2024년 악명을 떨친 해킹 방법 12가지

2024년 악명을 떨친 해킹 방법 12가지

애플리케이션 보안해킹보안

2024년 악명을 떨친 해킹 방법 12가지

창의적이고 효과적인 여러 가지 전술로 무장한 공격자는 시스템을 뚫기 위해 무엇이든 사용한다.

CREDIT: PeopleImages.com - Yuri A - Shutterstock.com

 

2024년 해커는 사람들의 호기심을 자극하는 피싱 사기부터 기술 유지 관리의 허점을 드러내는 잔인한 소프트웨어 결함에 이르기까지 시스템에 침입하는 교묘한 방법을 찾기 위해 분주한 한 해를 보냈다. 2024년은 사용자 습관과 보안 관행 사이에 얼마나 큰 격차가 있는지를 보여주는 교묘한 침해 사고가 발생한 해였다.

ESG(Enterprise Strategy Group)의 수석 애널리스트 멜린다 막스는 “매년 새로운 유형의 공격이 발생하지만 해커는 항상 가장 쉬운 방법을 찾아 침입할 것이며, 보안팀의 가시성이나 통제력이 부족한 영역에서 위험을 완화해야 한다는 의미”라고 말했다.

2024년 한 해 동안 공격자가 어떤 방법으로 기업의 방어 체계를 뚫었는지 살펴보자.

 

X-데이로 인해 계속 패치를 적용해야 하는 상황

2024년에는 최근 기억에 남을 정도로 가장 파괴적인 제로데이 및 N데이 익스플로잇이 발생했다. 일부는 유명 공격자가 중요 시스템을 침해하고 국가 수준의 지속적 공격을 감행하기 위해 선택하기도 했다.

ESG 수석 애널리스트 데이브 그루버는 2024년 랜섬웨어 연구를 인용하며 “연구 결과, 소프트웨어 및 구성 취약성이 가장 큰 초기 침해 지점이었다. 소규모 기업의 경우 초기 침해 지점은 비즈니스 파트너를 통한 경우가 더 많았고, 대규모 기업은 소프트웨어 취약점과 관련된 초기 침해 지점이 더 많았다.”라고 설명했다.

패치 작업으로 보안팀은 바쁜 나날을 보냈지만, 그중에서도 특히 파괴적인 몇 가지 익스플로잇이 눈에 띄었다.

 

1. 국가 행위자에 의해 제로데이 공격당한 포티넷 결함

2024년 10월, 포티넷은 공격자가 IP 주소, 자격 증명, 구성과 같은 민감한 데이터를 유출하기 위해 적극적으로 악용하는 포티매니저 플랫폼의 CVE-2024-47575로 추적된 심각한(CVSS 9.8/10) RCE 취약성에 대해 경고했다. 멀웨어나 백도어는 발견되지 않았다. 이 취약점은 야생에서 악용되었으며, 중국의 지원을 받는 볼트 타이푼(Volt Typhoon)과 같은 국가적 행위자들과 연결되어 사이버 스파이 활동을 위해 유사한 포티넷 취약점을 사용했다.

2. 이란의 해킹을 가능하게 한 체크포인트(CheckPoint) 버그

8월에 CISA는 체크포인트의 보안 게이트웨이 소프트웨어의 심각한 결함(CVE-2024-24919)에 대한 경고를 발표했다. CVSS 점수(8.6/10)가 높은 이 취약점으로 인해 이란 해커 그룹인 파이오니어 키튼과 피치 샌드스톰과 같은 공격자가 회사 보안 솔루션의 정보 공개 취약점을 악용할 수 있었다. 공격자가 이 결함을 이용해 VPN 및 모바일 액세스 블레이드를 사용하여 시스템의 민감한 데이터에 액세스하는 등 활발한 익스플로잇이 보고되었다.

3. 이반티 커넥트 결함에서 중국의 악용 사례 발견

2023년 12월, 연구원들은 중국 국가 지원 공격자가 악용한 이반티(Ivanti)의 커넥트 시큐어(Connect Secure)와 폴리시 시큐어(Policy Secure) 게이트웨이에서두 개의 연쇄 제로데이 취약점 CVE-2023-46805 및 CVE-2024-21887을 발견했다. 이러한 결함으로 인해 인증되지 않은 원격 코드 실행이 허용되어 공격자가 손상된 VPN 어플라이언스에서 구성을 훔치고, 파일을 변경하고, 역방향 터널을 설정할 수 있게 되었다. 의료 및 제조와 같은 중요한 분야를 표적으로 삼은 공격자는 고급 측면 이동 및 지속성 기술을 활용하여 지적 재산과 민감한 데이터에 액세스했다. 이 캠페인은 패치되지 않은 엔터프라이즈 소프트웨어의 위험성을 강조했으며, 이반티는 패치 작업을 진행하는 동안 완화 기능을 릴리스하기 위해 동분서주해야 했다.

