[아이티비즈] 파이어아이(지사장 전수홍)는 27일 삼성동 그랜드 인터컨티넨탈 서울 파르나스 호텔에서 열린 ‘사이버 디펜스 라이브 2017’ 미디어 브리핑을 열고, 국내 사이버 보안 현황과 국내 단체가 직면한 보안 위협에 대한 정보를 제공했다.
이 자리에는 미 해군 4성장군 출신 보안 위협 전문가 패트릭 월시가 발표자로 참여해 중국과 북한을 포함한 전 세계 사이버 공격 트렌드에 대해 설명하고, 국내 최신 사이버 보안 이슈 및 보안전략을 제시했다.
월시에 따르면, 현재 전 세계에는 무수한 사이버 스파이 활동이 진행 중인데, 대부분 중국과 러시아에서 발생하고 있으며, 이란, 중동지역, 한국, 인도, 남아메리카 등지에서도 많은 활동이 관찰되고 있다. 월시는 사이버 공격의 동기를 사이버 스파이, 사이버 범죄, 핵티비즘, 네트워크 공격 등 4가지로 나눠 설명했다.
일반적으로 사이버 스파이는 방위산업 기술, 군 R&D 기관, 싱크탱크, 외교부 또는 정부기관 등을 타겟으로 한다. 사이버 범죄는 경제적 이익을 주요 목적으로 하며, 대체로 금전화가 가능한 정보를 침해한다. 핵티비즘은 특별한 목적을 위한 정치 및 이념적 공격을 뜻하며, 네트워크 공격은 주요 인프라스트럭쳐를 겨냥한 파괴적인 공격이다.
월시는 사이버 범죄 조직을 후원하는 중국, 러시아, 북한, 이란 등 4개국가에 대하여 설명했다. 월시에 따르면, 이들 국가들은 일반적으로 사이버 범죄 조직의 고용, 조율, 조직, 지시, 작업, 위임, 감독 및 기금 등을 후원한다. 중국과 러시아의 경우 파이어아이가 추적하는 그룹 중 가장 대표적이며 숙련된 그룹이며 러시아는 군사활동을 지원하기 위하여 정부, 군대 및 적으로부터 정보를 유출한다. 북한과 이란의 스폰서들은 정부의 이미지를 보호하기 위하여 상징적인 목표를 추구한다.
더불어 월시는 사이버 보안이 국가 안보와도 연관이 있다고 설명하며, 한국의 지정학적인 안보는 물론, 사이버 보안에도 중대한 영향을 끼치고 있는 중국과 북한에 대해 자세히 설명했다. 중국은 자국 기업의 이익 및 최신 군사 기술, 중국 공산당 보호를 위해, 지정학적인 정보 및 경제 정보와 관련된 스파이 활동을 하고 있으며 특히, 동남아국가연합(아세안)과 관련한 정보와 의견을 수집하고 있는 것으로 나타났다. 중국 사이버 스파이들은 2006~2009년에는 국방 산업의 IP 탈취에 집중했다.
2009~2014년에는 다양한 산업 부문을 대상으로 대량의 IP 탈취를 목적으로 했다. 2015년부터 현재까지는 제한된 미국 IP 도용 또는 미국 외 지역의 IP탈취에 집중해 오고 있다. 지난 해 중국의 APT 공격은 주로 미국 이외의 기업에 영향을 미쳤는데 2017 년부터는 APT10이 미국 기업을 대상으로 활동을 재개할 가능성이 있는 것으로 나타났다. 아울러 중국은 한국을 대상으로만 사이버 공격을 진행하는 것이 아니라 러시아 군사단체, 몽골 정부단체, 일본 민간단체, 대만 뉴스매체, 정부단체 및 민간단체, 홍콩의 인권단체 그리고 베트남 정부와 민간단체도 공격하고 있는 것으로 나타났다. 이는 안보 이해관계와 지역적 타겟이 상호 연관되어 있음을 보여준다.
한국을 타겟으로 한 북한의 사이버 공격은 이미 여러 차례 발생한바 있다. 지난 해 3월, 북한 해킹 그룹은 국내 방위산업체와 국방 관련 기관들을 대상으로, 핵실험 이후 대북제재와 관련된 내용을 이용해 악성코드 실행을 유인하며, ‘엑스마크(Exmark)’와 ‘픽미(PickMe)’ 악성코드를 유포했다. 같은 달, 북한 기반 해킹 조직은 국방 및 한미 동맹과 관련 있는 개인들을 대상으로 사이버 공격을 진행했다. 해당 공격에는 2015년 미 공군협회 행사, 미국 핵무기 제재, 한미 동맹, 한반도 평화 통일을 위한 국제 협력 등과 같은 내용의 악성 문서를 포함하고 있었으며, 사용된 악성코드는 엑스마크였다. 한편, 이들은 지난 해 6월 카라이(KARAE) 백도어를 이용하여 불특정 다수를 대상으로 흑산도 사건에 관한 HWP문서가 첨부된 스피어 피싱 이메일을 유포했다.
이어 북한 해킹 그룹은 지난 해 8월부터 10월까지 약 3개월 간 동일한 백도어를 이용해, 포항 흥해 토막살인사건, 휴가신청서, 저는요 북조선 강원도 사람이에요, 통일북한학술대회 심사서류 등의 제목으로 작성된 악성 문건을 유포했다. 또한, 북한 해킹 그룹은 타깃 시스템에 침입하기 위해 이슈가 되고 있는 사회현안을 이용하기도 했는데, 지난 해 11월에는 최순실 스캔들과 관련된 내용으로 스피어 피싱을 시도한 것으로 드러났다. 이 공격의 대상은 한국 내 탈북민으로, 북한과 관련된 단체의 리더인 것으로 가장해서 메일을 송부했다.
월시는 “한국을 둘러싼 강대국들의 긴장상태가 지속되면서 사이버 스파이 활동이 증가할 것이며, 한국은 지정학 및 경제적 요인으로 앞으로도 계속 공격 타겟이 될 것”이라며, “사이버 공격 그룹은 한국의 IoT 취약성을 이용할 것이며 복잡한 랜섬 공격 발생이 증가할 것”이라고 예측했다.
전수홍 파이어아이 한국 지사장은 “최근 한국의 안보 상황이 극도로 불안정한 가운데, 북한과 중국을 포함한 다수의 사이버 공격 그룹으로부터 다양한 형태의 사이버 공격의 위험이 존재한다. 한국 정부 및 기업, 민간 기관들은 반드시 오늘날의 위협과 점점 더 복잡해지는 미래의 위협에 방어할 수 있게 필요한 전문지식, 기술 및 위협 인텔리전스를 확보해야 한다”고 밝혔다.
