일본 총무성이 최근 사이버 공격에 대처하는 지방자치단체의 보안 강화를 위해 사이버 보안과 관련한 기본 방침의 책정과 공표를 의무화할 것이라고 밝혔다. 이에 따라 빠른 시일 내 관련 내용이 담긴 지방자치법 개정안을 국회에 제출할 예정이라고 전했다.

일본 정부가 이렇게 사이버 보안 관련 정책을 강화하는 이유는 외교와 관련한 정보를 다루는 외무성을 비롯한 정부 컴퓨터 시스템이 지난해 8월 중국 해커 조직에 의해 기밀 유출 피해를 입은 것이 최근 알려지면서다. 관련 소행이 중국 인민해방군과 관련된 'APT31' 해커 조직에 의한 것이라는 추측도 나오고 있다. 이런 가운데 우리나라 역시 타깃이 될 가능성을 염두에 두고 중국 사이버 해커 조직들에 대한 대응이 필요한 시점이다.

중국 정부로부터 지원받는 것으로 추정되는 해커 조직

중국의 사이버 해커 조직들은 날이 갈수록 점차 고도화되면서 정교한 사이버 공격으로 전 세계에서 악명을 떨치고 있다. 더욱이 이들은 중국 정부의 지원을 받는 것으로 의심받고 있으며 상당수가 중국 인민해방군 소속이라는 추정에 무게가 실리고 있다.

미국 국가안보국(NSA)와 영국 국가사이버보안센터(NCSC) 등의 보고서에 따르면 대표적으로 APT1, APT10, APT41, APT31, 나이콘 APT그룹 등 5개 조직이 중국 정부와 연관돼 있는 것으로 추정된다.

먼저, APT1은 중국 상하이 푸동 신구에 위치한 특정 군사 기지에서 운영되는 것으로 전해졌다. 수백 명의 사이버 스파이로 구성돼 있으며 고도로 조직화되고 전문화된 작전을 수행하고 있다.

주로 미국을 포함한 서방 국가의 방위 산업 등을 대상으로 광범위한 사이버 공격 활동을 하는 것으로 유명하다. 작전 방식은 피싱 공격과 멀웨어 배포, SQL 인젝션 등의 공격 기법을 사용한다. 이 조직은 특히 장기간에 걸쳐 목표를 추적하고 침투한 네트워크 안에서 은밀하게 활동하는 것에 능숙하다.

APT10은 '스톤 판다'라는 별명을 갖고 있다. 2009년 이후 활동을 시작한 이 조직은 주로 지식 재산과 민감한 정보를 탈취하기 위한 사이버 스파이 활동에 집중해 왔다. APT10은 전 세계의 다양한 산업과 정부 기관을 대상으로 항공 우주, 방위 산업, 정보 기술의 지식 재산권 탈취에 중점을 둔다. 경제적 이득과 국가 안보를 목적으로 활동하는 것으로 추정되고 있다.

이 조직은 특정 개인이나 조직을 대상으로 한 맞춤형 이메일 공격을 통해 악성 소프트웨어를 배포하거나 탈취한 로그인 정보를 사용해 다른 시스템에 무단 접근을 시도한다. 무엇보다 '클라우드 호퍼' 작전으로 잘 알려져 있는데 전 세계 클라우드 서비스 제공 업체를 대상으로 대량의 데이터를 탈취한 바 있다.

APT41은 금융적 이득을 취하려는 사이버 범죄 활동에 가담하는 것으로 알려져 있다. 특히 비디오 게임 산업을 대상으로 한 사이버 공격이 대표적인데, 특정 게임 회사의 네트워크를 해킹해 가상자산이나 게임 내 아이템을 탈취하는 것으로 알려져 있다. 이렇게 얻은 자산은 범행 후 블랙마켓에 판매해 금전적 이득을 창출한다.

APT31은 각 정부 기관과 언론, 학술 기관을 포함한 다양한 타깃에 사이버 공격을 실행하는 것으로 유명하다. 이 조직의 차별적 요소는 사회 공학 기법을 통해 사용자의 신뢰를 얻고 악성 소프트웨어를 배포하는 방법이 특화되어 있다는 것이다. 이를 기반으로 선거 관련 조직을 대상으로 활동을 수행해 중국 정부가 의도하는 정치적 영향을 미치도록 하는 성격을 띠고 있다.

나이콘 APT그룹은 주로 동남아시아 국가들을 대상으로 활동하는 조직이다. 이 그룹은 국가 기관과 국방·외교 부문을 포함한 동남아 정부 기관에 대한 사이버 스파이 활동에 주력한다. 특히 지정학적 정보 수집에 관심이 많은 것으로 알려져 있다. 웹쉘을 통한 지속적인 네트워크 접근, 제로 데이 취약점 활용이 이들의 공격 기법이다.

중국 정부는 이들 조직과의 연관성을 지속적으로 부인해 왔다. 중국은 사이버 공간에서의 주권과 국제 규범을 존중할 것을 국제 사회에 호소하면서 "자국이 사이버 공격의 피해자"라고 주장하고 있다.

이런 가운데 우리나라 역시 해당 조직들의 표적이 되고 있다. 2018년 10월에는 국내 특정 보안 소프트웨어 아이콘으로 위장된 악성 파일들이 집중적으로 퍼졌고 일부 감염된 PC는 시스템의 주요 정보와 키보드 입력 내용, 사용자 계정 등의 민감 자료가 노출된 것으로 확인됐다.

