12.11
뉴스홈 > 칼럼
[기고] 쩐의 전쟁, 사례로 살펴보는 사이버 공격의 트렌드김미희 이글루시큐리티 보안분석팀 과장

[컴퓨터월드]
   

▲ 김미희 이글루시큐리티
보안분석팀 과장

‘쩐의 전쟁’…이제 사이버전

돈에 복수하려다 결국 돈의 노예가 되는 한 남자의 스토리를 그린 박인권의 연재만화 ‘쩐의 전쟁’은 방송사를 통해 드라마의 주제로 소개되면서 사회적 반향을 불러일으킨 바 있다. 다소 과장된 면은 있지만 돈 때문에 파국으로 치닫게 되는 인간의 모습을 적나라하게 보여주며, 현실 속에 만연해 있는 돈을 둘러싼 갈등에 대해 날카롭게 꼬집어 줬기 때문이다.

올해 발생한 사이버 위협을 분석해보면, 사이버 환경에서도 공격자와 방어자 사이의 ‘쩐의 전쟁’이 활발히 전개되고 있음을 알 수 있다. 지난 몇 년간 꾸준히 보안 위협의 요인으로 지목되고 있는 랜섬웨어나 가상화폐 거래소 해킹 등 최근 발생한 크고 작은 사이버 공격들 대부분이 과거와는 다르게 금전적인 이득을 얻기 위한 수단으로 활용됐다.

기존에 발생하던 보안 사고는 개인 카드정보, 주민등록번호, 전화번호, 의료기록 등 재화로 교환할 수 있는 가치를 지닌 데이터를 탈취해 2차 범죄에 악용하거나 매매하는 등의 방식으로 데이터와 금전을 교환하는 과정을 거쳤다. 그러나 최근에는 은행과 같이 화폐를 관리하고 교환할 수 있는 기관을 직접 공격해 금전을 탈취하거나 랜섬웨어를 통해 비트코인, 이더리움 등 규제 받지 않는 가상화폐를 탈취하는 방법이 크게 부각되고 있다.

웹호스팅 업체 인터넷나야나의 랜섬웨어 감염 사고, 가상화폐 거래소 야피존, 빗썸, 코인이즈의 해킹 사고, 국제은행간통신협회(SWIFT)를 이용한 방글라데시 중앙은행 및 베트남 상업은행의 해킹 사고 등 최근에 일어난 보안사고 중 금전적인 목적을 띄는 사례를 살펴보면, 모두 위와 같은 특징을 공통적으로 갖고 있다.

그렇다면 과연 우리는 이렇게 변화하는 사이버 위협에 효과적으로 맞서기 위해 어떠한 대응책을 마련해야 할까? 돈을 노리는 사이버 공격들이 주로 어떠한 형태로 발생하고 또 이로 인해 얼마나 큰 피해가 야기되고 있는지 사례를 통해 살펴보며 사이버 환경에서의 ‘쩐의 전쟁’에 대비하는 방안에 대해 논의해 본다.


사이버 공격, 어떻게 변화하고 있는가?

영국 일간지 텔레그래프가 입수한 유럽연합의 ‘악성 사이버 행위에 대한 유럽연합의 외교적 합동 대응 프레임워크(The Framework on a Joint EU Diplomatic Response to Malicious Cyber Activities)’에 따르면, 사이버 공격이 발생한 경우 발생국은 유럽연합 조약 제 42조 8항에 의거해 다른 유럽 연합 소속 국가들의 지원을 받을 수 있고 이에 대한 대응에는 외교적 압력 및 제재가 포함될 것이라고 한다.

이와 같은 조치는 사이버 상에서 발생하는 공격의 범위를 단순히 사이버 환경에만 국한하는 것이 아니라, 물리적 무기를 활용한 공격과 동일하다고 여기며 일종의 전쟁 행위로 간주될 수 있음을 의미한다. 물론 일각에서는 사이버 상에서 발생한 공격이기 때문에 공격자를 한정할 수 없음을 지적하고 문서 자체의 모호성을 들며 효과에 의문을 제기하는 회의적인 시선도 존재한다. 그러나 중요한 점은 ‘사이버 공격을 물리적 공격과 동일한 수준으로 정의했다’라는 것이다.

