보안

"협박부터 신상 털기까지" 물리적인 위협에 직면한 '위기의' 보안 연구원들

Andrada Fiscutean | CSO 2022.06.23
사이버보안 연구원들은 디지털 세상을 안전하게 만들기 위해 열심히 열심히 일한다. 그러나 이들은 때때로 물리적인 보안 위험에 빠지기도 한다. 사이버보안 분야에 오랫동안 종사한 사람이라면 정보보안 전문가가 협박을 받거나 범죄를 직접 경험했다는 이야기를 접한 적 있을 것이다.
 
ⓒ Getty Images Bank

익명을 요구한 한 보안 전문가는 “지난 몇 년 동안 사이버 범죄에 초점을 둔 몇몇 연구원이 살해 위협을 받았다”라고 말했다. 이런 협박을 받은 연구원 중 일부는 범죄자의 시선을 끌지 않기 위해 다른 일을 하기로 했다고 한다. 그는 “직업이 보안 연구원이라는 이유로 나쁜 사람을 끌어들여 사랑하는 사람들을 위험에 빠뜨리고 싶지 않았던 것”이라고 설명했다.

정보보안 관련 트위터와 컨퍼런스에서 연구원들은 자신이 겪은 경험과 이런 상황에서 자신을 보호하는 방법을 공유하곤 한다. 이들에 따르면, 경찰이나 FBI는 크게 도움이 되지 않는다. 유튜브 채널 시타델 락 툴(Citadel Lock Tools) 운영자이자 열쇠 수리 전문가인 맷 스미스는 “연방 법집행기관이나 지역 경찰에 알리라고 말하고 싶지만, 경험에 의하면 아무런 도움이 되지 않는다. 한 사건으로 범죄자를 체포하는 데까지 수개월이 걸리므로 피해자는 꽤 오랫동안 고립된 상태로 방치된다”라고 지적했다. 

일부 연구원은 이런 위협을 명예의 상징으로 여기기도 하지만, 대부분은 자신과 가족의 안전을 유지하기 위해 노력한다. 디지털 발자국을 최소화하고, 소셜 미디어를 통해 접근하는 모든 사람의 배경을 조사하고, 주소 대신 우편사서함을 이용하고, 가족과 연결될 수 있는 온라인 게시물 업로드를 삼간다. 

최근에는 랜섬웨어 공격이 증가하고 러시아, 중국, 북한 및 NATO 간 지정학적 긴장 상태가 고조되면서 정보보안 전문가라는 직업이 적어도 일부는 위험해지는 경향이 있다. 코펜스(Cofense)의 수석 위협 고문 로니 토카조프스키는 “국가 간 갈등 상황이 더 악화할 것인지는 모르겠지만, 나아지지 않은 것은 확실하다”라고 말했다. 


보안 연구원을 협박하는 랜섬웨어 공격 집단

반면 사이버 범죄 집단은 좋은 성과를 거두고 있다. 랜섬웨어 공격 건수는 사상 최고치를 기록했으며, 평균 몸값 지급액은 90만 달러(약 11억 7,000만 원)를 넘어섰다. 더욱이 러시아가 우크라이나를 침공하고 서방이 제재하면서 이런 상황을 억제하기 위한 미국과 러시아의 미비했던 공조마저도 중단된 것으로 보인다. 러시아 경제지 코메르산트(Kommersant)는 랜섬웨어 공격 집단 레빌(REvil)의 구성원의 소행인 것으로 짐작되는 사건이 최근 “막다른 골목에 이르렀다”고 전했다. 

레코디드 퓨처(Recorded Future)의 정보분석가 앨런 리스카는 “여러 랜섬웨어 공격 집단이 아무런 처벌을 받지 않고 살아가고 있다. 러시아를 떠나지 않는 한 이들은 범죄 행위에 대한 처벌을 전혀 받지 않을 것이다. ‘크렘린’의 보호 아래 공격자들은 더 대담하고 뻔뻔해질 것”라고 지적했다.

