[주요 사이버 공격 그룹③] 본격화되는 사이버 전쟁
상태바
[주요 사이버 공격 그룹③] 본격화되는 사이버 전쟁
  • 김선애 기자
  • 승인 2018.07.03 12:18
  • 댓글 0
이 기사를 공유합니다

글로벌 경제 위협 주는 사이버 공격 발발…‘탈린 매뉴얼’, 단순 위협도 사이버 공격으로 인정

7월 정보보호의 달을 맞아 전 세계 주요 사이버 공격그룹의 활동과 공격 사례를 통해 최신 공격 동향과 공격 목표 등을 알아보고 공격 대응 방안을 모색해 본다. 목표를 달성하기 위해 수단과 방법을 가리지 않는 공격자들은 공격 증거를 위조하고 다른 조직에게 뒤집어씌운다. 이러한 공격기법을 잘 파악하고 공격자를 추적하는 방어조직의 노력을 살펴본다.<편집자>

NATO “국가간 사이버 공격에 국제법 적용해야”

국가의 후원을 받는 공격은 주로 정치적인 목적으로 진행되지만, 금전적인 이익을 위한 시도도 자주 발생한다. 랜섬웨어, 암호화폐 거래소 해킹 및 암호화폐 채굴 악성코드 공격 중 일부가 정치자금을 마련하기 위한 것으로 알려진다.

국가를 상대로 한 사이버 전쟁은 2007년 에스토니아 일대에 발생했던 대규모 디도스가 최초의 사건이라고 보고 있다. 에스토니아가 수도 탈린에 있는 구 소련 참전 기념 군인상을 수도 외곽 공동묘지로 이전한다고 발표하자 러시아계 주민들이 격렬한 반대 시위를 벌였고, 이를 진압하던 중 수많은 사상자가 발생하게 됐다.

그러자 에스토니아 정부기관과 금융기관, 통신사 등에 대규모 디도스 공격이 발생했으며, 수 주 동안 정부와 은행, 통신 업무가 마비돼 큰 혼란을 입었으며, 막대한 금전적인 피해를 입게 됐다.

에스토니아는 이 사고가 국가간의 무력공격이라며 북대서양조약기구(NATO)에 자위권 발동을 요청했으며, 공격 배후에 러시아가 있다고 주장했다. 러시아는 이 사건과 아무 관련이 없다고 반박했지만, 검거된 공격자들은 대부분 러시아인이었으며, 공격경로에 러시아가 포함돼 있었다.

NATO는 사이버 공간에서 일어나는 공격도 국제법을 적용할 수 있는지 연구했으며, 2013년 ‘탈린 매뉴얼 1.0’을 발표했다. 이 후 국가간 사이버 활동이 무력공격 수준에 도달할 가능성이 낮다고 판단, 국가가 배후로 의심되거나 비무력 사이버 공격에 대한 내용을 추가한 ‘탈린 매뉴얼 2.0’을 지난해 발표했다.

‘국가정보보호백서 2018’에서 소개한 탈린 매뉴얼 2.0의 주요 내용은 국가간 관계에 대한 기초 법 체계를 다루고, 인권법 등 분야별 법 체계를 정비했으며, 유엔 헌장상 무력사용 금지와 국내문제 불간섭 등 사이버 무력 사용을 정의했다. 그리고 마지막으로 무력충돌법에 대해 설명했으며, 단순한 위협행위까지도 사이버 공격으로 적용범위를 확대했다.

민간 보안 기업, 디지털 제네바 협약 체결

국가간 사이버 전쟁을 물리적인 전쟁과 같은 양상으로 보기 시작하면서 전쟁 희생자를 보호하는 ‘제네바 협약’과 같은 국제 협약을 사이버 세상에도 마련해야 한다는 주장이 나왔다. 지난 4월 미국 샌프란시스코에서 열린 ‘RSA 컨퍼런스’에서 마이크로소프트, 페이스북, 오라클, 시만텍, 시스코, VM웨어, 노키아 등 34개 IT기업은 ‘디지털 제네바 협약’을 맺고 무고한 시민과 기업에게 사이버 공격을 가하는 정부와 협력하지 않겠다고 서약했다.

케빈 맨디아(Kevin Mandia) 파이어아이 사장은 올해 초 발간된 ‘2018 보안 예측 보고서’에서 “사이버 전쟁에서 교전규칙은 무시되고 있으며, 모든 국가가 교전규칙을 따르도록 책임을 물을 수 있는 연합단체도 없다”고 지적했다.

이 보고서에서 스티브 부스(Steve Booth) 최고보안책임자(CSO)는 “국가 단위 공격의 일부는 미국과 서방 국가의 경제 제재로 촉발된 것”이라며 “러시아, 북한 등 사이버 강국들이 교역과 경제 제재 대응 수단으로 미국 기업을 타깃으로 공격을 단행했고, 글로벌 경제에 위협을 가할 수 있는 사이버 공격 능력이 있다는 사실을 입증했다”고 역설했다.

▲워너크라이 랜섬노트

전 세계를 혼란에 빠뜨린 랜섬웨어 공격 워너크라이가 그 대표적인 예라고 할 수 있다. 공격자들은 미국 CIA를 해킹해 CIA의 해킹툴을 인터넷에 유포했으며, 그 중 하나인 ‘이터널블루(EternalBlue)’ 취약점을 워너크라이가 이용했다. 워너크라이 배후 세력으로 많은 기업들이 북한을 지목했지만, 일부 전문가들은 북한 소행이라기보다는 일반적으로 많이 사용되는 악성코드를 사용한 것이라고 반박하기도 했다.

워너크라이 공격을 일으킨 것으로 알려진 라자루스 그룹은 전 세계 금융기관을 공격해 금전적이 목적을 달성하는 조직으로, 방글라데시 중앙은행 해킹 사고의 주범으로 지목된다.

이터널블루 취약점은 워너크라이 이후에도 많은 공격에 이용됐는데, 카스퍼스키랩이 집계한 바에 따르면 4월 한 달 동안 워너크라이 공격 당시보다 10배나 많은 30만여명이 피해를 입은 공격이 발발한 것으로 나타났다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.