올해 상반기 '보안 취약점 판매 브로커' 활개…"전년比 2배 늘어"

[아이뉴스24 김혜경 기자] "올해 상반기에는 'IAB(Initial Access Broker)' 활동이 전년 대비 2배 늘었다. IAB는 초기 침투 경로를 제공하거나 취약점을 판매하는 브로커다. 랜섬웨어 그룹이 역할을 세분화하는 등 훨씬 더 조직적으로 변하고 있다는 방증이다."

20일 서울 중구 SKT 타워에서 열린 SK쉴더스 미디어 세미나에서 이호석 EQST 랩(Lab) 담당은 올해 상반기 주요 보안 트렌드에 대해 이같이 설명했다.

EQST에 따르면 올해 상반기 공격 비율은 전년 대비 49.3% 늘었다. 정보유출 침해사고가 30%로 집계돼 가장 많았고, 악성코드 감염 사고는 28%로 나타났다. 이어 ▲피싱‧스캠(18%) ▲시스템장악(12%) ▲기타(11%) 순으로 조사됐다.

이호석 담당은 "지난해 상반기에는 '랩서스(Lapsus$)' 등 신종 해킹조직의 데이터 탈취가 빈번하게 발생했다면 올해는 국내 제조업을 겨냥한 IAB 관련 정보유출 사례가 급증했다"며 "서비스형 랜섬웨어(RaaS) 공격을 비롯해 올해는 오래된 취약점을 활용한 대규모 랜섬웨어 공격도 늘었다"고 분석했다.

그는 "디도스 공격 등 다른 침해사고 유형과는 달리 랜섬웨어 공격은 보안당국에 신고한다고 해도 이미 탈취한 데이터를 100% 복구하지는 못한다는 점이 특징"이라면서 "기업 입장에서는 랜섬웨어 그룹과 거래를 할 수밖에 없다"고 말했다. IAB를 중심으로 한 랜섬웨어 생태계가 강화될 수밖에 없는 이유라고 이 담당은 설명했다.

또 "최근에는 기업에서 많이 사용하는 솔루션의 보안 취약점을 악용하거나 초기 침투를 수행하고 있다"며 "다수의 기업을 대상으로 동일 전략을 사용할 수 있어 대규모 공격이 가능하다"고 했다.

내부 정보를 탈취하거나 홈페이지를 변조하는 '디페이스(Deface)' 공격과 소프트웨어(SW) 공급망 공격도 두드러졌다. 지난 3~4월 북한 연계 해킹조직이 '3CX'라는 기업용 SW의 취약점을 악용해 공급망 공격을 시도한 사실이 알려진 바 있다.

SW를 이용한 공급망 공격이 또 다른 공격으로 이어진 연쇄적인 공급망 침해라는 점이 특징이다. 맨디언트 등 복수의 미국 보안기업들은 북한을 이번 공격 배후로 지목했다. 이 담당은 "SW 운영 전 과정에 관여되는 특정 타깃만 감염시키면 이를 이용하는 하위 그룹에까지 큰 피해를 입힐 수 있어 각별한 주의가 요구된다"고 전했다.

하반기 보안 위협 전망으로는 ▲IAB의 서비스화 ▲확장된 SW 공급망 공격 ▲북한발 해킹 증가 ▲생성형 AI와 딥페이크 접목 ▲SW 취약점 악용 공격 등을 꼽았다. 이 담당은 "생성형 AI를 딥페이크 기술에 접목해 피해자의 목소리와 얼굴을 모방한 후 피싱 공격을 수행하는 행태도 늘어날 것"이라며 "생성형 AI 모델이 발전함에 따라 정확도와 활용도가 높아질 것으로 보이지만 보안 영역에서 활용하기엔 초·중급 수준"이라고 말했따.