"스파이는 이 안에"…'보안 무장' 삼성·LG, 초보해커에 뚫린 이유

[단독] "문제는 사람, 아무도 믿지 마!"…국가 사이버보안 전략 '대전환' ①정부, '제로 트러스트' 정책도입 착수

/사진=이미지투데이

정부가 새로운 국가 차원의 사이버 보안 전략으로 '제로 트러스트(Zero Trust)'를 채택할 전망이다. 기존에는 외부 공격을 차단하는 '경계형 보안'에 주력했다면, 앞으로는 네트워크 전 단계의 모든 사용자를 인증·감시·제어하는 동시에 침해 예측 및 암호화로 대응하도록 사이버 보안의 정책 패러다임을 바꾸겠다는 전략이다. 조 바이든 미국 행정부도 지난해 대통령으로 제로 트러스트 보안 전략수립에 나섰고 지난 1월 이를 발표한 바 있다.


과학기술정보통신부 고위 관계자는 25일 "팬데믹에 따른 초연결 사회가 급속하게 도래하면서, 사이버 보안의 글로벌 트렌드 역시 '초안전 환경' 구축을 위한 제로 트러스트로 급속하게 전환되고 있다"며 "국가 차원의 '제로 트러스트' 정책 도입을 목표로 본격적인 사전 연구에 착수했다"고 밝혔다.

제로 트러스트는 '아무도 신뢰하지 않는다'는 전제의 사이버 보안 모델로, 사이버 보안 전문가이자 포레스터 리서치 수석연구원인 존 킨더버그(John Kindervag)가 2010년 제시한 개념이다. 전체 시스템에서 안전한 영역 또는 이용자는 전무하다는 것을 원칙으로 내부 이용자도 인증절차와 신원확인 등 검증을 거치며, 네트워크 접속 환경에 따른 정보 접근 범위도 차등·최소화한다. 코로나19 팬데믹으로 재택근무가 일상화하고, 기존 사이버 보안책이 한계에 부딪히면서 한층 주목받고 있다.

최근 삼성전자의 반도체 기술 유출 시도 사건은 제로 트러스트의 필요성을 방증하는 사례다. 삼성전자는 퇴사를 앞둔 한 직원이 재택근무 중 보안서버에 저장돼 있던 반도체 관련 대외비 자료 수백장을 열람한 뒤 스마트폰으로 촬영, 외부로 유출하려던 정황을 적발했다. 원격업무시스템(RBS)은 캡처가 불가능하고, 사업장 내에선 스마트폰 촬영이 금지된다. 적어도 보안 기술 측면에선 물샐 틈이 없었다. 그러나 재택근무라는 특수한 환경, 직원의 일탈이라는 두 가지 조건이 결합해 사건이 벌어졌다.


결국 현재 사이버 보안 패러다임의 가장 큰 약점은 '기술의 취약성' 보다는 디지털 전환의 속도를 좇지 못한 낙후된 보안 정책, 내부자에 대한 무비판적 신뢰라는 것. 실제로 미국 대형 통신사 버라이즌의 '2021 데이터 침해 사고 조사 보고서'에 따르면, 사고의 85%는 인적 요인과 관련이 있는 것으로 조사됐다. 보안기업 윈스의 진철규 연구개발본부 분석팀장은 "보안의 가장 취약한 지점은 항상 기술이 아닌 사람"이라고 지적했다.

사이버 보안 '최강국'인 미국에서는 이미 미국표준기술연구소(NIST)가 '제로 트러스트 네트워크'(ZTNA) 표준 모델을 제시했고, 조 바이든 대통령은 오는 2024년 말까지 ZTNA 전략 기준과 목표를 완료하도록 지난해 명령했다. 민간에서도 MS(마이크로소프트)와 시스코, IBM 등 굴지의 ICT(정보통신기술) 기업들이 제품에 제로 트러스트 기능을 업데이트 하고 있는 상황이다.

