공격받은 사실조차 모르고 당한다

원전 등 주요 기반시설을 대상으로 하는 사이버 테러의 대표적 사례는 ‘스턱스넷’으로 알려진 2010년 6월 이란 브세르 핵발전소 원격감시제어시스템에 대한 공격이다.

원전 등 주요 기반시설을 대상으로 하는 사이버 테러의 대표적 사례는 ‘스턱스넷’으로 알려진 2010년 6월 이란 브세르 핵발전소 원격감시제어시스템에 대한 공격이다.


국가와 국가가 지원하는 조직 간의 사이버 전쟁(사이버전)은 악성코드로부터 시작한다. 악성코드는 악의적 목적을 위해 작성된 실행 가능한 코드로 프로그램, 매크로, 스크립트뿐만 아니라 취약점을 이용한 데이터 형태도 포함한다.

악성코드를 이용한 사이버 공격은 불법적인 정보 유출, 컴퓨터 작동과 MBR등 민감 정보의 파괴, 웹사이트의 동작을 멈추게 하는 가용성 훼손(DDoS 공격) 등의 형태로 나타난다.

한국인터넷진흥원의 2014년도 악성코드 유형별 동향보고서에 따르면, 전체 악성코드 중에서 정보 유출에 이용되는 악성코드(33%)가 가장 많고 금융권 파밍 공격에 이용되는 악성코드 (19%), 그리고 해커의 원격제어에 이용되는 악성코드(18%) 순으로 밝혀졌다. 이는 작년 우리나라에서 정보 유출, 금융정보를 노리는 사이버 공격이 주류를 이루고 있음을 나타낸다.

최근 주요 기반시설의 공격에 이용되는 ‘지능형 지속 위협(APT)’은 백신도 탐지하지 못하는 악성코드로, 표적인 특정 기업의 내부 네트워크에 침투해 내부망에 거점을 마련한 후, 내부망의 중요 정보를 수집해 지속적으로 빼돌리거나 내부망의 정보를 파괴하는 은밀한 형태의 ‘표적 위협’이다. 이 위협에서 공격 성공률을 높이고 첨단 보안제품의 악성코드 탐지를 회피하기 위해 공격자는 정보시스템의 ‘제로데이(zero-day)’ 취약점을 이용하는 등 다양한 사이버 공격 기술을 결합해 사용하기 때문에 지능적이고 위협적인 공격이 되고 있다. 또 공격당한 기업은 보안사고가 외부로 알려지기까지 공격을 당했다는 사실조차 모르는 경우가 태반일 정도이다.


백신도 탐지 못하는 악성코드 APT
과 같이 대표적인 APT 시나리오에서 공격자는 문서 작성기 등 각종 응용 프로그램의 취약성을 이용하는 악성코드를 제작하고, 사회 공학적 기법을 이용해 조직의 구성원에게 이메일을 보내는 방법을 이용해 악성코드를 열람하게 만든다. 이후 수신자가 메일 첨부파일을 열면 컴퓨터가 악성코드에 감염돼 해커가 원격조종하는 좀비 컴퓨터가 되게 한다. 이후 좀비 컴퓨터는 해커의 명령제어 서버와 연결돼 추가 공격에 필요한 악성코드를 다운하거나, 내부 네트워크 내에 존재하는 서버에 접속해 정보를 유출해 시스템을 파괴한다.

<그림1> APT 시나리오

국가 사이의 지원을 받는 해커 조직에 의한 사이버전은 ‘저비용 고효율’이라는 특성을 갖는다. 사이버전에서는 공격자를 추적하는 것이 매우 어려우며 공격자의 형사적 처벌이 쉽지 않다. 또 많은 사이버전 무기의 제작, 구매, 대여가 가능해 이를 이용하면 누구든지 쉽게 사이버전의 공격자가 될 수 있다. 또 공격 대상이 법적 관할권을 넘는 지역을 여러 사이트로 경유하게 되므로 공격의 근원지를 찾기도 매우 어렵다.

사이버전의 대표적인 사례는 2007년 에스토니아에 대한 러시아 해킹 그룹의 사이버 공격이다. 사이버전은 에스토니아 수도 탈린에 있던 옛 소련군 동상의 이전을 거론하면서 시작됐다. 러시아계 에스토니아 시민들에게는 동상이 나치와 싸우다 전사한 영웅의 상징으로 여겨지기 때문에 시 외곽으로 이전하는 것에 대해 반대하는 시위를 벌였다.

