구글 “北 해커 위장취업 뒤 VPN·조력자로 기업 내부 침투”

구글 클라우드, 사이버 보안 위협 현황 보고서 밝혀
“亞 취약점 공격 따른 초기 감염, 글로벌 대비 2배”
“러·중 사이버 첩보 조직의 표적 공격 증가”

ⓒ뉴시스

최근 북한이 자국민을 원격 IT 계약 인력으로 파견해 외화 수익, 정권 자금을 확보하고 있는 것으로 나타났다. 이 인력들이 탈취하거나 날조한 신원, 허위 경력·서류를 활용해 미국과 유럽의 기술 기업에서 고임금 일자리를 얻고 있는 상황이다. 구글은 이들이 채용 이후 가상사설망(VPN)과 현지 조력자를 통해 실제 위치를 숨기고 기업 시스템 접근 권한을 유지한 채 정상적인 네트워크 트래픽에 섞여 탐지를 회피하는 수법을 쓰고 있다며 주의를 당부했다.

구글 클라우드 맨디언트 컨설팅 팀은 27일 오전 서울 중구 서을스퀘어에서 열린 ‘맨디언트 M-트렌드 2025’ 미디어 브리핑에서 최근 보안 위협 양상을 소개하며 “생체 인증을 포함해 직원에 대한 철저한 신원 조사를 시행하고 이들의 학력·경력을 독립적인 출처와 대조해 확인해야 한다”며 이같이 밝혔다.

컨설팅 팀은 “화상 면접을 요구해 면접 절차를 강화하고 이를 꺼리는 지원자는 경계해야 한다. 이들이 만들어낸 페르소나와 실물 간에 불일치하는 점이 있는지 주의를 기울여야 한다”고 강조했다.

컨설팅 팀은 암호화폐, 블록체인 등 웹3 기술이 탈취·돈세탁·불법 활동 자금 조달 수단으로 악용되는 사례도 늘고 있다며 주의를 당부했다. 북한 연계 공격자들을 포함한 위협 행위자들은 정교한 소셜 엔지니어링 기법과 취약점 악용을 통해 상당한 양의 디지털 자산을 탈취하고 있다고 설명했다.

암호화폐 거래는 자금 흐름이 불투명하고 스마트 계약의 불변성 때문에 추적과 규제가 어려운 데다 악성 인프라를 호스팅하는 데도 악용될 수 있는 잠재적 위험성을 지닌다. 특히 사용자 지갑에서 암호화폐를 탈취하는 ‘드레이너’ 공격이 늘면서 이를 손쉽게 실행할 수 있도록 돕는 ‘서비스형 드레이너(DaaS)’ 시장까지 등장한 것으로 확인됐다.

◆초기 감염 경로 1위 ‘취약점 공격’ 비중, 아시아·태평양선 글로벌 대비 2배

‘M-트렌드’는 맨디언트 컨설팅 팀이 발간하는 사이버 보안 연례 보고서다. ‘M-트렌드 2025’ 보고서는 지난해 표적 공격 활동을 조사한 결과를 기반으로 하며 전 세계 45만 시간의 침해 사고 대응 활동에서 수집한 데이터를 분석했다.

탐지된 위협 그룹 과반수가 금전적 동기(55%)를 가지고 있었다. 간첩 활동을 목적으로 한 위협 그룹 비중(8%)은 전년(10%) 대비 소폭 줄었다. 지난해 가장 많이 표적이 된 산업은 금융 서비스로 17.4%를 차지했다. 비즈니스·전문 서비스(11.1%), 첨단 기술(10.6%), 정부(9.5%), 의료(9.3%)가 그 뒤를 이었다.

사이버 공격 초기 감염 경로는 5년 연속 취약점 공격(33%)으로 나타났다. 자격 증명 탈취(공격자가 도난당한 자격 증명, 보안 취약점으로 사용자 자격 무단 접근)는 이번 조사 항목에서 처음으로 2위(16%)에 오르며 해당 유형 공격이 점점 증가하는 추세다. 이전에는 피싱 이메일이 2위였으나 지난해 14%를 기록하며 관련 공격이 줄어들고 있다.

아시아·태평양·일본(JAPAC) 지역에 한해서도 취약점 공격(64%)이 가장 흔한 초기 감염 경로로 글로벌 지표 대비 약 2배로 나타났다. 자격 증명 탈취(14%), 웹사이트 침해(7%)가 뒤를 이었다.

가장 빈번하게 악용된 취약점은 네트워크 경계(에지)에 위치한 보안 장비였다. 주요 네트워크 취약점 중 상당수는 최초 공격 시점에서 아직 패치가 발표되지 않은 ‘제로데이’를 악용한 것으로 밝혀졌다. 심영섭 구글 클라우드 맨디언트 컨설팅 한국·일본 지역 총괄은 최근 광범위한 위협 행위자들이 에지 장비를 노리고 있는 가운데 특히 러시아, 중국 정부와 연계된 것으로 추정되는 사이버 첩보 조직 공격 시도가 눈에 띄게 증가했다고 분석했다.

심 총괄은 공격자들이 목표 달성을 위해 다양한 공격 기회를 적극적으로 모색하면서 탈취한 자격 증명을 활용해 시스템에 침입하는 ‘인포스틸러 악성코드’ 공격이 증가했다고 말했다. 공격자들이 클라우드 전환 과정에서 발생하는 보안 취약점을 공략하거나 안전하지 않은 데이터 저장소를 공격해 자격 증명, 중요 정보를 탈취하는 등 다양한 방식으로 공격 기회를 포착하고 있다며 주의를 강조했다.

한편 지난해 조사에서 관찰된 205개의 멀웨어(악성 소프트웨어) 유형 중 35%는 백도어(정상 인증 절차 우회해 접근하도록 설치되는 프로그램)였으며, 14%는 랜섬웨어, 8%는 드로퍼(악성코드를 설치하기 위해 설계된 프로그램)였다. 전통적인 멀웨어를 사용하지 않고 공격자가 기존 시스템에 설치된 합법적인 도구나 기능을 악용하는 LOTL 기법도 발견되고 있다.

◆“亞 기업, 탐지력 취약…내부 보안 가시성 높이고 대응 역량 개선해야”

심 총괄은 “올해 ‘M-트렌드’ 보고서 조사 결과는 JAPAC 지역 조직 전반에 시사하는 바가 크다. 초기 감염 경로로 취약점이 악용된 비율이 전 세계 평균의 두 배에 달하고 침해 사고의 약 70%가 외부 기관에 의해 탐지됐다는 사실은 조직 내부의 보안 가시성과 대응 역량의 지속적 개선이 필요하다는 점을 보여준다”고 말했다.

이어 “특히 제로데이 취약점을 이용한 에지 장비 공격은 신속한 탐지·대응을 어렵게 만드는 만큼 알려지지 않은 위협에 대한 선제적인 방어 전략 수립이 시급하다”며 “위협 행위자들이 끊임없이 기존 보안 체계에 적응하고 진화하듯 우리의 방어 체계 또한 그래야 한다”고 전했다.

오진석 구글 클라우드 코리아 시큐리티 기술 총괄은 “구글 클라우드는 구글의 위협 인텔리전스와 보안 운영, 맨디언트의 전문성을 결합한 구글 통합 보안 플랫폼으로 보안 데이터 패브릭과 AI 기능을 제공한다”며 “구글 클라우드와 함께 국내 기업이 보다 효과적으로 위협을 탐지하고 한층 강화된 보안 환경을 구현할 수 있기를 바란다”고 밝혔다.

[서울=뉴시스]