2014.09.19

"은행·유통·의료까지 뚫렸다" 해커들의 진짜 목적은?

Jen A. Miller | CIO
은행, 유통사나 의료기관들이 해킹당해 개인정보나 금융정보가 위험해졌다는 뉴스를 귀에 못이 박히도록 듣는 시대가 됐다. 해커들이 신용카드 번호를 훨씬 더 많이 쥐게 됐지만 대부분의 기업들은 이들을 막지 못하고 있는 실정이다.



해커들의 공격은 멈추지 않는다. 미국의 대형 은행 JP모건 체이스와 가정용품 매장인 홈데포(Home Depot)도 최근 몇 주간 뉴스의 헤드라인을 달궈온 연쇄적 거대 사이버 공격을 피해갈 수는 없었다.

이는 8월의 악몽이라는 별명까지 붙은 일련의 사이버 공격에 피해를 입은 은행은 JP모건 체이스 뿐만이 아니다. 사고 발생 수 일 후 크랩스 온 시큐리티(Krebs on Security)는 홈데포에 가해진 공격의 세부 내용들을 분석한 보고서를 발표했다. 공격의 범위는 아직 정확히 파악되지 못한 상태지만 전문가들은 이것이 지난 해 타깃에서 발생한 유출 사고 규모를 능가할 것으로 분석했다.

조사 과정에서 지난 7월 미국 정부 의료 포털(Healthcare.gov)이 해킹당한 사실도 추가로 확인됐다. 이처럼 사회망 전반에서 보안 구멍들이 발견되고 있어 소비자들에게 많은 우려를 안겨주고 있다. 이제 공격자들은 단순히 누군가의 은행 로그인, 신용 카드 정보를 훔치는데 만족하지 않는다. 실제로 홈데포에 대한 공격을 주도한 해커들은 지하 시장에 자신들이 탈취한 정보를 유통시키며 여기에 ‘미국을 제재하기 위하여'라는 꼬리표를 달았다.

연방 정부의 사이버 보안 작업을 지원해온 화이트 햇 해커(white hat hacker) 그룹 아조리안 사이버 시큐리티(Azorian Cyber Security)의 설립자이자 CEO인 샤를 텐델은 “이번 공격은 정치적인 목적으로 이뤄진 핵티비즘(hactivism)이다. 핵티비스트 집단 가운데 다수는 주장하고자 하는 어떠한 내용을 가지고 있다”라고 진단했다.

맥어피의 분석에 따르면, 사이버 범죄의 세계 경제 규모는 연 3,750~5,750억 달러 수준인 것으로 추정됐다. 지난 6월 발간한 사이버 범죄 보고서에서는 “최소치로 비교한다 해도 사이버 범죄의 경제 규모는 웬만한 국가 혹은 정부의 연간 예산을 뛰어넘는 수치를 보여주고 있다. 사이버 범죄와 지적 자산 탈취로 인한 공적 손실 규모는 앞으로도 지속적인 증가 추세를 보일 것이다”라고 분석했다.

정치적 목소리를 내는 해커들
홈데포 공격 사례에서 해커들은 자신들의 목적을 분명히 밝혔다. 향후 부패 혹은 권력과 관련한 주장을 펼치는 해커들의 출현도 예상해볼 수 있는 상황이다.

텐델은 “그들이 강력한 정치적 주장을 내세우진 않았더라도, 미국 정부가 자신들의 컴퓨터를 지켜내지 못했다는 상황은 충분히 우려해볼 사항이다. 해커들은 미국을 향해 이렇게 말하고 있다. ‘당신들의 보안 체계는 허술하며, 우리는 계속 공격할 것이다’”라고 설명했다.

포네몬 인스티튜트(Ponemon Institute)의 설립자이자 회장인 래리 포네몬은 “이번 공격의 의미는 단순히 신용 카드 정보가 유출됐다는데 있지 않다. 중요한 것은 그들이 자신들의 능력을 과시했다는 점이다. 그들은 ‘얼마든지' 강력한 공격을 할 수 있음을 보여줬다. 8월 공공 의료 시스템에 가해진 공격(450만 건의 환자 정보가 유출됐다) 역시 이러한 측면에서 우려를 낳는다”라고 바라봤다.

