전 세계적으로 전쟁의 양상이 사이버 전쟁으로 진화하고 있다. 최근 발발했던 이스라엘과 이란의 공습에서도 대규모 사이버 공격이 핵심 역할을 했다. 사이버보안 기업 라드웨어 분석에 따르면 지난 6월 발생했던 이란에 대한 이스라엘의 대규모 공습 직후, 이틀간 이스라엘 주요 인프라를 겨냥한 사이버 공격이 기존 대비 700% 증가했다. 이스라엘도 가만히 있지 않았다. 정보기관의 정보전뿐만 아니라 이스라엘 추정 조직인 ‘곤제쉬케 다란데’는 이란의 가상화폐 거래소를 해킹해 1200억원 규모의 자금을 탈취했으며, 또 다른 조직은 이란 국영 세파은행에 사이버 공격을 가해 데이터를 파괴했다고 주장했다. 국가 간의 사이버 공격과 정보 탈취 시도가 그만큼 거세지고 있음을 보여주는 예시다.
이스라엘과 이란의 상황처럼 직접적으로 대치하거나 충돌하는 국가들만 해당되는 것도 아니다. 특정 국가 배후의 해킹 세력은 다른 국가의 통신사, 원전 기업 등을 공격하며 국가 산업의 핵심 정보를 빼가려 하는 등 물 밑에서도 사이버 공격이 숱하게 이어지고 있다. 한국의 국가정보원 또한 최근 보고서에서 지난해 정보 보호10대 이슈 중 하나로 ‘사이버 냉전’을 꼽으며 “앞으로도 권위주의 국가의 공격은 주요 정부 기관과 핵심 인프라 공격, 허위조작 정보 확산 등을 수단으로 정치적·경제적 목적이 달성될 때까지 계속 발생할 것”으로 전망했다.
사이버 공격을 대거 병행했던 이스라엘과 이란의 충돌에서 이스라엘이 속전속결로 상황을 매듭지은 데에는 모사드의 역할이 절대적이라는 이야기가 나온다. 이스라엘의 정보기관 모사드는 압도적인 정보력을 바탕으로 이란의 주요 인사와 군사 시설 위치를 파악했다. 이것이 가능했던 배경에는 모사드의 사이버 전쟁 역량이 있었다. 한 국내 해커는 이번 상황에 대해 “이스라엘이 이란에 실제 타격을 가하기 전 이스라엘이 이미 사이버 안보에서는 이란을 완전히 점령했다고 볼 수 있다”라며 사이버 안보의 우위가 승패에 큰 영향을 미쳤다고 설명했다. 이스라엘은 또한 미사일을 격추하는 방공망 ‘아이언 돔’처럼 사이버 측면에서는 ‘사이버 돔’을 구축해 국가 주요 인프라에 대한 해킹 위협을 방지하는 데도 힘을 쏟았다. 이란은 이스라엘의 대규모 사이버 공습으로 인해 한때 자국 내 인터넷 연결을 차단하고, 고위급 당국자들에게는 스마트폰과 같은 IT 기기를 사용하지 말라고 지시하기도 했다.
이 같은 국가 간의 사이버 공격은 2000년대부터 이어져 온 이슈지만, 러시아와 우크라이나의 전쟁에 이어 이스라엘과 이란 전쟁이 발발하는 등 최근 수년간 지정학적 긴장감이 한층 고조되면서 다시금 국가들의 위협 요소로 부상하고 있는 상황이다. 사이버 공격은 암호화폐 등 자산 탈취를 노리는 공격부터 방산, 통신, 반도체 등 국가의 핵심 산업과 인프라를 노리는 공격, 심지어 특정 국가의 선거에 개입하려는 공격까지 양상이 다양하다. 독일 정부는 지난해 러시아 연계 해커 조직인 APT 28이 독일 사회민주당(SPD) 지도부와 물류·방산·항공우주 분야 기업의 이메일을 해킹했다고 공식적으로 밝혔다. 독일 내무부는 이 같은 사실을 공개하며 “특히 에너지 분야의 정부 기관과 핵심 인프라를 (이들이) 표적으로 삼았다”라고 말했다. 당시 러시아는 제기된 의혹을 전면 부인했지만, 독일이 공개적으로 나서 “절대로 용납할 수 없는 일”이라고 경고할 만큼 국가 간 사이버 공격에 대한 긴장감이 큰 상황으로 풀이된다. APT 28의 공격도 정부 기관을 포함해 국가의 핵심 산업 시설을 노려 기밀을 캐내고 유사시에는 인프라를 마비시키기 위한 산업 공격으로 보인다. 중국 정부와 연계된 것으로 추정되는 해킹 조직 ‘솔트 타이푼’은 지난해 AT&T, 버라이즌 등 미국 내 통신사를 공격했는데, 이 또한 정보 수집과 고위급 인물 통화 기록 확보 및 인프라 혼란이 목적이었던 것으로 추정된다.