이에 따라 우리 정부도 NIST 표준을 참고로 제로 트러스트 도입 시 국내 공공 및 민간부문의 수용 가능성 현황, 개선이 필요한 과제 등을 점검할 것으로 예상된다. 아울러 차기 정부의 '디지털 플랫폼 정부' 공약이 AI(인공지능), 빅데이터 기반의 국정운영 시스템으로 행정 효율화를 꾀하는 모델인 만큼, 이를 뒷받침 할 보안 전략으로 제로 트러스트의 효용성을 타진할 것으로 보인다. 정부 관계자는 "올 하반기쯤 연구의 성과물을 내놓고, 이를 바탕으로 정책 개발에 나서게 될 것"이라고 말했다.

삼성·LG 뚫은 초보해커…"특별한 노하우도 필요없다"②비대면 사회의 '적', 사이버 용병

임종철 디자이너 /사진=임종철 디자이너

#. 해커그룹 랩서스는 최근 삼성전자, LG전자, 엔비디아, 마이크로소프트(MS) 등을 연달아 해킹했다. 최소 5명 규모로 활동 개시 4개월 남짓의 신생 조직이 웬만한 국가보다도 보안 능력이 뛰어난 글로벌 IT(정보통신)기업을 해킹했지만, 특별한 노하우는 필요 없었다. 비밀번호를 잊은 내부 직원인 척 고객센터에 문의하거나, 협력업체 직원을 매수했다. 랩서스는 텔레그램 채널에 "삼성 다음으로 누구를 털지 투표해줘"란 글을 올렸고, 1위로 뽑힌 영국 통신기업 보다폰을 해킹했다며 '승전보'를 전했다.

코로나19 팬데믹 여파로 사회 전 분야의 디지털전환(DX) 속도가 빨라진 만큼 기존에는 예상치 못했던 곳의 보안 취약점이 무더기로 불어났다. 최근의 '사이버 공격'은 이런 약한 고리를 정밀 타격해 국가 안보시설부터 기업의 핵심기술, 개인의 프라이버시까지 모두 먹잇감으로 삼는다. 특히 글로벌 IT기업들의 굴욕은 아무리 최첨단 보안기술로 무장해도 '100% 안전지대는 없다'는 증거다. 전세계를 무대로 365일, 24시간 내내 전개되는 '사이버 전쟁'의 참상이다.

◆"고객센터에 암호 문의, 협력업체 매수"…누구나 해커가 된다

25일 국내 보안기업 S2W와 MS의 위협 인텔리전스 센터(MSTIC)가 펴낸 랩서스 해킹 관련 보고서에 따르면, 이들의 IT기업 해킹 수법은 대부분 허무할 정도로 평범했다.

비밀번호를 잊어버린 내부 직원인 척 직접 고객센터에 문의를 하거나, 임시 비밀번호를 발급받았다. 비밀번호 힌트 질문으로 통상 '당신이 살았던 첫 동네', '어머니의 고향' 등 평범한 내용을 걸어두고, 그 답마저도 개인정보 수집으로 충분히 유추할 수 있었다. 내부 직원 또는 협력업체 직원의 시스템 접근 크리덴셜(credential:자격증명)을 빼내기도 썼다. 가짜 웹사이트 접속을 유도해 탈취하거나, 직접 접촉해 돈을 주고 사기도 했다. 보안을 무력화하는 현란한 기술보다는 보안 정책 헛점과 부도덕한 개인을 노린 셈이다.

수법은 평범하지만 피해는 엄청나다. 랩서스는 LG전자 직원 계정, MS의 검색 서비스 빙 등의 소스코드, 엔비디아의 GPU(그래픽처리장치) 회로도, 삼성전자의 게정 서비스 관련 모든 소스코드 등을 훔쳤다고 주장한다. 피해 기업들은 '핵심정보'는 아니라고 주장하지만, 업계의 시각은 불안하다. 한 관계자는 "삼성에서 유출된 정보 수준에 따라 안드로이드 운영체제(OS) 생태계 전체가 심각한 위협을 받을지도 모를 일"이라고 말했다.

