ENISA에 따르면 지난 1년간 러시아-우크라이나 분쟁의 여파가 보안 공격 분야에도 영향을 미쳤다. 국가의 후원을 받는 위협 행위자가 우크라이나를 지원하는 42개국의 128개 정부 조직을 표적으로 삼는 등 핵티비스트(hacktivist; 정치·사회적 목적으로 해킹하는 사람 또는 행위를 의미한다) 활동이 증가하는 결과를 낳았다.
최신 ENISA 위협 환경 보고서(The 10th edition of the ENISA threat landscape report)는 몇몇 위협 행위자가 분쟁 초기에 정보 수집을 위해 우크라이나와 러시아 기관을 목표로 삼았다고 언급했다. ‘지정학적 불안, 2022년 사이버 보안 위협 환경 뒤흔들다(Volatile Geopolitics Shake the Trends of the 2022 Cybersecurity Threat Landscape)’라는 제목의 보고서는 지정학적 상황이 사이버 보안에 계속해서 큰 영향을 미치고 있다고 전했다.
제로데이 및 DDoS로 이뤄지는 국가 후원 공격
보고서는 국가에서 후원하는 위협 행위자가 주로 사용하는 공격 유형을 파악했다. 여기에는 제로데이 및 핵심 취약점 공격, 운영기술(OT) 네트워크 공격, 정부 기관 및 주요 기반 시설의 네트워크를 파괴하고 교란하기 위한 와이퍼 공격, 공급망 공격이 있었다. 이밖에 소셜 엔지니어링, 허위 정보, 데이터 위협도 포함됐다.
아울러 국가 후원 위협 행위자가 동남아시아, 일본, 호주, 대만의 정부 조직을 표적으로 삼는 정황도 관찰됐다. 아시아 특정 국가 간의 긴장이 고조되면서 위협 행위자는 대만과 긴밀한 관계를 맺고 있는 국가(EU 회원국 포함)를 타깃으로 했다. ENISA는 “특히 긴장이나 갈등이 고조되는 시기에 정보 수집을 위해 사이버 공격을 하는 국가가 점점 더 많아지리라 예상한다”라고 밝혔다.
한편 각 국가 정부도 사이버 공격을 공개적으로 식별하고, 법적 조치를 취하고 있다. ENISA는 “공개적으로 사이버 캠페인의 공격자를 추적하여 실체를 특정하거나(attribution), 적대국의 기반 시설을 파괴하거나, 공격자가 소속돼 있는 기관이나 국가를 공개적으로 밝혀 국제 여론의 심판을 받게 하는(name and shame) 모습을 보게 될 것”이라고 덧붙였다.
가장 많은 사이버 공격 유형은 여전히 랜섬웨어
랜섬웨어는 올해에도 사이버 공격 유형 1위 자리를 지켰다. 조사 기간 동안 매달 10테라바이트 이상의 데이터가 도난당했으며, 피싱은 이러한 공격의 가장 일반적인 초기 벡터로 식별됐다. 또 보고서는 피해를 본 조직의 60%가 몸값을 지불했을 가능성이 있다고 언급했다.
두 번째로 많이 사용된 공격 유형은 DDoS였다. 지난 7월 아카마이는 자사의 DDoS 방어 플랫폼 ‘프롤렉식(Prolexic)’을 사용하는 유럽 고객을 겨냥한 최대 규모의 DDoS 공격을 탐지하고 차단했다고 밝혔다. 공격의 트래픽은 14시간 동안 최고치 853.7Gbps 및 659.6Mpps(초당 메가패킷)를 기록했다.
모든 부문이 공격의 희생양이 됐지만 특히 공공 행정과 정부 기관이 가장 큰 영향을 받아 전체 사이버 공격 피해자의 24%를 차지했다. 이어 디지털 서비스 업체(13%), 일반 기업(12%)이 그 뒤를 이었다. 이 3개 부문만 해도 올해 전체 공격의 50%에 이르렀다.
ciokr@idg.co.kr