사이버 공격이 점차 국가 단위에서 벌어지는 전쟁으로 확산되고 있다. 북대서양조약기구(NATO)는 해킹에 대한 물리적 전쟁을 허용하면서 사이버 전쟁을 물리적 전쟁과 같은 수준의 위협으로 정의했다. 사이버전이 물리적 전쟁으로 이어질 수 있으며, 물리적 전쟁과 같은 피해를 입히기도 한다는 뜻이다. 우크라이나에서 매년 발생하는 대규모 정전사고는 수 시간 동안 수만가구의 전력 공급을 중단시킬 뿐 아니라, 발전소 전화 시스템도 공격을 받아 전화 통화 조차 할 수 없었다.
포스포인트의 연례 보안 보고서에서는 “더 많은 국가가 정치적 목적을 위해 파괴적인 사이버 공격능력을 갖춰나가고 있으며, 사이버 작전과 무기 전략은 물리적인 무기만큼 중요하게 된다”며 “IS와 같은 단체들이 지원하는 사이버 공격자들의 행위에 대해 책임을 묻는 것은 중요한 문제이며, 사이버 테러리스트가 증가하고 될 것”이라고 설명했다.
파이어아이는 국가 단위의 사이버 공격 유형을 ▲사이버 스파이 ▲사이버 범죄 ▲핵티비즘 ▲네트워크 공격 등 4가지로 나눠 설명했다. 사이버 스파이는 방위산업 기술, 군 R&D 기관, 싱크탱크, 외교부 또는 정부기관 등을 타깃으로 한고, 사이버 범죄는 경제적 이익을 주요 목적으로 하며, 대체로 금전화가 가능한 정보를 침해한다. 핵티비즘은 특별한 목적을 위한 정치 및 이념적 공격을 뜻하며, 네트워크 공격은 주요 인프라스트럭처를 겨냥한 파괴적인 공격이다.
정치자금 마련 위한 사이버 공격 성행
전 세계적인 사이버 공격 트렌드를 보면, 정치자금 마련을 목적으로 국가나 정치조직의 후원을 받은 금융기관 타깃 공격 그룹이 활발하게 활동하고 있는 것으로 보인다. 지난해 방글라데시 중앙은행 SWIFT 해킹사고가 그 대표적인 예이며, 국내외 보안 전문가들은 북한이 외화벌이를 위해 랜섬웨어 공격을 벌이고 있다고 밝히고 있기도 하다.
파이어아이 ‘맨디언트 2017 M-트렌드’ 보고서에서는 지난해 다양한 종류의 악성코드를 이용한 ATM 공격과 ATM 네트워크 공격이 눈에 띄게 증가했으며, 공격그룹은 각각의 침해된 시스템에 대해 각기 독특한 설정을 보유한 커스텀 백도어를 사용하기 시작했고, C&C 인프라의 회복력을 더욱 강화했으며, 개선된 카운터-포렌식 기법을 사용하기 시작했다고 설명했다.
이 그룹들은 침해사고 조사를 피하기 위해 공격흔적을 지우면서 공격하고 있으며, 탐지 이후에도 지속적으로 공격을 진행하기 위해 타깃 시스템에 은닉해 있을 가능성이 있어 더 막대한 양의 금융정보가 탈취되고 있을 것으로 분석된다.
파이어아이는 특히 아시아 지역 은행이 위험하다고 경고하고 있으며, 이들은 거래, 내부 뱅킹 문서 및 모바일 뱅킹 앱 등의 주요 시스템을 보호하는 데 있어 서구 지역의 은행만큼 강력한 보안 조치를 갖추고 있지 못할 가능성이 있다고 분석했다.
중국 기반 공격그룹은 중국계 기업이 수익성 좋은 계약 성사를 돕기 위하여 아시아 지역의 경제 발전에 많은 관심을 가지고 있다. 파이어아이는 광범위하게 벌어지는 뱅킹 네트워크 사건들을 통해 금융 범죄자들이 뱅킹 네트워크가 조작에 적합하다고 생각하고 있음을 알 수 있다고 해석했다.
파이어아이가 추적하고 있는 또 다른 공격그룹인 ‘오션로터스 그룹’은 베트남 정부의 후원을 받는 것으로 추정되는데, 베트남에 투자한 외국 기업과 베트남 정치에 반대되는 활동을 하는 운동가, NGO 등을 공격해 베트남 국가 이익을 증대시키는 활동을 벌이는 것으로 나타난다.
타깃 조직 내부망 장악 시도 이어져
우리나라 기업과 기관을 타깃으로 하는 대규모 공격은 빈번하게 발생하고 있다. 한국 사용자 맞춤형으로 진행되는 랜섬웨어부터 정교한 스피어피싱으로 시작된 인터파크 해킹사고, 군 내부망 해킹사고, 한국수력원자력 해킹사고, 소프트웨어 인증서 탈취 후 악성프로그램을 유포한 사고, 잇단 방산업체 기밀정보 유출사고, 사드 배치 이후 발생한 중국발 대규모 웹사이트 해킹사고 등이 대표적인 예이다.
우리나라 타깃 공격 중 통신망과 무선망에 대한 공격도 늘어나고 있다. 가정용 IP카메라를 해킹해 사생활을 녹화, 중국 성인사이트에서 공개되는 사고도 일어나는데, 일부 중국산 IP카메라에는 공격을 위한 악성코드가 숨겨져 제작되기도 한다. 통신망, IP카메라 해킹은 개인의 사생활 침해 문제만이 아니라 기업·국가 차원의 사이버 스파이 활동이라고 의심할 수도 있다. 드론에 모바일 원격관리 프로그램을 설치하면 기밀시설을 촬영해 전송할 수 있으며, 드론이 좀비 기기가 돼 해킹에 역이용 당할 수 있다.
