한국인터넷진흥원(원장 이상중, 이하 ‘KISA’)이 국민과 기업 모두 안전한 정보보호를 위해 전방위적인 보안 강화를 당부하며 ‘2024년 하반기 사이버 위협 동향 보고서’를 발표했다.

이번에 발표한 보고서는 사이버 위협 동향과 전문가 칼럼으로 구성됐으며, 전문가 칼럼은 ▲美 트럼프 정부의 AI 규제 완화(예상)에 따른 대응 방안 ▲ASM(Attack Surface Management, 공격 표면 관리 솔루션)의 활용 전망 ▲최근 변화된 핵티비스트 동향 및 라자루스 악성코드 특징 분석 등의 내용이 수록됐다. 

사이버 위협 동향

먼저 최근 2년간 침해사고 신고 통계에 대해, 2023년 1277건에서 2024년 1887건으로 매년 증가하는 추세이며, 전년 대비 약 48%가 증가했다. 특히 서버 해킹(553건)과 정보 유출, 스팸 문자 및 메일 발송 등을 포함한 기타(180건) 유형이 비교적 크게 증가한 것으로 나타났다.

랜섬웨어 감염의 경우 2024년 195건으로 전년 대비 약 24%가 감소했으나, 대기업에 비해 보안 투자가 어려운 중견·중소기업의 피해가 전체 94%로 확인되었다.

피해가 발생한 업종별로는 정보통신 분야에서 2024년 601건으로 가장 높은 비중을 차지했고, 상대적으로 보안 관리가 취약한 협회 및 단체, 수리 및 기타 개인 서비스업이 2024년 121건으로 전년 대비 약 66%가 증가했다.

한편, 전문가 칼럼에서 앞으로 기업들이 준비해야 하는 변화된 국내외 주요 보안정책과 대응 기술을 소개했다.

美 트럼프 정부의 AI 규제 완화(예상)에 따른 대응 방안

AI 규제 완화에 대해, 미국이 규제를 완화하면 다른 국가들이 AI 남용이나 기술 독점을 방지하기 위해 규제 체계를 강화할 가능성이 커지기 때문에, 한국은 EU의 ‘AI Actʼ나 영국의 AI 안전 규제 등 글로벌 흐름을 고려해 신뢰성과 기술 발전의 균형을 맞추는 정책을 마련해야 한다고 전했다.

한국은 AI 기술력에서 이미 세계적인 수준에 도달했지만, 미국과 유럽 등 주요국들의 정책 변화와 기술 혁신 속에서 지속 가능한 경쟁력을 유지하기 위해 보다 전략적이고 체계적인 대응이 요구된다.

또한, 글로벌 AI 산업은 기술 혁신과 규제 정책이 복합적으로 얽힌 환경 속에서 빠르게 재편되고 있다. 그러나 시장 중심의 접근이 가져올 수 있는 기술 남용과 신뢰성 문제를 간과해서는 안 되므로, 기술 혁신의 속도를 높이는 동시에 윤리적 AI 생태계를 조성하고 글로벌 표준화를 주도함으로써 신뢰와 혁신의 균형을 유지해야 한다.

이에 따라 한국은 글로벌 협력 강화, 윤리적 AI 생태계 구축, 국제 표준화 주도라는 세 가지 핵심 전략을 중심으로 대응 방안을 마련해야 한다고 설명했다.

ASM 활용 전망

조직 내 정보자산들의 공격표면을 관리하는 ASM 솔루션은 네트워크상 연결되어 있는 조직의 모든 IT자산 식별 및 가시화 기능, 식별된 해당 자산들에 존재하는 취약점 식별 기능이 탑재됐다.

ASM 솔루션들은 초기에 두 기능만을 갖춘 경우가 다수였다. 그러나 CTI(Cyber Threat Intelligence, 사이버위협정보)와 결합해 점차 조직의 위협요소들을 종합 관리하는 솔루션으로 진화하고 있다.

특히, ASM은 보안관제 플랫폼인 SIEM 솔루션들과 연동해 보안 모니터링 업무에 있어 효율을 증가시키는 방향, 또는 최신 취약점 정보를 이용해 상시 취약점 점검을 수행할 수 있는 보안 컴플라이언스 플랫폼으로 발전할 것이라고 보고서는 예상했다.

핵티비스트 동향 및 라자루스 악성코드 특징 분석

① 핵티비스트 동향

한편, 최근 핵티비스트(Hack + Activist, 사회적 목적을 위해 해킹 기술을 사용하는 사람) 그룹 및 동맹 그룹들이 국내 정부 및 공공기관을 대상으로 한 DDoS 공격량이 증가하고 있다고 전했다.

