사이버 공간은 안전지대가 아니다. 해커들이 호시탐탐 기회를 노리는 곳이다. 누구라도 한 번 삐끗하면 그 파급력이 사회 전체에 퍼질 수도 있다. 보안은 더 이상 전문가들만의 영역만이어서는 안 된다.

[보안뉴스 문가용 기자] 지난 2016년 악명 높은 해킹 그룹인 라자루스(Lazarus)는 SWIFT라는 국제 은행 간 통신 시스템으로부터 10억 달러를 훔치려고 했었다. 어떤 공격 기법을 가주고 있었기에 이런 대담한 시도를 할 수 있었을까? 다름 아니라 소셜 엔지니어링, 즉 사회 공학적 기법이었다.


라자루스 해커들은 제일 먼저 평범해 보이는 구직 신청서를 활용해 방글라데시 중앙은행의 시스템에 침투할 수 있었다. 이 준비 작업은 실제 공격 개시 1년 전에 이미 완료되었다. 침투에 성공한 공격자들은 별 다른 움직임을 보이지 않으며 SWIFT가 어떻게 작동하는지를 지켜보며 학습했다. 그러고 나서 서서히 십억 달러를 뉴욕의 연방준비은행에서부터 빼돌리기 시작했다.

그런데 마침 은행 직원 한 명이 우연히 라자루스가 해킹한 프린터를 껐다가 켰다. 그러자 프린터에서 뉴욕 연방준비은행의 송금 확인 메시지가 줄줄이 나오기 시작했다. 이 때문에 해킹 공격이 발각됐고 은행 측은 공격자들의 사기 거래 행위를 중단시킬 수 있었다. 그러나 이미 8100만 달러를 잃은 뒤였다. 공격자들이 원래 훔치려 하던 것의 1/10도 안 되는 것이었지만 어마어마한 돈임은 분명했다.

라자루스 해커들은 북한의 정부가 운영하는 공격 그룹이다. 하지만 북한이라는 곳은 어렸을 때부터 누구나 컴퓨터 교육을 받을 수 없다. 그러니 라자루스 해커들의 실력은 최고라고 말하기 힘들다. 해킹 공격 기술이 가장 뛰어난 건 러시아다. 러시아의 해커들은 가장 골치 아프고 성능 좋은 멀웨어들을 만들어 왔다.

지난 한 해 동안 일어난 대규모 해킹 공격들은 대부분 러시아의 해커들이 벌인 짓이다. 러시아 공격자들은 솔라윈즈(SolarWinds)의 오리온(Orion)을 통해 주요 연방 정부 기관들과 대기업들의 네트워크에 파고드는 데 성공했었다. 뿐만 아니라 ‘메이저급’ 되는 랜섬웨어들은 대부분 러시아와 관련이 있다. JBS 푸드(JBS Foods)와 콜로니얼 파이프라인(Colonial Pipeline) 모두 러시아 랜섬웨어 해커들의 소행으로 드러났었다. 이런 공격들 모두 소셜 엔지니어링으로부터 시작됐다.

중국도 절대 간과할 수 없는 해킹 실력을 가지고 있다. 수년 전 미국을 뒤흔들었던 OPM 침해 사건을 비롯해 도소매 업계에서 발생한 여러 가지 대규모 사건들 다수가 중국 해커들의 소행으로 분석되고 있다. 최근에는 암호화폐 채굴을 위한 공격도 자주하고 있으며, 러시아 해커들과 연합 전선을 이루고 있다는 증거들도 나오고 있는 상황이다.

러시아 해커들의 위협은 갈수록 증가하고
러시아 금융권은 SWIFT로부터 차단된 상태다. 또한 경제적으로도 러시아라는 국가는 점점 더 고립되어 가는 중이다. 이를 돌파하기 위해서 러시아는 보유하고 있는 해킹 기술을 활용할 것으로 예상되며, 적절한 대비를 하지 않으면 우리는 더 심하게 사업이 중단되는 상황을 겪거나 더 큰 돈을 랜섬웨어 복구 비용으로 내야 할 것이다. 게다가 러시아의 칼날이 누구를 향하게 될지 아무도 모른다.

