유용한 정보 모음
by
KingJoe
유용한 정보 모음
0 Followers
'대규모 해킹 용의자는 北'
숨은 배후, 늘어나는 국가 주도 사이버공격 NSA, CIA를 비롯해 북한, 중국, 베트남 등 해킹그룹 운영 의혹 최근 유포된 워너크라이 랜섬웨어가 전세계 150여개국 30만대 이상 컴퓨터 시스템을 감염시키고, 글로벌 각지에서 조사된 경제적 피해액만 약 80억달러(한화 약 9조440억원)에 이르는 것으로 추정됐다. 전세계에 큰 피해를 입힌 워너크라이 랜섬웨어가 해커 그룹이 제작한 것이 아니라 미국 국가안보국(NSA)가 마이크로소프트(MS) 윈도 취약점을 이용해 여타 시스템을 해킹할 목적으로 개발된 것으로 알려져 전세계는 충격에 휩싸였다. 더구나 자신들만 아는 윈도 취약점을 기반으로 만들어진 해킹툴이 해커들에게 유출돼 전세계에 큰 피해를 입혔다는 점에서 비난이 빗발쳤다. 또한 NSA의 해킹툴을 유출한 해킹 그룹 '쉐도우 브로커스'는 최근 자신들의 공식 소셜네트워크서비스(SNS)을 통해 워너크라이 랜섬웨어뿐만 아니라 NSA가 보유하고 있던 해킹툴의 소스코드를 추가로 공개한다고 밝혔다. 이를 통해 그동안 NSA와 같은 국가 기관이 개발한 사이버공격용 해킹툴이 다수 존재한다는 점이 드러났다. 또한 13일(현지시간) 미국 국토안보국(DHS)과 연방수사국(FBI)은 미국과 글로벌 전역의 미디어, 항공우주, 금융 등 주요 인프라 시설에 대한 공동 공식 사이버공격 경보를 발령하며 그 배후로 북한의 해킹그룹 '히든 코브라'를 지목했다. DHS 산하의 컴퓨터비상대응팀(US-CERT)과 FBI 등 양 기관의 발표에 따르면 이미 히든 코브라의 사이버공격 중 일부는 성공해 기밀을 탈취했거나 시스템 장애를 일으킨 것으로 알려졌다. 특히 이번 히든 코브라의 배후에 북한이 있다는 것을 확인하기까지 우리나라의 정보당국과 미국 정보당국 등 양국간 정보공유를 통해 이뤄졌다는 점에서 글로벌 보안 인텔리전스의 중요성이 크다고 할 수 있다. 국가 주도의 은밀한 사이버공격으로 민간 피해 증가 지금까지 공개된 정보에 따르면 NSA뿐만 아니라 미국 중앙정보국(CIA)도 사이버공격을 위한 다수의 해킹툴을 보유하고 있는 것으로 알려졌다. 이 뿐만 아니라 러시아 정보기관과 연계된 해킹그룹 APT28이나 폰 스톰(Pawn Storm), 중국군이 운영 중인 것으로 알려진 톤토팀(Tonto Team)과 중국 정부와 연계된 ATP10, 베 트남 정부와 밀접한 관계를 맺고 있는 APT32, 북한이 배후에 있는 것으로 알려진 '라자루스' 등 각 국은 현재 사이버 공간에서 치열한 총성없는 전쟁을 펼치고 있다. 문제는 이런 국가 주도의 사이버공격으로 인해 민간 기업이나 개인 등 피해가 속출하고 있다는 점이다. 민간 보안 업계에서는 현재 글로벌 보안 인텔리전스를 통해 해킹 수법과 소스코드 등 정보를 공유하며 대응에 나서고 있지만, 국가가 독점하고 있는 소프트웨어(SW) 취약점 정보 수집에 따른 어려움을 토로하고 있다. 미국 상원에서는 NSA 등 연방 정부 기관이 보유한 사이버공격 방법을 공개하는 법안을 발의하는 등 은밀하게 진행되는 국가 주도의 사이버공격에 제동을 걸기도 했다. 