그도 그럴 것이, 최근 사이버 공격이 개인단위의 일반적인 공격 형태를 넘어 기업단위의 범죄형 공격이나 국가단위의 테러리즘 공격으로 발전하면서 사이버 공격을 활용하는 전략 또한 ‘방어’에서 ‘공격’으로 전환되는 사례가 보고되고 있다.

   
▲ 사이버 공격과 보안관제의 발전 추이(출처: 이글루시큐리티 보안분석팀)

국가단위의 전략적인 사이버 공격은 개인이 시도할 수 있는 규모는 아니다. 이러한 공격을 위해서는 체계를 갖춘 해커 조직이 필요한데, 대규모의 해커 조직 양성을 위해서는 정부와 같이 체계화된 조직의 지원이 필요하다. 그리고 이렇게 양성된 해커 조직은 상대국의 시스템이나 네트워크를 마비시키거나 사이버첩보전을 벌이는 등 광범위한 사이버 전쟁 및 테러를 일으킨다.

그뿐만 아니라 체계화된 해커 조직은 금전적인 목적으로도 활용될 수 있다. 국내외에서 발생하는 다수의 대규모 사이버 공격의 배후로 지목되고 있는 북한 역시 강도 높은 대북제재 조치로 인해 외화벌이 수단이 차단되면서 비트코인 거래소를 해킹하거나 도박 사이트를 운영하는 등 사이버 상 불법행위를 통해 금전을 탈취하고 있다는 주장이 꾸준히 제기되고 있다.

근래 북한이 금전 탈취를 위해 시도한 사이버 공격으로 의심되는 사례로는 전세계 150여 개국, 최소 30만 대 이상의 PC를 감염시킨 ‘워너크라이(WannaCry)’ 랜섬웨어를 들 수 있다. 비트코인 추적업체 엘립픽에 따르면, 해커가 피해자들로부터 탈취한 비트코인은 10만 8천 파운드(약 1억 6,200만 원)에 달한다고 하니 랜섬웨어를 이용한 범죄수익이 어느정도 인지 짐작해볼 수 있을 것이다.

카스퍼스키랩이나 시만텍의 경우 악성코드의 유사도, 공격기법, 사용언어 등을 이유로 워너크라이의 배후를 북한으로 지목하고 있으나, 플래쉬포인트나 사이버리즌의 경우에는 악성코드의 재사용과 같은 유사점은 사이버 공격에서 흔히 발생할 수 있는 일이기 때문에 북한과 연계성이 없다고 주장한다.

여기서 중요한 점은 워너크라이의 공격 배후가 ‘북한이다’, ‘아니다’가 아니다. 우리가 주목해야 하는 것은 피해 규모가 큰 의도적이거나 전략적인 사이버 공격을 위해서는 악성코드의 유포와 같은 노력이 필요하기 때문에 해커 조직은 국가지원과 같은 비용조달이 필요하다는 사실이다. 이와 같은 상관관계는 사이버 위협의 배후를 특정 국가로 지목하게 하는 충분한 근거로 볼 수 있다.


해커들의 마르지 않는 돈줄, ‘랜섬웨어’ 통한 범죄수익 조달

앞서 언급한 사례에서 볼 수 있듯이 현재 돈벌이 수단으로 가장 각광받고 있는 것은 단연 ‘랜섬웨어’다. 랜섬웨어는 APT공격에 사용되는 악성코드와 같이 감염 사실을 숨기고 오랜 기간 잠복하면서 정보를 빼앗는 것이 아니라, 단시간에 금전을 탈취하는 것을 목적으로 하기 때문에 감염 사실을 스스로 공개하고 제한된 시간 안에 비용을 지불하도록 유도하는 것이 가장 큰 특징이다.

   
▲ 악성코드와 랜섬웨어의 특징 비교(출처: 이글루시큐리티 보안분석팀)

장기간 잠복해야 하는 APT형 악성코드의 경우, 신규 취약점 등을 이용해 감염 상태를 유지하지만 단기간에 감염 사실을 노출시켜야 하는 랜섬웨어는 불특정 다수에게 공격을 시도할 수 있는 이메일이나 홈페이지를 통해 유포된다.

