이번 보고서는 사이버 보안 범죄가 고도화됨에 따라 메타버스·블록체인 등을 타깃으로 해온 범죄자들이 향후 플랫폼 내 비즈니스 분야로 공격 범위를 넓힐 것이라는 결과를 담았다.
스마트 컨트랙트란 계약 조건을 안전하게 기록하고 자동 실행하하도록 돕는 블록체인 기반 솔루션을 일컫는다. 김지훈 금융보안 연구원은 올 11월 금융정보보호 컨퍼런스(FISCON)에서 "올해 스마트컨트랙트 취약점 공격이 59건이며 국내 블록체인 관련 사고 중 가장 큰 비중을 차지한다"고 발표했다.
기업 임직원의 계정 정보를 노린 공격의 대표적 사례는 해킹 그룹 '랩서스'의 활동 사례다. 이들은 올 초 엔비디아·마이크로소프트·삼성전자·LG전자 등을 공격해 기밀 자료를 유출했다. 이들은 이후 유명 게임사 락스타 게임즈를 공격, 글로벌 히트작 '그랜드 테프트 오토(GTA)' 시리즈 차기작의 개발 빌드 영상을 인터넷에 공개하기도 했다.
메타버스 내 범죄 위험의 사례로 라온화이트햇 측은 '아바타 공격' 사례를 들었다. 기업 공식 아바타와 동일한 아바타, 또는 딥페이크 등 기술을 활용해 메타버스 내 보안을 뚫는 범죄가 일어나리란 것이다. 사측은 "이러한 위협에도 불구하고 메타버스 보안 가이드라인은 마련되지 않고 있다"고 지적했다.
NFT 관련 범죄 또한 확대되고 있다. 세계 최대 NFT 플랫폼으로 알려진 오픈씨는 올해 해킹으로만 250만달러(약 32조원)의 피해를 입었다. 또 디스코드 등 채팅 플랫폼에서 NFT 탈취를 목표로 이뤄지던 '가짜 링크' 수법이 최근 QR코드를 활용한 범죄로 발전해 지속적인 도난 피해가 발생하고 있다.
오픈소스 또한 중요한 보안 위협으로 떠오를 전망이다. 미국 보안 업체 소나타입에 따르면 올해 공급망 관련 공격 수는 8만8000건으로 전년 대비 633% 증가했다. 이러한 범죄 급증의 원인으로는 최근 대부분 산업계에 걸쳐 '디지털 트랜스포메이션(전환)'이 화두로 떠오름에 따라 오픈소스를 활용하는 기업이 늘고 있다는 점을 지목했다.
강인욱 라온화이트햇 핵심연구팀장은 "디지털 전환 가속화에 따라 다양해진 사이버 보안 위협에 대응하기 위해 '제로 트러스트(아무도 신뢰하지 않는다)'란 기조를 전제로 한 보안 모델이 필요할 때"라며 "특히 DID(디지털 신분증) 등 사용자 인증·검증 강화를 통해 선제적 대응 전략을 취한다면 많은 부분에서 새로운 위협에 대응할 수 있을 것"이라고 전했다.
이원용 글로벌이코노믹 기자 wony92kr@naver.com
[알림] 본 기사는 투자판단의 참고용이며, 이를 근거로 한 투자손실에 대한 책임은 없습니다.