국내에서도 미래창조과학부와 한국인터넷진흥원(KISA)는 국내외 민간 보안업체를 대상으로 보안 인텔리전스 네트워크를 구성하며 정보 공유 및 사이버공격에 대한 공동 대응 준비를 갖추고 있다. 미국, 러시아, 중국, 북한 등 국가간 사이버전쟁 격화 최근 위키리크스에는 CIA의 해킹 프로젝트 아테나(Athena)에 관한 내용이 공개됐다. 해당 정보에 따르면 아테나는 CIA와 미국 보안업체 시즈 테크놀러지가 지난 2015년 11월 19일 개발한 멀웨어(악성코드)로 윈도XP/윈도7/윈도8.1/윈도10/윈도서버2008/윈도서버2012 등 현재 사용 중인 대다수 윈도 운영체제(OS)를 공격대상으로 삼고 있는 것으로 나타났다. 아테나는 특정 PC에 원격 제어가 가능한 코드를 심어두고 이를 바탕으로 원하는 PC의 메모리 영역을 공격하거나 임의 폴더의 파일을 제어하는 등의 작업이 가능하다. 이밖에도 도메인 네임 서버(DNS) 클라이언트 캐시 서비스를 가장해 중간에서 특정 정보를 가로채는 헤라(Hera)라는 스파이웨어도 존재하는 것으로 알려졌다. MS는 공식 입장을 통해 "해당 취약점은 이미 패치를 완료한 상태"라며 "다만 이미 감염된 시스템의 경우 문제가 발생할 가능성은 있다"고 전했다. 러시아 정보기관과 연계된 해킹그룹 APT28도 세계 각국을 대상으로 다양한 해킹을 수행하고 있는것으로 알려졌다. 대표적으로 지난해 7월 러시아 선수들 118명의 도핑 사실을 발표한 세계반도핑기구(WADA)에 대한 해킹은 피싱 이메일을 통해 WADA 관계자 계정을 탈취해 데이터베이스(DB) 접근 권한을 확보 후 선수 의료 데이터를 탈취해 이를 공개하는 등 심리전을 펼친바 있다. 국내의 경우도 국가 주도의 사이버공격의 안전지대는 아니다. 최근 사드(THAAD, 고고도미사일방어체계) 도입에 따른 보족 조치로 해킹그룹 '톤토 팀'과 APT10 등은 국내 기업을 대상으로 사이버공격을 감행했다. 파이어아이 사이버 스파이 분서 팀을 이끌고 있는 존 헐트퀴스트는 WSJ(월스트리트저널)과의 인터뷰를 통해 톤토 팀과 APT10의 배후로 중국군을 지목했다. 이들은 공식적으로 사드로 인한 보복 공격이라고 밝히며 롯데그룹 등 민간기업과 외교부 등 정부기관 등에 디도스(DDoS) 공격을 비롯해 이메일을 이용한 피싱 공격을 감행했다. 또한 미국 연방수사국(FBI)과 시만텍 등 정보당국과 다수의 보안업체들이 배후로 북한을 지목한 해킹그룹 '라자루스'도 최근 활발한 사이버공격을 진행하고 있다. 특히 라자루스는 워너크라이 랜섬웨어 유포에 연관이 있다는 주장이 끊임없이 나오고 있다. 라자루스는 지난 2014년 11월 소니픽처스 미국 법인을 해킹하면서 본격적으로 알려지기 시작했으며, 지난해에는 방글라데시 중앙은행의 스위프트 코드를 해킹해 8100만달러를 인출해 가는 등 글로벌 각지에서 동시 다발적인 사이버공격을 자행하고 있는 것으로 조사됐다. 