[데이터넷] 2024년 제 22대 국회의원 총선거는 우리나라 운명을 가를 그 어느 때 보다 중요한 행사로 주목되고 있다. 그래서 사이버 공격에 대한 경고가 한층 더 높아지고 있다. 특정 국가 혹은 정치집단이 후원하는 공격자들이 각종 여론전을 통해 자신의 정치적 이익을 높일 수 있는 진영 후보가 당선되도록 할 수 있다.

스피어피싱을 이용해 선거 관계자의 개인정보를 탈취하고, 조작된 뉴스를 퍼뜨리거나 딥페이크를 이용한 조작된 영상을 배포할 수 있으며, 교묘하게 조작된 통계자료를 이용해 가짜뉴스를 유포할 수 있다. 선거 직전 이러한 공작이 전개되면 해당 후보자와 진영은 대응할 시간 없이 선거에 임해야 하기 때문에 매우 위험하다.

사이버 여론전 집중하는 중국

사이버 여론전을 가장 적극적으로 펼치는 국가가 중국이다. 중국은 그럴듯한 영상을 만들어 이메일이나 SNS, 유튜브 등을 통해 유포한다. 미국과 기술패권 전쟁을 펼치면서 기술적으로 중국이 미국의 우위에 있다는 내용의 동영상을 제작해 유튜브를 통해 공유하고 있는데, AI를 이용해 믿음이 가는 성우의 내레이션과 거짓과 진실을 섞은 근거자료를 보여주면서 믿을 수 있는 정보로 위장해 유포했다. 이러한 영상은 중국어, 영어뿐만 아니라 제3세계 언어로 제작돼 정보가 편향된 국가에게 잘못된 정보를 심어줄 수 있게 했다.

거짓 정보는 진실을 담은 정보보다 훨씬 빠르게 전파된다. MIT 연구에 따르면 거짓은 진실보다 리트윗 될 가능성이 70% 더 높으며, 6배 더 빠르게 첫 1500명에게 도달하는 것으로 나타났다. 그래서 마크 트웨인은 “진실이 신발을 신고 있는 동안 거짓은 세상을 반 바퀴 돌 수 있다”고 말했다.

우리나라 언론은 불신도가 매우 높은 편으로, 대부분의 사람은 언론이 정직하지 않다고 생각한다. 그럼에도 불구하고 거짓 정보에 계속 노출되면 사람들의 생각과 판단에 깊은 영향을 받는다. 특히 부정적인 면이 더 강력하게 뇌리에 남게 되며, 여론을 조작하려는 세력은 이러한 심리를 이용해 부정적인 내용을 지속적으로 공유하고 노출하도록 한다.

폐쇄적인 SNS인 카카오톡, 네이버밴드, 텔레그램 등은 사실을 바로잡기 어렵기 때문에 조작된 소문을 퍼뜨리기 쉽다. 기업화되고 전문화된 국가기반 공격자와 특정 정치집단을 위해 활동하는 조직은 이러한 캠페인에 능숙하다.

북한, 난이도 낮은 공격으로도 수익 얻어

국가 혹은 정치집단이 배후에 있는 공격자들은 다양한 방법의 공격으로 상대국에게 피해를 입힌다. 국제 정세의 불확실성이 높아지고, 국가간 경쟁이 치열해지면서 사이버 첩보전도 다방면으로 펼쳐지고 있다. 특히 중국, 북한 배후 공격자들이 사회공학기법을 이용하는 여론전과 첩보전에 능한 것으로 알려진다.

북한 배후 그룹은 업무 관련 내용의 피싱으로 계정정보를 탈취해 내부 시스템에 침투하고, 포털 계정정보를 입수해 이와 연동된 이메일에 접속하며, 사용자 클라우드에 저장된 유관조직 정보를 수집한다.

북한 공격자들은 언론 인터뷰, 논문 요청, 학회 참석 등 일상적인 내용으로 위장해 전문가를 속이고, 다방면의 전문가 의견과 정보를 수집해 북한 정권의 전략을 수립할 수 있는 인사이트를 얻고자 한다.

북한 공격자들은 공급망 공격에도 능하다. 3CX 소프트웨어 공급망 공격의 경우, 트레이딩테크놀로지의 금융 소프트웨어 ‘엑스트레이더’를 감염시켰고, 이를 내려 받은 3CX 관리자가 감염된 상태로 업무를 수행해 공격자가 개발자 환경에 침투해 3CX 데스크톱 앱을 감염시켜 전 세계 여러 고객에게 영향을 미쳤다.

깃허브를 통한 공급망 공격으로도 큰 피해를 일으키고 있다. 징크(ZINC)라고도 불리는 다이아몬드 슬릿(Diamond Sleet)이 CI/CD 애플리케이션 팀시티, 멀티 미디어 소프트웨어 사이버링크 등의 취약점을 이용해 세계 주요 조직을 대상으로 공격을 펼치고 있다. 2021년 공개된 로그4j 악용 공격도 여전히 활발하게 전개하고 있다. 공개된 상태로 운영되는 서버에서 로그4j 취약점을 찾아 침투하는 공격이 미주지역과 유럽을 중심으로 발견되고 있다.

