[데이터넷] 내년에 발생할 가장 위험한 사이버 위협은 소프트웨어 공급망 공격, 생성형 AI 악용 공격, OT/ICS타깃 공격 및 중요 선거를 이용한 정치적 공격이 꼽힌다.

과학기술정보통신부(장관 이종호)와 한국인터넷진흥원(원장 이원태, KISA)의 ‘2023년 사이버 보안 위협 분석과 2024년 사이버 보안 위협 전망’에서는 내년 발생할 위협으로 ‘피해 자체를 모르게 하는 은밀하고 지속적인 소프트웨어 공급망 공격’을 들었다.

연쇄적인 피해 입히는 SW 공급망 공격

공급망 공격은 올해도 많은 피해를 입힌 위협으로, 실제 공격이 시작되기 전까지 침해당했다는 사실을 알아차리기 어려우며, 한 번의 공격으로 광범위한 피해를 입힐 수 있다. 특히 개발자들이 많이 이용하는 유명 오픈소스를 사칭하거나 변조된 코드를 배포하면 쉽게, 대규모로 공격할 수 있다.

지능적이고 집요한 소프트웨어 공급망 공격을 막기 위해서는 반드시 개발 단계에서부터 신뢰할 수 있는 코드를 사용하고, 안전한 배포와 운영을 위한 대응을 마련해야 한다. 소프트웨어의 모든 구성요소에 대한 보안점검을 실시하고, 소프트웨어 자재명세(SBOM)을 통해 기존·신규 및 코드 변경 내용에 대한 취약점을 관리하고 공격을 예방할 수 있어야 한다. 보고서에서는 제품 조달, 현장 점검에 사용할 수 있는 하드웨어 자재 명세(HBOM)도 갖춰 공급망 전반을 보호해야 한다고 강조했다.

AI 악용 공격 식별 기술 시급

생성형 AI 악용 공격도 위험 수위를 높이고 있다. 공격자들은 생성형 AI를 이용해 정교한 맞춤형 피싱을 빠르게 만들어내며, 공격 대상의 정보를 수집하고 분석하며, 공격에 이용할 수 있는 취약점과 침입 방법을 알아낸다. 공격도구의 취약점도 생성형AI를 이용해 점검하고 성공적으로 보안을 우회하는 도구와 방법을 알아낸다.

생성형 AI와 대규모 언어 모델(LLM)을 활용해 범죄 대상과 범죄 방법을 제공하는 서비스가 다크웹 등 해킹 포럼에 소개된다면, 누구나 쉽게 사이버 범죄에 가담할 수 있다.

이러한 공격 피해를 줄이기 위해서는 생성형 AI 모델의 결과물을 식별하고 진위여부를 판별할 수 있는 기술, 공격 가능성이 높은 취약점을 미리 식별하고 대응할 수 있는 기술이 필요하다.

높아지는 OT/ICS 위협

제조, 에너지, 교통, 통신, 의료 등 주요 사회 인프라를 노리는 공격도 빈번해지고 있다. OT/ICS를 공격하면 대규모 금전 피해 뿐 아니라 국민의 안전과 생명까지 위협할 수 있기 때문에 금전목적의 공격자 뿐만 아니라 국가 배후 공격자들이 집중적으로 노리고 있다.

최근 우크라이나 IT 군대가 러시아 점령지역 통신 서비스를 마비시켰으며, 이후 러시아 배후로 의심되는 조직이 우크라이나 최대 통신사 키이우스타를 해킹하는 사건이 발생했다. 이처럼 OT/ICS 타깃 공격은 물리적 피해까지 일으키는 하이브리드 전쟁에 이용된다.

OT/ICS 보안 위협이 높아지자 국제침해사고대응협의체(FIRST)는 OT/ICS, IoT 취약점 평가 기준항목을 추가한 ‘사이버 보안 위험도 측정(CVSS 4.0)’을 발표하기도 했다. 진화하는 공격에 대응하기 위해서는 설비에 연결된 자산을 식별하고 위험도를 평가하며, 취약점 제거와 설정 오류 수정을 통한 공격표면 제거, 위협 탐지와 모니터링이 필수다.

내년 선거 악용 위한 ‘가짜뉴스’ 주의

2024년은 국내외 대규모 정치적 행사가 예정돼 있어 이를 악용한 공격도 위험 수위를 높이고 있다. 우리나라는 4월 22대 국회의원 총선거가 있으며, 미국은 3월 상·하원 선거와 11월 대통령선거가 있다. 대규모 선거시기에 사이버 위협 활동도 증가한다. 최근 이념, 종교, 이권 등의 이유로 적대 세력 간 혹은 국가 간 물리적 충돌이나 분쟁이 발생하고 있으며 사이버 영역으로 확대되고 있다.

해킹 그룹은 목표물을 공격하기 위한 사전작업으로 목표 관계자와 주변을 사회 관계망 서비스(SNS)로 확인하고, 피싱 공격, 악성코드 감염, 해킹 등을 통해 얻은 시스템 관리자 등의 계정정보를 이용한다. 또한 딥페이크 기술을 적극 활용해 가짜 뉴스를 생산하고, 예전에 유출된 내용으로 거짓 해킹을 주장할 수도 있다.

국가 주도의 해킹 그룹은 상대 세력의 중요 정보를 몰래 유출하기 위한 활동과 함께, 사회 전반에 혼란과 장애를 일으킬 수 있는 공격을 시도한다. 핵티비스트들은 자신들의 신념에 따라 공격 대상을 정해 지속적인 공격을 진행할 것으로 보인다.

KISA, 유관기관·기업 협력해 피해 예방

한편 이 보고서는 KISA, 안랩, 지니언스, 이글루코퍼레이션, NSHC, S2W, 카스퍼스키, 맨디언트, 마이크로소프트, 스플렁크, 트렌드마이크로 등이 함께 분석한 것으로, 올해 발생한 주요 위협으로 ▲보안프로그램 취약점과 소프트웨어 개발자 대상 공급망 공격 확대 ▲개인정보를 노려 진화하는 메신저 사칭 공격과 피해 재확산 ▲랜섬웨어 공격과 산업 기밀정보 공개를 빌미로 하는 금전 협박 등을 들었다.

KISA는 진화하는 위협에 대응하기 위해 유관기관과 협력해 공격 탐지와 차단, 소프트웨어 개발사와 신속한 보안패치 배포 등 피해 확산 방지에 적극 대응하고 있다. 보안역량이 취약한 기업을 위해 홈페이지, 시스템 등의 보안 취약점 점검, 실전형 모의침투 훈련 지원, 국민들을 대상으로 모바일기기·PC의 자가 보안점검 서비스를 제공하고 있다.

홍진배 과기정통부 네트워크정책실장은 “사이버 공격은 서비스 장애나 불편을 넘어서, 사회 전체를 마비시키고 생명을 위협할 수 있다”며 “민관이 함께 협력해 알려진 사이버 위협은 또다시 재발하지 않도록 철저히 분석해 대책을 마련하고, 새로운 위협은 선제적으로 예방할 수 있도록 노력해 안전한 디지털 세상을 만들어 가겠다”고 밝혔다.