토픽브리핑 | 국내 사이버보안의 문제와 북한 소행설, 이 속에서 살아남는 방법

최근 마이크로소프트는 '사이버 보안 위협 보고서: 변화하는 환경 속에서 기업 보안의 현재'라는 미디어 브리핑을 개최하면서 국내 기업 보안 현황에 대해 설명했다.

마이크로스프트가 글로벌 컨설팅업체 프로스트앤설리번과 공동으로 조사한 <사이버 보안 위협 보고서>에 따르면, 2017년 사이버 공격으로 국내 기업이 입은 직간접 손실액은 약 720억 달러(약 77조 원)로 한국 국내총생산의 5%에 달한다. 국내 대기업의 경우 기업당 평균 약 300억 원의 경제손실을 입은 것으로 확인됐다.

특히, 이런 경제적 손실을 '빙산효과'로 표현하며 실질적으로 눈에 보이는 직접적 손실보다 빙산 아래 감춰져 있는 간접적/추가적 손실이 더 심각한 것으로 나타났다. 국내 대형기업의 경우 간접적/추가적 손실 즉, 사이버 공격으로 인한 고객 소실 및 기업 평판 훼손, 일자리 손실과 같은 생태계 전반에 미치는 악영향으로 인한 피해가 전체 90% 가까이 되는 것으로 조사됐다.

"2017년 사이버 공격으로 인한 직간접 국내 손실액 약 77조 원"…한국마이크로소프트 발표

이런 사이버보안과 공격에 대한 숫자들은 나날이 커지고, 중요해지고 있다. 2021년, 전 세계적으로 사이버범죄로 인한 사회적 비용은 연간 6조 달러에 이를 것이며, 2017년에서 2021년 사이, 사이버보안에 대한 전 세계적 지출액은 1조 달러를 넘을 것이다. 사이버보안 실업률은 0%다.

2017~2022년 사이버 공격에 관한 사실, 숫자, 그리고 통계

국내 사이버보안에서의 가장 큰 문제는 공격 주체에 대해 대책이 없다는 점이다. 기-승-전-북한으로 귀결되는 국내 사이버 공격에 대한 북한 소행설은 어제오늘 일이 아니다. 이런 북한소행설의 시초는 딱 9년 전인 2009년 7월 7일 발생한 7.7 디도스 사태였다. 이 사태는 2009년 7월 7일부터 9일까지 공공기관(청와대, 국회, 외교통상부, 국가정보원, 행정안전부, 국방부, 한미연합사령부)를 비롯해, 언론, 은행(외환은행, 신한은행, 농협 등), IT 기업 등을 대상으로 한 사이버 테러였다.

이 사건을 시초로 관계 당국은 국내 굵직한 사이버보안 사건들 대부분 북한 소행으로 결론지었다. 이는 어디까지나 정부의 공식적인 입장일뿐, 진실은 저너머에 묻어준 채로 말이다. '북한? 그럼 어쩔 수 없지'라는 분위기 속에 해킹당한 조직이나 기업, 각 사건의 책임자들은 책임을 면하고 실제 피해는 고스란히 각 조직 구성원과 국민들이 떠안았다.

특히 2015년 3월 한수원 해킹사고나 2016년 5월 한진중공업 해킹 사건을 조사 발표한 관계 당국의 태도는 북한 소행설에 모든 것을 회피하는 전형적인 모습을 보였다.

"한국 방위산업체 해킹, 북한 소행으로 추정"
IDG 블로그 | 한수원 기밀 유출 사건과 관련한 요약 정리와 정부가 해야할 일 세 가지

국내 보안 사건의 배후로 지목되던 북한이 전세계 사이버위협의 주체로 전면에 부상하게 된 것은 2014년 소니픽처스 해킹 사건부터였다. 맨디언트는 중국에서 활동해 온 일단의 공격 그룹 배후로 북한을 지목한 바 있다. 물론 북한은 자신들의 소행이 아니라고 전면 부인했다.

