[데이터넷] 세계 정세가 심각한 위기 상황으로 치닫고 있는 가운데, 한반도가 ‘일촉즉발’의 상황에 놓이게 됐다. 한미일-북중러 대립이 심화되는 상황에서 각국 정부는 동맹 여부와 상관없이 수단과 방법을 가리지 않는 첩보전을 벌이고 있다. 특히 우리나라는 모든 국가의 주요 타깃이 되고 있을 뿐만 아니라, 첨단기술을 노리는 사이버 스파이, 중요 인프라를 노리는 APT 공격까지 다양한 공격이 치열하게 전개되고 있다. 심각한 안보위기로 다가온 ‘사이버전’에 맞서 어떤 노력을 해야 하는지 살펴본다.<편집자>

사이버 첩보전 벌이는 국가기반 공격자

가짜뉴스만큼 활발하게 전개되는 공격 캠페인이 사이버 첩보전이다. 러시아의 경우, 전쟁으로 인해 휴민트를 통한 정보수집이 제한되자 사이버 첩보 활동을 더 활발하게 펼치고 있는 것으로 보인다. 일례로 3월 NATO에 가입한 핀란드가 4월 기자회견을 열고 러시아의 사이버 공격이 집중되고 있다고 폭로했다. 핀란드는 건설 엔지니어링 회사, 사회복지기관, 상하수도 인프라, 제조회사 등이 공격당했으며, 러시아가 서구 시장에 접근할 수 없게 돼 기업의 제품 개발 정보에 점점 더 관심을 갖게 될 것이라고 밝혔다.

5월에는 미국 법무부가 “러시아 그룹 ‘털라(Turla)’가 미국과 북대서양조약기구(NATO)의 회원국 등 50개국에서 민감한 자료를 빼내는데 사용한 악성툴을 차단했다”고 발표하면서 털라의 활동을 공개했다. 털라는 1990년대 초부터 활동한 ‘전통있는’ 그룹으로, 정부, 군사, 국방 부문 스파이 행위를 주로 해왔다.

존 헐트퀴스트(John Hultquist) 구글 클라우드 맨디언트 위협 인텔리전스 총괄은 “털라는 운영 보안과 탐지 회피에 중점을 두고 있으며, 조용하게 공격하는 특징을 갖는다. 이들은 이 그룹은 범죄적 침입을 통해 타겟에 접근하거나 이란 국가 공격자들의 기존 침입 루트에 편승하기도 한다”고 밝혔다.

미국 사이버 보안 및 인프라 보안국(CISA)은 4월 러시아 참모본부 정보국(GRU)에 속한 APT28이 시스코의 라우터 취약점을 이용해 공격하고 있다고 공개했다. 팬시베어, 스트론티엄으로도 알려진 APT28은 시스코 라우터 취약점을 이용해 유럽, 미국, 우크라이나를 공격했는데, CISA는 이 취약점은 다른 네트워크로 침투할 수 있는 경로가 될 수 있다는 점을 언급하면서 오래되고 취약한 소프트웨어를 이용한 공격을 막아야 한다는 사실을 강조했다. 이들이 이용한 취약점은 2017년 패치가 공개된 시스코 IOS, IOS XE의 SNMP 취약점이다.

솔라윈즈를 해킹한 노벨륨의 활동도 재개됐다. EU, NATO 회원국의 외교조직, 아프리카와 캐나다 등의 외교관에게 업무 관련 내용의 악성메일을 보내 ‘엔비스카웃(Envyscout)’이라는 악성 스크립트를 내려받게 하는데, 이는 HTML 스머글링 기법 등을 통해 보안탐지를 우회하면서 피해자 PC에서 공격활동을 진행한다.

NSHC가 러시아 정부 지원 해킹 그룹 ‘섹터C’의 2022년 활동을 요약한 보고서를 보면, 이들은 11개 하위그룹을 운영하면서 세계 주요 국가 정부기관, 국방관련 기관을 집중 공격해 정치, 외교활동 정보를 수집했다. 특히 우크라이나와 북아메리카 국가를 대상으로 활동했으며, 우크라이나 주요 시스템을 무력화하고 군사기술 정보를 포함한 중요 정보를 탈취하기 위한 캠페인을 전개한 것으로 분석됐다.

주요 인프라 노리는 공격자

국가기반 공격자 활동 중 가장 위험한 것은 주요 인프라를 공격해 국가를 혼란하게 만드는 것이다. 우크라이나 전력망을 파괴한 ‘인더스트로이어’의 변종이 지난해 배포됐는데, 다행히 조기에 발견해 피해는 없었다. 일각에서는 이 악성코드가 제대로 작동하지 않았다는 점에 주목하면서 변종의 파괴력을 파악하기 위해 테스트용으로 배포한 것일 수 있다고 분석한다.

마이크로소프트는 교통 시스템을 파괴해 심각한 피해가 일어날 수 있다는 점을 강조했다. 유니세프 설문조사에 따르면 분쟁 피해 도시의 응답자는 운송·연료 공급 중단, 보안, 식량, 의료 서비스, 금융 서비스 등의 장애를 가장 우려하고 있는 것으로 나타났다. 이는 시민들의 생명과 안전에 중대한 영향을 미치는 것이기 때문이다.

