농협 전산망 파괴, 3·20 방송사 시스템 파괴, 한국수력원자력과 미국 소니픽처스 해킹, 인터파크 개인정보 유출, 워너크라이 랜섬웨어, 방글라데시 중앙은행 해킹, 암호화폐와 거래소 해킹 및 마이닝 봇 유포, 평창동계올림픽 타깃 공격….
북한이 배후에 있거나 북한의 해커조직이 일으킨 것으로 알려진 공격은 셀 수 없이 많다. 그러나 실제로 이 모든 공격을 북한이 저지른 것인지에 대한 의견이 분분하다. 가장 유력한 주장은, 미국이 소니픽처스 해킹은 북한의 소행이라고 발표한데에서 시작하며, 세계적으로 악명높은 라자루스 해킹집단이 이와 같은 공격 기법을 사용하고 있어 라자루스는 북한 해커 조직이거나 북한 정부가 배후에 있는 것으로 추정된다.
그러나 라자루스의 공격 기법과 유사하다고 해서 라자루스 그룹의 소행이라고 단정할 수는 없다. 공격자들은 증거를 위조하고 조작하는데 능하기 때문이다. 다른 공격 그룹의 공격 방식을 차용해 다른 공격자에게 죄를 뒤집어씌우는가 하면, 증거를 삭제해 추적을 어렵게 한다.
얼 카터(Earl Carter) 시스코 탈로스 글로벌 보안위협 분석 총괄 이사는 “공격은 더욱 더 은밀하게 진행돼 탐지되거나 추적되기 어렵게 만들고 있다. 그래서 공격자를 특정하거나 배후를 밝히는 것은 어렵다”며 “누가 공격을 했는지 밝히는 것 보다 고객을 어떻게 보호하는지에 초점을 맞춰야 한다”고 말했다.
그는 “공격자가 속한 국가나 배후를 발표하면 여론의 주목을 받을 수 있다. 그러나 배후를 밝히는 것은 쉽지 않은 일이다. 실제로 공격자들은 여러 공격 방식을 혼합해 사용하기 때문에 정확하게 어떤 공격그룹의 소행인지 아는 것은 어려운 일”이라고 덧붙였다.
“평창올림픽 조직위, 타깃 공격에 적절하게 대응”
시스코의 위협 분석 전문가 조직 탈로스에서 보안위협을 분석해 온 얼 카터 이사는 평창동계올림픽 타깃 공격인 ‘올림픽 디스트로이어(Olympic Destroyer)’의 예를 들어 설명했다.
탈로스는 올림픽과 같은 국제적인 스포츠 행사를 노리는 사이버 공격이 발생하고 있다는 것을 감안, 평창 동계올림픽을 타깃하는 공격이 있는지 찾아봤으며, 올림픽 디스트로이어를 감지했다. 웜 바이러스처럼 자가확산하는 기능을 가진 올림픽 디스트로이어는 시스템과 브라우저의 사용자 정보를 탈취하고 시스템 작동 장애를 일으키는 등의 공격을 일으켰다.
카터 이사는 “올림픽 디스트로이어에 데이터와 시스템을 파괴하는 등 심각한 피해를 일으키는 행위는 없었다. 공격자가 왜 치명적인 피해를 일으킬 수 있는 멀웨어를 사용하지 않았는지, 어떤 목적과 배경을 갖고 공격했는지, 누가 공격했는지 알아내는 것은 어렵다. 공격의 배후를 추정하는 것 보다 서비스를 안전하게 보호하는 것이 더 중요하다”며 “이런 점에서 평창동계올림픽 조직위원회가 이 공격을 12시간 내에 인지하고 대응해 상당히 준비된 올림픽이었다고 생각한다”고 밝혔다.
암호화폐 채굴 봇으로 높은 수익 올리는 공격자
카터 이사는 시스코 탈로스가 분석한 최근의 주요 보안 이슈를 소개하며 최근 공격자들은 암호화폐 채굴 봇으로 몰려들고 있다고 설명했다. 지난해 공격자들은 개인의 암호화폐 지갑을 탈취하거나 거래소를 해킹해 직접 암호화폐를 훔치는 공격을 집중했다.
암호화폐는 익명으로 거래되기 때문에 자금 세탁이 용이한 것으로 알려지고 있으나, 실제로는 암호화폐의 거래 내역이 기록되고 거래에 참여하는 사람은 누구나 볼 수 있기 때문에 암호화폐의 흐름을 추적할 수 있다. 암호화폐를 실물 화폐로 환전했을 때 수사당국의 추적을 받을 수 있다.
그래서 공격자들은 거래소를 만들어 운영하면서 사용자 단말과 IoT 기기에 채굴 봇을 심어 직접 채굴에 나섰다. 암호화폐 채굴 봇은 대부분 모네로를 채굴하고 있다는 점도 눈여겨 볼 대목이다.
최근 암호화폐 시세가 하락하고 있어 채굴의 경제성이 떨어진다고 평가되지만, 탈로스가 계산한 실제 공격자의는 수익은 꽤 높다. 평균적으로 하나의 시스템은 하루 0.28 달러에 해당하는 모네로를 생산한다. 2000대의 채굴봇을 운영하는 공격자는 하루 560달러, 1년에 20만4400달러(약 2억2000만원)의 이득을 취하는 셈이다. 수백만개의 감염된 시스템으로 이뤄진 봇넷의 경우 위와 같은 방법을 적용하면 1년에 1억 달러(약 1070억원)에 달하는 이득을 불러올 수 있다.
거래소 해킹, 개인 암호화폐 지갑 탈취 등의 공격이 사라진 것은 아니며 지금도 꾸준히 계속된다. 탈로스가 지난해 공격에 사용된 도메인 주소를 추적한 결과, 하나의 공격 시스템에서 3년간 5000만달러(약 534억원)을 탈취한 것으로 분석됐다. 공격자의 지갑 계정 하나에서만 탈취한 범죄수익이 200만달러(약 21억원)에 달하는 것으로 나타났다. 이 공격은 우크라이나에서 우크라이나 시민을 대상으로 발생한 것으로 분석됐다.
카터 이사는 “공격자는 돈이 몰리는 곳을 쫓아가게 돼 있다. 지난해까지 랜섬웨어 공격이 유행한 것은 그만큼 수익성을 보장받을 수 있기 때문이었으며, 이제는 암호화폐 채굴이 높은 수익을 보장할 수 있다고 판단하기 때문”이라고 말했다.
“IoT 보안, 모든 업계가 참여해야”
IoT는 두 번 말할 필요도 없는 보안 취약점이다. IoT는 생활의 모든 분야에 적용되는데, 예를 들어 최근 축구공, 농구공도 네트워크에 연결해 득점을 계산하는 시도도 진행된다. 카터 이사는 “IoT 보안은 업계 전체가 힘을 모아 해결해야 한다. IoT 기기와 서비스 개발 시 보안을 고려해야 하며, 사용자는 신뢰할 수 있는 제품을 선택하고, 기업은 서비스 구획화를 통해 모니터링과 피해 확산 방지에 힘써야 한다”고 말했다.
한편 시스코는 탈로스를 통해 전 세계에서 일어나는 위협을 분석하고 대응한다. 탈로스는 280여명의 보안 전문가가 매일 6000억개 이상의 이메일과 웹을 분석하며 197억개의 공격을 차단한다. 이는 전 세계 인구 한 명당 3건의 공격을 차단하는 것이다. 분석된 결과는 시스코의 모든 디바이스에 적용돼 고객이 새로운 위협을 걱정할 필요 없이 대응할 수 있게 한다.
