220420_유명조달기업
[인터뷰] “총 대신 키보드 든 북한, 한국 안보 준전시 상태”
상태바
[인터뷰] “총 대신 키보드 든 북한, 한국 안보 준전시 상태”
  • 전유진 기자
  • 승인 2021.11.02 09:00
  • 댓글 0
이 기사를 공유합니다

문종현 이스트시큐리티 시큐리티대응센터 센터장

북한 정부가 배후로 추정되는 해킹 조직의 전방위적인 사이버 공격이 계속되고 있다. 국내에서도 북한 관련 기관과 대북 분야 종사자를 노린 공격이 연이어 발견되는 가운데, 보안업계는 수면 위로 드러난 해킹 사고는 빙산의 일각에 불과하다고 말한다.

보안업계가 수년간 요구해 온 사이버보안청의 설립 필요성이 이제야 대두되기 시작하면서, 국가 차원의 통합 사이버 안보 대응 체계가 구축될 것인지 귀추가 주목된다. 이에 본지는 이스트시큐리티 시큐리티대응센터를 찾아 문종현 센터장에게 대한민국 사이버 안보의 현주소를 물었다.

Q. 사이버 안보 분야에서 20년 넘게 연구를 이어오고 있다. 연구를 시작하게 된 계기는 무엇인가?


바이러스와 개발자에 대한 첫 호기심이 생긴 건 1996년 컴퓨터가 바이러스에 감염되면서부터다. 이후 2001년, 온라인 채팅에서 본인을 북한 인민무력부 8사단 소속이며, 평양 미림대학 연구원이라고 소개한 익명의 사람과 대화를 나누게 됐다. 악성코드 소스를 주면 10만 달러를 주겠다는 얘기를 듣고 북한 사이버 위협 대응의 중요성을 인식했다. 이를 계기로 특정 정부의 사이버 공격에 대한 연구를 시작하게 됐으며, 현재까지도 악성프로그램 제작자를 추적하고 연구하는 프로젝트를 수행하고 있다.

 

Q. 이스트시큐리티 시큐리티대응센터(ESRC)는 어떤 일을 하는가?


ESRC는 자사 백신 프로그램인 알약을 기반으로 악성파일 모니터링과 분석, 악성파일 유포자 추적 등을 담당한다. 이를 보안관제라고도 표현하는데, 1600만 명의 알약 사용자에게서 수집되는 수많은 악성파일과 의심 파일을 일일이 분석하고 추적하는 행위가 실시간으로 이뤄진다. 이 과정에서 알려지지 않은 새로운 악성파일이 확인되면, 악성프로그램의 구조, 알고리즘을 분석한 후 한국인터넷진흥원(KISA) 등 관련 기관과 고객사에 전파한다. 아울러, 국민의 사이버 안전을 위해 사용자 스스로 위협을 인지하고 대응할 수 있도록 보도자료를 배포해 피해를 최소화하고 있다.

 

Q. 최근 보안 동향은 어떤 상황인가?


국방·통일·외교·안보 및 대북 분야에서 활동하는 고위 유력 인사 등을 특정 타깃으로 한 지능형 지속 공격(Advanced Persistent Threat, APT)이 이어지고 있다. 특히 북한 당국의 지원을 받는 것으로 추정되는 ‘라자루스’와 ‘탈륨(김수키)’ 그룹의 공격이 여전히 빈번하게 발생하고 있으며, 이들은 사회적 이슈를 주제로 하는 악성 MS 워드(DOC) 문서를 공격에 적극적으로 활용한다.

스마트폰 등 모바일 기기를 위협하는 공격도 다수 발견되고 있다. 실제로, 이스트시큐리티는 지난해 북한 추정 해커 조직의 서버를 역추적하던 과정에서 태영호 국민의힘 의원의 스마트폰이 해킹당한 정황을 최초로 포착한 바 있다.

당시 북한 해커 조직인 금성121 등이 배후에 있는 것으로 확인됐으며, 이들은 불특정 다수가 아닌 특정인을 표적으로 삼아 PC나 스마트폰에 악성코드를 심는 스피어피싱 공격 수법을 시도했다. 태영호 의원 외에도 국회의원 보좌관, 통일·외교 관련 언론인, 탈북민, 변호사 등의 PC나 스마트폰도 공격받은 것으로 나타났다.

사용자 기기에 설치된 악성코드는 주로 안드로이드 기반의 악성코드로 기기에 저장된 사진, 연락처, 통화 내용, 위치정보 등 민감한 데이터를 탈취하고 사용자들의 휴대전화 사용을 방해하는 다양한 공격자 명령을 실행한다. 민감한 개인정보 및 금융정보가 가득한 모바일 기기의 특성상 공격자 입장에서는 매우 효과적인 목표이기 때문에 사용자들은 각별히 주의를 기울여야 한다.