해커 그룹 랩서스가 LG전자 해킹 사실을 텔레그램에 공개한 모습. /사진=텔레그램 캡처

◆타깃 가리지 않는 '사이버 용병'…NATO "온라인은 전장"

더 큰 문제는 제2, 제3의 랩서스가 얼마든지 등장할 수 있다는 점이다. 디지털 환경이 확산하며 해킹 기술 습득이 쉬워졌고, 해킹 도구도 온라인에서 얼마든지 구할 수 있다. 무엇보다도 해커들이 난립하는 이유는 사이버 공격이 '돈이 되기 때문'이다. 글로벌 사이버 범죄 산업 규모는 연간 6조달러(약 7300조원)에 달하는데, 이는 전통적 범죄인 마약과 무기 밀매 등으로 벌어들이는 범죄 수익을 압도한다. 특히 국제질서의 통제에서 벗어난 암호화폐 시장의 팽창으로, 해커들은 사이버 범죄의 수익금을 더 손쉽게 벌어들일 수 있게 됐다.

국가 단위에서 민간 해커들을 '사이버 용병'처럼 활용하는 것도 공공연한 비밀이다. 타깃 국가의 주요 기간산업을 뒤흔들거나, 소셜미디어에 거짓 정보를 흘려 정치·사회적 혼란을 초래한다. 블라디미르 푸틴 러시아 대통령은 지난 2017년 6월 언론 간담회에서 '해킹을 통한 미국 대선 개입' 의혹에 대해 "애국심이 강한 러시아 민간 해커들의 소행일 수 있다"며 사실상 해킹 가능성을 인정했다.

실제로 글로벌 데이터 분석업체 체이널리시스에 따르면 간첩행위, 명예훼손, 적국 정보국 운영 교란 등의 사이버 공격은 동시다발로 일어난다. 지난 한 해 동안에만 지정학적 목적의 공격용 랜섬웨어 중 배후 국가가 지목된 숫자는 이란(21개)이 가장 많았고 러시아(16개)·중국(4개)·북한(2개) 순이었다.

'해커'의 가면 뒤에 숨은 분쟁이 늘어나면서 국제사회도 긴장하고 있다. 2016년 북대서양조약기구(NATO)는 커지는 러시아 등의 사이버 위협에 맞서 '사이버 공간은 전쟁 영역'이라고 공식 인정하기도 했다. 2013년 NATO 사이버방위센터(CCDCOE)의 '탈린 메뉴얼'은 '비례성'과 '필요성' 요건이 충족된다면 사이버 보복도 가능하도록 규정했다. 한 보안업계 관계자는 "무법지대라는 온라인 공간 특성을 노려 국가간 분쟁이 커질 우려가 있다"며 "새로운 디지털 환경에 맞춰 국가간 합의를 재정비해야 할 시점"이라고 말했다.

온라인은 이미 '3차대전' 중…러시아vs우크라·연합군, 한국까지 확전③글로벌 '사이버戰' 본격화…北 해킹 전력은

'어나니머스'가 러시아 TV 채널을 해킹해 전쟁 영상과 반전 메시지를 방송하는 장면. /사진=어나니머스 트위터

러시아의 우크라이나 침공이 한 달을 넘어선 가운데 온라인에서도 '사이버 전쟁'이 치열하다. 서방은 '세계 3차대전'을 우려해 직접적인 군사 개입은 삼가고 있지만, 사이버 공간에서는 이미 러시아 대 '우크라이나+연합군'의 화력 경쟁이 불을 뿜고 있다. 러시아 경제 제재에 동참한 한국도 러시아의 사이버 공격 가능성을 배제할 수 없다.

지난 21일(현지시간) 조 바이든 미국 대통령은 성명을 통해 "러시아가 사이버 공격 선택지들을 검토한다는 첩보가 늘어난다"며 "민간 부문은 전 국민이 이용하는 주요 서비스의 보호 조치에 나서라"고 밝혔다. 러시아가 서방의 제재에 따른 보복성 해킹 공격에 나설 것임을 기업들에게 경고한 언급이다.

백악관이 긴장할 정도로 러시아는 세계 최고 수준의 사이버 전력을 갖췄다고 평가받는다. 오래 전부터 세계 각국의 기관·기업 해킹은 물론 주요 인물 등에 대한 정보수집, 여론조작 등 포괄적 사이버 전술을 구사해 온 것으로 추정된다.

