최근 러시아 해킹조직 팬시베어를 사칭한 협박 메일이 국내 모 은행에 발송됐다. 2억5000만 원을 비트코인으로 주지 않을 경우 대규모 디도스 공격으로 시스템을 모두 마비시키겠다고 협박한 사례다. 인질(Ransom)과 디도스(DDos)의 합성어 랜섬디도스 공격 방식이 새로운 골칫거리로 부상했다.
육가공 기업 JBS는 사이버 공격으로 생산을 중단했고, 미국 송유관 업체는 랜섬웨어 공격에 약 60억 원을 해커에게 상납하며 굴복하는 일이 벌어졌습니다. 사이버 팬데믹 이후 출현한 랜섬웨어 공격은 테러 수준의 공격 활성화 양상을 띤다. 시스템 복구와 협박을 통한 몸값 지불, 과거보다 정교한 해킹 공격으로 사이버 위협 방식이 날로 치밀하게 발전한다.
언택트 시대, 신종 사이버 테러 기승
코로나19 확산으로 대면에 대한 부담이 커지면서 신종 삼중협박(triple extortion) 사이버 공격이 등장했다. 우선 암호화를 통해 시스템을 마비시키고 파일 복구 몸값을 요구한다. 돈을 지급하지 않으면 정보를 외부에 노출하고 이후 디도스 공격까지 가세해 웹사이트 운영을 중단하게 만드는 악독한 수법이다.
피해 사례도 속출한다. 국내 대형 가전사 한 곳은 삼중협박을 통해 테스트 제품 관련 파일과 직원 컴퓨터 이름 등이 유출됐다. 반도체 제조사 한 곳은 영업기밀에 해당하는 가격 협상 메일과 내부 전략 회의 내용이 유출됐고, 자동차 제조사 한 곳도 삼중협박으로 소비자 포털이 마비되는 초유의 사태에 직면했다.
크리덴셜 스터핑 공격도 있다. 쉽게 말해 계정 도용 시도다. 여러 사이트에서 동일 계정 정보를 사용하는 이용자를 대상으로 사전에 획득한 자격증명(credential)을 무작위로 대입해 계정을 탈취한다. 동일한 아이디와 패스워드를 사용하고 있는 다른 서비스 공격으로 확장하는 방법을 쓴다. 예를 들면 연예인 스마트폰을 해킹해 금전 요구를 하거나 사진, 동영상 등을 유출하는 사례가 크리덴셜 스터핑 공격이다.
2년여 전, 스타벅스는 크리덴셜 스터핑 공격을 받아 일부 고객이 충전금이 탈취되는 사건이 발생했다. 한국에서도 핀테크 대표 기업 토스가 공격을 당했다.
세 번째로 오픈소스 소프트웨어(SW) 보안 취약점 공격 수법이 있다. 미국 신용평가기관 아파치스트럿프는 원격코드 실행 취약점을 공격받아 약 1억4000만 건의 개인정보가 유출되는 피해를 입었다.
그렇다면 이 같은 사이버 공격은 과거와 무엇이 다른 걸까. 바로 공격 수법이 100% 디지털화하고 공격 범위가 확대된 점을 꼽을 수 있다. 코로나19로 인한 원격근무 등 기업 문화가 변화하면서 이들이 먹잇감으로 노리는 생태계가 무한대로 커지고 있다.
보안전문가들은 원격근무가 대중화하면서 외부 단말기 보안 관리를 보다 철저하게 해야 한다고 강조한다. 백신 프로그램 설치는 물론 최소한의 IP 및 포트로만 연결을 허용하고 미인가 IP는 접속을 차단해야 한다. 하지만 이 경우 원격근무 등 비대면 업무 환경을 규제하는 독으로 작용하기 때문에 모순이 발생한다.
또 하나의 특징은 현재 발생하고 있는 사이버 위협이 기존 보안 체계를 우회해 발생한다는 것이다. 크리덴셜 스터핑, 공급망, 오픈소스 등 신종 사이버 테러 기술은 상대적으로 보안에 취약한 영역을 파고드는 공통점이 있다.
크리덴셜 스터핑을 예로 들면, 우리가 사용하는 아이디와 패스워드가 다양한 곳에서 동일하게 쓰이는 습성을 파고든다. 간편한 인증 서비스가 때로는 부메랑이 돼 큰 피해로 발생한다. 이 두 가지 양립성을 해결하기 위한 방안에는 의견이 엇갈린다.