4. 클레오의 왕좌가 끈질긴 해커에게 넘어가다

12월에는 클레오(Cleo)의 렉시컴(LexiCom), VL트레이더(VLTrader), 하모니(Harmony) 시스템의 결함으로 인해 해커가 불완전한 패치를 악용하여 10곳 이상의 기업에 악영향을 미쳤다. 공격자는 이 취약점을 이용해 악성 코드를 업로드하고 실행하여 민감한 데이터를 노출시켰다. 헌트리스는 침해를 감지하고 완전한 수정 사항이 릴리즈될 때까지 시스템 연결을 끊을 것을 권고했다.

5. 무브잇의 영향은 2024년에도 유효

랜섬웨어 그룹 클롭(Clop)이 악용한 무브잇(MOVEit) 취약점(CVE-2023-35708)은 2023년부터 광범위한 데이터 유출을 일으켰으며, 2024년에도 상당한 영향을 미쳤다. 공격자는 프로그레스 소프트웨어의 무브잇 트랜스퍼의 SQL 인젝션 결함을 통해 전 세계 2,600개 이상의 기업에서 민감한 데이터를 유출하여 정부, 의료, 교육과 같은 산업을 공격했다. 클롭은 랜섬웨어를 사용하지 않고 데이터 도난과 피해자를 압박하기 위한 공개 노출에 의존하는 방식으로 전술을 전환했다. 이 공격은 진화하는 사이버 범죄 수법에 맞서 적시에 패치를 적용하고 강력한 데이터 보안을 구축해야 한다는 점을 강조했다.

2024년에는 패치된 취약점과 패치되지 않은 취약점 모두 광범위한 문제를 일으켰으며, 소프트웨어 결함이 해커의 주요 진입 지점으로 남아 있음을 강조했다. 그러나 한 해 동안 제로데이 익스플로잇의 영향력과 심각성이 N-day 공격을 능가하고 그 수가 더 많아지면서 패치 적용 관행이 개선되었다는 보고서가 발표되어 희소식이 전해졌다.

 

더욱 촘촘해진 피싱 공격

2024년에도 피싱은 여전히 최고의 공격 수법으로 꼽혔으며, 범죄자들은 AI를 이용해 최고 수준의 탐지 도구로도 잡을 수 없는 매우 그럴듯한 사기를 만들어냈다. 올해의 피싱 명예의 전당에는 몇 가지 중요한 캠페인이 있었다.

6. 러시아 피셔에게 속은 마이크로소프트 사용자

기업 환경에서의 지배력 덕분에 가장 많이 사칭된 브랜드 중 하나인 마이크로소프트는 러시아의 미드나잇 블리자드(Midnight Blizzard)가 주도한 것과 같은 주요 피싱 캠페인의 주요 표적이 되었다. 이 APT 그룹은 100개 이상의 기업을 표적으로 삼았으며, 가짜 이메일을 사용하여 피해자가 악성 RDP 파일을 다운로드하도록 유도했다. 이 파일을 통해 공격자는 민감한 기업 데이터에 액세스할 수 있었으며, 피싱 수법이 점점 더 정교해지고 있고 MFA 및 엔드포인트 보안 개선과 같은 방어 수단이 시급히 필요하다는 점을 강조했다.

7. 새로운 피싱의 등장

11월에는 합법적인 것처럼 보이는 가짜 송장을 전송하여 수신자가 무단 결제를 승인하도록 속이는 영리한 피싱 캠페인이 다큐사인(DocuSign)의 엔벨롭스 API(Envelopes API)를 악용하는 사례가 발견되었다. 공격자는 보안 필터를 우회하기 위해 유료 다큐사인 계정을 사용하여 페이팔이나 노튼 같은 브랜드를 모방한 문서를 만들었다. 피해자는 자신도 모르게 거래에 서명하여 막대한 금전적 손실을 입었으며, 이러한 창의적인 공격에 대응하기 위해 더 강력한 인증 및 멀티팩터 인증의 필요성이 강조되고 있다.

8. 알리바바 및 어도비 사용자를 속여 인증정보 유출

2024년에 발생한 또 다른 공격 캠페인은 다소 유사한 수법을 사용한 두 개의 피싱 데뷔자인 알리바바와 어도비를 표적으로 삼았다. 알리바바 사기는 주문 분쟁에 관한 가짜 이메일로 기업을 속여 인증 정보를 탈취했고, 어도비 사용자는 문서 공유 요청을 가장한 피싱 이메일을 통해 인증 정보 도난을 당했다.

 

2024년에 피싱은 전 세계 전체 침해 사고의 무려 36%를 차지하며 해커가 혼란을 야기하려는 전형적인 수법이라는 사실을 다시 한 번 입증했다.

공급망 공격도 우려해야

올해는 여러 건의 대규모 공급망 공격이 발생하여 심각하고 지속적인 피해를 입혔으며, 이 중 일부는 2025년에도 영향을 미칠 것으로 보입니다. 해커는 더욱 창의력을 발휘하여 신뢰할 수 있는 플랫폼과 서드파티 공급업체를 표적으로 삼아 전 세계 산업을 혼란에 빠뜨렸다. 지속적인 사이버보안 문제를 야기한 올해 가장 영향력 있는 두 가지 해킹 사례를 간략히 살펴보세요.