우크라이나 침공을 앞두고도 실력을 발휘했다. 러시아는 지난달 24일 침공 전후 악성코드를 살포해 우크라이나 정부 전산망 마비를 시도했고, 디도스(DDoS) 공격으로 군사·경찰 관련 네트워크를 일시적인 불능 상태에 빠뜨렸다. 앞서 2008년 조지아 침공, 2014년 크림반도 병합 등 주요 군사 작전을 펼칠 시기에도 러시아는 이번과 비슷한 형태의 대규모 사이버 공격을 전개했다.

이번에는 우크라이나도 당하고만 있지는 않았다. 오히려 글로벌 연합군과 함께 응전하면서 러시아를 당혹스럽게 만들었다. 세계적으로 유명세를 떨친 글로벌 해커집단 '어나니머스'와 해킹 그룹 'NB65' 등이 참전을 선언했고, 미하일로 페도로프 우크라이나 부총리 겸 디지털 장관이 트위터에 "우리는 IT 군대를 만들고 있다"고 올리면서 전세계에서 자발적 사이버 민병대가 몰려들었다.

이들의 활약상도 실시간으로 공개됐다. 개전 이후 수일 동안 어나니머스는 러시아 크렘린궁과 국방부 사이트를 마비시켰고, 러시아 국영TV 채널을 해킹해 러시아의 우크라이나 침공을 비판하는 방송을 송출했다. 국영통신사 TASS의 홈페이지는 블라디미르 푸틴 대통령을 비난하는 메시지로 뒤덮였다. 국내 보안기업 스틸리언의 신동휘 부사장 겸 CTO(최고기술책임자)는 "사이버전 목적은 실제 인프라는 물론 적국 국민 머릿속 정보와 인식을 공격하는 것"이라고 말했다.

◆대러 제재 동참에 사이버 위기↑…'경계 1호' 北 위협도 계속돼

/사진제공=뉴시스

온라인 세계대전은 한국까지 번질 수 있다. 우리 정부가 국제사회의 대러 제재에 동참하고 있어서다. 이에 과학기술정보통신부와 국가정보원도 지난 21일 민간·공공 분야의 사이버위기 경보 단계를 기존 '관심'에서 '주의'로 높이고, 공공기관·기업들에 정보시스템 점검 강화 및 사이버 위협에 대비한 24시간 대응 체계를 주문했다. 정부 관계자는 "아직은 러시아 해커에 의한 국내 피해는 접수되지 않았지만, 언제든지 공격 대상이 될 수 있는 만큼 긴장을 늦출 수 없다"고 강조했다.

실존하는 위협 세력, 북한의 존재는 한국의 사이버 보안 강화 필요성을 더욱 배가시키는 대목이다. 대표적인 사례가 일명 '김수키(Kimsuky) 그룹'이다. 김수키 그룹은 북한 정권을 배후로 두고 국제적인 정보 탈취를 목적으로 활동하는 지능형지속위협(APT) 그룹으로, 2012년부터 지금까지 계속해서 활동 중이다.

안랩이 이달 초 발표한 보고서에 따르면, 김수키 그룹은 작년에도 국내 주요 방산기업과 공공기관 등을 전방위적으로 공격했다. 수법도 진화했다. 과거에는 주로 한글 파일에 악성코드를 삽입해 유포했다면 작년에는 MS오피스 문서를 활용했고, 국내 보안 핵심 기관인 KISA(한국인터넷진흥원)의 모바일 백신으로 위장한 APK(Android Application Package) 파일을 유포하기도 했다. 이를 설치·실행하면 기기 내 정보가 외부에 유출되고, 공격자가 원격으로 기기를 제어할 수도 있었다.

김수키 그룹 외에도 북한은 국가 주도로 대규모 '사이버 해킹 부대'를 양성하는 것으로 알려졌다. '2020 국방백서'에 따르면, 북한의 사이버 부대 규모는 6800여명 규모로 추산된다. 이들은 한국을 비롯한 서방 각국의 군사 기밀과 첨단 원전기술은 물론 암호화폐 거래소와 코로나 백신·치료제 개발사까지 전방위 해킹을 벌이고, '랜섬웨어'를 무기로 외화벌이에도 동원되는 것으로 알려져 있다.