2018년은 ‘세계적으로 국가차원의 사이버 공격 활발’
2018년은 ‘세계적으로 국가차원의 사이버 공격 활발’
  • 김상욱 대기자
  • 승인 2018.03.03 17:34
  • 댓글 0
이 기사를 공유합니다

해커 특정에는 신중해야, 첩보 매우 중요

▲ 기본적으로 “사이버 공격은 국가가 관여했는지를 100% 단정하기 위해서는 말웨어 분석은 물론 국가가 해커집단에 어떤 지시를 내렸는지 등의 정보도 필요하고, 기술적인 해석 외에도 첩보활동의 조사도 중요하다”는 지적이다. ⓒ뉴스타운

올해 들어 국가가 관여하는 사이버 공격(Cyber Attack)이 잇따라 판명되면서 2월에 들어서만 미국 백악관이 세계 각지에서 피해를 일으킨 지난해 6월 사이버 공격을 러시아군이 관여했다고 단정한 성명을 냈고, 북한의 해커 집단이 일본 단체 등을 공격을 가했다는 분석도 나왔다.

과거처럼 한 개인이나 몇 몇 사람이 해킹을 하는 것이 아니라 국가에서 지원하고 양성한 국가 차원의 사이버 공격이 점점 활발해 질 것으로 보인다. 이 같은 현상에 대한 보다 치밀한 대책이 필요한 가운데, 사이버 공격을 받은 국가는 공격 국가에 대한 철저한 분석이 필요함과 동시에 그렇다고 ‘누가 공격했다’는 특정을 놓고는 아직까지는 그 근거가 약한 편이다. 따라서 공격자를 명확하게 판정할 수 없어 국가 간 마찰과 분쟁을 일으킬 수 있어 보다 엄중하고도 정확한 분석이 요청되고 있다.

미국 정보회사인 ‘파이어아이(FireEye)'의 클라우드 담당 최고 책임자는 지난해 12월 발표한 리포트에서 “2018년도는 국가 차원의 사이버 공격이 더욱 활발해질 것으로 생각된다”고 말했다.

이 회사는 국가로부터 지원을 받은 해커집단의 범행을 차례로 지정하고 있다. 아시아, 중동 등의 해커 집단을 폭넓게 감시하면서 그동안 중국 러시아 베트남 일본 등이 관여하는 사이버 공격을 발표한 적이 있다. 지난 2월 20일에도 북한의 해커집단이 지난해 유엔의 제재와 인권문제를 다루는 일본의 한 단체에 사이버 공격을 실시했다는 분석 결과를 발표하기도 했다.

이 회사 관계자는 “다만, 국가차원의 사이버 공격에 대한 경계가 강해지는 한편으로 (누구의 소행이라고) 특정하기 위한 자세한 방법 등에 대해서는 그렇게 많이 알려진 것이 별로 없다고 말했다.

사이버 공격에 정통한 전문가들에 따르면, 일반적으로 어떤 국가 차원의 관여를 특정 하는 데에는 주로 (1) 공격의 발신원 (2) 해커 집단이 공격에 사용하는 말웨어(malware, 악성프로그램)에 대한 검사 분석의 대상(検体) (3) 해커 집단의 동향 등을 조사하는 것 등이 필요하다는 것이다.

특정 악성 프로그램의 해석은 각국의 해커들이 그동안 사용해왔던 악성 프로그램과 비교하는 것으로 마치 ‘지문대조’와 같은 것으로, 범행을 특정 짓는데 매우 중요하다고 관련 전문가들은 말한다. 나아가 ‘인공지능(AI, Artificial Intelligence)'을 이용한 사이버 공격을 하는 말웨어를 해석하는 기술도 실용화되고 있는 실정으로, 갈수록 지능화된 해킹기술이 국가 차원으로 승화되어 이에 대한 방어 기술을 확보해야 하는 상황에 놓이게 된다.

문제는 사이버 공격자를 파악해 특정 하는데 성공했다 할지라도 국가 차원의 관여를 발표할 경우 국가 간 마찰로 이어질 위험이 높아진다는 점이다.