우리나라 공동인증서 소프트웨어 취약점을 이용해 공공기관과 기업을 대상으로 공급망 공격을 지속적으로 진행하고 있다. 드림시큐리티 ‘매직라인포앤엑스(MagicLine4NX)’가 지난해 여러 기업과 기관에 피해를 입혔다. 공격자는 언론사 홈페이지를 해킹해 특정 기사에 악성 스크립트를 숨겨 방문자를 감염시켰다. 피해자 PC에 매직라인포앤엑스가 설치돼 있으면 악성 스크립트를 동작시켜 PC 원격제어 권한을 획득했다.

국가정보원은 우리나라 정부·공공기관 대상 해킹 시도의 55%가 북한과 연계된 것으로 보고 있으며, 국내 정치, 외교, 안보, 국방, 통일 등의 분야 전문가를 대상으로 한 고급 정보 수집 활동을 벌이고 있다고 설명한다.

북한 공격그룹, 지속적 혁신 이뤄

북한 공격자들은 가상자산 탈취로도 큰 수익을 얻고 있다. 이들은 가상화폐 가치가 높을때 불법 채굴로 수익을 얻으며, 가상자산 가치가 떨어지면 가상화폐를 탈취해 수익을 얻는다. 체이널리시스 분석에 따르면 가상화폐 탈취 공격의 43%가 북한에 의해 발생한 것이다.

체이널리시스 조사에 따르면 김정은 북한 국무위원장과 푸틴 러시아 대통령 정상회담 후 양국의 사이버 협력이 상당한 수준으로 증가했다. 그 예로 체이널리시스는 하모니프로토콜에서 탈취한 290억원 상당의 가상자산이 불법 거래 이력이 있는 러시아 거래소로 이체된 것을 들었다.

북한은 자체 공격그룹, 여러 국가의 협력사·계열사를 이용해 자금세탁도 진행한다. 세계 주요국에서 불법 거래에 활용되는 거래소를 제재하면서 획득한 불법자금을 현금화하기 어렵게 되자 자금세탁 전문가를 통해 거래 추적을 방해하면서 자금을 현금화하는 것으로 알려진다.

체이널리시스는 디파이 세탁 기법을 분석했는데, 탈취한 이더리움을 중간 지갑으로 전송한 후 토네이도 캐시를 이용해 이더리움을 혼합시키고, 이를 비트코인으로 교환한 후 다시 혼합하고, 이를 현금화 가능한 서비스에 입금하는 방식이다. 토네이도 캐시는 현재 거래가 중단됐다.

북한 사이버 공격조직에 대해 세계 여러나라가 주의를 기울이고 있다. 북한은 IT 전문가를 양성해 전 세계 기업에 취업시키거나 프리랜서 계약으로 소프트웨어를 개발해 공급한다. 대부분의 경우 합법적인 IT 업무를 수행하는데, 이 중 일부가 북한의 사이버 전략을 지원하는 것으로 알려진다.

맨디언트는 북한 공격그룹이 지속적으로 혁신을 이뤄내고 있다는 분석 보고서를 발표한 바 있다. 맨디언트는 북한이 여러 공격그룹을 지휘하면서 소프트웨어 공급망 공격, 사회공학 기법의 스피어피싱을 전개하고 있다고 설명했으며, 북한 배후 공격자들이 전 세계 여러 국가 조직에 광범위하게 침투해 있다고 밝혔다.

하이브리드전으로 치닫는 현대전

국가배후 공격자들은 갈등관계에 있는 상대국의 주요 인프라를 공격해 막대한 피해를 입힌다. 마이크로소프트 분석에 따르면 2년간 발생한 국가기반 공격의 40%가 핵심 인프라에 집중되고 있다. 이들은 국가의 자금을 지원받아 고도의 정교한 작전을 수행하는 공격자들이 전력망, 수도 시스템, 그리고 의료 시설과 같은 중요한 시스템에 침입한다.

미국 NSA는 2020년 중국 정부 후원을 받는 해커들이 일본 국방망을 해킹한 것을 탐지해 일본 정부에 알렸는데, 1년이 지난 후에도 여전히 중국 해커들이 일본 국방망에서 활동하고 있는 것이 탐지됐다.

주요 인프라 공격은 전쟁 상황에서 더 많이 목격된다. 러시아-우크라이나 전쟁, 이스라엘-하마스 전쟁에서 볼 수 있듯 물리적 전쟁과 사이버 전쟁이 공존하는 하이브리드 전쟁이 일어나고 있다.

