2022년 한 해동안은 어떤 보안 이슈들이 발생했을까요? 러시아-우크라이나 전쟁, 멀웨어, 디도스 공격 등 다채로운 사이버 보안 위협들이 발생한 한해였습니다. 이번 콘텐츠에서는 한 해를 마무리하며 그동안 국내·외에서 발생했던 보안 관련 사고와 이슈들을 정리해보았습니다.
January
“전세계 강타한 아파치 로그4j”
전 세계적으로 광범위하게 사용되는 오픈소스 소프트웨어 라이브러리 아파치 로그포제이(log4j2)에서 심각한 보안 취약점이 발견되어 논란이 되었습니다. 로그포제이란 기업 홈페이지 등 인터넷 서비스 운영 관리 목적으로 로그기록을 남기기 위해 사용하는 프로그램입니다. 이번 취약점은 공격 방법이 쉽고 공격자가 노릴만한 대상이 많기 때문에 심각한 피해가 발생할 수 있음을 보안전문가들은 강조하였습니다.
“오미크론 변이 관련 대학생 대상 피싱공격 성행"
“전세계 IoT장비 1만 1700대 감염”
전 세계 72개국 사물인터넷(IoT)장비 1만 1,700대가 ‘Mozi 봇넷’라는 악성코드에 감염된 사실이 확인되었습니다. Mozi 봇넷은 보안에 취약한 비밀번호를 사용하거나 최신 소프트웨어를 사용하지 않는 장비 등을 공격하여 악성코드를 감염시킨 후 감염된 장비를 분산서비스거부(DDoS)공격을 위한 좀비PC로 활용하는 악성코드입니다.
소개팅 앱 골드스푼이 해킹으로 고객들의 개인정보 유출로 인해 1억 2979만원의 과징금과 1860만원의 과태료를 부과하였습니다. 개인정보위원회에서 확인한 결과 법령 등에서 허용한 경우가 아님에도 주민등록번호가 포함된 신분증, 가족관계증명서 등을 수집하고 이용자에게 동의를 별도로 받지 않고 종교정보를 처리하였습니다. 또한 개인정보 유출 사실을 이용자에게 개별적으로 통지하지 않고, 탈퇴한 이용자의 개인정보를 파기하거나 분리하지 않았습니다.
April
“랩서스로 불리는 해킹그룹으로부터 공격당한 기업들 다수 발생”
해킹그룹 ‘랩서스(Lapsus$)라 불리는 해킹그룹으로부터 엔비디아, 마이크로소프트 등 거대 글로벌 기업들의 데이터가 침해되었으며, 공격을 당한 것으로 추정되는 기업들이 대거 등장하였습니다. 랩서스는 다크웹을 통해 임직원 정보를 구매하거나 계정 유출 기능 악성코드를 유포하는 등 피해 기업 임직원의 계정 정보를 적극적으로 수집한 것으로 나타났습니다. 영국 수사 당국에서는 두명의 10대 청소년을 랩서스에 가담한 혐의로 기소하기도 했습니다.
May
“전쟁으로 증가한 디도스(DDoS) 공격”
분산서비스 거부(DDoS)디도스 공격이 지난 분기에 비해 1분기에 46%증가한 것으로 나타났습니다. 러시아의 우크라이나 침공으로 인해 해커들의 활동이 급격히 늘어난 것으로 보였으며, 디도스 공격의 시간이 수주에 걸칠 정도로 긴 기간임을 보아 표적을 괴롭히기 위한 현상으로 해석하였습니다.
June
“NFT관련 사이버 공격 증가”
대체불가토큰(NFT)에 대한 관심이 증가하면서 이와 관련한 사이버 공격 역시 증가하였습니다. 사이버 펑크 에입(Cyberpunk Ape)과 관련된 NFT사기극으로 인해 NFT아티스트들이 피해를 입기도 했습니다. 공격자들은 스스로를 사이버 펑크 에입의 운영진으로 가장하고 글을 올려 피해자들이 링크를 클릭하게끔 유도하여 정보탈취 기능이 있는 실행파일을 통해 피해자의 시스템에 멀웨어를 심는 방식이였습니다. 많은 기업들이 NFT를 활용하면서 피해자들의 범위도 커질 것으로 예측됩니다.
July
“유명아파트 월패드에서 보안 취약점 발견돼”
유명 브랜드 아파트에 설치되어있는 스마트홈 월패드에서 보안 취약점이 발견되어 아파트 입주민들의 공포감이 증폭되었습니다. 발견된 월패드 취약점은 스마트홈 애플리케이션이 서버에서 검증을 수행하지 않아 발생하는 인증 우회 취약점으로 심각도가 높으며 공통 취약점 등급 시스템 점수는 7.3점에 이르는 것으로 분석되었습니다. 이번 취약점을 악용할 시 사용자 인증 우회가 가능하기 때문에 월패드 내 보안시스템 구축이 필요한 것으로 나타났습니다.