미국 백악관은 지난 2월 15일 우크라이나를 중심으로 세계 각지에서 큰 손해를 일으킨 지난해 6월의 사이버 공격에 대해 “러시아군이 실행한 것”이라고 단정한 성명을 발표하고, “무모하고도 무차별적으로 국제적인 보복을 받게 될 것”이라고 경고했지만, 러시아 측은 이 같은 미국의 공표에 대해 “증거도 근거도 없는 발표”라며 오히려 미국을 비난하고 나서는 등 두 국가 간의 긴장이 높아지는 양상을 보였다.

미국과 러시아의 예에서 볼 수 있듯이, “어느 국가가 국가차원으로 사이버 공격을 했다며 특정 지을 경우 ”증거와 근거“를 둘러싸고 해당 양국 간의 마찰과 갈등이 일면서, 긴장이 고조되고, 뜻하지 않은 분쟁으로 발전할 수 있다는 우려가 팽배해지고 있으며, 범인에 대한 특정은 매우 신중을 기해야 한다”고 전문가들은 입을 모으고 있다.

또 다른 예를 들어 보면, 한국 정보기관인 국가정보원은 지난 2월 초 해킹으로 약 5900억 원 상당의 가상통화(NEM코인) 유출된 사건에 대해 북한의 소행으로 추정된다고 했다. 그러나 이 사건에 대해 미국의 보안 기업인 맥아피(McAfee)의 야스다 준이치(安田淳一) 시니어 보안 컨설턴트는 “현 단계에서는 확정하기 어렵다”면서 “북한의 소행으로 보기에는 신빙성이 높다고 말할 수 없다”는 입장을 보였다. 그는 “한국의 국정원이 사이버 공격에 사용된 말웨어를 입수해 분석을 했는지 불분명하다”며 그 같은 견해를 내보였다.

그는 이어 “해커가 NEM코인를 유출시킴으로써 효율적으로 돈을 입수할 가능성은 낮아 국가가 관여하고 있다고는 생각되지 않을 만큼 계획성이 낮은 범행”이라고 분석하고, “NEM코인은 비트코인과 같이 시장에서 거래량이 많지 않고, 한꺼번에 대량으로 환전하기에는 적합하지 않으며, 거래 이력을 쫓기 어려운 익명성이 높은 통화가 아니라서 뒷거래를 하거나 사용하기가 어려운 화폐”라고 분석했다.

이어 그는 최근 공격이 지능화되어 특정하기가 어렵다는 것이다. “악성 프로그램의 코드에 남겨진 흔적은 증거의 하나가 되는데, 해커집단도 그것을 알고 자기 나라 대신에 다른 국가를 나타나게 하는 흔적을 남기는 기술을 사용하기도 한다고 말하고 있다.

기본적으로 “사이버 공격은 국가가 관여했는지를 100% 단정하기 위해서는 말웨어 분석은 물론 국가가 해커집단에 어떤 지시를 내렸는지 등의 정보도 필요하고, 기술적인 해석 외에도 첩보활동의 조사도 중요하다”는 지적이다.

따라서 추격을 교묘하게 피하는 해커와 국가의 관여를 추궁하는 조사의 ‘악순환’을 계속되기 때문에, 한층 고도화된 조사를 위해서는 민, 관, 국가 간 협력이 필요하다는 전문가들의 주문이다. 


관련기사

핫이슈포토
핫이슈기사
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • 서울특별시 노원구 동일로174길 7, 101호(서울시 노원구 공릉동 617-18 천호빌딩 101호)
  • 대표전화 : 02-978-4001
  • 팩스 : 02-978-8307
  • 청소년보호책임자 : 홍의현
  • 법인명 : 주식회사 뉴스타운
  • 제호 : 뉴스타운
  • 정기간행물 · 등록번호 : 서울 아 10 호
  • 등록일 : 2005-08-08(창간일:2000-01-10)
  • 발행일 : 2000-01-10
  • 발행인/편집인 : 손상윤
  • 대표이사/회장 : 손상윤
  • 뉴스타운 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2019 뉴스타운. All rights reserved. mail to newstowncop@hanmail.net
ND소프트