[데이터넷] 국가기반 공격이 심각한 수위로 떠오르고 있다. 미국에서는 러시아 배후로 의심할 수 있는 공격이 이어지고 있으며, 우리나라에서는 북한 배후의 공격으로 의심되는 공격이 잇따르고 있다.

우리나라를 타깃으로 한 것은 한국원자력연구원, 한국항공우주산업(KAI)을 타깃으로 한 VPN 취약점 공격이 대표적이다. 이 공격은 북한 배후의 공격자들이 유력한 용의자로 떠오르며, 국산 VPN 솔루션의 취약점이 악용된 것으로 알려지며, 또 다른 방위사업체와 공공·민간기업도 피해를 입었을 가능성이 점쳐지고 있다.

미국에는 지난주 IT 관리 솔루션 기업 카세야(Kaseya)의 ‘VSA’ 솔루션이 랜섬웨어 유포에 활용된 정황이 발견됐는데, 러시아가 배후에 있을 것으로 의심되는 랜섬웨어 서비스(RaaS) 그룹 레빌(REvil)의 소행으로 알려지고 있다. 레빌은 지난달 미국 정육업체 JBS를 공격해 1100만달러를 뜯어낸 악명높은 공격그룹이다.

이 공격으로 미국의 공영방송사, 학교, 국영 철도 시스템 및 MSP 등이 공격받았으며, 미국 뿐 아니라 영국, 캐나다, 뉴질랜드 등 여러 국가 4만대 이상 PC, 1500개 이상 기업이 피해를 입은 것으로 알려진다.

돈 되는 곳에 모이는 국가기반 공격

국가기반 공격의 수위가 심각해지는 이유는 ‘돈’이 되기 때문이다. 초기 국가기반 공격자들은 사이버 스파이 활동을 벌이고, 적국의 중요 인프라를 파괴해 사회 혼란을 일으키며, 정치적인 반대 세력을 제거하기 위해 사이버 감찰활동을 펼쳐왔다.

예전에는 기밀정보 획득, 사회 혼란 야기 등에 무게를 두어왔지만, 랜섬웨어와 암호화폐 채굴이라는 탁월한 돈벌이 수단이 등장한 후 부터는 금전적 수익을 위한 목적으로도 공격을 이어오고 있다. 특히 코로나19로 심각한 경제위기에 직면하면서부터 공격 수위를 더욱 높이고 있는데, 재택·원격근무로 보안이 소홀해 진 틈을 타 막대한 금전 수익을 얻을 수 있는 공격에 집중하고 있다.

금전 수익을 목적으로 하는 지하시장에서 국가기반 공격그룹과 금전적 이익을 얻기 위한 범죄그룹을 구분하는 것은 의미없는 일이다. 지하시장에서는 공격도구와 전략·전술을 개발, 서비스하는 조직, 이를 이용해 실제로 공격을 감행하는 조직, 이들을 중개해주는 브로커들이 활약하고 있다.

이들은 필요에 따라 모였다 흩어지며, 때로 정상적인 모의해킹·취약점 점검 서비스를 제공하고 때로 불법 해킹으로 돈을 벌기도 한다. 특정 국가의 후원으로 사이버 테러를 벌이기도 하며, 합동공격이 필요할 경우 다른 그룹과 함께 공격하기도 하며, 다른 공격그룹의 수법을 모방해 수사에 혼선을 주기도 한다.

위협 인텔리전스로 빠른 보안 대응 갖춰야

지능화, 일상화, 대규모화되는 공격에 대응하기 위한 다양한 대안이 제시되는 가운데, 위협 인텔리전스를 통해 위협 대응 효율성을 높이는 방법이 주목되고 있다.

위협 인텔리전스는 전 세계에서 발생하는 위협 정보를 수집해 분석하는 서비스로, 최신 위협 동향과 공격그룹의 행태 등에 대해 파악할 수 있도록 한다. 최신 공격동향을 빠르게 파악하고 동일하거나 유사한 공격에 선제적으로 대응할 수 있도록 하며, 수사기관의 범죄수사에 활용되기도 한다.

위협 인텔리전스는 보안대응 전문기관과 보안기업들이 제공하고 있으며, 레코디드퓨처, 그룹IB 등 전문 서비스 기업도 국내에 진출해 서비스를 제공하고 있다. 또한 국내 보안기업들도 경쟁적으로 위협 인텔리전스 서비스를 제공하면서 선제방어 태세를 갖출 수 있도록 도움을 주고 있다.

김선애 기자 다른기사 보기