August
“메타, 개인정보 처리방침 동의 약관 철회”
메타는 국가 기관 및 제3자 등 개인정보 제공 범위를 세분화한 개인정보처리방침을 제시하면서 업데이트 적용 시점까지 동의하지 않은 사용자들의 계정이용 제한을 예고하여 논란이 되었습니다. 이후 메타는 기존 한국사용자에게 요청되고 있는 개인정보처리방침에 대한 동의절차를 철회하였습니다.
“정부 사이버 보안 10만인재 양성 추진방안 공개”
윤석열 대통령은 사이버 전력과 기술 고도화를 위해 “사이버 보안 10만 인재 양성”정책의 추진방안을 제11회 정보보호의 날 기념식에서 발표하였습니다. 주요 내용은 정보보호 특성화대학 확대 지정 및 사이버 부사관 특화 정보보호 전문 대학을 신설하여 정보보호 인력 규모를 늘리며, S-개발자 프로그램을 추진하는 등 보안인력 교육체계도 확대할 예정임을 강조하였습니다.
September
“구글플레이에서 악성 앱 발견”
35개의 악성 앱이 구글플레이(Google Play)에 등장하였습니다. 200만명의 사용자가 해당 앱들을 다운로드한 것으로 알려졌으며, 해당 앱들은 프로그램 실행 중 광고를 보여주고 비용 납부를 대신하는 애드웨어(Adware)로 사용자들이 이를 설치하면 화면에 광고가 끊임없이 나타나게 됩니다. 애드웨어를 통해 사용자의 기기에 공격자가 원하는 콘텐츠를 노출함으로써 다른 멀웨어도 비슷한 형태로 공격을 감행할 수 있기 때문에 보안기업들은 방어 솔루션을 도입할 것을 권고하였습니다.
October
“IBM 시큐리티 '2022년 데이터 유출 비용 연구 보고서'에 따르면 한국기업 데이터 유출 피해액 사상 최고 기록”
IBM시큐리티의 ‘2022 데이터 유출 비용 연구 보고서’에 따르면 지난 1년간 전 세계 기업은 데이터 유출로 인해 평균 약 60억원의 손실을 기록했으며, 한국 기업은 43억 3,400만원으로 사상 최고 피해액을 기록하였습니다. IBM은 데이터 유출로 인한 피해액을 최소화하기 위해서는 제로트러스트 보안 모델 채택을 권장하였습니다. 실제로 보고서에 따르면 제로트러스트 접근 방식을 도입하지 않은 국내기업의 피해액은 50억원인 반면, 도입 후 성숙기에 접어든 기업의 피해액은 약38억으로 제로트러스트 도입의 중요성이 강조되었습니다.
November
“네이버 사칭한 피싱메일 다수 발견”
국내 포털사이트 네이버의 아이디 보호조치가 실시되었다는 내용의 피싱공격이 다수 발견되어 네이버 사용자들의 각별한 주의가 요구되었습니다. 메일 내용의 링크를 클릭하면 네이버 로그인 화면으로 위장한 피싱 사이트로 이동하게 됩니다. 피싱 사이트가 정상적인 네이버 로그인 페이지와 매우 흡사하여 사용자는 알아채기 쉽지 않으며 네이버 계정 정보가 유출될 수 있어 사용자들의 각별한 주의가 필요했습니다.
“북한 해커에서 카카오 사태를 악용한 악성코드 유포”
한국인터넷 진흥원(KISA)과 과학기술정보통신부는 카카오에서 배포하는 카카토옥 설치 파일로 위장해 악성 프로그램 설치를 유도하는 해킹 메일을 확인하였습니다. 보안 전문가들은 카카오사태를 악용한 악성코드 유포 배후를 북한으로 지목하였으며, 민관합동체계를 더욱 강화해야 한다고 밝혔습니다.
December
“영국의 한국에 대한 개인정보보호 적정성 결정 최종 채택”
영국의 한국에 대한 '개인정보보호 적정성 결정'이 최종 채택, 발효되었습니다. 이번 결정으로 인해 영국의 개인정보를 국내로 이전하고자 하는 국내기업을 위한 자유롭고 신뢰할 수 있는 데이터 이전의 기반이 마련돼 한국-영국 간 교류 확대를 지원할 수 있게 됐고, 한국의 개인정보보호 체계를 국제적으로 인정받았습니다.
-
PREV 2022 신시웨이 연말 어워즈 수상자를 발표합니다.
2022-12-27 -
NEXT 2022년, 개인정보보호법에는 어떤 변화가?
2022-12-30