그러나 디지털 조직범죄의 규모가 얼마나 되는지, 그리고 이것이 방어 전략의 변경이 필요할 만큼 사이버 범죄의 질적 차이를 유발하는지는 명확하지 않다.
조직범죄 비율을 추산하기는 사실 어려울 수밖에 없다. 범죄자는 당연히 잡히는 것을 원하지 않으므로 수사 기관의 눈을 피하는데 전력하기 때문이다.
대부분 전문가는 조직범죄의 비중이 과거보다 더 커졌다는 데 동의하고 있다. 사이버 범죄는 갈수록 조직화되고, 많은 경우 조직도와 정식 경영진과 심지어 인사부서까지 갖춘, 합법적인 사업체의 모양새를 갖췄다.
최근 RAND 코퍼레이션(RAND Corporation)의 국가 보안 연구 부서가 후원한 논문 '사이버 범죄 도구 및 도난 데이터 시장'은 사이버 범죄 시장 규모가 커지는 것은 “한때 단순한 자만심과 악명을 떨치고자 하는 욕구를 충족하고자 했던 각 개인의 네트워크에 불과했던 해커 시장이 이제는 고도로 조직화되고 치밀한 집단이 활동하는 무대로 부상했기 때문”이라고 밝혔다.
이 논문의 저자이자 글로벌 보안 전략가인 마크 굿맨은 최근 인터뷰에서 해커라고 하면 과거에는 “부모님 집의 지하실에서 생활하는 17살짜리 소년”을 연상했지만, 현재 사이버 범죄자의 평균 연령은 35세이며, 범죄를 저지르는 해커의 80%는 조직범죄와 연관되어 있다고 말했다.
굿맨은 “즉 이제 해커는 하나의 직업으로 각광받고 있다”며, “이는 급진적인 변화이며 그 결과로 합법적인 기업의 전문성과 규율, 구조를 모방한 더욱 치밀한 범죄 조직이 만들어지고 있다”고 말했다.
80%라는 수치에는 논란의 여지가 있다. 굿맨은 RAND 논문의 수치를 인용했는데, 이 논문에는 ‘다른 출처에서는 범죄 조직에 의한 사이버 범죄 비율이 20%이며 70%는 “개인 또는 소규모 그룹”에 의해 이루어진다고 추산했다’는 참고 사항이 포함되어 있다. 즉, 수치의 정확성을 보장할 수 없는 상황이다.
카네기 멜론 대학 소프트웨어 공학부의 CERT 부문 수석 엔지니어인 마티 린드너에 따르면 공격자가 조직화된 범죄 집단이든 개별적으로 활동하는 프리랜서든 네트워크 방어자 입장에서는 크게 달라질 부분은 없다.
린드너는 “조직범죄든 아니든 사용하는 도구는 동일하다. 즉, 조직화된 범죄 집단이나 개별적인 공격자나 구매하는 공격 도구는 똑같다는 점이 흥미로운 부분”이라고 말했다.
BAE 시스템즈 어플라이드 인텔리전스(BAE Systems Applied Intelligence)의 미주 대표인 짐 앤더슨도 모두가 동일한 도구를 사용할 수 있다는 데 동의했다.
앤더슨은 “웹 사이트에서 누구나 구매할 수 있는 ‘스타터 키트’에는 초보자가 처음 범죄 행위를 시도할 때 사용할 수 있는 악성 코드가 포함되어 있다”고 말했다.
그러나 앤더슨은 “지금은 비조직적 디지털 범죄란 없다. 범죄가 조직화되면서 디지털 범죄는 계속 발전하고 그 규모도 더 확대되고 있다”고 말했다.
앤더슨은 정보 공유가 이러한 디지털 범죄 발전의 일부라고 지적하며 “범죄 활동에서 정보가 활발히 공유되면서, 예를 들어 전세계의 금융 기관에 잠입한 여러 악당들이 은행 하나를 순식간에 복제할 수 있게 됐다”고 말했다.
물론 사이버 범죄에는 다양한 계층이 존재하며 그중에서는 사조직이 아닌 경우도 있다.
각 국가는 단순히 돈을 버는 것보다는 정치적, 경제적 첩보 활동을 중요시하는데, 정부 비밀과 지적 재산, 정부 직원의 개인 정보를 훔치는 것에 주력하는 것이다. 최근 미국 정부 인사국을 상대로 한 해킹이 그 예다. 이 해킹으로 최대 1,400만 명의 전/현직 연방 직원의 정보가 유출된 것으로 알려졌는데, 중국 해커 집단이 유력한 용의자로 거론되고 있다.