“그들은 일개 기업을 넘어서, 사회 주요 인프라에 침투하는데도 성공했다. 그들은 매우 전문적인 해커 집단이며 우리 사회에 치명적인 타격을 입힐 수 있다”라고 그는 덧붙였다.

포네몬은 최근 공격의 특징으로 감지의 어려움도 언급했다. JP모건 체이스에 가해진 해킹의 경우 상대적으로 낮은 수준의 기술력이 요구되는, 그리고 웹사이트가 지닌 약점을 공략하는 SQL 주입에 초점이 맞춰져 있었지만, 홈데포 사례의 경우에는 복합적인 정보 조각을 네트워크에 침투 시킨 뒤 그것들의 내부 결합을 통해 공격이 개시되는 지속형 공격(persistent attack) 전략을 통해 해킹이 이뤄졌다.

그는 “이러한 집단적 공격은 몇 년 전, 아니 최근까지만 해도 하나의 가설에 불과했다. 이것이 현실화됐다는 점이 내가 우려하는 부분이다”라고 말했다.

너무나 쉬운 염탐 활동
좀더 작은 규모지만 더 많은 걱정을 안겨주는 해킹 방법은 바로 정치적, 경제적 목적을 가지고 행해지는 염탐 활동이다. 텐델은 “해외에서 활동하는 해커 한 명을 고용하는 비용은 수 천 달러면 충분하다. 다른 기업을 해킹하거나 염탐하는 ‘서비스'에 대한 수요는 지속적으로 늘고 있다”라고 말했다.

이러한 해킹 서비스의 고객은 주로 경쟁사를 경계하려는 사기업이나 정부 기관들이다.

포네몬은 일부 염탐 활동은 내부 관계자를 포섭해 정보가 보관된 컴퓨터에 USB로 악성코드를 심는 등 상상 이하의 간단한 방법으로 이뤄지기도 한다고 설명했다.

그는 “파쇄기에서 나온 종이 조각들을 맞춰보거나 카페로 외근 나온 직원의 노트북을 엿보는 ‘허접한' 방법들이 때론 정말 위험할 수도 있다. 실제로 방위국의 계약 업체 한 곳에서 이런 방식으로 신형 무기 시스템이나 항공기 설계도가 유출될뻔한 사례도 있다”라고 말했다.

이와 달리 고급 기술을 이용한 염탐은 작은 정보 조각을 노리는 경우가 많다. 작지만 가장 중요한, 예를 들자면 일급 기밀 문서 한 장이나 주요 인사에게 전달된 메모가 바로 해커들이 노리는 대상이다.

포네몬은 “이러한 핵심 정보들은 지하 시장에서 신용 카드 정보 수 백만 건보다 비싼 가격에 거래된다. 사회 보장 번호의 유출 패턴을 분석하는 정부의 노력은 이러한 핵심, 고급 염탐을 방어하는 데에는 아무런 도움도 되지 않는다”라고 설명했다.

해외 해커들과의 싸움, 칼로 물 베기
해외에 기점을 둔 해커들과의 싸움은 암담한 상황이다. 텐델은 “미국이 속수무책으로 패하고 있다. 앞으로도 당분간 승리 소식을 듣기는 어려울 것이다. 기업들의 보안 역량 강화 활동은 구식 해킹 활동에 대응하는데 초점이 맞춰져 있다. 그러나 더 이상 해커들은 낡은 방식을 고수하지 않는다”라고 말했다.

그가 제안하는 현 상황의 문제를 해결할 방법은 소비자들이 나서서 강하게 요구하는 것이다. 그는 “오늘날의 취약한 보안 상황을 개선하기 위해서는 기본적으로 고객 정보의 중요성을 기업들에게 인식시키는 과정이 우선돼야 한다. 그리고 이는 자신들의 정보를 보다 안전하게 관리할 것을 요구하는, 소비자들 본인의 목소리를 통해 가능하다”라고 강조했다.

포네몬은 텐델보다 조금은 긍정적인 전망을 내비쳤다. 그는 “많은 영리한 이들이 이 문제를 고민하고 있다. 기업과 보안 전문가들의 인식은 분명 개선되고 있다. 하지만 해커들 역시 진화를 계속할 것이다. 싸움이 끝나는 날은 아무도 기약할 수 없다”라고 말했다. ciokr@idg.co.kr


2014.09.19

"은행·유통·의료까지 뚫렸다" 해커들의 진짜 목적은?

