[데이터넷] 지난해 발생한 ‘사상 최악의 사이버 공격’은 올해 발생할 피해에 비하면 아무것도 아닐 것으로 보인다. 사이버 공격은 늘 진화했고, 늘 역대급 피해를 발생시켰다. 사이버 공격 동향 분석을 통해 향후 발생할 공격에 미리 대응할 수 있는 방안을 생각해본다.<편집자>

지능형 지속위협(APT)은 국가기반 공격자와 랜섬웨어 공격자, 그리고 각종 공격을 일삼아오던 범죄자들이 모두 하나의 생태계에서 활동하는 방향으로 흘러가고 있다. APT는 공격 목표를 정한 후 이를 달성할 때까지 지속적으로 공격을 벌이는 활동을 말하는데, 사실 사이버 공격의 대부분이 APT라고 할 수 있다.

센티넬원은 가장 오래된 APT 공격그룹이 25년 이상 활동해왔다고 설명했는데, 이들은 탐지 시스템을 우회하기 위해 매우 정상적인 범위 내에서 행위를 하고, 정상 계정과 정상적인 관리도구를 이용한다. 가장 많이 사용되는 모의해킹 도구인 코발트 스트라이크(Cobalt Strike), 메타스플로잇(Metasploit) 용 자바스크립트를 사용하는 것이 그 대표적인 예가 될 수 있다.

APT 공격자들은 피해자의 심리, 습관, 업무 특성을 이용해 자신도 모르게 공격행위에 가담하도록 하는 사회공학적 기법을 사용한다. 업무와 관련된 내용이나 자신의 관심사, 사회적으로 큰 파장이 있는 이슈, 정상적인 웹사이트 등을 이용하며, 가족, 지인, 거래처 등 매우 친밀한 관계이거나 업무를 위해 자주 연락하는 사람으로 위장한다.

이들은 ‘가성비’에 민감해 더 쉽게, 더 빠르게 공격목표를 달성할 수 있는 각종 꼼수를 연구한다. 초기 APT는 목표 조직에 대해 면밀하게 분석하고 맞춤형 공격도구와 전술·전략을 세워 장기간에 걸쳐 은밀하게 진행해 시간과 비용 부담이 높았다.

가짜정보로 협박하는 공격자

사이버 범죄자들은 다크웹을 기반으로 활동한다. 다크웹은 인터넷의 한 종류로 전용 브라우저를 통해 접근할 수 있으며, 사용자 익명성을 보장해 정치적으로 탄압받는 인사들의 활동이나 내부 비리 폭로 등에도 활용된다. 다크웹에서 가장 활발하게 활동하는 이들은 범죄조직으로, 마약거래, 무기밀매, 살인청부, 인신매매, 개인정보 및 기밀정보 판매, 불법 포르노 영상물 매매, 사이버 공격 무기와 서비스 판매 등의 활동이 이뤄지고 있다.

다크웹은 전 세계 방대한 개인 네트워크에 의해 운영·유지되며, 다크웹 요청을 라우팅하기 위해 프록시 서버를 운영하는 수천명의 참여자가 함께한다. 그 어떤 법의 규제도 받지 않는 무법지대로, 특정 운영주체가 없어 와해시킬 수도 없다.

다크웹에는 각종 범죄 정보들이 공유·매매되고 있는데, 데이터를 유출한 후 이를 다크웹에서 판매하거나 판매하겠다고 피해기업을 협박하면서 돈을 뜯어내는 공격이 일상적으로 이뤄지고 있다. 일부 공격자들은 다크웹이 아니라 경쟁사와 경쟁국가, 인수합병이 진행되는 기업이나 IPO를 준비하는 기업의 정보를 직접 고가로 판매하는 경우도 있다. 그러나 많은 경우 다크웹을 통해 판매해 매출가를 높이고 안정적인 판매처를 확보하려고 한다.

2021년에도 다크웹에 우리나라 국민들의 개인정보를 판매한다는 게시글이 다수 발견되면서 사회에 큰 파장을 일으켰는데, 공격자들이 예시로 공개한 개인정보의 상당수가 오래전 유출사고를 통해 다크웹에 공유된 가치 없는 정보이거나, 다른 공격조직이 훔친 정보를 다시 훔치거나 도용한 것이어서 실제 공격자들이 보유한 정보의 규모가 어느 정도인지 파악하기 어려운 상황이다.