한편 돈을 버는 데 주력하는 범죄 조직이 사이버 공간으로 유입되는 이유는 명확하다. 사이버 공간에 돈이 몰리기 때문이다.
베라코드(Veracode)의 엔터프라이즈 보안 전략 담당 부사장인 필 네레이는 “범죄 조직은 마약 밀매나 매춘 같은 기존 범죄 행태와 비교하면 사이버 범죄가 훨씬 더 쉽고 덜 위험하다는 사실을 인지하고 있다”고 말했다.
지금의 디지털 범죄 조직이 영화 “대부”에 묘사된 과거의 조직과 다른 점도 여기에 있다.
린드너는 “사이버 범죄에도 폭력성은 여전히 잠재되어 있다”며, “조직범죄 집단은 수입을 늘리기 위해 상대 조직을 제거하고는 한다. 사이버 범죄에서도 누군가 이들의 사업을 방해한다면 언제든 폭력적 행동에 나설 수 있다”고 말했다.
다만 여기서 폭력적 행동이란 약 10년 전 스팸 발송자를 퇴출하려던 블루 시큐리티(Blue Security)가 받은 대규모 DDoS 공격과 같은 형태를 띠는 경우가 많다.
이 '공격'에서는 누가 총에 피살되거나 하는 일은 없었다. 린드너는 “제거한다는 개념이 다른 것”이라고 말했다.
린드너는 또 다른 점으로 기존 범죄 조직의 경우 자유롭게 활동하기 위해서는 경찰을 매수해야 했다는 점을 꼽았다. 린드너는 “과거의 조직범죄는 지역적으로 활동했기 때문이다. 그러나 인터넷 세계에서는 경찰에 대한 두려움이 없다”고 말했다.
앤더슨은 범죄 조직이 경쟁 조직원을 살해하거나 지역 사업체들로부터 '상납금'을 요구하지 않는다고 해서 이들의 활동이 폭력으로 이어지지 않는다는 뜻은 아니라고 경고했다.
앤더슨은 “이들이 벌어들이는 돈이 어디로 가서 어떤 활동에 쓰이는지에 대해 많은 우려가 있다”며, “테러리스트 그룹의 수입을 제한하기 위해 금융 기관에 대한 다양한 돈세탁 방지법이 시행되고 있다”고 말했다.
치밀하게 조직화된 범죄에 어떻게 대처하고 방어해야 할지는 앞으로도 계속 논의가 필요한 부분이다.
미국 오바마 대통령은 지난 2월 사설 부문과 공공 부문 간의 정보 공유에 대한 행정 명령을 공포하면서 이를 “사이버 보안을 위한 필수 요소”로 언급했다.
앤더슨을 비롯한 많은 전문가도 같은 생각이다. 앤더슨은 “사법 기관과 보안 업체, 그리고 기업은 공격자의 도구, 기법, 공격 절차에 대한 정보를 최대한 신속하게 공유하고 범죄 조직들과 마찬가지로 긴밀하게 상호 협력해야 한다”고 말했다.
린드너 역시 “악의적 활동에 대한 정보를 공유하면 더 효과적인 방어가 가능하다”고 말했다.
그러나 린드너는 문제는 생각보다 복잡하다면서 “예를 들어 어떤 IP 주소가 불량 주소임을 안다고 하자. 여러 곳에서 이 정보의 공유를 요청할 것이다. 그러나 실제로 내가 공유하는 이 정보가 누구의 손에 들어가서 어떻게 보호되는지 알지 못한다면 이 정보가 노출될 가능성도 배제할 수 없다”고 말했다.
린드너는 “또한 상대방에게도 내가 공유한 정보를 활용할 수 있는 도구를 가졌는지를 알 수가 없다. 이런 것들이 중요한 문제”라고 덧붙였다.
린드너는 먼저 해결해야 할 다른 문제들이 있다면서, “공유에 대해 논하기 전에 먼저 공격을 어렵게 하기 위한 모범 사례와 강력한 아키텍처를 구축할 필요가 있다”고 말했다. 이어 “정보의 가치에 대한 교육도 필요하다. 젊은 세대와 이전 세대는 개인정보보호에 대해 서로 다르게 반응하기 때문”이라고 강조했다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.