Jen A. Miller | CIO
은행, 유통사나 의료기관들이 해킹당해 개인정보나 금융정보가 위험해졌다는 뉴스를 귀에 못이 박히도록 듣는 시대가 됐다. 해커들이 신용카드 번호를 훨씬 더 많이 쥐게 됐지만 대부분의 기업들은 이들을 막지 못하고 있는 실정이다.



해커들의 공격은 멈추지 않는다. 미국의 대형 은행 JP모건 체이스와 가정용품 매장인 홈데포(Home Depot)도 최근 몇 주간 뉴스의 헤드라인을 달궈온 연쇄적 거대 사이버 공격을 피해갈 수는 없었다.

이는 8월의 악몽이라는 별명까지 붙은 일련의 사이버 공격에 피해를 입은 은행은 JP모건 체이스 뿐만이 아니다. 사고 발생 수 일 후 크랩스 온 시큐리티(Krebs on Security)는 홈데포에 가해진 공격의 세부 내용들을 분석한 보고서를 발표했다. 공격의 범위는 아직 정확히 파악되지 못한 상태지만 전문가들은 이것이 지난 해 타깃에서 발생한 유출 사고 규모를 능가할 것으로 분석했다.

조사 과정에서 지난 7월 미국 정부 의료 포털(Healthcare.gov)이 해킹당한 사실도 추가로 확인됐다. 이처럼 사회망 전반에서 보안 구멍들이 발견되고 있어 소비자들에게 많은 우려를 안겨주고 있다. 이제 공격자들은 단순히 누군가의 은행 로그인, 신용 카드 정보를 훔치는데 만족하지 않는다. 실제로 홈데포에 대한 공격을 주도한 해커들은 지하 시장에 자신들이 탈취한 정보를 유통시키며 여기에 ‘미국을 제재하기 위하여'라는 꼬리표를 달았다.

연방 정부의 사이버 보안 작업을 지원해온 화이트 햇 해커(white hat hacker) 그룹 아조리안 사이버 시큐리티(Azorian Cyber Security)의 설립자이자 CEO인 샤를 텐델은 “이번 공격은 정치적인 목적으로 이뤄진 핵티비즘(hactivism)이다. 핵티비스트 집단 가운데 다수는 주장하고자 하는 어떠한 내용을 가지고 있다”라고 진단했다.

맥어피의 분석에 따르면, 사이버 범죄의 세계 경제 규모는 연 3,750~5,750억 달러 수준인 것으로 추정됐다. 지난 6월 발간한 사이버 범죄 보고서에서는 “최소치로 비교한다 해도 사이버 범죄의 경제 규모는 웬만한 국가 혹은 정부의 연간 예산을 뛰어넘는 수치를 보여주고 있다. 사이버 범죄와 지적 자산 탈취로 인한 공적 손실 규모는 앞으로도 지속적인 증가 추세를 보일 것이다”라고 분석했다.

정치적 목소리를 내는 해커들
홈데포 공격 사례에서 해커들은 자신들의 목적을 분명히 밝혔다. 향후 부패 혹은 권력과 관련한 주장을 펼치는 해커들의 출현도 예상해볼 수 있는 상황이다.

텐델은 “그들이 강력한 정치적 주장을 내세우진 않았더라도, 미국 정부가 자신들의 컴퓨터를 지켜내지 못했다는 상황은 충분히 우려해볼 사항이다. 해커들은 미국을 향해 이렇게 말하고 있다. ‘당신들의 보안 체계는 허술하며, 우리는 계속 공격할 것이다’”라고 설명했다.

포네몬 인스티튜트(Ponemon Institute)의 설립자이자 회장인 래리 포네몬은 “이번 공격의 의미는 단순히 신용 카드 정보가 유출됐다는데 있지 않다. 중요한 것은 그들이 자신들의 능력을 과시했다는 점이다. 그들은 ‘얼마든지' 강력한 공격을 할 수 있음을 보여줬다. 8월 공공 의료 시스템에 가해진 공격(450만 건의 환자 정보가 유출됐다) 역시 이러한 측면에서 우려를 낳는다”라고 바라봤다.