다크웹 판매 데이터 70%, 이전에 공개된 데이터

금융보안원이 2020년 발생한 개인정보 유출 사고를 분석한 결과, 공격자들이 확보했다고 주장하는 개인정보의 규모와 실제 유효한 정보의 규모는 상당한 차이가 있다는 사실이 증명됐다. 금융보안원 국내 대형 유통업체를 공격한 랜섬웨어 집단이 지하시장에 판매하겠다고 공개한 고객정보를 분석한 결과, 65%~69%는 이전에 공개되었던 정보였으며, 그렇지 않은 정보도 오래전 변경됐거나 재발급 대상인 정보였다.

그룹IB는 공격에 대한 가짜 데이터를 가진 데이터 누출 사이트(DLS: Data Leak Site)에 대해 분석한 바 있는데, 공격자들은 자신들의 공격 성과를 부풀려 말하면서 피해 기업이 더 많은 돈을 내도록 유도한다.

또 공격자들의 다크웹 활동이 언론에 공개되면서 이를 홍보 수단으로 활용하려는 범죄자들의 의도도 드러나고 있다. 금융보안원이 다크웹에 공개된 카드정보에 대한 대응과 분석을 취한 사례가 2020년에 2회 약 190만건이었는데 2021년에 7회 약 337만건에 이르렀다. 그만큼 사이버 범죄의 빈도와 규모가 높아졌다고도 할 수 있지만, 공격자들이 언론 공개를 적극 이용하면서 자신들의 범죄 실력을 자랑하고, 피해 조직이 공포심을 갖게 만들어 더 많은 돈을 탈취하려는 시도도 엿보인다.

다크웹 유통 정보 가치·규모, 정확히 파악 어려워

다크웹에 가짜 정보가 많다고 해서 다크웹 유출 정보의 중요도가 낮다고 생각해서는 절대 안 된다. 다크웹에 어떤 정보가 유통되고 있는지 완벽하게 파악할 수 없다. 다크웹은 폐쇄적인 수많은 커뮤니티로 운영되고 있으며, 허가된 사람들만 접근할 수 있기 때문에 실제로 범죄를 위해 판매되는 정보 중에서는 매우 높은 금전적인 가치를 가진 기밀 정보가 대규모 포함돼 있을 수도 있다.

범죄자들이 노리는 기업·기관은 국가 안보, 사람들의 생명·재산, 기업 비즈니스에 치명적인 영향을 미칠 수 있는 곳이다. 점점 더 많은 사회 중요 인프라와 정부·공공기관, 의료시설, 대형 제조시설 등이 공격 대상이 되고 있다. 여기에서 탈취한 정보가 고가에 팔리며, 이 조직에 대한 랜섬웨어 공격으로 수백억원의 수익을 챙길 수도 있다.

팔로알토 네트웍스 보고서에서는 넷워커(NetWalker) 랜섬웨어 공격자들이 이러한 전략을 가장 적극적으로 펼쳤다고 소개하고 있는데, 이 조직은 2020년 1월부터 2021년 1월까지 전 세계 113개 피해 조직의 데이터를 유출하고 랜섬웨어 공격을 했다. 넷워커는 미국 법무부가 국제법 집행 조치를 조율했다고 밝힌 후 운영이 중단된 것으로 알려진다.

공격자 등급제·에스크로 제도 운영

다크웹은 ‘포럼’이라고 불리는 소규모 커뮤니티와 마켓플레이스로 운영된다. 구매자와 판매자가 직접 거래해 거래의 투명성이 보장되지 않기 때문에 포럼과 마켓플레이스 운영자들은 판매자의 신뢰등급을 매기고 에스크로 제도를 도입하기도 한다.

다크웹은 일반 시장경제질서와 거의 동일하게 운영되고 있다. 멀웨어·랜섬웨어 코드 개발조직, 공격 인프라를 만들어 서비스하는 조직, 전체 공격 전술·전략을 수립해 제안하는 조직, 훔친 데이터의 공개하는 블로그를 운영하는 조직, 마케팅·홍보 조직과 유통조직, 그리고 이들의 상품과 서비스를 이용하는 고객(공격자) 등으로 구성된다.