 

Q. 해킹 사고 발생 시 배후 조직이나 국가를 어떻게 판별하나?


특정 지역에서 사용하는 언어나 코딩 시 나타나는 버릇, 공격 대상 및 방식, 실수로 노출한 IP 등을 종합적으로 검토해 국가나 조직을 지목할 수 있다. 가령, 북한의 경우 피싱 메일에 ‘한 가지 제안 드릴렵니다’, ‘정상화 하었습니다’, ‘창조되었습니다’와 같은 북한식 표현이 쓰이기도 한다.

 

악성 DOC 문서에 포함된 북한 개발자 표현

우리나라를 타깃으로 한 북한의 공격은 7.7 분산서비스거부(DDoS) 사태를 시작으로 계속해서 이어져 오고 있다. 2009년 7월 7일 발생한 DDoS 사건으로 인해 우리나라의 포털사이트, 은행, 언론사, 정당 등 주요 사이트 26곳이 접속 장애를 겪었으며, PC 1400여 대가 손상을 입는 피해를 입었다. 또한, 북한은 2011년 4월 농협 전산망에 침투해 금융 서버 273대의 자료를 삭제하고 2013년 3월에는 KBS, MBC, YTN 등 언론사와 농협, 신한, 제주은행 등 금융사에 악성코드를 유포해 전산 장비 4만 8천여 대를 파괴하기도 했다.

과거에는 특정 국가의 공격이라고 발표할 경우 이를 정치적으로 해석하는 경향도 있었지만, 이는 글로벌 보안기업의 보고서나 국내 기관의 조사를 통해 공식적으로 확인된 사실이다. 실제로, 한국수력원자력 해킹으로 잘 알려진 탈륨의 경우 러시아 보안기업이 우리나라 공격 사례를 통해 이들을 북한 조직으로 추정해 보고서를 발표하기도 했다. 2014년 발생한 라자루스의 소니픽처스 해킹에도 과거 청와대 홈페이지 해킹에 쓰였던 코드가 그대로 쓰이는 등 유사점이 많다.

최근 북한 해킹 조직에 라자루스, 탈륨, 금성121 등 다양한 조직명을 붙이고 있어 새로운 조직처럼 보일 수 있다. 그러나 기본적으로 중복된 팀들인 경우가 많다. 특정 국가에서 조직적으로 움직이는 이들은 일정 기간 특정 타깃을 대상으로 하는 금전 탈취 등의 작전을 마치면 또 다른 작전에 투입된다. 사건 사고를 관리하는 측면에서는 조직명을 나눌 수 있지만, 사람이 하는 일인 만큼 얼마든지 위장하고 조작할 수도 있다. 따라서, 개별 조직이 아닌 배후 국가에 주목하는 것이 중요하다.

 

 

Q. 대표적인 사이버 위협에는 어떤 것이 있나?


APT 공격의 대표적인 4대 수법에는 ▲스피어피싱 ▲워터링 홀 ▲공급망 ▲SNS 공격 등이 있다. 먼저, 워터링 홀 공격은 육식 동물이 물 웅덩이에 매복해 먹잇감을 기다리는 것처럼 공격 대상이 자주 방문하는 웹사이트에 미리 악성코드를 심어둔 뒤 접속을 기다리는 방식의 공격이다. 공격 징후를 발견하기 어렵고 감염된 사실도 알아차리기 어렵다.

공급망 공격은 공격자가 공급업체의 시스템을 장악한 후 인증서를 탈취하거나 코드 패치, 업데이트 모듈 위장 등의 방식으로 악성코드를 업로드하게 되면, 악성코드는 정상 파일로 위장·배포돼 이를 내려 받은 다수의 사용자와 서버가 악성코드에 감염되는 것을 말한다. 또한, SNS 공격은 공격자가 사전에 SNS를 통해 공격 대상과 친분을 만든 뒤 조언을 구하는 식으로 악성 매크로 명령이 담긴 DOC 문서파일을 공격 대상에게 이메일로 전달하는 식이다.

최근에는 사이버 위협 배후들이 신분을 위장한 채, 정상 소프트웨어 외주 용역 개발에 참여하고 이를 통해 금전적 수익을 얻는 등 외화벌이를 하면서 해당 인프라를 차기 해킹 공격 거점으로 활용하는 방식의 공격도 등장했다. 이로 인해 사용자가 아무리 조심해도 본인도 모르게 악성코드에 감염될 수 있어 기본적인 보안 수칙을 준수하는 것이 우선돼야 한다.

가령, 금성121 조직은 특정 국회의원을 포함한 유명 인사의 휴대전화를 해킹해 개인 정보를 탈취한 바 있고, 대북 전문 분야 단체의 홈페이지를 침해하거나 가짜 페이스북 계정 등을 만들어 북한 분야 종사자들을 지속적으로 노리고 있다. 특히 모바일이나 이메일로 지인이나 업계 전문가를 사칭해 연락하는 경우가 많아, APK, DOC 문서 등을 보내올 경우 반드시 발신자와 직접 통화해 사실 여부를 확인하고 열람하는 것이 안전하다.

