[데이터넷] 디지털 대전환기를 맞아 ICT 기술의 역할은 더욱 막중해지고 있다. 팬데믹을 극복할 수 있었던 주요 요인 중 하나인 ICT는 포스트 팬데믹 시대에도 많은 위기와 위협을 새로운 기회로 바꾸는 동력으로 작용하며 진화를 지속할 전망이다. ICT 업계는 혁신의 여정에 나서며 실패도 맛봤고, 불투명한 경제 사정이 발목을 잡기도 했지만 새로운 기술과 비즈니스 모델을 정립해 나가며 차세대 시장을 향해 전진하고 있다. 2023년 ICT 업계의 주요 이슈를 되돌아본다. <편집자>

#13 공격자 꽃놀이패 ‘랜섬웨어’ … 전문화되는 RaaS 생태계로 랜섬웨어 공격 늘어

랜섬웨어가 전 세계에 막대한 피해를 입히고 있다. 일본 방산기업 JAE, 시계 제조사 세이코와 카시오, 지퍼 대기업 YKK, 제약회사 에자이, 무역항인 나고야항, 사이버 보안 기관 NISC, 미국 BHI 에너지, 보잉, 대만 TSMC, 우리나라 글로벌 제조사 등 셀 수 없이 많은 기업과 기관이 랜섬웨어 공격을 당했다. 

영국 물류회사 KNP 로지스틱그룹은 경영악화로 어려움을 겪고 있던 중 랜섬웨어 공격을 당한 후 주요 시스템과 프로세스, 재무 정보에 영향을 받아 파산하게 됐다. 유명 호텔 리조트 MGM과 시저스는 호텔 시스템이 중단되고 고객 데이터를 도난당했는데, 당시 리조트와 호텔은 방문이 잠기고 엘리베이터가 중단되는 등의 사고가 발생해 고객들에게 큰 불편을 주기도 했다. 

소프트웨어 공급망 취약점을 이용한 랜섬웨어가 광범위한 피해를 발생시키면서 공격을 한층 진화시켰다. 클롭 랜섬웨어 그룹은 파일전송 프로그램 무브잇의 취약점을 악용해 전 세계 수많은 기업과 기관에 피해를 입혔다. 락비트와 아키라는 시스코 VPN, 파이어파워 위협 디펜스 취약점을 악용하면서 공격을 이어가고 있다. 유명 RaaS 그룹 락비트는 새로운 ‘관계사’ 3AM을 출범시켰는데, SK쉴더스 설명에 따르면 락비트가 보안 시스템에 의해 차단되면 3AM이 공격을 이어가는 방식을 택했다. 

SK쉴더스는 초기 액세스 브로커(IAB)의 활약에 주의해야 한다고 강조한다. IAB는 목표 그룹에 초기 침투할 수 있는 도구와 인프라, 혹은 초기 침투까지 대행한 후 다른 공격그룹에 판매하는 서비스형 범죄(CaaS) 모델로, 공격자들이 더 빠르고 효과적으로 목적을 이룰 수 있도록 한다. 이들은 암호화폐로 범죄 수익금을 받은 후 믹싱 서비스를 이용해 자금 추적을 막는 치밀함도 보인다.

랜섬웨어는 사이버 공격의 총 집합이라고 할 수 있다. 사회공학 기법을 이용해 사용자에게 접근해 목표 시스템으로 접근할 수 있는 계정을 획득해 침투한다. 혹은 관리되지 않은 공격표면이나 계정을 이용하고, 공개된 취약점, 패치되지 않은 시스템에 잠입해 침투한다. 침투 후에는 시스템에서 정상적으로 사용되고 있는 기능을 이용해 보안탐지를 우회하면서 침해행위를 이어가며, 데이터를 유출하고 충분한 시간이 됐을 때 이를 공개하겠다고 협박하면서 몸값을 받아낸다. 