보안전문가들은 300개 이상 공격그룹이 다크웹에서 활동하고 있으며, 공격 도구와 서비스를 일회성으로 구입하기도 하지만, 월간 구독 형태로 공격키트를 구입해 사용하는 고객이 많다고 전한다. 사이버 범죄 시장이 대규모 성장을 이루면서 그 생태계의 가장 하단에 있는 개발자와 서비스 조직은 치열한 경쟁을 벌이고 있으며, 서비스 가격을 낮춰 시장 장악력을 가지려 하는 추세도 보인다.

마이크로소프트가 조사한 바에 따르면 공격에 고용된 전문가는 공격당 250달러부터 시작, 랜섬웨어 키트는 66달러부터 시작하거나 공격 수익의 30%를 가져가는 조건으로 계약한다. 감염된 PC는 13센트에서 89센트, 모바일 기기는 82센트에서 2.78달러, 스피어피싱은 성공 시 100달러에서 1000달러, 사용자 이름과 패스워드는 평균 1000세트 당 97센트, 벌크로 구입하면 4억개 10달러, 디도스 공격은 한 달에 311.88달러 수준이다. 가장 인기있는 랜섬웨어 키트는 월 구독 기준 한달 40달러에 판매되기도 한다.

공격에 성공했을 때 수억달러를 벌어들이는데, 생태계의 최하단에서 ‘고생’하는 작업자에게 돌아가는 보수가 적어 공격그룹 내부에서 갈등이 빚어지기도 한다. 일부 개발자들은 수익 배분에 불만을 품고 공격코드와 인프라를 공개하거나 보안기업에 기밀정보를 제보하고, 서로 해킹해 경쟁그룹을 와해시키기도 한다.

세상에 영원한 적도, 영원한 아군도 없는 것처럼, 이들도 때로 협력하고, 때로 공격한다. 다크웹 포럼에서 특정 조직의 공격 방법을 모의하거나, 새로 출시된 공격도구 사용방법을 논의하며, 공격벡터에 대한 아웃소싱 서비스 정보를 공유하기도 한다.

협상 전문가도 등장해 더 많은 범죄자금을 끌어들이기도 한다. 이들은 피해 기업이 비즈니스 중단으로 발생하는 피해, 고객 피해 보상금, 소송에 들어가는 비용과 세계 각국 규제위반으로 인한 과징금 등을 합산해 그보다 낮은 금액을 요구하면서 협상을 진행한다. 피해 기업 언어를 지원하고 암호화폐 송금도 도와준다.

암호화폐 추적해 범죄자 검거

다크웹 범죄가 성행할 수 있었던 이유 중 하나가 암호화폐다. 거래 당사자의 익명성이 보장되는 암호화폐로 범죄자금 세탁이 용이해지면서 범죄자들이 요구하는 비용은 천정부지로 뛰어오르고 있다.

체이널리시스 조사에 따르면 암호화폐 기반 범죄는 2020년 78억달러에서 2021년 140억달러, 전체 암호화폐 거래량 중 불법활동과 관련 있는 비중도 2020년 0.34%에서 2021년 0.62%로 2배 가까이 뛰었다. 암호화폐 가치가 상승하면서 암호화폐 도난 사고도 빈번하게 발생했다. 2021년 약 32억달러의 암호화폐가 도난당했는데, 2020년보다 무려 5배 늘어난 것이다.

암호화폐로 인해 사이버 범죄가 부추겨진 측면이 있지만, 암호화폐 거래를 추적해 범죄자를 검거하는데 성공하는 사례도 있다. 암호화폐 거래는 블록체인에 기록되며, 범죄자들은 범죄수익이 입금되면 이를 수십개의 다른 지갑으로 쪼개 전송하는 거래를 몇 단계 거쳐 자금 추적을 피하는 수법을 사용했다. 그러나 블록체인 거래 내역을 추적하는 AI 기술이 발달하면서 아무리 복잡한 거래를 통해 범죄자금을 숨기려 해도 숨길 수 없게 됐다.