[기자의 눈②] 정보보호 산업 육성에 ‘북한발 공격’ 도움 될까
상태바
[기자의 눈②] 정보보호 산업 육성에 ‘북한발 공격’ 도움 될까
  • 김선애 기자
  • 승인 2016.08.04 08:31
  • 댓글 0
이 기사를 공유합니다

공격자 드러내지 않는 정교한 타깃 공격, 배후 추적 매우 어려워…공격 재발 방지 대책 마련해야

특정 단어만으로 공격조직의 배후를 특정할 수 있을까

공격자는 지능적이다. 오랜 기간 타깃을 모니터링하고 분석해 타깃이 의심하지 않고 취약점 공격에 이용당하도록 정교하게 시나리오를 만든다.

무역대금 사기의 경우를 예로 들어보자. 사기범은 자금담당자의 PC에 악성코드를 심은 후 일정 기간 동안 담당자의 업무 패턴을 파악하고, 거래처와 주고받는 메일을 분석한다. 그리고 거래처에서 사용하는 문서 포맷, 담당자가 사용하는 단어 혹은 이메일 습관, 거래처 임원 구조나 특징 등에 맞춰 메일을 보낸다.

그 내용은 긴급한 사안을 사칭하고 있으며, 빨리 자금을 송부할 것을 요청한다. 거래처 CEO, CFO를 사칭해 신뢰도를 높이기 때문에 타깃 사용자는 메일의 진위를 확인하지 않고 거래대금을 보낸다. 사기 기법은 더욱 정교해져 메일의 내용만으로는 사기인지 아닌지 구분하기가 점점 어려워지고 있다.

APT 공격도 마찬가지다. 정상 업무 메일 혹은 신뢰할 수 있는 메일로 정교하게 위장해 사용자를 속이고 악성코드를 침투시킨다. 타깃 사용자가 사용하는 언어는 물론이고, 업무 습관과 패턴 등도 정밀하게 분석해 사용자가 속을 수밖에 없도록 위장한다.

공격자의 신분이 노출되지 않도록 철저하게 감춰 타깃 시스템에 침입한 후, 공격을 시작할 적기가 될 때까지 잠복한다.

메일 본문에, 혹은 공격자의 메시지에 북한에서 사용하는 단어가 있다고 해서 북한 소행이라고 단정하는 것은 섣부르다. 북한 소행으로 보이게 만들고자 하는 다른 범죄조직의 소행일 가능성을 배제할 수 없다. 북한 소행일수도 있지만, 북한 말투를 따라하는 다른 공격자일 수 있다. 북한 사람이 포함된 공격조직일 수도 있고, 북한 정부가 저지른 범죄일 수도 있다.

같은 공격에 반복적으로 당하는 것이 더 문제

모든 사이버 공격이 북한 소행이라고 단정할 수 없지만, 아니라고도 할 수 없다. 북한은 외화벌이를 위해 해킹 조직에 가담하고 있는 것으로 알려지고 있다. 북한과 우리나라는 같은 언어를 사용하기 때문에 한국어를 사용하지 않는 해커보다 더 쉽게 우리나라를 공격할 수도 있다.

그러나 공격의 배후가 북한이라고 결론을 내리기 전에, 여러 정황을 따져 합리적인 의심을 해 볼 필요가 있다.

사이버 범죄는 추적이 어렵다. 포렌식 등 수사기법을 사용하면 공격이 어떻게 진행됐고, 피해가 어느 정도인지 파악할 수 있다. 내부에서 시작한 범죄라면 범죄자를 찾아낼 수 있다.

그러나 외부 해킹을 통해 진행된 공격이라면, 범죄자 검거를 위한 국제공조가 필요하고, 토르 네트워크와 같은 익명의 네트워크를 추적할 수 있는 방법도 필요하다. 기술적으로나 현실적으로 불가능한 일이다.

사이버 공격은 분명한 범죄이며, 어떠한 상황에서도 면죄부를 받을 수 없다. 그러나 같은 공격에 반복적으로 당하는 것은 더 심각한 문제라고 할 수 있다. 정부의 발표대로라면 3·20 사고에 사용된 악성코드가 반복적으로 우리나라 기관과 기업을 공격하고 있으며, 같은 IP 주소를 경유해 공격이 진행되고 있다.

북한발 사이버 공격을 막기 위해서는 공격이 반복되는 IP는 차단하고, 공격에 이용된 악성코드와 유사한 공격을 탐지·차단하는 것이 급선무이다. 또한 이를 우회하는 또 다른 공격이 나타날 것이며, 이 공격을 방어할 수 있는 정보보안 체계도 마련돼야 한다.

북한발 사이버 테러, 정보보호 산업 발전 도움 될까

정부는 사이버 보안을 국가안보와 직결되는 사안으로 보고 있으며, 북한발 사이버 공격에 대응하기 위한 만반의 준비를 갖춰나가고 있다고 강조한다.
또한 정보보호 산업을 국가 성장동력으로 삼고 다양한 방법으로 정보보호 기업을 지원하는 방안을 마련하고 있다. 침체된 내수시장에 머물지 않고 글로벌 시장에서 맹위를 떨칠 수 있도록 전 세계 정보보안 전시회 참여를 지원하고, 해외 고객을 직접 만날 수 있는 기회를 마련하는가 하면, 투자 유치를 위한 지원도 적극적으로 진행하고 있다.

하지만 해외 고객의 입장에서 보면, 한국은 수많은 북한발 사이버 공격을 당하고 있으며, 사회 주요 기반시설과 공공기관, 민간기업, 가장 높은 수준의 보안이 요구되는 군 관련 기관까지 전방위적으로 뚫리고 있다.

북한의 사이버전 역량이 아무리 뛰어나다 해도, 우리나라 기관과 기업이 반복적으로 북한발 사이버 테러의 피해를 입고 있다면, 한국의 정보보호 기술이 세계에 수출될 만큼 높은 수준을 갖췄다는 주장이 설득력을 갖기 쉽지 않다.

북한발 사이버테러의 위험성은 아무리 강조해도 지나치지 않다. 사이버테러는 물리적 테러와 함께 진행돼 끔찍한 재앙을 불러일으킬 수 있으며, 우리나라처럼 사이버 사고가 빈번하게 발생하는 나라라면 더욱 심각한 상황이라는 것을 받아들여야 한다.

그러나 모든 책임을 북한에게 돌리고, 보안에 투자하지 않는 것은 사이버 테러보다 더 심각한 문제다. 사이버 공격이 발생했을 때 정밀한 분석과 합리적인 추론을 거쳐 공격자의 공격 패턴을 파악하고 다시 재발하지 않도록 근본적인 대책을 마련해야 한다. 또한 수시로 정보보안 정책이 제대로 운영되고 있으며, 새롭게 발견되는 취약점 공격이 없는지 확인하고 대응해야 한다.

공격자가 어느 나라에 소속돼 있으며, 어느 정부의 후원을 받는지 밝혀내는 것은 필요한 일이다. 그러나 같은 공격에 당하지 않도록 보안 정책을 철저하게 준비하는 것은 공격자를 찾아 처벌하는 것 보다 더 중요하고 시급한 사안이다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.