리스카의 말처럼 랜섬웨어 공격 집단은 이런 보호 덕분에 수년 동안 보안 전문가에게 “아주 악랄한 일”을 벌였다. 앨런은 “개인적으로는 직접적인 위협을 받은 적 없지만, 정보보안 전문가가 개인적인 차원에서 범죄자와 얽힌 사건에 대해 들은 적 있다. 랜섬웨어 그룹이 한 연구원의 자녀를 위협했던 일이다”라고 말했다.  

사이버 범죄자들이 보안 전문가의 집을 알아내고, 모든 가족 구성원에 대한 정보를 수집하는 상황은 실제로 발생하고 있다. 범죄자들은 이런 정보를 지하 포럼에 게시하고 다른 사람까지 포럼에 끌어들여 함께 표적으로 삼는다. 리스카는 “사이버 범죄자들이 서로 협력하고 정보를 공유하는 경향이 몇 년 전보다 강해졌다. 이들은 갈취 사이트까지 만들어 피해자에 대한 정보를 게시하고 생각을 공유한다”라고 설명했다. 

최근 몇 개월 동안 사이버 범죄자들은 연구원의 물리적인 안전에 영향을 미칠 정도로 공격적으로 변하고 있다. 대표적인 공격 집단이 코스타리카의 수십 개 조직을 표적으로 삼고 로드리고 차베스 대통령이 국가 비상사태를 선포하도록 만든 콘티(Conti)다. 해커들이 ‘정부 전복’을 목표로 한다고 발표한 것은 이례적인 일이었다.

하버드 케네디 스쿨 벨퍼 센터(Harvard Kennedy School's Belfer Center)의 사이버 프로젝트 전무이사 로렌 자비렉은 “콘티의 공격은 ‘랜섬웨어 활동의 확대’를 의미한다. 나라 전체를 인질로 잡았음에도 벌을 받지 않고 몸값을 갈취할 수 있다는 것을 다른 공격자가 알게 되면 피해 규모가 더 커질 것이다”라고 말했다. 

이는 랜섬웨어 공격 집단과 국가 배후의 공격 행위자 간의 경계가 점점 모호해지고 있다는 의미이기도 하다. 그러나 국가 배후 행위자의 공격은 더 능숙하고 교묘하다. 예를 들어, 과거 회의에 참석하기 위해 출장을 갔던 한 보안 전문가가 조사를 중단하라는 메시지가 적힌 선물을 받은 적 있었으며, 누군가가 자신의 방을 뒤진 흔적을 발견하기도 했다.

국가 배후의 공격 행위자는 링크드인, 트위터, 텔레그램, 키베이스, 디스코드, 이메일과 같은 채널에서 타겟으로 삼을 정보보안 전문가를 물색한다. 전문가의 컨설팅이 필요하다거나 취약점 연구를 위해 협력하고 싶다면서 접근할 때도 있다. 

2021년 1월 구글 TAG(Threat Analysis Group)는 북한 해커들이 사이버보안 블로거를 사칭하며 보안 전문가들에게 비주얼 스튜디오 프로젝트를 전송한 것을 발견했다. TAG 아담 바이데만은 구글 블로그에 “비주얼 스튜디오 프로젝트에는 비주얼 스튜디오 빌드 이벤트를 통해 실행되는 추가 DLL이 있을 것이다. DLL은 위협 행위자가 제어하는 C2 도메인과 즉시 통신을 시작하는 맞춤형 멀웨어다”라고 썼다. 또한 TAG는 북한 해커들이 보낸 링크를 방문한 몇몇 연구원들이 해킹을 당했다는 사실을 발견했다. 

바이데만은 “표적이 되고 싶지 않다면 별도의 물리적 또는 가상머신을 사용해 연구 활동을 일반 웹 브라우징, 연구 커뮤니티 내 다른 사람과 상호작용, 서드파티 파일 수락, 자체 보안 연구 등으로 구획화하는 것이 좋다”라고 조언했다. 

여기서 끝이 아니다. 2021년 11월 구글은 북한 해커가 연구원의 컴퓨터에 백도어 트로이 목마를 설치하기 위해 삼성의 채용 담당자라고 주장하면서 취업 기회를 자세히 설명하는 PDF를 보낸 것을 발견하기도 했다.
 Tags 보안

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.