공격자는 피해조직의 매출액 등을 감안해 지불할 수 있는 금액, 컴플라이언스 위반, 고객 손해배상액 등을 감안해 몸값의 ‘적정 수준’을 정한다. 피해조직에는 높은 금액을 요구하다가 협상하면서 자신이 원하는 금액 선에서 협상할 수 있도록 한다. 

공격자는 쉽게 공격하고 높은 수익을 얻기 위해 중요 정보를 취급하지만 보안에 소홀한 병원, 중소·중견기업, 서비스·관리 위탁업체를 노린다. 다양한 보안우회기법을 사용해 잠입, 조심스럽게 공격을 확장하면서 수익성을 극대화할 수 있을 때 공격을 개시한다. 

공격그룹은 다양한 계열사와 ‘협업’하면서 공격을 진행하기 때문에 대응하기가 쉽지 않은데, IAB도 계열사 중 하나이며, 유출한 데이터를 게시하면서 몸값 협상을 유리하게 하는 대행사, 자금세탁을 도와주는 조직, RaaS와 공격자를 연결해주는 조직 등이 활동하고 있다.

한편 세계 주요 정부의 사이버 수사기관과 민간기업들이 협력해 랜섬웨어 공격조직을 추적, 조직원을 검거하거나 공격 인프라를 압수하고, 공격 수익을 환수하는 등의 성과를 거두기도 했다. 콜로니얼 파이프라인을 공격한 다크사이드를 비롯해 대규모 랜섬웨어 공격조직으로부터 범죄자금을 환수한 것이 대표적인 사례다.

당시 악명높은 랜섬웨어 그룹들이 잇달아 해체되면서 잠시 공격빈도와 피해가 줄어들었으나, 다른 조직원들이 새로 랜섬웨어 그룹을 만들거나 기존 그룹에 합류하면서 한층 더 단단한 생태계를 조성하고 지능적인 공격을 이어가고 있다.

그러나 공격자만 생태계를 만들어 협업하는 것은 아니다. 방어측도 다양한 협력관계를 통해 랜섬웨어 피해를 막고 있다. 8월 FBI를 비롯한 법 집행기관이 콱봇(Qakbot) 그룹의 인프라를 해체했으며, 7월에는 레인저 로커(Ragnar Locker)가 운영하는 데이터 유출 사이트가 폐쇄됐다. 

국내에서도 랜섬웨어 대응을 위한 민간 협력단체가 활발하게 활동하고 있다. SK쉴더스가 주도하고 있는 카라(KARA)에는 트렌드마이크로, 지니언스, 구글 클라우드 맨디언트, 베리타스, 캐롯손해보험, 법무법인 화우, S2W 등이 참여하고 있으며, 랜섬웨어 예방과 피해복구, 협상 및 대책까지 지원한다.

#14 풀스택 가시성, IT 인프라 관리 혁신 견인 

네트워크와 애플리케이션의 가시성 확보가 시급한 과제로 떠올랐다. 볼 수 없다면 제대로 관리할 수 없는 만큼 많은 것을 볼 수 있는 풀스택 가시성은 IT 인프라 관리를 혁신하는 새로운 솔루션으로 자리매김할 것으로 주목된다. 

보안 측면에서 가시성은 위협을 빠르게 파악할 수 있는 발판으로 사후 대처가 아닌 사전 예방을 통해 보다 안전한 사용자 환경을 구현할 수 있고, WAN 역시 가시성을 확보해 환경 변화에 보다 유연하게 대응할 수 있는 적응형 관리 체계를 마련할 수 있다. 나아가 클라우드의 세밀한 부분까지 모니터링을 수행하면 성능과 가용성 보장이 가능해진다.

보안 툴은 대부분 사전 예방에 방점을 두고 있어 가시성 측면에서는 개선이 필요하다. 이에 외부 공격은 물론 내부의 비정상적인 행동까지 빠르게 파악하기 위해서는 가시성이 담보된 분석 기반의 풀스택 가시성 솔루션과 함께 네트워크 패킷 브로커와 같은 툴 활용도 늘려야 한다는 지적이다.

