐 해킹은 세계 최고 수준이라고 평가받고 있으며, 대체불가능토큰(NFT), 메타버스 등 보안기술이 성숙되지 않은 플랫폼으로도 공격을 확대할 전망"이라고 밝혔다.

◆2023년 5대 안보 위협 전망...사회혼란·외화벌이 목적 해킹 온다

국정원은 2023년 주요 사이버 안보 위협 전망으로 △첨단기술·안보현안 절취 목적의 사이버 첩보활동 심화 △사회혼란 목적의 해킹 가능성 우려 △공공·기업 대상 랜섬웨어 피해 확산 △용역업체 우회 등 민간 서버를 악용한 공급망 해킹 지속 △사이버 방어 정책 회피를 위한 다양한 해킹수법 출현 등을 꼽았다.

북한은 올해 국내 외교·안보 관계자, 탈북민 단체 등을 대상으로 정보 수집에 나섰다. 내년에는 '국가 경제개발 계획' 3년 차를 맞아, 이를 완수하기 위한 기술자료 절취를 지속할 것으로 예상된다. 이에 따라 외교·안보 정보 수집에도 열을 올릴 전망이다.

국정원에 따르면 중국을 배후에 둔 해킹 조직은 올해 '일대일로' 등 정부 시책에 맞춰 관련국의 외교·안보전략, 첨단기술 유출을 시도해 왔다. 내년에도 중국은 미국과의 기술패권 경쟁 속에서, 반도체 기술 등 연구자료 관련 해킹을 시도할 것으로 예측된다.

내년 북한은 사회혼란 목적의 공작도 시도할 것으로 보인다. 과거 북한은 남북관계 악화 시, 또는 핵실험 후 정부와 금융망 대상 사이버 테러를 자행한 바 있다. 2009년 7.7 DDoS(분산 서비스 거부) 공격이 대표적이다. 

최근 남북관계를 고려하면, 내년에도 군사도발·대남비방과 연계한 사이버 파괴공작 공격이 우려된다. 특히 올해 우크라이나 전쟁에서 사용된 '딥페이크' 기술을 활용해 허위 동영상을 유포하는 등 사회혼란 유도를 위한 공작을 전개할 가능성이 있다.

금전 목적의 해킹은 내년에도 이어질 전망이다. 기업과 기관의 데이터를 볼모로 몸값을 요구하는 랜섬웨어는 물론, 암호화폐 탈취 공격도 늘어날 것으로 예상된다. 특히 랜섬웨어 개발 조직과 공격 조직이 분업하는 서비스형 랜섬웨어(RaaS)는 물론, 디파이 서비스를 대상으로 하는 공격도 더욱 확산될 전망이다.

국내 주요 기관과 기업이 사이버 공격 대응을 강화하는 가운데, 이를 우회하는 소프트웨어 공급망 공격도 펼쳐질 것으로 예상된다.

서드파티 애플리케이션이나 시스템 통합(SI) 등 전산 용역업체를 해킹해 접속정보·소스코드를 절취한 후, 관리 대상 기관 전산망에 우회 침투하는 수법이다. 뿐만 아니라 업데이트 서버를 직접 해킹해, 이를 통해 악성코드를 유포하는 등 다양한 형태의 공급망 공격이 이뤄질 전망이다. 민간 클라우드 서비스를 이용하는 공공기관에 침투하기 위해 보안 취약점을 노릴 가능성도 있다.

이 밖에도 사이버 공격자는 국제사회의 추적을 피하기 위해 다양한 기술을 활용할 전망이다. 현재 사이버 공격 조직 추적에는 공격에 사용한 서버나 도메인 등록자의 연관성, 악성 프로그램 소스코드 유사성 등을 분석한다.

사이버 공격자는 이런 추적을 피하기 위해 다크웹·방탄 호스팅 등 추적이 어려운 경유지를 사용할 것으로 예상되며, 타 공격 조직이 개발한 소스코드를 활용하는 등 추적 회피 기술을 접목할 전망이다.

한편 국정원은 이러한 사이버 안보 위협에 맞서 지난 11월 30일 국가사이버안보협력센터를 개소했다. 센터에는 국정원·과기정통부·국방부 등 9개 기관과 민간 IT보안 5개 기업 전문가 46명이 상주하며 위협 동향을 분석·공유하고 대응책을 전파해 피해를 최소화할 계획이다.