핵티비스트들은 정치적인 이슈에 관련해 딥·다크웹 포럼보다 텔레그램에서 사이버 보복 작전에 동참하도록 구독자를 선동하고 있었다. 한국 정부가 우크라이나 지원 및 러·북 군사 협력 공공 대응 의지를 드러냄에 따라, 핵티비스트 그룹들도 사이버 보복 작전을 #OpSouthKorea(Operation South Korea)라고 칭하며 한국을 공격했다.

#OpSouthKorea 캠페인을 시작하고 한국을 공격한 주요 핵티비스트 그룹은  ▲RTF(Russian Task Force) ▲Z-Pentest ▲Noname057(16) ▲Народная CyberАрмия(People’s Cyber Army) ▲ALIGATOR BLACK HAT 등이 조사됐다.

11월 중순부터 그 빈도가 줄었으나, 추후에 특정 발언이나 이슈로 인해 다시 한국이 공격 대상이 될 가능성도 존재하기 때문에 이에 대한 주의가 필요하다.

텔레그램 내 핵티비스트 그룹들은 중간 그룹을 매개로 2~3단계를 거치면 상호 간 간접적인 연결이 이루어져 있었다. 이로 인해 특정 그룹이 캠페인을 시작하면 연관된 그룹들 전체적으로 캠페인이 퍼져나간다는 특징도 발견됐다.

이처럼 해킹 그룹 간 네트워크 규모가 커지면서 정보와 자원을 공유하고 협력해 공격을 계획하거나 실행하는 방식이 점차 조직화되고 있다. 따라서, 국가 그룹에 국한되지 않고 공격 범위가 확대되고 있어 관련 해킹 그룹 연합에 대한 이해 및 지속적인 모니터링이 필요하다고 전했다.

② 라자루스 악성코드 분석

한편, 금융보안SW 취약점 등 워터링홀 공격기법으로 국내 주요 기업 내부에 침투해 민감한 정보 등을 전문적으로 탈취하는 국가배후 해킹그룹인 라자루스가 2024년 이용한 악성코드에 대해 분석했다.

라자루스 악성코드는 해마다 새로운 전략을 선보이기보다는 기존 악성코드 전략을 기반으로 기능을 지속적으로 확장하며 감염 성공률을 높이고 있다.

특히, 악성코드를 정상 파일과 서비스 이름으로 위장하고 호스트 내에 저장된 원격제어 악성코드를 메모리에 인젝션하여 실행하는 전략은 변하지 않고 있으며, 올해에는 악성코드가 동작하기 위해 특정 레지스트리 값 검증 등 다양한 조건이 추가됐다.

또한, 악성코드의 유연성과 효율성을 높이기 위해 추가 악성코드, 명령조종지 설정 파일, 복호화 키 등을 분리하는 악성코드 모듈화 전략을 사용했다.

이번에 분석된 라자루스의 악성코드를 ▲MachineGuid 값 검증 ▲공격자가 수동으로 다운로드 ▲레지스트리 및 특정 경로에 은닉 ▲ADS 영역 약용 악성코드로 분류했다.

2024년 7월 초 IT 기업 A 사고에서 발견된 악성코드는 보안장비 탐지 우회를 위해 윈도우 운영체제의 DLL 사이드 로딩 기법(디렉터리 검색 순서 변조해 정상적인 파일 실행 시 악성 DLL 우선 로드)으로 악성코드가 실행되는 특징이 발견됐다.

DLL 파일은 로더(Loader)형 악성코드로 129MB의 비정상적인 파일 크기를 가지고 있으며, 특정 조건이 충족될 때만 동작한다.

MachineGuid 검증 이후에 악성코드 내부에 숨겨진 바이너리를 AES-128 복호화를 통해 또 다른 2차 로더(PE 파일)를 생성하며, 메모리에서 실행시킨다. 복호화 키는 악성코드가 실행 중에 하드코딩되어 있는 XOR 키를 실행 인자값과 XOR 연산하고, 이어서 정상 EXE 파일명과 XOR 연산을 통해 생성한다.

이때 실행 인자값이 존재하지 않은 oci.dll 파일은 정상 EXE 파일명만 사용하여 복호화 키를 생성한다. 각 DLL 파일에서 사용되는 XOR 키는 서로 다르게 설계됐다. 이후 복호화된 2차 로더는 메모리에서 직접 실행되며, 실행 시 DLL 파일명을 인자값으로 실행한다.