일반적으로 이 같은 해킹을 일컬어 지능형 지속 위협(APT) 방식으로 분류한다. 일회성으로 공격한 후 빠지는 해킹과 달리 APT 공격은 침투 경로를 탐색하며 긴 시간 사이버 공격을 준비하며, 시스템 침투 후에는 조용히 내부를 잠식해 목표물인 주요 자산을 노리는 것이 특징이다. 길게는 수년이 소요되는 공격도 많지만 피해 기업으로서는 직접적인 피해 발생 전까지는 알아차리지 못하는 경우가 빈번하다. 주요 해커 조직들도 이 기법을 사용한다. 글로벌 보안 기업들은 이러한 해커 조직들을 APT 37처럼 APT 뒤에 번호를 부여해 분류하기도 한다.
공격자들이 침입해 데이터를 탈취하는 경로는 다양하다. 공격자가 직접 특정 기업 내부망을 뚫고 들어가는 경우도 있지만, 사용자의 모바일 기기나 PC가 침해당하거나 기업이 사용하는 VPN처럼 외부 서비스를 통해 침투당하는 경우가 많다. 심지어 보안 기업의 소프트웨어 자체를 겨냥하는 공격도 고도화되는 추세다. 올 2월 한국에는 해킹 조직이 특정 보안 업체의 디지털 인증서를 탈취한 다음 이를 통해 악성코드를 유포한 공격 사례도 발생했다. 문제는 이들 소프트웨어 가운데 일부가 자동 업데이트 기능이 없거나 버전 관리 체계가 부실하다는 점이다. 이러한 구조적 취약
성은 신속한 패치 적용을 어렵게 하며, 결과적으로 장기간 공격에 노출될 위험을 증가시킨다. 한 보안 전문가는 “공격자들은 일단 약한 고리를 찾아 최초로 침투한 후, 횡적으로 이동하면서 악성코드를 곳곳에 전파하는 특징을 보인다”고 설명했다. 한편, 사회적인 혼란을 초래하는 고도의 가짜뉴스를 제작해 유포하는 것도 사이버 전쟁의 한 양상이다. 유럽연합(EU)의 대외관계청(EEAS)이 펴낸 ‘해외 정보 조작 및 개입 위협(FIMI)’ 보고서에 따르면 지난해 전세계에서 확산된 조작 정보는 505건에 달했으며, 90개의 국가가 공격 타깃이 된 것으로 나타났다. 특히 러시아와 중국이 조작 정보를 생성하는 주요 국가로 지목됐다. 러시아는 우크라이나를 교란하기 위한 공격뿐만 아니라 독일의 선거에 개입하기 위한 정보를 퍼트리는 등 북대서양조약기구(NATO) 소속 국가들을 주목표로 삼았다.
다만 이 같은 공격이 누구의 소행인지 밝혀내는 것은 매우 어렵다. 실력이 뛰어난 공격 집단들은 침투한 서버에서 자신들의 로그를 모두 지우는 등 흔적을 거의 남기지 않기 때문이다. 또한 이들은 경유지 정보를 지우고 가상사설망(VPN) 등을 활용하면서 향후 어떤 국가에서 이들이 접속했는지 찾는 것도 어렵게 만든다. 해킹 피해가 발생한 후에는 조사단이 서버 기록, 악성코드 침투 시점 등을 분석하며 ‘사이버 프로파일링’을 진행하지만 공격자를 잡는 경우가 많지 않은 배경이다. 그래서 어떤 조직이 자주 사용하는 악성코드와 같은 패턴 등을 추적하면서 ‘중국 추정 해커 집단’과 같이 추정할 뿐이다. 한 보안 전문가는 “특정 공격 집단만의 특징이 있다고 해도, 어떤 조직에서는 다른 집단의 특징을 모방해 자신들이 하지 않은 것 처럼 꾸미기도 한다”고 설명했다.