우크라이나 국방정보국(GUR)이 러시아 국세청(FNS) 데이터베이스와 백업을 파괴시켰으며, 한 달 동안 국세청 중앙 사무소와 지역 지점의 인터넷 연결을 마비시켰다. 그러자 러시아 배후 공격자들이 우크라이나 최대 통신 사업자 키예프스타(Kyivstar)에 장애를 일으켜 며칠간 수백만명의 우크라이나인이 이동통신과 인터넷을 사용할 수 없게 했다.

우크라이나 전력망을 마비시킨 러시아 배후 공격그룹 샌드웜이 SCADA 시스템 호스팅 서버 하이퍼바이저를 이용해 OT에 접근한 정황도 발견됐다. 이는 OT 환경의 정상적인 도구를 활용한 기법이라는 점에서 주목해야 할 필요가 있다. 샌드웜의 이 방식은 전 세계 다양한 OT OEM에 동일하게 진행될 수 있는데다가 ‘캐디와이퍼(CADDYWIPER)’ 파괴형 멀웨어를 이용해 공격 증거를 삭제할 수 있어 탐지가 매우 어렵다.

이스라엘-하마스 전쟁과 연관된 사이버 공격도 잇따르고 있다. 이란 지원 드론이 미 해군 선박을 위협자가 이스라엘 배후 해킹 그룹이 이란의 주유소 70%를 중단시켰다.

전쟁 초기 DDoS 공격도 집중됐다. 클라우드플레어의 ‘2023년 3분기 DDoS 위협 보고서’에 따르면 하마스가 이스라엘 침공을 시작한 10월 7일 이스라엘을 대상으로 한 디도스 공격이 급증했으며, 8일에 정점을 이뤘다.

적국과 친한 국가도 공격 대상

전쟁을 진행하고 있는 당사국뿐만 아니라 인근 국가들도 사이버 공격 피해를 입고 있다. 상대국과 우호적인 관계에 있거나 전쟁을 지원하는 국가를 대상으로 공격하고 있으며, 다른 정보수집 활동을 위한 공격을 진행하고 있다.

팔레스타인 지역 국가 이익을 위해 활동하고 있는 그룹이 중동, 북아프리카 정부기관을 대상으로 지속적인 첩보수집 활동을 벌이고 있는데, 이들은 실제 사용되는 정상 외교부 문서로 위장한 공격을 진행한다. 이들은 실제로 공개된 공문서에 악성코드를 심어 유포하고 있으며, 드롭박스 링크, XLL, RAR 파일을 공유하면서 보안탐지를 회피하고 있다.

동맹국이라고 해서 믿을 수 있는 것은 아니다. 러시아 통신기업의 사이버 보안회사 ‘솔라’는 러시아 타깃 국가기반 공격의 대부분이 북한과 중국에 의한 것이라고 밝혔다. 북한과 중국 해커들은 오랫동안 러시아 통신·공공분야를 대상으로 첩보활동을 벌여왔다고 공개하기도 했다.

일반 APT 공격자들도 국가기반 공격에 동원된다. 특정 목적의 공격을 위해 정부는 사이버 용병을 고용하기도 한다. 공격을 일으키는 APT 집단을 고용하거나 지하시장에서 판매하는 도구를 구입해 사용한다. 반체제 인사, NGO, 언론인 등을 공격하기 위해 알려지지 않은 공격그룹의 지원을 받는다.

마이크로소프트가 캐나다 보안 연구실 시티즌랩과 함께 추적하고 있는 ‘쿠어드림(QuaDream)’이라는 기업의 경우, 키프로스에 있는 인리치(InReach)라는 법인을 통해 이스라엘 정부에게 스파이웨어 ‘레인(Reign)’을 판매한다. 쿠어드림은 전직 이스라엘 군 관리, 스파이웨어 회사 NSO 그룹 직원이 설립한 회사로, 안드로이드와 iOS의 취약점을 이용해 세계 여러 국가의 정치인, 언론인, 기업인을 대상으로 스파이 활동을 하는 것으로 알려진다.

국내외 인텔리전스 공유로 사이버 위협 대응 나서야

단순한 피싱부터 고급 멀웨어까지 다양한 공격 도구와 방법을 사용하는 국가기반 공격에 대응하는 것은 쉽지 않다. 공격자는 정치적, 금전적 목적으로 침투하며, 적대적 관계에 있는 국가뿐만 아니라 동맹관계에 있는 우호적인 국가를 대상으로도 공격을 하기 때문이다.

특정 국가와 정부, 정치세력을 배후에 둔 공격자로부터 사이버 안보를 굳게 지키고, 시민과 기업을 보호하기 위해서는 정부 조직과 민간기업, 그리고 학계의 전방위적인 협력이 필요하다. 따라서 우리나라 자체 보안 위협 인텔리전스를 구축해 국가·공공기관과 기업, 시민들을 보호할 수 있는 정보공유 체계를 만들어야 한다. 동시에 국제공조 노력도 반드시 기울여야 한다. 각국의 안보와 관련된 기밀정보 외에는 적극적으로 공유해서 글로벌 사이버 세상을 보호하려는 노력이 필요하다.