[데이터넷] 세계 정세가 심각한 위기 상황으로 치닫고 있는 가운데, 한반도가 ‘일촉즉발’의 상황에 놓이게 됐다. 한미일-북중러 대립이 심화되는 상황에서 각국 정부는 동맹 여부와 상관없이 수단과 방법을 가리지 않는 첩보전을 벌이고 있다. 특히 우리나라는 모든 국가의 주요 타깃이 되고 있을 뿐만 아니라, 첨단기술을 노리는 사이버 스파이, 중요 인프라를 노리는 APT 공격까지 다양한 공격이 치열하게 전개되고 있다. 심각한 안보위기로 다가온 ‘사이버전’에 맞서 어떤 노력을 해야 하는지 살펴본다.<편집자>

세계 정세가 급속도로 악화되면서 국가기반 공격자들의 활동이 매우 적극적으로 변하고 있다. 이들은 새로운 공격 방법과 도구도 사용하지만, 대체로 오래 전부터 사용하던 공격방식을 조금씩 변형시켜 사용하고 있다.

그러나 루크 맥나마라 맨디언트 수석 애널리스트는 “공격자의 공격 방법과 목적은 달라지지 않았다. 오래 전부터 사용하던 공격 방식이 여전히 효과적이기 때문에 새로운 공격 방식을 개발할 필요가 없기 때문”이라고 설명했다.

공격 목적·방법은 변하지 않아

앞서 많은 위협 캠페인과 피해사례를 살펴봤으며, 여러 국가의 정치적인 목적에 대해서도 분석했다. 국가기반 공격자든, APT 공격자든, 공격의 목적은 금전 혹은 정치적인 이익이다. 공격 방법은 속이고 침투하는 것이다.

피해자를 속여 돈이나 정보를 빼내거나, 보안 시스템을 우회하는 멀웨어, 패치되지 않은 취약점, 탈취한 계정과 잘못된 설정, 취약한 공급망을 이용해 침투한다. 이 방법으로 랩서스가 글로벌 기업의 기밀정보를 유출했으며, 국가기반 공격자들이 적국의 주요 인프라를 중단시키고 기밀정보를 유출한다.

공격을 막기 위한 방법 역시 이전과 크게 다르지 않다. 사람들이 보안수칙을 잘 지키도록 교육하고, 중요한 정보를 공유할 때는 반드시 확인하며, 민감정보일수록 여러 사람이 개입해 보안이 잘 지켜지는지 확인해야 한다.

TI를 사용하는 것도 필수다. 궁극적인 공격 목표와 큰 틀의 공격 방법은 변하지 않았다 해도 이를 위한 기술과 기법은 계속 달라지기 때문이다.

한규돈 레코디드퓨처 한국지사장은 “한국은 다양한 공격그룹의 타깃이 되고 있다. 그래서 TI를 이용해 보안 대응을 효율화하기를 원한다. 많은 국내 고객의 IT·보안 성숙도가 높아지고 있으며, 현재와 미래 위협에 효과적으로 대응할 수 있는 CTI 모범사례를 찾고 있다. 레코디드퓨처는 한국 기업·기관에 맞는 인텔리전스 서비스로 고객을 보호하는 한편, 한국의 사이버 안보를 위해 적극 노력하겠다”고 강조했다.

국가·기업, 위협정보 공유로 대응해야

사이버 보안에 있어 ‘뭉치면 살고 흩어지면 죽는다’를 이행해야 할 때가 있다. 위협정보 공유 분야이다. TI는 전 세계에서 발생하는 위협 정보를 수집해 분석, 최신 공격동향을 살펴보는 것이다. 그런데 세계 각국은 안보상의 이유로, 국가기밀을 보호하기 위해, 데이터 주권을 위해 정보공유를 꺼린다.

공격자는 국경이나 지역을 가리지 않고 공격한다. 지하세계에서 성공한 공격 사례를 공유하고, 공격도구와 서비스를 판매하며, 초기 침투를 완료해 공격기반을 마련한 인프라까지 제공한다. 돈을 위해 모든 것을 판매하고 공유하는 공격자에 대응하기 위해서는 모든 국가와 기업의 정보공유가 무엇보다 중요하다.

정보공유는 참여하는 국가, 기업간 신뢰가 무엇보다 중요하다. 공유받은 정보가 오염돼 있거나 상대조직의 기밀을 탈취할 목적으로 정보를 공유해서는 안되며, 그럴 수 있다고 의심하는 관계에 있어서도 안된다. 그래서 협력관계를 신뢰할 수 있는 활동도 필요하다.

2018년 전 세계 보안 기업들이 사이버보안 기술 협정(Cybersecurity Tech Accord)을 체결하고 온라인에서 공격적인 활동에 관여하지 않기로 했다. 사이버 용병이 제공하는 서비스로 인한 폐해를 줄이기 위해 기술중단이나 법적 어려움을 해결하는데 동참하며, 무모한 국가기반 공격으로 인해 사람들을 보호하기 위한 활동도 전개된다. 마이크로소프트는 디지털 제네바 협약을 제안했으며, 50여개국이 여기에 서명했다.