이뿐만 아니라 글로벌 기업들의 투자가 활발하게 진행되고 있는 베트남을 중심으로 베트남 정부와 함께 일하는 것으로 알려진 해킹그룹 APT32도 최근 사이버공격의 선봉으로 꼽히고 있다. APT32는 오션로터스 그룹(OceanLotus Group)으로 알려진 해킹그룹으로 베트남에 진출한 민간 기업들을 대상으로 제조 시설, 네트 워크 인프라, 금융, 미디어 등 전분야에 걸쳐 무차별적인 사이버공격을 행하고 있다. 보안 인텔리전스 네트워크 등 국내·외 보안업체간 정보 공유로 대비책 마련 중 민간 보안 업계에 따르면 국가간의 물리적인 전쟁은 사실상 힘든 상황에서 가장 쉽게 할 수 있는 형태가 바로 사이버공격를 통한 정찰이나 정보 취득 등으로 앞으로 이같은 추세는 더욱 심화될 것으로 전망됐다. 최상명 하우리 CERT 실장은 국가 주도의 사이버공격은 최근들어 발생한 것이 아니다. 이전부터 존재했지만 그동안 해당 사이버공격에 대한 탐지가 불가능해 알 수 없었던 것이다. 국가 주도의 사이버공격과 개인이나 민간 기업을 상대로 한 일반적인 사이버공격의 가장 큰 차이로는 목적이 다르다는 점이 꼽혔다. 대부분의 일반적인 사이버공격은 개인과 민간 기업에 사이버공격을 가한 후 돈을 요구하는 등 해킹의 목적을 자신들의 돈벌이 수단으로 삼고 있다. 하지만 국가 주도의 사이버공격의 경우 특정 국가나 기업을 상대로 사이버공격을 한 후 돈을 요구하는 것이 아니라 내부 정보를 지속적으로 빼내기 위해 은닉하거나 군사 기밀 등 핵심 정보를 유출 후 해당 시스템을 파괴해 증거를 감추는 방법이 동원된다. 이처럼 국가 기관이 아니고서는 굳이 할 이유가 없는 목적이 주를 이룬다. 국가 주도의 사이버공격은 타 국가나 핵심 기관 등을 타깃으로 정보 탈취를 목적으로 하고 있어 이를 탐지하기가 매우 힘든 것으로 나타났다. NSA나 CIA 등이 개발한 해킹툴이 알려지게 된 것도 최근에 이들의 공격이 발생한 탓이 아니라 이전부터 이같은 사이버공격이 존재했지만 그동안 사이버보안 기술의 한계로 탐지가 불가능한 공격들이 이제는 알 수 있게 된 점이 크다. 북한이 배후로 지목된 해킹그룹 라자루스의 경우도 지난 2009년 국내 금융사를 대상으로 대규모 디도스 공격을 했으며, 2013년에도 국내 방송사와 금융사를 추가로 공격한 것으로 알려졌다. 하지만 해킹그룹 라자루스에 대한 정보는 지난 2014년 소니픽처스 미국 법인을 공격해 내부 시스템을 파괴한 것을 빌미로 미국 FBI가 본격적으로 추적을 하면서 밝혀지게 됐다. 또한 이번에 DSH와 FBI가 사이버공격 경보를 발령하도록 만든 해킹그룹 히든 코브라의 경우 배후로 북한 정부로 특정할 수 있었던 것도 미국 정보당국뿐만 아니라 우리나라 정보당국과의 사이버공격 형태나 영역 등에 관한 보안 인텔리전스 정보 공유가 큰 역할을 했던 것으로 확인됐다. 최상명 실장은 국가 주도의 사이버공격은 앞으로 더욱 심해 질 것이며, 사이버공간에서는 위장이 쉽고, 설사 꼬리가 잡히더라도 범행을 입증할 확실한 증거를 제시하기가 매우 어렵다. 현재 국내의 경우 KISA를 중심으로 국내 6개 보안업체와 해외 7개 업체들이 보안 인텔리전스 네트워크 프로그램을 진행 중이고, 국가 주도의 사이버 공격의 경우 최대한 빨리 탐지해 대비하는 것이 최선인 만큼 국내외 보안업체들이 보안 정보 공유을 통해 사이버공격을 공동 대응하는 등 대책 마련에 나서고 있다.