랜섬웨어가 돈벌이 수단으로 주목받게 된 것은 2015년 사이버 위협 얼라이언스(Cyber Threat Alliance)의 ‘수익성 좋은 랜섬웨어 공격: 크립토월 3.0 위협분석(Lucrative Ransomware Attacks: Analysis of the CryptoWall Version 3 Threat)’으로부터 시작됐다. 위 보고서에 따르면 크립토월을 이용한 범죄수익이 3.25억 달러로 추산되며 이러한 수치는 랜섬웨어 시장의 가능성을 보여준 계기가 됐다.

1989년 진화생물학자 조셉 포프 박사가 지불 받은 돈을 에이즈(AIDS) 연구에 기부하겠다며, 개발한 최초의 랜섬웨어 ‘AIDS.trojan’을 시작으로 현재까지 랜섬웨어는 다양한 방식으로 금전을 요구하고 있다. 분석 보고서에 나와 있는 범죄 수익의 통계가 랜섬웨어 시장의 성장을 어느 정도 이끌었다고 볼 수 있지만 가장 강력한 촉매제는 역시 가상화폐라 할 수 있다.

랜섬웨어의 발전에 가상화폐인 비트코인이 얼마나 기여를 했는지 알아보기 위해서는, 랜섬웨어 발전에 따른 비트코인의 시세 추이에 주목하면 된다.

‘나카모토 사토시(Satoshi Nakamoto)’라는 가명의 개발자가 고안한 기술인 비트코인이 2008년 10월 ‘비트코인:P2P 전자 화폐 시스템’이라는 논문을 통해 세상에 공개 되고 2009년 최초의 비트코인 블록이 생성된 후, 2014년 평균 372달러에 불과하던 가치가 2017년 11월에는 800만 원까지 치솟으면서 랜섬웨어 시장의 촉매제 역할을 톡톡히 해왔다.

   
▲ 연도별 랜섬웨어 발전에 따른 가상화폐 시세 변화(출처 : 이글루시큐리티 보안분석팀)


해커, 가상화폐의 본진에 눈독들이다

랜섬웨어 시장이 가상화폐라는 촉매제를 만나 성장하는 동안, 해커들은 랜섬웨어를 유포해 가상화폐를 일일이 수집하는 것이 아니라 가상화폐가 저장돼 있는 거래소를 공격하기 시작했다. 쉽게 설명하면, 도둑이 현금을 보유하고 있는 개개인의 집을 공격하는 대신 여러 사람들의 현금이 저장돼 있는 공인된 금고인 은행을 목표로 한 번에 큰돈을 탈취하는 방안을 택하게 된 것이다. 국제은행간통신협회(SWIFT)를 이용한 방글라데시 중앙은행 및 베트남 상업은행 해킹 사고가 대표적인 사례이다.

   
▲ 금전적 목적의 해킹 사고 사례 분석(출처: 이글루시큐리티 보안분석팀)

국내 가상화폐 거래소의 거래량이 전세계 상위권에 랭크되는 만큼 야피존, 빗썸, 코인이즈와 같은 국내 가상화폐 거래소를 공격 대상으로 삼은 사이버 위협들은 꾸준히 증가할 것으로 예상된다.


우리의 돈을 지키기 위해 무엇을 해야 하나?

지금까지 다양한 보안사고 사례들을 통해 우리는 우리의 지갑을 노리고 있는 해커와의 ‘쩐의 전쟁’에 대해 살펴보았다. 앞에서 언급했듯이, 사이버 공격을 통한 주요 자산의 탈취 시도가 증가하고 국가별 사이버 전략이 방어에서 공격으로 전환되면서 국가의 자금 지원을 기반으로 한 사이버 공격은 한층 정치적, 금전적 성향을 띠기 시작했다.

러시아, 중국, 이란, 북한 등의 몇몇 국가들은 사이버 공격을 군사적 활동으로 활용하고 있으며 특히 북한의 경우 대북제재의 여파로 인해 사이버 공격을 이용한 금전 탈취 의혹의 용의선상에 자주 오르내리게 됐다. 금전 탈취형 공격 중에서도 가상화폐를 요구하는 공격 매체인 랜섬웨어나 가상화폐 거래소를 향한 직접적인 공격은 매년 급증하고 있는 추세이다.