토픽브리핑 | 사이버 공격의 주체 논란, 세계로 뻗어나간 북한 소행설

이후 북한은 지난해 5월 발생한 대규모 랜섬웨어 사태인 워너크라이(WannaCry) 랜섬웨어 공격의 배후로 지목받았다. 도널드 트럼프 미국정부의 국토안보보좌관 토마스 보세트는 월스트리트 저널 논설에서 북한의 해커들이 이 사이버 공격의 배후였다고 주장했으며, 영국 보안 장관 벤 월리스 또한 지난 10월 BBC 라디오와의 인터뷰에서 "북한 정부에게 워너크라이에 대한 책임을 물어야 한다"고 말했다.

"워너크라이 책임, 북한에 있다"…트럼프 미 행정부
워너크라이 배후에 북한이 있다는 미국 정부의 주장, 믿을 수 있나

최근 전세계를 공격하는 무수히 많은 공격 조직들을 수년간 은밀히 조사해 온 보안 업체들이 각 공격 그룹의 공격 활동을 토대로 조직의 배후나 목적 등을 특정할 수 있었다. 예를 들어, 파이어아이는 보고서를 통해 북한 해커 그룹 APT37(Reaper, 리퍼)은 "악성코드 개발 아티팩트, 공격 목표가 북한의 이해와 일치한다는 점을 감안했을 때, 이들이 북한 정부를 대신해 해킹 공격을 하고 있다고 확신한다"고 설명했다.

이 리퍼 그룹은 카스퍼스키랩이 스카크러프트(ScarCruft)라는 이름을 붙인 해커 그룹과, 시스코 탈로스(Cisco Talos) 그룹의 보안 연구원들이 올해 초 자세하게 분석한 그룹123과 일치한다.

이들은 2012년부터 활동을 시작한 것으로 추정되는 리퍼는 대한민국의 공공 부문과 민간 기업에 초점을 맞춰 정보를 수집해 왔다. 그러나 2017년 이후 표적이 일본, 베트남, 중동 등으로 확대됐다. 또한 표적으로 삼는 산업도 화학, 전자, 우주항공, 의료 및 보건, 자동차, 제조 등으로 확대시켰다. 기존에는 정부, 방위 산업 관련 업체, 언론, NGO가 주 표적이었다.

작전 반경이 확대된 북한 해커 그룹, "APT37"…파이어아이

이렇게 개연성있는 증거들이 북한 해커 그룹의 소행임을 말하고 있다. 그러나 이것이 북한이 공격 주체라고 입증할 수 없다. 라자러스 그룹의 공격 목적과 대상, 내용 등이 북한의 그것과 동일하다는 의미만으로는 라자러스 그룹이 북한의 배후라는 것을 특정하지 못한다는 의미다.

지금까지 전세계 정부 가운데 사이버 첩보 행위를 공식적으로 시인한 정부는 미국밖에 없다. 미국을 제외한 모든 국가들은 정부가 직접, 혹은 재원을 지원하는 사이버 공격에 대해 부인하고 있다. 한 때 사이버 첩보를 넘어 사이버 전쟁이라 부르는 단계로 치달았던 중국이나, 러시아, 이란, 그리고 북한도 마찬가지다.

"러시아-중국-미국이 가장 큰 사이버 보안 위협이다"…플래시포인트
평창동계올림픽 개막식, 사이버공격 있었다
파이어아이, 최신 사이버 공격 트렌드 및 사이버 보안 전략 제시

지금까지 우리나라 정부 관계 당국의 공식적인 조사 결과나 발표 내용을 믿으면, 지난 10년 동안 이렇게 책임 추궁도 할 수 없는 공격 그룹에 속수무책으로 당해온 것이 바로 국내 보안 현실이 된다. 그리고, 보안 관계자들은 책임을 지지 않았다.

그리고 최근 발표된 4.27 판문점 선언 2조 1항에는 남과 북은 지상과 해상, 공중을 비롯한 모든 공간에서 군사적 긴장과 충돌의 근원으로 되는 상대방에 대한 일체의 적대행위를 전면 중지하기로 하였다고 규정했다. 하지만 이 조항에 담긴 모든 공간 속에 사이버공간이 포함되는지 여부에 대해 통일부는 명확치가 않아 차후 논의가 필요하다고 밝혔다.