이를 진압하는 과정에서 유혈 사태가 발생해 두 나라 사이의 감정의 골이 깊어졌다. 러시아의 사이버 공격으로 에스토니아는 3주간 대통령궁, 의회, 정부기관, 은행, 이동통신 네트워크 등 국가 주요 기반시스템 전체가 초토화됐다. 에스토니아는 인터넷 무선 접속이 비교적 자유로웠고, 인구의 절반 이상이 인터넷 뱅킹을 할 정도로 IT강국이어서 사이버전의 피해가 더 컸던 것으로 알려졌다.

두 번째 사례는 2008년 8월 러시아가 그루지아와의 영토 분쟁으로 물리적 전쟁을 개시하기 전에 러시아가 대규모의 사이버 공격을 감행한 것이다. 당시 그루지아 대통령 및 외교부 홈페이지가 웹사이트 변조 공격을 받았다. 미하일 사카슈빌리 그루지아 대통령의 사진이 히틀러의 사진으로 바뀌는 등 혼란을 야기했다. 이후 2008년 6월 28일부터 사흘 간 그루지아의 정부 홈페이지, 언론사, 포털 사이트 등이 대규모 DDoS 공격을 받았으며, 당시 DDoS 공격은 평균 2시간 15분, 최장 6시간 동안 지속됐다. 이 공격은 물리적인 전쟁에 앞서 사이버전이 진행될 수 있음을 보여준 대표적인 사례로 꼽히고 있다.

악성코드가 보안 패치가 이뤄지지 않은 제로데이 취약성을 이용했으며, 핵발전소의 구조를 완벽히 파악한 후 제작됐다는 점에서 미국 또는 이스라엘의 지원을 받았을 것으로 추정됐다.

이런 의미에서 스턱스넷은 국가 차원에서 사이버전 용도로 제작된 최초의 사이버 무기가 된 셈이다. 이 악성코드는 이란 원전의 우라늄 원심분리기를 제어하는 컴퓨터를 감염시켜 1000대 가까운 컴퓨터를 파괴해 이란의 핵개발을 적어도 1년 6개월 정도 후퇴시킨 것으로 알려지고 있다.

<그림2> 사이버보안 대응방안

2013년 미·중간 사이버전 대표적
2013년 미국과 중국은 사이버전으로 팽팽한 신경전을 벌였다. 미국은 중국이 2013년에 6개월간 자국의 주요 기반시설에 대해 140차례의 사이버 공격을 감행했다고 비난했다. 미국은 연방정부기관, 뱅크 오브 아메리카 등 대형 금융기관, 월가 금융사 등이 사이버 공격 대상에 포함됐다고 주장했다. 또 전력과 항공관제, 교통 등 사회기반시설에 대한 사이버 공격도 가해졌다고 비난의 목소리를 높였다.

미국은 공격의 배후로 중국 상하이에 위치한 12층 건물을 지목했다. 중국인민해방군 소속 부대가 이 건물에서 미국에 대한 해킹 공격을 수행했다면서 미국 오바마 대통령은 “중국 등의 다른 나라들이 사이버 상의 국제 사회규범과 규칙을 따르기 원한다”고 언급했다.

이에 대해 중국은 자신이야말로 해킹의 최대 피해국이며, 이 중 미국에서 수행된 해킹이 가장 많았다고 반발했다. 중국 국방부는 대변인을 통해 자국 국방부 사이트가 14만 4000여 건의 해킹을 당했는데, 그 가운데 62.9%의 해킹에 대해 미국이 배후에 있다고 주장했다. 2014년 말, 북한의 최고 책임자인 김정은에 대한 암살 시도를 다룬 코믹 영화 ‘인터뷰’가 상영되는 시점에 제작사인 소니픽처스 직원의 컴퓨터가 해킹을 당한 사건이 발생했다. 이후 ‘평화의 수호자’라는 해커들은 해골 이미지와 자신의 소행임을 나타내는 메시지를 남겼다.