그렇다면 가상화폐 탈취를 목표로 하는 랜섬웨어와 가상화폐 거래소 해킹 등의 ‘쩐의 전쟁’에 대응하기 위해 우리는 과연 무엇을 해야 할까?

1)랜섬웨어 피해를 줄이기 위한 대응방안

랜섬웨어는 피해자의 정보자산을 담보로 가상화폐를 요구하는 대가상응형 공격이다. 랜섬웨어에 감염됐을 경우, 공격자의 요구에 응하지 않으면 정보자산을 돌려받지 못하기 때문에 중요 자산에 대한 백업이나 보안수준 점검 등의 사전 대응이 무엇보다 강조된다.

하지만 부득이하게 감염됐을 경우, 공격자의 요구에 응하지 않는 것도 중요하다. 현재 랜섬웨어의 시장은 기술적 역량이 없는 사람들을 위해 렌섬웨어를 공급하는 제작자와 이를 통해 공격하는 공격자가 따로 존재하는 ‘서비스형 랜섬웨어(RaaS, Ransomware as a Service)’의 형태까지 진화됐기 때문에 단기간에 시장이 소멸되기는 어려운 실정이다. 즉, 이러한 시장을 종식시키기 위해서는 공격자가 원하는 대가를 지불하지 않는 것이 랜섬웨어의 가치를 하락시키는 가장 효과적인 방법이라고 볼 수 있다.

2)가상화폐 거래소의 안전성을 향상시키기 위한 대응방안

국내에서는 아직 가상화폐가 법적 지위를 지닌 공식적인 화폐로 인정되지 않기 때문에 가상화폐 및 가상화폐 거래소와 관한 법적 제도가 마련돼 있지 않다.

경찰청이 공개한 2015년부터 2017년 6월까지의 가상화폐 관련 주요 범죄 현황에 따르면 탈취, 사기, 자금 세탁 등 이를 악용한 사례만 총 714건이다. 수치가 결코 적지 않다는 점을 감안할 때, 가상화폐로 인해 발생하는 피해 보상 및 예방을 위한 법적 보안 조치의 부재가 아쉬울 따름이다.

   
▲ 2015년~2017년 6월 가상화폐 관련 주요 범죄현황(출처: 경찰청)

그러나 다행히 지난 2월 금융감독원에서는 가상화페의 법적 보호를 위해 ‘2017년 금융감독원 업무계획’에 가상화폐 도입에 대비한 거래소를 대상으로 한 감독 방안을 마련하겠다고 밝혔다. 비트코인 등이 거래되는 디지털화폐 거래소의 거래 안정성을 확보하고 이용자의 자산보호를 위한 감독방안 마련이나 국내 가상화폐 시장 규모 파악 및 금융당국의 법적 보호를 위한 법률 개정안도 준비 중에 있다.


‘쩐의 전쟁’, 그 승자가 되기 위해서는…

현재 가상화폐 시장의 전체 규모는 약 142억 달러로, 올해 초와 비교했을 때 15배 이상 증가하며 폭발적인 성장세를 보이고 있다. 그 중 해외 거래소에서 기축통화의 역할을 하고 있는 비트코인의 규모는 전세계에서 유통되고 있는 법정 화폐들 가운데 32위를 기록할 만큼 그 몸집을 빠르게 키워가는 추세이다. 이렇게 날로 확장되는 가상화폐 시장을 보고 있노라면, 이를 노리는 시도가 많아지고 다양해지는 현 상황이 어쩌면 너무나 당연한 일일지도 모른다.

금전탈취를 위한 공격자들의 공격 수위가 심화되고 있는 만큼, 개인의 입장에서는 기본적인 보안 수칙의 준수가 필요할 것이며 개인이나 기업이 다루기 어려운 수준의 사이버 공격에 대해서는 정부의 국가적인 대응체계나 법률적, 금전적 지원이 요구될 것이다. ‘쩐의 전쟁’, 그 승자가 되기 위해서는 개인, 기업, 그리고 정부 모두의 노력이 뒷받침돼야 한다는 사실을 잊지 않았으면 하는 바람이다.

인기기사 순위
153-023) 서울시 금천구 가산동 327-32 대륭테크노타운 12차 13층 1314호 (주)ITMG
TEL:02-2029-7200  FAX:02-2029-7220  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김용석