사이버 공격으로 인한 피해는 더욱 커질 것으로 전망

문제는 이런 사이버 공격이 지금까지는 중요 기밀 문서나 금전을 탈취하는 정도에 그치는 게 대다수지만 앞으로는 국가 지원을 바탕으로 보다 과감한 행동을 할지도 모른다는 것이다.

가까운 미래, 사이버 공격의 양상은 인간의 목숨을 좌지우지할 수 있는 능력을 갖출 수 있을 것으로 전망되고 있다. 가장 큰 위협은 네트워크 연결이 되어 있는 물체들을 대상으로 하는 공격으로 언젠가 상용화될 자율주행 차량과 항공기 등이 해커에 의해 탈취되는 상황이다. 범죄자들은 이러한 무인 이동수단을 원격 제어해 심각한 안전 문제를 초래할 수 있으며 승객들을 인질로 삼아 협박하는 등 다양한 부분에 관여할 수 있다.

사이버 공격이 공공 인프라를 목표로 삼을 경우에는 더 큰 피해를 일으킬 수 있다. 이동수단이 아니라 교통 시스템 자체에 침투하게 되면 도로 전체를 마비시킬 수도 있다. 국외에서는 원자력 발전소나 송유관이 마비되는 해킹 사건이 발생하기도 했다. 이처럼 사이버 공격은 국가의 주요 공급망을 차단하는 전술로 발전할 수 있다는 가능성도 배제할 수 없다.

이러한 시나리오는 보통 영화 속에서 볼법한 내용들이지만 이제는 실상황이될 가능성에 놓였다. 특히 AI의 발달로 인해 이들 해커들은 보안 시스템을 우회하고 피싱 공격을 더욱 정교하게 수행할 수 있게 될 것으로 점쳐진다. AI를 이용한 자동화된 공격은 대규모로 신속하게 이뤄질 수 있으며 탐지하기 더욱 어려워질 것으로 예측되고 있다.

사이버 공격으로 인한 피해, 복구 어려워

사이버 공격으로 인한 피해를 받을 경우 이에 대한 감당은 고스란히 피해자들의 몫으로 남는다. 사이버 침해에 대한 구제 방안이 특별히 마련되어 있지 않다. 사이버 범죄자를 검거하고 기소하는 것은 국제적 협력과 강력한 증거 수집이 필요한 복잡한 과정으로 국가 지원을 받는 해커 그룹에 대한 직접적 검거 사례보다는 이들에 대한 국제적인 제재나 사실상 국제적 압박을 가하는 식으로 대응하고 있다.

드물지만 기소 사례로는 미국 법무부가 지난 2014년 중국 인민해방군 소속 장교 5명을 미국과 노동조합에 대한 사이버 스파이 행위 혐의로 기소한 바 있다. 이는 국가가 지원하는 해킹 활동에 연루된 개인을 특정한 첫 번째 공식 기소였다. 2020년에는 미국이 APT41의 일원으로 알려진 중국인 해커 2명을 기소하기도 했다. 이들은 100개가 넘는 회사와 기관에 대한 해킹을 시도한 혐의를 받았다.

따라서 국가적으로는 강력한 보안 정책과 절차 구현을, 각 기관 및 기업들은 엔드포인트 보호와 네트워크 보안 강화, 사고 대응 훈련 등의 내용이 구체화된 매뉴얼을 수립해야 한다는 필요성이 제기된다.

우리나라는 아직 전쟁이 끝나지 않은 휴전 국가로서 적국인 북한의 직접적인 사이버 공격을 받고 있다. 북한의 해킹 그룹인 '킴수키(Kimsuky)'는 한국 정부 및 기관을 대상으로 한 여러 사이버 공격에 관여한 것으로 알려져 있다. 이 그룹은 특히 한국의 외교, 안보, 국방 분야의 정보를 수집해 북한 정권에 제공하는 활동을 해왔다.

킴수키는 2021년 5월에 우리나라 원자력 연구 기관인 한국원자력연구원의 네트워크에 침입했다. 피해는 확인되지 않았지만 국내 주요 핵 기술과 관련된 정보를 탈취했을 가능성이 제기됐다. 뿐만아니라 2022년 4월에는 한미연합군사훈련 기간에 사이버 공격을 감행하기도 했다. 당시 이 훈련에 참여하는 국내 전투 시뮬레이션 회사를 대상으로 악의적인 이메일 공격을 수행, 악성코드를 설치하고 직원 개인 정보를 탈취했다. 이 사건들은 우리나라에 대한 사이버 위협이 지속되고 있음을 보여주는 대표적 사례다.

가장 중요한 것은 이들 해커 조직의 타깃이 될 수 있는 정부 기관과 기업들이 자체적으로 문제를 찾아내 지속적으로 보완해 선제적 조치를 하는 것이 현명하다고 볼 수 있다. 사이버 공격에 대응할 수 있는 보안 전문가를 양성하고 보안 위협을 식별하고 대응할 수 있는 기술과 솔루션을 구축해야 한다.

사이버 보안은 단순한 기술 문제가 아닌 사회적, 경제적, 정치적 차원에서 접근해야 한다. 이 문제의 심각성을 정부 기관과 기업 구성원 모두가 인지하고 각자의 위치에서 책임을 다할 때 비로소 효과적인 사이버 보안이 실현될 것으로 보인다.

한평훈 기자 다른기사 보기