이 해킹으로 인터뷰 외에도 다수의 회사 정보가 유출된 것으로 알려졌다. 미국 오바마 대통령은 소니픽처스에 대한 해킹사고를 사이버 상의 질서 파괴 행위인 ‘사이버 반달리즘’으로 규정했고, 일부 공화당 의원은 국가에 의한 사이버전이라고 주장했다. 오바마 대통령은 이 공격의 배후에 북한이 있다고 주장하고 북한에 대한 ‘비례적 대응’을 천명했다. 오바마 대통령의 비례적 대응 발표 뒤 북한 인터넷이 8일 동안 수시로 다운됐고, 이것이 미국의 사이버 보복 공격에 의한 것이 아니냐는 추측도 나왔다.

미국 정부는 2015년 초, 비례적 대응의 일환으로 북한의 노동당 정찰총국, 광업개발공사, 단국무역회사 등 3곳의 간부 10명에 대한 금융제재를 발표했다. 미국 정부는 제재 받은 기관과 개인의 미국 금융시스템 접근을 금지했고, 미국 개인 간의 거래를 중단시키는 조치를 취했다. 또 오바마 대통령은 재무장관에게 국무장관과의 협의를 거쳐 이들 피 제재 기관에 대해 포괄적 제재를 가할 수 있는 권한도 부여했다. 소니 해킹 사건은 미국과 북한 간의 사이버전에서 국가에 대한 경제적 제재로 이어진 첫 사례다.

한수원 해킹, 10일간 사이버 심리전에 놀아나
국내 원전에 대한 최초의 사이버 공격은 2014년 말에 발생한 한국수력원자력(이하 한수원)에 관한 정보 공개 사건이다. 원전 반대그룹(‘Who am I’)라고 밝힌 해커들은 2014년 12월 9일 다수의 한수원 임직원에게 APT로 추정되는 이메일을 보내 이 중 4대의 컴퓨터를 파괴하는 것으로 사이버 공격을 시작했다.

해커들은 12월 15일 네이버 블로그에 한수원 직원 1만 여 명의 개인정보를 1차로 공개했다. 이후 ▲고리원전 배관 계측 도면 등의 내부 자료 공개(12월 18일) ▲소셜 네트워크 서비스 트위터와 해외 서버 온라인 문서 편집 프로그램 페이스트빈에 고리 1호기 원전 냉각시스템 도면과 발전소 내부 프로그램 구동 캡처 이미지 등의 정보 공개(12월 19일) ▲고리 2호기와 월성 1호기 관련 내부 문서, 원전에서 사용하는 프로그램 매뉴얼 등의 정보 공개(12월 21일) ▲추가 정보 공개와 함께 국민들을 대피시키지 않느냐는 엄포가 포함된 정보 공개(12월 23일)로 이어졌다.

주목할 점은 유출된 한수원 관련 정보가 해커들에 의해 10여 일 동안 국가 차원의 사이버 심리전에 이용됐다는 것이다. 한수원 제어망에 물리적 피해가 발생하지는 않았지만, 이 사건은 원전에 대한 국내 최초의 사이버 공격이라고 볼 수 있다.

이제 국내 사이버 공간은 사이버전의 대상으로 변하고 있다. 이에 따라 국내 주요 기반시설의 보안 능력 제고를 위한 몇 가지 대응방안을 제시한다.
우선 산업군별 보안 거버넌스 재정비를 통해 사이버보안 대응 역량을 강화해야 한다. 이제 사이버 공격은 전력, 의료, 금융 등 전 산업군에 대해 감행될 것이다. 이미 우리나라는 2013년 5월에 청와대 국가안보실을 컨트롤타워로, 국정원을 실무총괄로 설정했고, 각 정부부처가 부문별 사이버보안 거버넌스를 구축한 바 있어 이 체계의 효과성을 강화할 필요가 있다. 또 조직에서 사이버 위협을 식별하고, 위협에 대한 보호대책을 수립하며, 사이버 공격을 조속히 탐지해야 한다.

이와 함께 사이버 침해사고에 신속히 대응하며, 사이버 보안 사고로부터 정상 상태로 복구하기 위한 보안 관리체계의 강화가 요구된다. 조직 스스로가 자신이 보호해야 할 정보자산을 식별하고, 위협에 대한 기술·관리·물리적 보호대책을 세우며, 보안 위협 환경에 적절하게 보안 대책을 개선하는 보안 체계의 고도화도 요구된다. 이를 위해 보안 전담인원의 확대, 정보보호책임자(CISO) 역할 강화, 보안 감사의 상시화 및 의무화, 모의 침투 훈련의 실시 등이 요구된다.