물론 최근 미국 국회에서는 랜섬웨어 사건 발생 시 국가에 반드시 보고해야 한다는 규정을 도입했고, 다른 여러 나라들에서도 비슷한 규정이 있거나 생기는 중이다. 긍정적인 흐름임에 분명하지만 여전히 사용자 개개인이 방어를 위해 해야 할 일들은 간과되고 있는 게 사실이다. 왜냐하면 보안을 전문 업체들이 도맡아 왔기 때문이다. 일반인들의 상식에서 아직 보안은 보안 전문가들의 책임이다.

사이버 공격, 어떻게 막아야 하는가?
이런 패러다임을 우리는 바꿀 필요가 있다. 민관이 협력하여 많은 사람들이 사용할 수 있는 오픈소스 방어 도구들을 개발하고, 최소 5년은 무료로 사용할 수 있는 라이선스를 제공해야 한다. 그렇게 해야 보안 기술이 보다 널리 퍼지고 보편화 될 수 있다. 또한 우리가 가지고 있는 보안 기술들을 더 철저하게 실험하고 강화시킬 수 있게 된다. 이 과정을 통해 보안은 누구나 참여하는 진정한 보안이 된다.

비슷한 개념을 사용자 훈련에도 적용시킬 수 있다. 사용자들을 훈련시키는 건 스피어피싱 및 각종 소셜 엔지니어링 공격에 대항할 수 있게 해 주는 가장 능동적인 해결책이다. 하지만 오늘날 보안 교육 대부분 벤더들이 맡고 있다. 이들은 비용을 받고 보안 교육 프로그램을 제공하는데, 그 효과에 대해서는 아직 명확히 알려진 바가 없다. 효과가 명확하지 않은데 교육을 받았다는 사실 때문에 ‘안전하다’고 느끼는 위험성만 높아진다.

감사가 필수다
보다 강화된 보안 감사 제도가 도입될 필요도 있다. 금전적이나 정치적인 요인에 영향을 받지 않는 서드파티 전문 감사 기관이 이를 도맡아야 한다. 미국의 경우 사이버 보안 전담 기구인 CISA가 감사 팀을 운영하는 게 가장 효과적일 거라고 본다. CISA가 직접 하지 않더라도, 적어도 팀을 꾸리거나 조직을 만드는 데 앞장서야 한다. 그리고 CISA가 수립한 감사 방법론이 하부 조직들과 민간 기업들에도 퍼져가도록 권장할 필요가 있다.

마지막으로는 일반 대중들까지도 준비시켜야 한다. 70년대 민방위 훈련을 생각해 보라. 전쟁이 언제 터질 지 모르는 상황에서는 모든 시민들까지도 훈련에 참여했다. 전 국민의 군사화를 말하는 게 아니라, 스스로 최소한의 안전은 지킬 수 있도록 해야 한다는 것이다. 지금은 전쟁이 우리가 쇼핑하고 연락하고 콘텐츠를 즐기는 사이버 공간에서 벌어지니까 말이다. 모든 사람에게 최소한의 보안 교육은 마땅한 권리로서 제공하는 게 지금 우리가 살고 있는 세상의 상황이다.

모든 조직들은 서서히 다중 인증을 기본 인증 시스템으로서 가져가야 할 것이라고 생각한다. 또한 각종 크레딧 관리 서비스나 보호 서비스 등도 일반 조직들과 시민들에게 무료로 제공될 필요도 있다. 중요한 서비스와 도구를 무료로 푸는 이런 방법들이 아니고서는 아무리 강조해도 일반인들을 보안에 참가시킬 수 없다.

사이버 공격을 차단하고 위험을 완화시키는 건 더 이상 ‘전문가들이 할 수 있으면 하는 일’이 아니다. 누구나 어느 정도는 할 수 있어야 하는 일이다. 사이버 보안은 국가의 안보는 물론 개인의 사생활 보호에까지 막대한 영향을 미치는 분야가 되었다. 물론 한 사람 한 사람이 러시아의 해킹 천재들과 호적수가 될 수는 없다. 하지만 그렇기에 모두가 뭉쳐서 더 단단한 방벽을 만들어야 한다.

글 : 아룬 비시와나스(Arun Vishwanath), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>