국제공조 가상자산 추적으로 범죄 줄여

국제 공조를 통해 사이버 위협에 대응한 대표적인 사례가 해킹당한 가상자산을 동결시켜 사이버 범죄를 줄인 것이다. 체이널리시스 조사에서는 2022년 전년대비 랜섬웨어가 크게 줄었는데, 2021년 국제공조 수사로 여러 대형 랜섬웨어 조직이 와해되고 범죄수익이 환수되면서 공격자의 수익성을 낮췄기 때문이다.

사이버보안보험을 제공하는 보험사들이 랜섬웨어 몸값으로 지불한 금액은 피해보상을 하지 않겠다고 선언했으며, 미국에서는 몸값지불에 강력한 제재를 가하겠다고 하면서 피해자의 몸값지불률이 낮아지고 랜섬웨어 공격 빈도가 줄어들었다.

공격자가 불법으로 획득한 범죄수익을 환수하는 것은 가상자산을 추적하고 거래소를 제재하는 방법으로 진행된다. 공격자는 가상자산을 탈취하거나 범죄수익으로 받은 후 수많은 지갑으로 반복해서 보내면서 자금을 세탁한다. ‘카드깡’과 같은 방법으로 합법적인 인프라 서비스 기업에 서비스 이용료를 지불하는 것처럼 위장해 수익을 현금화한다.

이러한 행위를 분석해 거래를 추적하면 공격자를 성공적으로 검거할 수 있다. 미국 재무부 산하 해외자산통제국(OFAC)은 2018년부터 범죄자들이 불법거래를 위해 이용하는 가상자산 지갑과 거래소를 제재대상 목록에 올리고 본격적인 제재에 나섰다. OFAC는 2022년 사상 최대규모의 가상자산 서비스 제재를 단행했으며, 특히 암거래 시장으로 알려진 하이드라, 탈중앙화 믹서 토네이도 캐시, 러시아 가상자산 거래소 개런텍스 거래를 정지시켰다. 이들은 랜섬웨어 등 사이버 범죄, 마약 밀매, 자금 세탁 등의 혐의로 제제했다.

그 효과는 실제 공격자 수익 감소로 이어졌다. 체이널리시스 조사에 따르면 자금세탁 서비스 제재 대상 지정 후 공격자의 수익이 평균 75만달러 감소한 것으로 파악됐으며, 밝혀지지 않은 자금세탁 규모를 감안하면 공격자의 손실액은 훨씬 클 것으로 예상된다.

AI 이용 범죄수익 추적

체이널리시스와 같은 블록체인 보안 기업들이 AI를 이용해 자금 세탁에 사용된 지갑을 모두 추적, 거래소에서 현금화할 때 지불정지시키고 해당 지역 사법기관을 통해 범죄용의자를 검거하도록 한다. 자금세탁을 우회하기 위해 공격자들은 디파이 프로토콜을 사용하고 다양한 믹서 서비스를 이용하는데, 이 방법도 추적·분석 기술의 개발을 통해 회수할 수 있다. 체이널리시스는 지난해 액시 인피니티 로닌 브릿지 해킹 피해액 중 3000만 달러를 회수했다.

백용기 체이널리시스 한국지사장은 “미국은 제재를 통해 범죄 활동을 억제하기 위한 적극적인 조치를 취하고 있다. 더 많은 정부 기관이 이러한 범죄 활동을 조사하고, 불법 자금 현금화를 방지하며, 도난 자금을 압수, 회수할 수 있도록 범죄에 대응하는 도구와 교육을 갖춰야 한다”며 “OFAC와 같은 수사기관이 자금 세탁 서비스를 가상자산 생태계에서 차단하려는 노력과 더불어 이들의 역량이 강화된다면 가상자산 해킹은 해가 갈수록 더 성공하기 어려워질 것”이라고 밝혔다.

백 지사장은 “가상자산은 모든 거래가 온체인에 기록되기 때문에 법 집행기관은 사건 발생 이후 몇 십년이 지나도 이를 통해 범죄자를 추적할 수 있다. 수사 기법이 점차 개선되면서 온체인 데이터는 더욱 중요한 가치를 지니게 된다. 체이널리시스가 제공하는 블록체인 분석 툴을 통해 민관이 협력한다면 정교한 해킹 공격이나 가상자산 자금세탁도 막을 수 있다. 블록체인의 고유한 투명성 덕분에 앞으로 이와 비슷한 사례가 더 많이 나올 것으로 기대한다”며 “체이널리시스는 한국 정부와도 긴밀하게 협력해 공격자의 수익화를 저지하고 공격자를 검거하는데 중요한 정보를 제공할 것”이라고 말했다.