더불어 악성코드 경유지와 유포지로 이용되는 웹사이트에 대한 정보 공유를 통해 드라이브 바이 다운로드 공격에 대응해야 한다. 각종 조직의 운영에 필요한 응용 소프트웨어 프로그램도 작성 시부터 보안성을 고려한 시큐어 코딩 방법의 소프트웨어 개발 보안 방식을 이용해 정보시스템의 취약점을 초기 설계단계부터 진단 제거해야 한다.

산업군별 보안 거버넌스 재정비해야
악성코드 대응 체계의 고도화도 요구된다. APT는 응용 프로그램의 제로데이 취약성을 이용하기 때문에 악성코드가 내부망에 들어올 시점에 찾기는 매우 어렵다고 알려져 있다. 따라서 내부망에 잠입한 악성코드의 활동범위를 제한하고 악성코드를 조속히 찾는 탐지 체계의 개선이 필요하다. 일본은 다크넷(darknet)과 허니넷(honeynet)을 이용해 내부망에 잠입한 악성코드를 탐지하는 기법을 이용하고 있다. 한국 또한 이 기법의 도입과 운영을 적극 검토할 필요가 있다.

협력업체에 대한 효과적 보안관리 강화도 필요하다. 정보 유출은 협력업체에서도 발생할 수 있기 때문이다. 최근 영국은 사이버 핵심 인증제도를 도입했다. 이는 중소기업이나 영국 정부의 조달업무에 참여를 원하는 기업들에게 네트워크 보안, 악성코드 보호, 패치 관리, 설정 관리, 접근 통제 등 5가지 기술적 보안대책을 평가해 인증해주는 제도다. 우리나라도 미래창조과학부가 2014년 10월에 민간 자율로 정보보호 대응역량을 향상하기 위한 ‘정보보호준비도 평가’ 인증제도를 도입했다. 협력업체의 보안성 점검은 정보보호 준비도 평가제도와 연계돼 추진돼야 하며 계약서에 반드시 보안 요구사항이 포함돼야 한다.

악성코드나 정보 유출을 실시간으로 탐지하기 위한 모니터링 체계의 고도화도 필요하다. 정보 유출사고는 내부자에 의한 것인지, 협력업체에서 이뤄진 것인지, 아니면 해킹 공격에 의한 것인지를 파악하는 것이 무엇보다도 중요하다. 악성코드의 침투를 탐지하거나 정보 유출 사고를 실시간으로 탐지하기 위한 중요 서버와 컴퓨터의 로그 데이터의 실시간 분석을 통해 내부망에 침투한 악성코드를 조속히 찾고 정보 유출 사고를 스스로 찾는 실시간 모니터링 체계가 구축돼야 한다.

이와 함께 조직의 정보자산을 보호하기 위한 여러 보안 단계로 구성된 소위 ‘다층 보안대책’ 마련이 필요하다. 네트워크를 통한 공격을 막기 위해 침입 차단, 침입 탐지, 웹 방화벽 등 여러 단계의 보안대책 구축과 운영이 필요하다. 또 인증을 위해서도 기존 웹사이트에서 이용되는 아이디·패스워드에 더해 일회용 패스워드(OTP), 인증서, 또는 2채널 인증기법 등을 이용하는 이중요소 인증기법을 이용해야 한다.

제어망 프로그램과 보안 프로그램의 업데이트 프로그램에 대한 제작에서 설치 시까지 프로그램의 무결성을 보장하는 체계와 방법의 적용도 필요하다. 조직 구성원의 보안 인식 제고와 보안 문화 확산도 요구된다. APT는 대부분 사람에 대한 공격에서 시작된다. 이를 위해 조직 구성원에 대한 정보보호 교육과 전담 직원에 대한 새로운 위협환경에 대응하기 위한 전문교육이 필요하다. 날로 진화되고 있는 사이버 공격의 대응은 기초체력에 해당하는 지속적인 위험 평가 기반의 보안관리 체계의 개선에서 시작되기 때문이다.

글 염흥열 순천향대학교 정보보호학과 교수