9. 디스코드 사용자를 공격한 봇

3월, 17만 명이 넘는 디스코드 회원을 보유한 Top.gg 봇 커뮤니티는 서드파티 봇 검증 도구인 컬러라마(Colorama)가 침해당하면서 공급망 공격을 받았다. 공격자는 이 도구의 업데이트에 악성 코드를 삽입하여 봇 권한에 대한 액세스 권한을 얻었다. 이를 통해 사용자 데이터를 스크랩하고 토큰을 탈취하고 인증된 봇에 피싱링크를 퍼뜨려 커뮤니티 내 혼란을 야기하고 신뢰를 약화시킬 수 있었다.

10. 대규모 파이파이 해킹

11월에는 공격자가 오타 스쿼팅과 종속성 혼동 수법을 사용하여 인기 있는 파이썬 패키지 저장소인 PyPI를 표적으로 삼은 것이 발견되었다. 공격자는 신뢰할 수 있는 라이브러리로 위장한 악성 패키지를 업로드하여 개발자를 속여 다운로드하도록 유도했다. 일단 설치되면 이 패키지는 키로거, 백도어, 데이터 탈취 도구를 실행하여 수천 명의 개발자와 프로젝트를 위험에 빠뜨렸다. 이 침해는 빠르게 확산되어 엔터프라이즈 및 오픈소스 애플리케이션 모두에 영향을 미쳤다.

이러한 공격 외에도 솔라윈즈와 무브잇의 공급망 침해로 인한 여파가 계속되었으며, 두 사건 모두 수백 개 이상의 기업에 영향을 미쳤다.

마크스는 “공격자는 변조 가능성이 있는 서드파티 및 오픈소스 코드 사용이 증가함에 따라 API와 소프트웨어 공급망과 같이 확장되고 있는 영역을 노리고 있다.”라고 말했다. “보안팀이 효율적으로 작업할 수 있는 적절한 도구와 프로세스를 갖추지 않으면 이러한 문제를 관리하기가 쉽지 않다.”

2024년 해커의 침입을 허용한 사이버 대혼란

2024년에는 내부자 위험과 앱의 잘못된 설정으로 인해 심각한 사이버 대혼란이 발생했다. 직원 데이터가 유출되거나 클라우드 설정이 잘못되어 해커가 쉽게 침입할 수 있는 틈을 제공했다. 한 해 동안 가장 큰 실망감을 안겨준 사건들을 정리해 보았다.

11. 가짜 일자리, 진짜 데이터 절도 : 14명의 북한 요원이 훔친 신원과 가짜 설정을 이용해 IT 직원으로 위장해 원격 근무를 시작했다. 이들은 6년 동안 8,800만 달러를 벌어들이며 민감한 데이터를 훔치고 고용주들로부터 돈을 갈취했다. 또 다른 사례로, 가짜 북한 프리랜서들은 제재를 우회하고 비즈니스 정보를 유출하는 데 도움을 주었으며, 내부자 위험이 북한 정권에 얼마나 큰 금광이 될 수 있는지를 증명했다.

12. 고객의 AWS 실수로 인한 데이터 유출 : 12월에는 잘못 구성된 AWS 인스턴스로 인해 고객 자격 증명 및 독점 코드와 같은 민감한 데이터가 노출되었다. 해커는 수백만 개의 공개 사이트를 표적으로 삼아 잘못 설정된 수천 개의 설정에서 데이터를 유출했다. 이 침해 사고는 강력한 클라우드 구성 관행의 필요성을 강조했다.

위의 주요 진입 지점 외에도 해커는 2차 감염을 위해 손상된 인간 및 기계 자격 증명을 노렸으며, 이로 인해 뉴욕타임스 소스 코드 해킹과 인터넷 아카이브 사고와 같은 침해가 발생했다.

ESG의 수석 애널리스트 토드 티만은 “인간이 아닌 신원은 2024년에 더 많은 주목을 받은 공격 서피스에서 빠르게 성장하고 있는 부분입니다.”라고 말했다. 이 분야에 대한 조사에 따르면 비인간 ID에 대한 가시성이 부족하다고 답한 기업 중 72%가 비인간 계정이나 자격 증명이 유출된 사실을 알고 있거나 의심하고 있는 것으로 나타났다.

2023년에는 옥타(Okta)나 클라우드플레어가 주목할 만한 사고를 겪은 반면, 2024년에는 인터넷 아카이브와 시센스 고객 데이터 유출과 같은 비인간 신원 유출과 관련된 사고가 발생하기도 했다.
dl-itworldkorea@foundryco.com

2024년 악명을 떨친 해킹 방법 12가지

2024년 악명을 떨친 해킹 방법 12가지