대규모 사이버 테러 조직은 금전 보상으로 추적이 힘든 가상화폐를 요구하는 경우가 급증하고 있다. 익명성이 보장되기 때문에 최근에는 가상화폐와 다크웹을 기반으로 진화하는 사이버 위협이 기승을 부린다.
최근 악성 도메인과 온라인 스캠 및 피싱, 데이터 수집형 멀웨어, 재택근무 취약성을 파고드는 사이버 테러의 목적은 바로 협박을 통한 보상이다. 코로나19와 관련된 가짜 웹사이트를 만들어 악성코드를 배포하고 첨부파일을 열거나 URL을 클릭하면 정보가 유출되는 기법도 등장했다.
트로이목마, 스파이웨어 등과 같은 데이터 수집형 멀웨어도 마찬가지로 코로나19 관련 정보를 악용해 네트워크를 손상시키고 데이터를 수집, 금전 절취 등을 목적으로 시스템에 침입하는 경우가 대다수다.
범죄자들은 기업, 정부, 학교에서 사용하는 시스템과 네트워크, 애플리케이션 취약성을 악용한다. 온라인에 의존하는 사람들이 대폭 증가하다 보니 코로나19 이전에 도입된 보안 조치로는 이 같은 진화된 사이버 테러를 막을 수 없다.
신종 사이버 테러 막을 대책 수립 필요
사이버 팬데믹이 현실세계까지 위협하면서 보안 전략도 재편해야 한다는 목소리가 높다. 국가 기반시설을 공격해 사회 혼란이 가중되고 금융서비스 취약점으로 신종 자산 탈취가 벌어지면서 종전 보안 대책만으로는 역부족이라는 지적이다. 대안으로 떠오르는 것이 바로 클라우드 기술 융합이다. 클라우드 환경을 구축해 이에 맞는 통제 시스템을 도입하는 게 급선무다. 또한 사후 대책으로는 사이버 보험을 활성화해야 한다는 목소리가 높다.
피해가 발생할 경우, 보험사가 전문적으로 보상문제를 해결해주는 것이다. 이를 위해서는 사이버 위험 평가모델 및 사이버보험 요율 산정 데이터 집적이 필요하다. 정부 또한 기업이 사이버보험에 가입했다면 제재를 경감시켜주는 규제 완화 대책을 마련해야 한다.
우리은행이 발표한 신종 사이버 금융보안 위협 트렌드 보고서를 보면 과거 보안 위협보다 새롭게 등장하는 사이버 테러 방식은 비교할 수 없을 정도로 고도화되고 있다.
보고서는 △포스트 코로나 시대 도래, 비대면 근무 환경을 노린 보안 위협 △마이데이터 시대, 흩어져 있던 금융정보 통합에 따른 개인 신용정보 위협 가중 △코로나19 팬데믹 이슈를 악용한 악성 메일 공격 △금전적 목적의 사이버 공격 증가, 진화된 랜섬웨어와 디도스 공격 지속 △국가 지원 해킹그룹의 사회기반시설 및 주요 인프라 겨냥 사이버 위협 확대 △기업 핵심 업무 클라우드 이전으로 새로운 보안 사각지대 발생 △인공지능(AI)의 양면성, 새로운 사이버 공격의 탄생 △5세대(5G)를 이용한 사물인터넷(IoT) 제품 증가로 인한 프라이버시 위협을 올해 사이버 금융 보안 위협으로 꼽았다.
대안으로는 사이버 보안 위협 대응 훈련을 실시하고 찾아가는 정보보호 교육 서비스를 도입해야 한다. 사이버 리스크 등의 사안을 이사회에 정기적으로 보고하는 시스템을 갖추고 직급별·업무별 맞품형 교육과정을 신설해 운영하는 방안이 필요하다. 또 클라우드를 연계해 대규모 디도스 등을 방어하고 차세대 통합보안관제(SOAR) 기반 차세대 능동형 보안 체계를 구축해야 한다. AI를 접목해 비대면 전 로그분석 체계를 도입하는 것도 필요하다.
무엇보다 선제적인 보안 체계를 마련하는 것이 절실하다. 금융사는 물론 기업은 글로벌 표준 보안 체계를 수립·운용하고 국내외 공인 개인정보보호로 인증을 획득하는 노력을 기울여야 할 것이다.
글 길재식 전자신문 기자
© 매거진한경, 무단전재 및 재배포 금지