언택트, 디지털 채널이 부상하면서 사이버 위협이 갈수록 치밀해지고 있습니다. 더욱 정교하고 빈번해진 사회 기반 시설 해킹으로 주요 각국이 비상사태를 선포했습니다. 글로벌 육가공업체인 브라질 JBS는 사이버공격으로 생산을 중단했고, 미국 송유관 업체는 랜섬웨어 공격에 56억 원을 해커에게 상납하며 굴복하는 일이 벌어졌습니다.

특히 랜섬웨어 공격은 테러 수준의 공격 활성화 양상을 띠고 있는데요. 시스템 복구와 협박을 통한 몸값 지불, 정교한 해킹 공격으로 사이버 위협 수준이 더욱 높아지고 있습니다. 금융권을 노리는 랜섬디도스 공격이 급증세입니다.

최근 러시아 해킹조직 팬시베어를 사칭한 협박 메일이 국내 모 은행에 발송됐습니다. 2억5000만원을 비트코인으로 주지 않으면 대규모 디도스 공격으로 시스템을 모두 마비시키겠다고 공언한 사례입니다. 인질(Ransom)과 디도스(DDos)의 합성어 ‘랜섬디도스’ 공격 방식이 금융권 생태계를 위협하고 있습니다.

디지털 기술의 진화, 신종 사이버 테러 기승

사이버 위협은 갈수록 진화 중입니다. 랜섬디도스 공격 방식을 뛰어넘는 ‘삼중협박(Triple Extortion)’ 방식이 등장했습니다. 파일 암호화를 통해 시스템을 마비시키고 파일 복구 몸값을 요구합니다. 미지급 시 정보공개 협박을 단행하기도 합니다. 이후 디도스 공격까지 가세해 웹사이트 운영을 중단하게 만드는 수법입니다.

피해 사례도 속출하고 있습니다. 반도체 기업 한 곳은 가격 협상 메일과 내부 전략 회의 내용이 유통됐고, 자동차 회사는 소비자 포털이 마비되는 등 엄청난 피해를 입었습니다.

크리덴셜 스터핑 공격도 진화를 거듭하며 언택트 시대 대표 사이버 위협 기술로 부각되고 있습니다. 이 공격은 유출된 정보를 활용합니다. 쉽게 말해 탈취한 계정정보 이용을 통한 계정 도용 시도입니다. 여러 사이트에서 동일한 계정정보를 사용하는 이용자를 대상으로 사전에 획득한 자격증명(Credential)을 무작위로 대입하는 계정 탈취 공격입니다.

쉽게 말해 동일한 아이디와 패스워드를 사용하고 있는 다른 서비스 공격으로 확장하는 방법인데요. 내부자료나 개인정보 유출, 금전적 피해를 유발합니다. 연예인 스마트폰을 해킹해 금전 요구를 하거나 사진, 동영상 등을 유출하는 사례가 여기에 포함됩니다. 2019년에는 스타벅스가 크리덴셜 스터핑 공격을 받아 일부 고객이 충전금이 탈취되는 사건이 세간을 떠들썩 하게 한적도 있습니다. 지난해에는 핀테크 대표기업 토스가 공격을 당하기도 했습니다. 멀티 팩터 인증 필요성이 제기되는 이유입니다.

또 하나의 신종 사이버 위협 기술로는 오픈소스 취약점 공격이 있습니다. 오픈소스 SW 보안 취약점으로 인한 사고가 증가하고 있는데요. 미국 신용평가기관 아파치스트럿프는 원격코드 실행 취약점 공격을 받아 약 1억4000만 건의 개인정보 유출 피해를 입었습니다. 보안취약점 공격 외에 오픈소스의 무분별한 사용으로 인해 라이선스 위반 사례도 급증하고 있습니다. 지적재산권(IP)인식부족과 오픈소스 보안취약점 관리 방치, 전문 인력 부족 등으로 오픈소스 사이버위협에 대한 보다 강화된 대책 마련이 시급합니다.

新 사이버위협, 공통점

위에 열거한 신종 사이버 위협 기술은 공통점이 있습니다. 디지털화, 공격자 친화적인 환경으로 진화했다는 것입니다. 코로나19로 인한 원격근무 등 기업문화가 변화하면서 공격범위가 대폭 확대됐습니다. 랜섬웨어와 랜섬디도스 공격 방식도 보다 정교하고 치밀해졌습니다. 보안전문가들은 원격근무가 대중화하면서 외부단말기 보안관리를 보다 철저하게 해야 한다고 조언합니다. 백신 프로그램 설치는 물론 최소한의 IP 및 포트로만 연결을 허용하고 미인가 IP는 접속을 차단해야 합니다. 전용회선과 동등한 보안 수준을 갖춘 가상사설망(VPN) 구축도 필수입니다.

또 다른 특징은 현재 발생하고 있는 사이버위협이 기존 보안체계를 우회해 발생한다는 것입니다. 크리덴셜스터핑, 공급망, 오픈소스 등 신종 사이버 테러 기술은 상대적으로 보안에 취약한 영역을 이용한다는 공통점이 있습니다. 크리덴셜 스터핑 피해를 막기 위해서는 다른 계정에서 사용하지 않는 비밀번호를 사용하거나 생체인증, 문자인증 등 복합인증을 활용해야 합니다.