아직 전쟁중인 우리나라에서 주요 인프라를 노리는 국가기반 공격은 심각한 위협 상황이 되고 있다. 우리나라는 북한과 휴전상태며, 한반도를 둘러싼 냉전기류로 인해 ‘일촉즉발의 화약고’가 되고 있다. 심각한 갈등상황으로 치닫는 한반도와 주변국에서 작은 사고라도 발생해 1차 세계대전을 일으킨 ‘사라예보’ 사태가 일어난다면 돌이킬 수 없는 끔찍한 비극을 맞게 될 수 있다.

우리나라를 타깃으로 하는 공격은 금전목적의 랜섬웨어와 가상자산 탈취, 첨단기술 정보를 노리는 사이버 스파이, 대북분야 기밀정보를 훔치는 첩보활동이 주를 이뤘지만, 이제는 국가의 안녕을 위협하는 사이버 테러가 발생할 가능성도 조심스럽게 점쳐지는 상황이다.

우리나라 기업·기관 노리는 북한 공격 빈번

사이버 보안 분야에서 우리나라를 노리는 국가는 북한, 중국, 러시아, 일본, 미국 등이다. 그 중에서 북한발 공격이 가장 많이 보고된다.

국가정보원은 우리 정부와 공공기관을 대상으로 한 해킹 시도가 패킷 기준 하루 평균 118만여건이며, 55%는 북한과 연계된 것으로 추정한다. 북한 대외정보기관인 정찰총국(RGB) 산하 라자루스 그룹이 가장 상위 조직이며, 이 아래 금전목적의 활동, 정보수집의 활동 등을 하는 조직 여러 조직이 활동한다.

NSHC가 공개한 북한 정부 지원 해킹그룹 ‘섹터A’의 2022년 활동 요약 보고서에 따르면 이들은 한국과 관련된 정치, 외교 활동 등 정부 활동과 관련된 고급 정보를 수집하기 위한 목적을 가지며 전 세계를 대상으로 한 금전적인 재화의 확보를 위한 해킹 활동을 병행하고 있다.

이들은 워드, 엑셀 등 파일 형태의 악성코드를 사용하는 방식 외에도, 네이버, 구글 등 이용률이 높은 인터넷 서비스 위장 피싱 페이지를 사용한다. 공격 대상이 된 조직은 정부 및 연구 분야에서 사회, 정치, 경제, 기술 등과 같은 주제들을 연구하거나 견해를 표명하는 조직들이 포함되어 있으며, 주로 대북 분야를 연구하거나 관련 종사자들로 확인된다.

사회공학기법 이용 사이버 첩보전 펼쳐

사이버 첩보전에서 북한의 활동은 탁월하다. 북한은 특히 사회공학 기법을 이용한 ‘기가막힌’ 활동을 벌인다. 맨디언트가 언론사를 사칭하는 북한 캠페인을 소개했는데, 안보전문가에게 북한 미사일 발사 배경에 대한 주제의 논문을 요청하고, 그 논문을 통일 전문가에게 보여주며 논평을 부탁하고, 또 다른 외교 전문가와 서면 인터뷰를 진행한다. 요청한 주체는 유명 언론사 기자라고 소개했지만 사실은 북한 해커였다.

논문, 언론 인터뷰는 ‘공개’를 전제로 작성되기 때문에 기밀정보라 할 만한 내용은 없다. 기밀이 아닌 정보를 수집하는 이유는 미사일 도발에 대해 외교, 안보, 국방, 통일 분야 전문가들은 어떻게 분석하고 있는지 듣고 그에 맞게 다음 전략을 수립하기 위한 것이다.

루크 맥나마라(Luke McNamara) 맨디언트 수석 애널리스트는 “북한 해커들은 멀웨어 없이도 사이버 스파이 활동을 성공적으로 수행하고 있다. 기자나 관련 분야 전문 학회 혹은 연구원으로 사칭해 핵 전문가, 외교·안보·국방 전문가의 의견을 수렴하고 있다. 북한은 이러한 사회공학 기법 공격에 매우 능숙하다”고 설명했다.

레코디드퓨처의 북한 위협 전문 분석가 미치 하자드(Mitch Haszard) 수석 연구원 역시 이 분석에 동의하며 “이미 공개된 정보, 혹은 공개가능한 정보라 해도, 그들은 여러 전문가에게 의견을 묻고 그 의견을 종합해 분석한다. 그리고 해킹 등 다른 방법으로 수집한 정보와 결합해 자신이 다음에 취할 수 있는 전략을 결정하는 것으로 보인다”며 “북한은 지금까지 사이버 공격을 통해 많은 수익을 얻었으며, 정보를 습득해왔다. 이를 바탕으로 앞으로 더 적극적인 공격 행위를 진행할 것으로 예상된다”고 밝혔다.