최근 몇 년간 우리나라에서 발생한 대규모 사이버 보안 사고의 배후에는 ‘북한’이 있다고 결론이 내려진다. 인터파크 개인정보 유출사고도 북한에 의한 것이고, 최근 발생한 군 내부망 해킹 사고 역시 북한에 의한 것이었다. 랜섬웨어 공격 중 일부도 북한이 개입하고 있다고 하며, 내년에는 북한이 외화벌이를 위해 랜섬웨어 공격에 나설 것이라고 한다.
‘북한 소행’이라는 결론에 이르게 되는 사이버 공격이 모두 확실하게 북한 소행이라고 단정할 수 있을까? 정부에서는 북한 해커조직을 장기간 추적해 온 전문성을 기반으로 북한 소행이라고 결론을 내리고 있지만, 다른 사이버 범죄 조직이 북한 해커로 위장해 진행했을 가능성을 완전히 배제해서는 안 된다.
“군 전용 백신보다, 보안 정책 지키지 않는 것이 더 큰 문제”
이번에 발견된 국방망 해킹 사고는 국방통합데이터센터(DIDC)의 한 서버에 인터넷망과 내부망이 함께 연결돼 있었던 것이 문제가 된 것으로 조사됐다. 공격자가 군 인터넷망에 악성코드를 유포했으며, 여기에 감염된 실무자들이 망분리 보안 정책을 지키지 않고 DIDC를 통해 내부망에 접속했다. 악성코드는 백신중계서버 취약점을 이용해 다수의 PC에 악성코드를 다량으로 감염시켰으며, 기밀정보를 훔쳐서 감염된 PC를 이용해 빼갔다.
이 사고가 발견된 후 군 당국에서는 북한이 우리나라 기밀정보를 탈취하기 위해 지능적으로 잠입했다고 발표하는 한편, 민간 백신 솔루션을 사용해 취약점이 노출된 만큼 군 전용 백신 솔루션을 개발해야 한다고 발표했다.
이에 대해 보안 전문가들은 “글로벌 보안 솔루션은 중요한 정부기관에 제품을 공급하고 보안성과 안정성을 검증받아 경쟁력을 입증하고 있다”며 “민간 업체에서 개발한 백신을 사용한 것이 문제가 아니라, 보안 취약점을 방치하고 보안 규정을 지키지 않은 정책적인 문제”라고 지적했다.
사회적인 큰 파장 있는 공격은 대부분 ‘북한 소행’
이 사고가 북한의 소행이라고 밝혀진 이유는, 그동안 북한발 공격으로 ‘알려진’ 것과 동일한 유형의 공격이기 때문이다.
북한발 사이버 공격이 대대적으로 알려진 것은 2009년 7·7 디도스 대란부터다. 당시 청와대, 굮방무, 금융기관 등 22개 국내 주요 인터넷 사이트가 디도스 공격으로 최장 72시간 동안 서비스가 중단됐다. 이 때 공격에 사용된 IP 중 북한 체신성이 있었다는 점을 들어 북한발 공격이라고 결론을 내렸다. 2년 후인 2011년 3·4 디도스 공격 역시 북한 체신성 IP가 사용돼 북한발 공격이라는 결론에 이르게 됐다.
3·4 사고 발생 한 달 후에 일어난 농협 전산장애 사고는 북한이 농협의 전산 시스템을 관리하는 아웃소싱 업체 IBM의 한 직원 노트북에 악성코드를 감염시켜, 이 노트북을 통해 전산 시스템과 백업 시스템까지 완전히 파괴하도록 만들었다. 물론 정부의 조사결과다.
이후 발생한 거의 대부분의 대규모 사이버 공격은 북한 소행으로 밝혀진다. 이니텍 코드서명인증서 탈취 공격, 인터파크 개인정보 유출 사고, 서울메트로 해킹 공격, 우리나라 정부 외교·안보 부처 공무원 이메일 해킹 등 사회적으로 큰 파장을 일으키는 공격은 거의 대부분 북한 소행으로 알려진다.
내년에는 북한발 랜섬웨어도 창궐할 것이라는 전망도 나온다. 북한 해커 조직들이 상용화된 랜섬웨어 툴을 이용해 외화벌이에 나설 것이라는 예측이 제기된다. 전 세계적으로 랜섬웨어는 주요 공격 조직이 검거되고 공격에 대한 방어 기술이 발달하게 되면서 잠시 소강상태에 접어든 상황이지만, 북한이 랜섬웨어 공격에 가담할 가능성을 배제할 수 없다는 주장이다.
“범죄 조직, 증거 조작해 다른 조직에게 덮어씌워”
보안 전문가들은 공격의 배후 세력을 정확하게 특정하는 것이 쉽지 않은 일이라는데 동의한다.
카스퍼스키랩의 보고서에서는 사이버 범죄조직은 수사당국의 추적을 회피하기 위해 다른 범죄조직의 소행인 것으로 위장하는데 능하다고 보고하고 있다. 공격을 진행한 후 추적을 차단하기 위해 공격에 사용한 악성코드를 삭제하고 탈출하는데, 이 때 다른 범죄조직이 주로 사용하는 공격 도구를 일부러 흘리고 가 수사에 혼선을 준다.