전 세계에서 주로 활발한 해킹 조직으로 분류되는 곳들은 대부분 중국 또는 러시아, 북한과 연계된 조직으로 추정되는 경우가 많다. 구글 클라우드의 보안 기술을 담당하는 맨디언트는 탐지하는 조직들을 APT 공격을 수행하는 APT 집단, 금전을 목적으로 활동하는 FIN, 분류가 어려운 UNC 등으로 구분하고 있다. 맨디언트에 따르면 지난해 아시아에서 가장 활발하게 관찰된 공격 집단은 UNC3886과 UNC5221 등이었는데, 모두 중국 정부의 지원을 받는 것으로 추정된다. 이들은 특히 내부 이메일을 감청하거나 자격 증명, 데이터 등을 탈취하는 공격을 진행하며 정부 등 공공기관과 통신, 금융, 방위 등 국가의 핵심 산업 영역을 노리는 것으로 파악됐다. 보안업계에서는 중국 배후의 공격 조직은 산업 기밀을 탈취하거나 국가 기밀 정보를 목표로 하는 경우가 많으며, 러시아 같은 경우에는 산업의 기반 시설 공격에 특화된 경우가 많다고 설명했다. 북한과 대치 중인 우리나라의 경우 상대적으로 북한의 해킹 위협에 따른 불안감도 크다. ‘라자루스’ ‘김수키’ 등은 국내에도 잘 알려져 있는 대표적인 북한의 해킹 조직으로, 이들은 국내 주요 산업 해킹뿐만 아니라 글로벌 코인거래소를 해킹해 암호화폐를 탈취하는 등 금전을 목적으로 수행하는 공격도 잦다.
올해 한국의 역대 최악의 해킹 사례 중 하나로 기록될 SK텔레콤 유심 정보 해킹이 발생하는 등 한국에서도 사이버 보안 위협에 대한 불안감이 커지고 있다. 약 2000만 명의 회원이 이용하는 인터넷서점 예스24는 랜섬웨어 공격으로 서비스 자체가 마비된 바 있으며 디올, 티파니, 루이비통 등 글로벌 명품업체들의 개인정보 유출 사고가 한국에서 발생했다. 한 업계 관계자는 “한국이 특별히 더 허술하다고 보기는 어렵다. 글로벌 대기업들도 데이터 유출이 빈번하게 일어난다”며 “대기업도 그렇지만 보안에 상대적으로 신경을 잘 못 쓰는 중소기업들이 더 취약한 상황”이라고 설명했다. 한국의 사이버보안 체계 강화를 위해서는 보안 컨트롤타워 신설, 기업들의 보안 투자 촉진 등의 다양한 방안들이 꾸준히 논의되어 왔다. 컨트롤타워의 경우 현재 사이버보안 분야는 국정원이 공공 분야를, 과학기술정보통신부가 민간을 담당하고 있기에 대응 체계를 일원화해야 한다는 의견이다. 다만 일각에서는 “단순히 기관을 신설하는 것이 해결책은 아니다. 기존 조직에 힘을 더 실어주는 등 권한과 임무를 명확히 하는 방향도 고려해야 한다”는 주장도 나온다. 또한 국내 주요 기업들의 IT 투자액 중 정보보호 부문 투자액 비율은 6% 내외로, 이를 끌어올리도록 하는 대책의 필요성도 강조된다. 이는 미국 기업들의 사이버보안 예산 비중에 비해 절반에 불과한 수준이다. 이 과정에서는 투자 증가가 실질적인 보안 수준 강화로 이어질 수 있도록 해야 한다고 전문가들은 강조했다. 곽진 아주대 사이버보안학과 교수는 “기업들의 정보보호 투자가 실질적으로 효력을 발휘할 수 있도록 체계를 점검하는 것도 필요하다”며 “투자 확대가 바로 보안 강화로 이어지는 것은 아니기에 보안 거버넌스 체계, 교육 등도 전반적으로 봐야 한다”고 말했다.
[정호준 기자]