또한 로그인 실패 시 로그인 차단시스템을 적용하고 의심스러운 메일과 URL열람을 금지하는 것이 최선의 방법입니다. 공급망 공격도 늘어나고 있는데요. SW개발 시 시큐어코딩을 필수로 적용하고 중앙관리 소프트웨어 무결성 검증 절차를 마련해야 합니다. 또 서버-클라이언트 간 상호인증 절차를 마련한다면 공격을 무력화할 수 있습니다. 앞서 말한 오픈소스도 라이선스 준수를 위한 소스코드 감사체계를 마련하고 오픈소스 개발 보안 가이드라인을 수립하는 방안이 필요합니다.

가상화폐와 다크웹

해커들이 보상 수단으로 비트코인 등 가상화폐를 요구하는 경우가 많습니다. 익명성이 보장되기 때문입니다. 이 같은 이유로 가상화폐와 다크웹을 기반으로 진화하는 사이버위협이 기승을 부리고 있습니다.

유출된 개인정보뿐만 아니라 랜섬웨어 등 악성코드와 해킹 툴, 기업 취약점이 거래돼 2차 피해가 발생합니다. 최근 악성 도메인과 온라인 스캠 및 피싱, 데이터 수집형 멀웨어, 재택근무 취약성을 파고드는 사이버 테러가 자행되고 있습니다. 특히 코로나바이러스와 관련된 가짜 웹사이트를 만들어 악성코드를 배포하고 첨부파일을 열거나 URL을 클릭하면 정보가 유출되는 기법도 등장했습니다.

트로이목마, 스파이웨어 등과 같은 데이터 수집형 멀웨어도 마찬가지로 코로나 바이러스 관련 정보를 악용해 네트워크를 손상시키고 데이터를 수집, 금전 절취 등을 목적으로 시스템에 침입하는 경우가 증가하고 있습니다. 사이버 범죄자들은 기업, 정부, 학교에서 사용하는 시스템과 네트워크, 애플리케이션 취약성을 악용합니다. 온라인에 의존하는 사람들이 대폭 증가하다 보니 코로나 이전에 도입된 보안조치로는 이 같은 진화된 사이버 테러를 막을 수 없는 상황입니다.

대책은?

사이버 팬데믹이 현실세계까지 위협하면서 새로운 보안전략을 수립해야 한다는 목소리가 높습니다. 국가 기반시설 공격으로 사회 혼란이 가중되고 금융서비스 취약점으로 신종 자산 탈취까지 벌어지고 있어 대책 마련이 시급합니다. 보안 전문가들은 가장 빠른 대안으로 클라우드 환경을 구축하고 이에 맞는 통제시스템을 구축하는 게 선결과제라고 입을 모읍니다. 또한 사이버보험 시장 활성화가 전제돼야 합니다. 국내의 경우 사이버보험 시장은 걸음마 단계입니다.

보험 상품 다양화를 위한 사이버 위험 평가모델 및 사이버보험 요율 산정 데이터 집적이 절대적으로 필요합니다. 그러기 위해서는 안전한 데이터 공유가 실행될 수 있는 제도적 방안이 마련돼야 합니다. 아울러 기업의 사이버 침해 사고 시 과징금, 과태료 등 기업 제재가 발생하게 되는데요. 해당 기업이 사이버보험 가입을 했다면 제재를 경감시켜주는 당근과 채찍도 필요합니다.

최근 우리은행은 2021년 8대 사이버 금융보안 위협 전망 보고서를 발표했습니다. 신종 사이버 금융보안 위협 트렌드를 공개한 것인데요. 과거 보안 위협보다 더욱 정교하고 치밀한 기술이 대거 등장했습니다.

△포스트코로나 시대 도래, 비대면 근무환경을 노린 보안 위협 △마이데이터 시대, 흩어졌던 금융정보 통합에 따른 개인신용정보 위협 가중 △코로나19 팬데믹 이슈를 악용한 악성 메일 공격 △금전전 목적의 사이버 공격 증가, 진화된 랜섬웨어와 디도스 공격 지속 △국가 지원 해킹그룹의 사회기반시설 및 주요 인프라 겨냥 사이버 위협 확대 △기업 핵심 업무 클라우드 이전으로 새로운 보안 사각지대 발생 △인공지능(AI)의 양면성, 새로운 사이버 공격의 탄생 △5G를 이용한 사물인터넷(IoT) 품 증가로 인한 프라이버시 위협이 꼽혔습니다.

진화하고 있는 사이버 위협을 막을 수 있는 방법은 간단합니다. 이른바 3-팩터(FACTOR) 대응 체계를 구축하면 됩니다.

첫째, 정보보호 문화 정착입니다. 사이버 보안위협 대응 훈련을 실시하고 찾아가는 정보보호 교육 서비스를 도입해야 합니다. 아울러 사이버리스크 등의 사안을 이사회에 정기적으로 보고하는 시스템을 갖추고 직급별, 업무별 맞춤형 교육 과정을 신설해 운영하는 방안이 필요합니다.

둘째, 신기술 적용입니다. 특히 클라우드를 연계해 대규모 디도스 등을 방어하고 SORA기반 차세대 능동형 보안체계를 구축해야 합니다. AI를 접목, 비대면 전 로그분석 체계 도입도 필요합니다.
셋째, 선제적 보안체계 마련입니다. 글로벌 표준 보안체계를 수립 운용하고 국내외 공인 개인정보보로 인증을 획득하는 노력을 해야 할 것입니다.

3-팩터와 병행해야 하는 과제도 있습니다. 우선 최고정보보호책임자(CISO) 소명의식이 필요합니다. 단기 성과에 연연하지 않고 장기적 정보보호 경영전략을 추진해야 합니다. 보안 리스크의 적극적 관리가 조직 성패를 좌우한다는 소명의식을 갖춰야 합니다.

글 ㅣ 길재식 ㅣ 전자신문 기자