또한, 알약과 같은 백신 프로그램을 이용해 각종 악성코드로부터 휴대전화와 PC를 안전하게 보호해야 한다. 프로그램은 최신 버전으로 유지하고, 정기적으로 검사를 진행해야 한다. 마지막으로 2단계 인증을 활성화하고, 비밀번호를 주기적으로 변경해야 한다. 공격자는 여러 경로에서 수집한 사용자들의 로그인 정보를 다른 사이트에 무차별 대입을 시도하는 크리덴셜 스터핑 공격을 통해 여러 사이트에 동일한 로그인 정보를 사용하는 모바일 사용자를 위협한다.

만약 사용자가 이용하는 사이트 중 한 곳이 해킹돼 계정 유출 사고가 발생한다면, 이와 동일한 계정 정보를 사용하는 다른 곳의 개인정보는 잠재적 위협에 노출되게 된다. 따라서, 피해 예방을 위해서는 2단계 인증을 활성화하고, 비밀번호를 주기적으로 변경해야 한다.

 

Q. 사이버 안보 대응을 위해서 무엇이 가장 우선돼야 하는가?


공격자가 단순 개인이 아닌 국가 차원에서 조직적으로 활동하기 때문에, 반드시 국가 사이버 안보 측면에서 해결 방안을 모색하고 접근해야 한다. 현재 우리나라 사이버 안보 대응 체계는 공공 부문에 대해서는 국가정보원이, 국방 부문은 사이버작전사령부가, 민간 부문은 KISA가 총괄하는 식의 분권 대응 체계로 운영되고 있다.

이런 분할된 체계 탓에 국가 차원의 통합적 대응은 효과적으로 이뤄지지 못하고 있다. 이에 공공과 민간 사이버 안보 부처 간 대응을 조정하는 컨트롤타워 도입이 필요하다는 목소리도 나오고 있는 실정이다.

정보 기관인 국정원의 기능을 확대해 사이버 공격 대응 업무를 효과적으로 수행하게 하는 안도 제시됐지만, 국정원이 빅브라더로 악용될 가능성이 있다는 우려가 나왔다. 또한, 정보 기관 특성상 일반 정보 보안 사고나 대국민 활동, 언론 대응 등의 활동이 어렵기 때문에 컨트롤타워로서의 역할에 제한이 있다는 지적도 있었다.

이에 두 가지를 대안으로 제시하고자 한다. 먼저, KISA가 과학기술정보통신부로부터 독립해 별도의 통합 대응 기구인 사이버보안청 역할을 수행하는 방안이다. 코로나19 사태 심화로 질병관리본부가 질병관리청으로 승격된 것처럼 북한 해킹 전담 조직 신설을 추진해 사이버 관련 전 분야를 포괄할 수 있도록 해야 한다.

또한, 민간 보안업체들도 방위산업체와 같이 국가적 지원을 받고 사이버 보안 위협에 함께 대응할 수 있도록 정책적으로 권한을 부여받아야 한다. 한국 사이버 영역은 거의 매일 대대적인 대남 사이버 공격이 진행되는 등 이미 준전시 상태를 방불케 한다. 그러나 적은 총을 쏘고 있다면 민간 보압업체들은 나무 방패로 이와 맞서고 있는 것과 마찬가지다. 북한 사이버 공격이 과거처럼 공공 기관에 머물지 않고 민간 영역으로 확대되고 있기 때문에 민·관 합동 대응이 그 어느 때보다 필수적인 시점이라고 본다.

 

Q. 최근 4차 산업혁명 등으로 보안의 중요성이 점차 커지고 있지만, 아직까지 국민의 보안 의식은 낮은 실정이다. 어떤 인식이 필요하다고 보는가?


새로운 IT 환경을 개발하고 구축하기 위해서 보안이 먼저라는 공감대 형성이 필요하다. 정보통신기술의 발전은 사회 기반 시설뿐만 아니라 다양한 분야에서 생활의 편리함을 주는 데 큰 역할을 담당하고 있다. 이에 보안은 매우 중요한 요소 중 하나라고 볼 수 있다.

문제는 보안은 편의성과 반비례한다는 공식이 성립할 정도로, 편의성에만 치중하면 보안성이 저절로 낮아진다는 인식이다. 따라서 보안은 선택이 아니라 필수이며, 국가 안보와도 직결될 수 있다는 점을 함께 공감하고 인지해야 한다. 

 

“세상에 완벽한 보안은 없다. 피해는 지금 이 순간에도 계속해서 일어나고 있으며, 이러한 사실이 세상에 알려져 경각심을 높이고 대비하는 식의 선순환 구조가 필요하다”

 


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.