다른 범죄 조직이 주로 사용하는 C&C 서버를 경유하고 해당 서버 위치를 노출시키거나, 다른 집단이 사용한 악성코드를 사용하고, 다른 조직이 사용하는 특정한 언어를 일부러 사용한다.
우리나라에서 북한 소행이라는 결론에 이르게 되는 사고는 대체로 유사한 기법을 사용한다. 최근에는 코드서명 인증을 탈취하고, 백신 중계서버를 감염시켜 악성코드를 유포하는 수법을 사용한다. 공격에는 중국의 선양 IP 주소를 사용하며, 해킹에 사용된 악성코드는 3·20 당시 사용한 악성코드와 유사하다. 공격에 한글이 사용되고 특히 북한에서 사용되는 언어를 사용한다.
물론 우리나라에서 사고를 조사하고 분석하는 사람들은 침해사고 대응에 있어 국내 최고의 전문가들이며, 합리적인 근거과 증거를 갖고 결론을 도출한다고 강조한다. 그들은 오랜 기간 악성코드를 분석하고, 해커 조직을 추적해 온 경험, 그리고 북한 해킹조직을 쫓으면서 쌓은 전문지식을 기반으로 결과를 발표하는 것이라고 주장한다.
르네 본바니 팔로알토 CMO는 “공격자들이 다른 조직으로 위장하는데 능하다는 것은 사실”이라며 “공격의 배후를 검거하기 위해서는 공격자를 추적하는 것이 중요하지만, 그보다 먼저 공격의 패턴을 파악하고 같은 유형의 공격을 차단하는 것이 더 시급한 일”이라고 강조했다.
사이버 보안, 국가 안보와 직결
NATO는 사이버 공간을 전쟁이 일어날 수 있는 공간으로 공식 지정하면서 NATO 동맹국에 대한 공동대응 방침을 밝혔다. 이는 사이버 전쟁이 실제 전쟁에 버금가는 피해를 입힐 수 있다는 가능성을 인정한 것이다.
이제 사이버 보안은 국가안보와 직결되는 사안이 됐다. 우리나라는 ‘북한’이라는 물리적인 적이 있으며, 사드배치로 인한 중국과의 외교·군사적인 갈등을 겪고 있다. 일본군 위안부 및 식민지배 시기에 대한 사과 문제 등으로 일본과 외교적인 갈등을 겪고 있다. IS는 미국의 동맹국에 대한 사이버 테러를 경고하고 있다.
현실 세계에서의 정치·외교·군사적인 갈등은 사이버 세상에서의 전쟁으로 이어질 수 있다. 미국 소니픽처스 해킹 공격은 북한 김정은 위원장의 암살을 다룬 ‘더 인터뷰’에 대한 항의였으며, 이번 미국 대선에는 러시아가 민주당 인사 이메일을 해킹했다는 의혹이 커지면서 미-러 외교문제로 번지고 있다.
APT 공격 방식이 처음으로 알려진 스턱스넷은 이란 원자력발전시설을 해킹하기 위한 것이었으며, 이후 사이버 공격이 실제 물리환경을 파괴해 피해를 입힐 수 있다는 사실을 입증했다.
“같은 유형 공격에 반복적으로 당하는 것이 더 심각”
우리나라에서도 수많은 국가 주요 시설이 사이버 공격을 당했다. 국민의 생명과 안전을 위협하는 이러한 사고가 매번 같은 유형으로 발생한다는 것은 매우 심각한 문제이다.
북한이 엘리트급 사이버 전사를 6000여명 육성하고 있지만, 우리나라에서는 100여명에 불과하다는 주장이 업계에 퍼지면서 사이버전 능력을 배가하기 위한 전문기구를 만들고 예산을 투자해야 한다고 역설하는 사람들이 늘어나고 있다.
사이버전 능력을 갖추기 위한 인력 양성과 컨트롤타워는 물론 중요하다. 그러나 이보다 앞서 해결돼야 할 것은, 반복되는 유형에 당하지 않도록 하는 것이다. 이미 잘 알려진 공격조차 막지 못한다면, 알려지지 않은 공격도구와 수법을 사용하는 공격을 어떻게 막을 것인가?
한국에 방문하는 글로벌 기업의 보안 전문가들은 “한국에서 발생하는 사이버 공격이 다른 나라에서 발생하는 것과 특별히 다르다고 보지 않는다”고 설명하며 “다른 나라들도 정치적·금전적인 목적의 사이버 공격을 당하고 있으며, 지능화된 범죄에 대응하기 위한 방안을 마련해야 한다”고 밝힌다.
‘북한발 공격’으로 결론이 내려지면 면죄부를 주는 관행은 이제 중단해야 한다. 조직 구성원 모두가 보안정책을 예외없이 준수하며, 알려진 패턴의 공격을 차단하는 정책을 만들고, 알려지지 않은 공격을 막을 수 있는 방법을 만드는 것이 사이버 안보를 지키는 가장 기본적인 수칙이다.
