메타버스·NFT 등 신기술 대상 사이버 범죄 늘어난다···로그4j 문제도 장기화 전망

과학기술정보통신부와 한국인터넷진흥원(KISA)은 26일 올 한해 사이버 위협 분석과 내년 사이버 위협 전망을 발표했다. 과기정통부 제공

메타버스와 NFT(대체 불가능 토큰)·인공지능(AI) 등 신기술 산업이 주목받는 가운데 내년에는 이들 기술을 대상으로 한 신종 사이버위협이 기승을 부릴 것이란 전망이 나왔다.

과학기술정보통신부는 한국인터넷진흥원(KISA)과 함께 이 같은 내용이 담긴 ‘올 한 해 사이버 위협 분석과 내년 사이버 위협 전망’을 26일 발표했다.

과기정통부는 올해 가장 위협적인 침해사고로 랜섬웨어 공격을 꼽았다. 랜섬웨어는 ‘몸값’(Ransom)과 ‘소프트웨어’(Software)를 합성한 단어로, 시스템을 잠그거나 데이터를 암호화해 컴퓨터를 사용불능 상태로 만들고 이를 풀어주는 조건으로 금전을 요구하는 방식의 악성 프로그램을 뜻한다.

특히 보안에 취약한 중소기업과 서울 외 지역의 피해가 컸다. 랜섬웨어 피해를 본 국내 기업 중 중소기업이 93%에 달했으나, 대기업은 1%에 불과했다. 비영리 기업은 6%였다. 지역별 신고 현황은 서울이 37%, 서울 외 지역이 63%로 나타났다.

코로나19 장기화로 비대면 서비스에 대한 사이버위협도 증가했다. 원격보안접속 프로그램, 이메일 및 가산사설망(VPN) 솔루션의 취약점을 악용한 해킹사고가 빈번하게 발생했으며, 국내 다수 아파트 월패드가 해킹돼 사생활 영상이 유출·판매되는 등 사물인터넷(IoT) 해킹 피해도 잇따랐다.

과기정통부는 내년에는 막대한 자본이 몰리고 있는 NFT를 탈취하려는 해킹 시도가 늘어날 것으로 전망했다. 메타버스의 경우엔 플랫폼 이용자 계정정보를 탈취하거나, 시스템을 마비시키는 공격이 발생할 수 있다고 밝혔다. AI와 관련해선 학습을 방해하거나 오판·오인식을 유도한 새로운 공격방식이 등장할 수 있다고 분석했다.

‘인터넷 역사상 최악의 취약점’으로 평가받는 로그4j 사태도 내년까지 장기화할 전망이다. 과기정통부는 “로그4j는 사용 여부 조차 식별하기 어렵고 취약점 문제도 광범위하다”며 “소프트웨어 개발부터 유지관리까지 소프트웨어 전반적인 사용주기(SDLC : Software Development Life Cycle)에 보안 강화가 필요하다”고 말했다.

IoT를 겨냥한 공격도 계속될 전망이다. 과기정통부는 “드론, 스마트카 등 새로운 기기가 등장하고 있어 이를 노린 디도스(DDos) 공격과 사생활 유출 등 보안 위협이 더 늘어날 것”이라고 전망했다.

홍진배 과기정통부 정보보호네트워크정책관은 “로그4j 취약점 문제 장기화, 신기술 대상으로 신종 위협의 출현 등으로 사이버 환경은 더욱 악화될 것”이라며 “기업은 보안 내재화를 필수적으로 고려하고, 국민들은 정보보호 실천 수칙을 준수해 안전한 디지털 세상을 함께 만들어 가야 한다”고 말했다.