한편, A 사고에서 발견된 또 다른 유형의 악성코드는 공격자가 실제 단말에 원격 접속하여 악성코드 유포지에서 수동으로 악성코드를 다운로드 후 실행했다.

해당 악성코드는 다른 라자루스 악성코드와 달리 서비스 전용으로 설계되지 않아 Service Timeout 문제가 발생한 이벤트 로그를 확인했으며, 공격자가 수동으로 악성코드를 다운로드하고 실행한 것으로 추정했다.

다운로드된 악성코드는 ‘Base64’로 인코딩과 더미다(Themida)로 패킹되어 있으며, 실행하기 위해 공격자는 윈도우 운영체제의 정상 유틸리티 프로그램(certutil.exe, rundll32.exe)을 이용하는 LoTL(공격자가 별도의 외부 도구를 사용하지 않고, 이미 설치된 정상 소프트웨어, 스크립트, 유틸리티를 악용해 공격을 수행하는 기법)을 사용했다.

7월 말 IT기업 B, C에서 발견된 악성코드는 감염 단말의 레지스트리 및 특정 경로에 존재하는 SCOUT 악성코드를 복호화하고 메모리에서 실행했다. SCOUT는 라자루스 그룹이 과거부터 사용하는 다운로더 악성코드로, 초기 침투 이후 추가 페이로드를 다운로드 및 실행하여 감염 시스템을 제어하는 데 사용한다.

해당 사고에서는 총 2가지 버전의 SCOUT 악성코드가 확인됐으며, SCOUT v2.3에서는 PDB 경로가 남아 있어 공격자가 악성코드 이름을 SCOUT로 명명한 사실도 알 수 있다. SCOUT v1과 비교하면 루틴이 약간 추가된 형태가 확인되고 있지만, 실질적인 기능은 동일했다.

또한 9월 국내 언론사에서 발표된 라자루스의 악성코드의 특징으로 ADS(Alternate Data Stream)를 악용하는 것이 조사됐다.

ADS는 NTFS 파일 시스템에서 제공하는 기능으로 파일에서 사용되는 기본 스트림 영역 외 추가 데이터 스트림을 저장할 수 있도록 도와준다. 파일명 뒤에 ‘:’ 구분자를 사용해 하나 이상의 추가 데이터 스트림을 연결할 수 있으며, 일반적인 방법으로는 파일명 앞부분만 확인되기 때문에 숨겨진 데이터를 식별하기 어렵다.

따라서 이러한 특성을 악용해 공격자들은 악성 페이로드나 데이터를 은닉하는 데 ADS를 사용하기도 했다.

또한 KISA는 이번 보고서에서 라자루스 악성 코드의 특징으로 ▲DLL Side-Loading ▲실행 인자값 ▲문자 기반 치환 알고리듬 ▲MachineGuid 값 검증 ▲암호 알고리듬 ▲악성코드 모듈화 ▲다계층 공격 인프라 ▲HTTP POST, KEY=VALUE 쌍 등의 통신 문자열 구조 등을 설명했다.

2025년에도 라자루스는 워터링홀, 스피어피싱, 제로데이 취약점과 같은 초기 침투 기법과 악성코드 위장 기법은 여전히 라자루스 공격의 핵심 특징으로, 기존 악성코드의 전략과 전술을 확장한 사이버 공격을 이어갈 것으로 예상된다.

따라서 기업 보안 담당자들은 공격자에게 노출될 수 있는 자산을 식별하고 관리하며, 공급망의 중앙솔루션 모니터링을 강화해 잠재적인 위협을 사전에 탐지할 수 있도록 해야 한다. 또한, 최신 보안 패치 및 취약점 관리를 철저히 수행해야 한다.

이번에 발표된 ‘2024년 하반기 사이버 위협 동향 보고서’는 KISA 보호나라 누리집에서 다운로드 및 확인이 가능하다.

KISA 이동근 디지털위협대응본부장은 “기업들이 이번 보고서를 참고해 사전 대응체계 마련과 내부 보안 인식 제고에 활용할 것”이라며 “KISA는 앞으로도 사이버 침해사고 예방과 피해 확산 방지를 위한 노력뿐만 아니라 사고가 발생한 영세 중소기업에 대해 침해사고 피해지원 서비스 등을 통한 피해 복구 지원도 최선을 다하겠다.”라고 말했다.