“그들은 일개 기업을 넘어서, 사회 주요 인프라에 침투하는데도 성공했다. 그들은 매우 전문적인 해커 집단이며 우리 사회에 치명적인 타격을 입힐 수 있다”라고 그는 덧붙였다.

포네몬은 최근 공격의 특징으로 감지의 어려움도 언급했다. JP모건 체이스에 가해진 해킹의 경우 상대적으로 낮은 수준의 기술력이 요구되는, 그리고 웹사이트가 지닌 약점을 공략하는 SQL 주입에 초점이 맞춰져 있었지만, 홈데포 사례의 경우에는 복합적인 정보 조각을 네트워크에 침투 시킨 뒤 그것들의 내부 결합을 통해 공격이 개시되는 지속형 공격(persistent attack) 전략을 통해 해킹이 이뤄졌다.

그는 “이러한 집단적 공격은 몇 년 전, 아니 최근까지만 해도 하나의 가설에 불과했다. 이것이 현실화됐다는 점이 내가 우려하는 부분이다”라고 말했다.

너무나 쉬운 염탐 활동
좀더 작은 규모지만 더 많은 걱정을 안겨주는 해킹 방법은 바로 정치적, 경제적 목적을 가지고 행해지는 염탐 활동이다. 텐델은 “해외에서 활동하는 해커 한 명을 고용하는 비용은 수 천 달러면 충분하다. 다른 기업을 해킹하거나 염탐하는 ‘서비스'에 대한 수요는 지속적으로 늘고 있다”라고 말했다.

이러한 해킹 서비스의 고객은 주로 경쟁사를 경계하려는 사기업이나 정부 기관들이다.

포네몬은 일부 염탐 활동은 내부 관계자를 포섭해 정보가 보관된 컴퓨터에 USB로 악성코드를 심는 등 상상 이하의 간단한 방법으로 이뤄지기도 한다고 설명했다.

그는 “파쇄기에서 나온 종이 조각들을 맞춰보거나 카페로 외근 나온 직원의 노트북을 엿보는 ‘허접한' 방법들이 때론 정말 위험할 수도 있다. 실제로 방위국의 계약 업체 한 곳에서 이런 방식으로 신형 무기 시스템이나 항공기 설계도가 유출될뻔한 사례도 있다”라고 말했다.

이와 달리 고급 기술을 이용한 염탐은 작은 정보 조각을 노리는 경우가 많다. 작지만 가장 중요한, 예를 들자면 일급 기밀 문서 한 장이나 주요 인사에게 전달된 메모가 바로 해커들이 노리는 대상이다.

포네몬은 “이러한 핵심 정보들은 지하 시장에서 신용 카드 정보 수 백만 건보다 비싼 가격에 거래된다. 사회 보장 번호의 유출 패턴을 분석하는 정부의 노력은 이러한 핵심, 고급 염탐을 방어하는 데에는 아무런 도움도 되지 않는다”라고 설명했다.

해외 해커들과의 싸움, 칼로 물 베기
해외에 기점을 둔 해커들과의 싸움은 암담한 상황이다. 텐델은 “미국이 속수무책으로 패하고 있다. 앞으로도 당분간 승리 소식을 듣기는 어려울 것이다. 기업들의 보안 역량 강화 활동은 구식 해킹 활동에 대응하는데 초점이 맞춰져 있다. 그러나 더 이상 해커들은 낡은 방식을 고수하지 않는다”라고 말했다.

그가 제안하는 현 상황의 문제를 해결할 방법은 소비자들이 나서서 강하게 요구하는 것이다. 그는 “오늘날의 취약한 보안 상황을 개선하기 위해서는 기본적으로 고객 정보의 중요성을 기업들에게 인식시키는 과정이 우선돼야 한다. 그리고 이는 자신들의 정보를 보다 안전하게 관리할 것을 요구하는, 소비자들 본인의 목소리를 통해 가능하다”라고 강조했다.

포네몬은 텐델보다 조금은 긍정적인 전망을 내비쳤다. 그는 “많은 영리한 이들이 이 문제를 고민하고 있다. 기업과 보안 전문가들의 인식은 분명 개선되고 있다. 하지만 해커들 역시 진화를 계속할 것이다. 싸움이 끝나는 날은 아무도 기약할 수 없다”라고 말했다. ciokr@idg.co.kr


X