랜섬웨어 그룹이 조직화하면서 국내 제조업을 타깃으로 한 공격이 늘어난 것으로 확인됐다. 랜섬웨어 그룹은 초기 침투 전문 브로커(IAB·Initial Access Broker)를 중심으로 전문 지식 없이 손쉽게 공격을 시도해 금전적 이득을 얻을 수 있는 생태계를 확립했다. 이러한 랜섬웨어 조직은 기업 기밀 정보나 영업정보 탈취를 목적으로 국내 제조업을 노렸다.
이호석 SK쉴더스 이큐스트(EQST) 랩(Lab) 담당은 20일 오전 서울 중구 SKT타워에서 열린 ‘2023년 상반기 주요 보안 트렌드 및 인공지능(AI) 보안 위협 전망 공유’ 미디어 세미나에서 “올해 상반기 국내 침해사고 중 제조업 사고는 19%로 가장 높은 비중을 차지했을 정도로 제조업을 겨냥한 공격 시도가 지속하고 있다”면서 “제조업은 다른 업종과 달리 랜섬웨어 공격을 받으면 공장 운영을 중단해야 하는 등 피해가 커지는 특징이 있다”고 말했다.
랜섬웨어 그룹 조직화로 공격이 늘어나는 추세다. 랜섬웨어 그룹은 기업 기밀 정보 탈취를 위한 초기 활동을 하는 IAB를 비롯해 랜섬웨어 개발자, 웹 디자이너·개발자 등 역할을 분담해 공격을 세분화하고 있다. 한국을 공격한 랜섬웨어 조직 수도 지난해 상반기 3개에서 하반기 5개, 올 상반기 6개로 증가하고 있다.
이 담당은 “프리랜서 해커가 IAB가 해킹한 정보를 사서 직접 해킹 공격을 하고, 총책이 피해기업과 협상해 받은 수익을 공유하는 방식”이라면서 “IAB를 중심으로 분업화해 운영되고 있다”고 말했다.
그러면서 “랜섬웨어 피해 기업은 국가정보원과 한국인터넷진흥원(KISA)에 신고해도 100% 데이터 복구가 불가능하다”면서 “피해기업이 랜섬웨어 그룹과 한 번 불법적인 거래를 하면 2차·3차 협박에 순순히 응할 수밖에 없다”고 덧붙였다.
이 담당은 랜섬웨어 공격 대상이 대기업에서 1·2차 협력사나 계열사로 전환하고 있다고 분석했다. 이 담당은 “1·2차 협력사가 보유한 데이터는 대기업 데이터만큼 중요한 데 비해 보안은 허술해 공격 대상이 된다”면서 “그룹사·계열사 대상 해킹 사례도 늘어나고 있다”고 말했다.
연쇄적 소프트웨어(SW) 공급망 공격 사례도 소개했다. A사 SW 감염이 협력사인 B사로 이어진 경우다. A사에서 근무를 한 B사 협력직원이 매개가 됐다. 또 의도적으로 스파이칩을 심은 사례도 있다. 해킹 그룹에 매수된 부품 공장이 스파이칩을 심어 납품한 것이다. 이 담당은 “올 상반기 중국 화웨이 등 5G 통신 장비에 쓰이는 부품에 스파이칩을 심어 논란이 일었다”면서 “스파이칩은 다른 칩과 함께 묶어 제조해 납품하면 파악하기 어려워 자주 발생하고 있다”고 말했다.
올해 하반기 생성형 AI로 인한 보안 위협이 커질 것으로 내다봤다. 이 담당은 “AI를 이용해 목소리·얼굴 등을 딥페이크한 피싱 공격이 보다 정교해지고, 다양한 패턴이 성행할 것”이라고 말했다.
조재학 기자 2jh@etnews.com