IDG 블로그 | 일체의 적대행위를 중지하기로 한 판문점 선언, "사이버공간이 포함되는가"

2015년 9월, 미국과 중국 간의 사이버조약의 체결은 최초의 사이버보안 조약이기도 하지만 본격적인 사이버전쟁을 알리는 공식적인 사건이기도 하다. 이런 원칙적인 조약의 체결은 미국과 중국 간 해킹 사실이 있었다는 것을 입증해주는 것일뿐 아무런 실효가 없다는 것은 관련 전문가들은 모두 알고 있었다.

DDOS 보호 업체 넥서스가드(Nexusguard) 수석 과학자 테렌스 가로는 "가끔 수사관들은 운좋게 부주의한 실수나 소프트웨어 코드 속 짜투리를 통해 증거를 잡아낸다. 그러나 이것으로 정부 후원 공격인지 다른 그 무엇인지를 구별하기는 어렵다"고 말했다.
가로는 "해킹은 핵무기 제작 또는 미사일 발사와는 다르다. 수많은 공격들이 대학이나 특정 조직에서부터 시작되는데, 이런 일이 발생했을 때, 각 정부는 피해 당국보다는 그들의 손을 들어줄 것이다"고 말했다.

또한 책임 소재는 일부 공격들의 복잡한 성격으로 인해 앞으로 더 복잡해질 것이다. 한 회사를 표적으로 한 일부 공격은 여러 그룹들이 함께 작업하거나 또는 개별적으로 일하고 있을 지 모른다. 유니시스(Unisys) 글로벌 보안 솔루션 부사장 톰 패터슨은 "책임 소재를 추궁하는 건 어리석은 짓이다. 해킹 사건 뒤에는 결코 하나의 그룹이 있는 것이 아니다"고 설명했다.

미국-중국 간 사이버조약, 실제 의미하는 바는

물론 미국과 중국, 양국 간의 사이버 공격 수는 많이 줄었다. 하지만, 사라진 것은 아니며 다만 좀더 은밀하고 기민하게 행동할 뿐이다. 미국은 타국에 대한 첩보행위를 지속적으로 해오고 있으며, 중국 또한 자국의 이익을 위해 사이버 공격을 감행한다.

중국 해커, 미 해군 협력업체로부터 수중전 데이터 614GB를 훔쳤다

앞서 설명한 판문점 선언이 설령 사이버공간을 포함한다손 치더라도 북한이 사이버 공격을 중단할 것이라고 믿는다면 이는 순진한 생각이다. 북한의 해킹 실력은 미국과 파이브아이즈, 러시아, 중국 다음으로 막강한 해킹 실력을 갖고 있으며, (지금까지 관련 당국의 공식 입장에 따르면) 이로 인해 우리나라는 10년동안 엄청난 피해를 겪어왔다.

"북한의 RAT와 웜 악성코드를 경계하라"…미 FBI와 DHS

정녕 일개 기업이나 일반 개인은 국가 주도의 사이버 공격을 막을 수 없을까. 100% 막을 순 없다. 이를 끝까지 막을 수 있는 조직이나 기업은 거의 없다는 것이 2015년 각국 정부와 사법 기관을 상대로 침입 및 감시 도구를 판매하는 이탈리아 업체인 해킹팀의 해킹 사건으로 드러났다.

모든 보안 관리자가 읽어야 할 문서, '해킹 팀 해킹 후기'
해킹 팀, 데이터 유출 사건에 대한 대응과 추가적으로 드러난 내용 - 2부

다만 공격 성공을 어렵게 하는 방법들은 있다. 우선 정부 주도의 공격자들은 일개 기업이나 개인을 해킹하지 않으며, 특정 목적을 위해 해킹하더라도 고급 기술로 잘 알려진 제로데이 공격이나 최신의 정교한 공격 방법보다는 사람들이 크게 경계하지 않을만한 경로를 더 많이 활용한다.

정부 주도의 사이버 공격, 대처 방법은 없는가

따라서 잘 알고 있는 보안 습관만으로도 공격을 어렵게 할 수 있다. '어차피 해킹당할 것'이라는 자조적인 모습보다는 해킹하는 데 도움을 줄 수 있는 행동들을 하지 않는 것이 좋다. editor@itworld.co.kr