WAN이나 클라우드는 지리적인 한계를 뛰어 넘어 지사나 지점의 인프라를 단일 데이터센터로 통합하거나 원격지 재해복구(DR) 사이트로 실시간 데이터 복제가 가능할 정도로 성능이 일취월장했다. 그러나 기존 모니터링이나 관리 솔루션은 기술 진화를 따라가지 못하고 있어 풀스택 가시성 솔루션의 필요성이 더욱 높아지고 있다.

풀스택 가시성은 WAN이나 클라우드 구간의 다양한 장애 요인 파악과 애플리케이션의 성능 보장을 가능하게 뒷받침하며 진화해 나갈 전망이다. 특히 복원력과 응답성 향상을 위한 엔드 투 엔드의 능동적인 모니터링과 심층 분석까지 제공하고, 보안을 비롯해 IT 인프라 운영에 있어 필요한 기술 탑재를 늘려 나가며 IT 인프라 모니터링 솔루션의 혁신을 이끌 것으로 주목된다.

#15 눈앞에 다가온 양자시대 … 보안 준비 시간 5년도 남지 않아

양자컴퓨터 시대가 눈앞에 다가왔다. 정부는 2035년까지 양자과학기술을 선도국의 85% 수준으로 끌어올린다는 목표를 밝혔다. 세계시장 점유율 10%, 양자기술 공급·활용 기업 1200개를 만든다는 계획도 발표했다. 

양자기술 산업화에 대비한 국내 표준화 기반 구축과 국제 표준화 주도를 위한 ‘양자기술 표준화 포럼’도 발족시켰다. 이 포럼은 컴퓨팅, 통신, 센싱, 소재의 4개 분과로 구성되며, 양자분야 기술과 시장 리더십을 마련하기 위해 노력한다. 

또 양자핵심인력을 7배 늘린 2500명까지 양성, 양자분야 종사자 1만명을 만들겠다는 포부도 밝혔다. 그 일환으로 양자대학원을 지속적으로 늘려나갈 방침으로, 한국과학기술원(KAIST)과 8개 지역거점 국립대학이 함께하는 ‘한국과학기술원 주관 양자대학원’을 개원했다. 이 대학원은 지난해 ‘고려대학교 주관 양자대학원’에 이어 두번째로 개원한 것으로, 향후 9년간 석박사 대상 양자 특화 전문교육과정 개발·운영해 양자 연구와 산업을 선도할 최고급(박사급) 전문인력 180명을 양성한다. 

한편 양자산업은 빠른 속도로 발전하고 있는데, 탈레스 조사에 따르면 아시아태평양지역 IT·보안 실무자 39%가 소속 기업이 양자컴퓨터 보안 영향에 준비해야 하는 시간이 5년도 남지 않은 것으로 파악하고 있으며, 63%는 중앙화된 암호 관리 전략이 부재하거나(23%), 있더라도 특정 애플리케이션이나 사용 사례에만 적용 가능한 매우 제한적인 수준(37%)이라고 답했다. 

전 세계 응답자 통계는 61%가 자신의 기업이 양자기술 보안 영향에 대처할 준비가 현재 되어 있지 않으며, 49%는 기업의 경영진이 양자 컴퓨팅의 보안 영향에 대해 어느 정도만 인지하거나(26%), 인지하지 못하고 있다고(23%) 답했다. 

보고서는 포스트 양자 컴퓨팅에 대비하기 위해 기업은 고위 경영진의 지원, 암호화 키와 자산에 대한 가시성, 책임감과 오너십을 가지고 기업 전체에 일관되게 적용되는 중앙화된 암호 관리 전략을 포함하는 전략을 갖춰야 한다고 조언했다.