사이버전 부대와 일반 사이버 범죄자의 구분이 사라지고 있다

사이버전 부대의 고급 기술, 점차 사이버 범죄자들로 전파돼
일반 해킹 범죄에서도 횡적인 움직임과 파일레스 멀웨어 사용 늘어나

[보안뉴스 문가용 기자] 사이버 범죄자들과 국가가 후원하는 사이버전 해커들의 차이가 모호해지고 있다는 내용의 보고서가 발표됐다. 보안 업체 크라우드스트라이크(CrowdStrike)가 발표한 것으로 “일반적으로 재정적 지원이 풍부하고 기술적 숙련도가 높은 국가 지원 해커들과, 그보다 열악한 환경에서 보다 덜 기술적인 능력치로 작업하는 해커들을 구분하기가 힘들어지고 있다”는 내용을 담고 있다.

[이미지 = iclickart]

이러한 현상을 북돋고 있는 가장 큰 요인은 ‘낙수 효과’ 때문이라고 크라우드스트라이크는 설명한다. 정부를 끼고 있는 고차원적인 해커들의 기발하고 혁신적인 기술이 결국 사이버 범죄자들에게 전수된다는 뜻이다. 크라우드스트라이크의 공동 창립자인 조지 커츠(George Kurtz)는 “사실 모든 정부 프로그램이 다 그런 의도를 가지고 있는 것 아니겠냐”고 설명한다. “큼직한 기술 개발은 나라가 주도하고, 그것이 점차 민간 부문으로 흘러내려가도록 하는 것이 정부가 꿈꾸는 순리이죠.”

커츠는 “워너크라이(WannaCry)와 이터널블루(EternalBlue)를 통해 이러한 트렌드가 뚜렷하게 드러났다”고 말한다. “정부가 막대한 자금과 인원을 들여 개발한 최첨단 기술이 결국 일반 해커들에게도 퍼져나갔습니다. 그리고는 상용화 혹은 일반화되었죠. 이런 사례가 특히 위험한 건 정부와 관련 있는 단체가 새로운 툴을 개발할 때 이미 민간 부문에서 널리 사용되고 있는 방어 체계를 무력화시키기 때문입니다. 이런 툴이 한 번 등장할 때마다 기존 방어 툴들이 대부분 유물이 되어버린다는 게 가장 무서운 점입니다.”

크라우드스트라이크에 의하면 지난 해 멀웨어가 없이 침투에 성공한 공격이 전체의 39%였다. 이는 아직까지 기존의 백신 제품으로는 탐지가 불가능한 공격으로 알려져 있다. 특히 생산, 전문 직종 및 서비스, 제약 산업이 피해가 컸다. 기존 보안 솔루션을 바보로 만드는 공격, 대부분 가장 상위층에 있는 정부 지원 해커들로부터 나온다. 하지만 그들이 39%의 공격을 다 주도하지는 않았다. 누군가 배우고 익혀서 그들을 흉내 낸다는 것이다.

또한 해당 보고서에서는 한 침입자가 네트워크 내에서 횡적으로 움직이기 시작하는 데 걸리는 시간이 평균 1시간 58분이라고 나와 있다. 횡적 움직임 역시 꽤나 어려운 공격 기법으로, 일반 사이버 범죄자들 역시 이러한 기술을 사용하는데 익숙해져 있다는 뜻이다. 크라우드스트라이크의 부회장인 아담 메이어스(Adam Meyers)는 “대형 정부 기관과 민간 사업체라면 이러한 횡적인 움직임을 통한 공격을 막기 위해 다음 세 가지를 반드시 해야 한다”고 설명한다.

“현재 진행되고 있는 공격이 있는지 1분 안에 탐지해야 합니다. 그런 후 해당 위협을 10분 안에 조사할 수 있어야 합니다. 그리고 그 공격 때문에 발생한 것들을 1시간 내에 모두 청소할 수 있어야 합니다. 공격이 똑똑해지고 기술적으로 향상될수록 보안은 더 심화된 ‘다층화(multi-layer)’를 추구해야 합니다. 기술만이 아니라 사람, 프로세스, 정책이 모두 어우러지는 것도 필수입니다.”

뿐만 아니라 사이버 범죄자들이 데이터를 가지고 협박을 하거나 무기로 삼는 등의 행위를 주로 하고 있는데(예전에는 암시장 판매가 주류였다) 이는 정부 기관, 의료 기관에 특히 큰 피해로 이어진다고 한다. “정부의 지원을 받는 고급 해커들의 공격과 표적형 랜섬웨어 공격이 최근 떠오르고 있습니다. 이는 지정학적으로 혹은 군사적으로 악용될 가능성이 높은 공격 유형이기도 하지요. 위협은 늘어가지만 단 한 방에 모든 걸 해결해줄 수 있는 방법은 여전히 존재하지 않습니다. 그런 마법과 같은 일은 불가능하지요.”

그가 설명하는 근본적인 대처법은 다음과 같다. “자금 사정이 허락하는 한도 내에서 가장 좋은 보안 솔루션을 사용하는 것이 중요합니다. 여기에 보다 능동적이고 적극적인 방어 전략도 필수적이고요. 차세대 백신을 미리 구매해서 설치하고, 취약점이 있으면 미리미리 찾아서 패치하거나 행동 탐지를 기반으로 한 기술도 도입해야 합니다. 인공지능을 통한 데이터 분석 능력도 키워야겠죠. 클라우드를 활용하면 보안도 더 유연하고 빨라질 수 있습니다.”

한편 또 다른 보안 업체 사이버리즌(Cybereason)의 첩보 책임자인 로시 러스티시(Ross Rustici)는 “4~5년전만 해도 사이버전 부대들만 사용할 수 있는 것으로 보이던 각종 기술들이 이제 일반 해커들 사이에서도 널리 쓰이고 있다”며 “이는 방어 체제의 완전한 변화를 요구한다”고 주장한다. 그 완전한 변화란 “보다 공격적인 마음가짐”이다. “내 네트워크 어딘가 숨어있는 해커를 반드시 찾아내겠다고 마음을 먹는 거죠. 기존엔 해커가 ‘문제를 일으키면’ 잡겠다는 태도였고요.”

보안 업체 왓치가드(WatchGuard)의 CTO인 코리 냐크라이너(Corey Nachreiner)는 “망을 ‘신뢰의 단위’로 구분지어서 관리해야 할 필요가 있다”는 입장이다. 엔지니어링 부서는 마케팅 부서와 떨어트려놓고, IT 서버와 고객 응대 부서를 떼어놓으라는 것이다. “POS 시스템은 또 POS 시스템대로, 사물인터넷 네트워크는 또 따로 독립시키라는 것이죠. 그래야 횡적인 움직임을 크게 제약시킬 수 있어요.”
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)