전수홍 파이어아이 코리아 대표
지난해 8월, 원인을 알 수 없는 이지스함 충돌 사고가 발생했다. 가능한 원인 중 하나로 해외 정부 주도의 사이버 공격이 의심받고 있다. 사이버 공격의 주 형태인 랜섬웨어는 지금까지 150개 이상의 국가, 23만대 이상의 컴퓨터에서 워너크라이 감염을 일으키며 사이버 보안 시스템이 가진 취약성에 경종을 울렸다. 주 공격자로 의심되는 북한은 민간에 랜섬웨어를 유포해 외화벌이 수단으로 이용하고 있다.
지난해 2월에는 폴란드 금융감독기관에서는 북한 관계자와 연관된 악성코드가 발견돼 시스템 온라인 연결을 해제하는 사건이 있었다. 또한 북한은 멕시코, 칠레 등의 중앙은행에서 발생했던 인출 사고에도 연루된 것으로 보인다. 북한은 국제적인 제재 조치로 큰 재정적 손실을 입으며, 이를 보완하기 위해 해외 금융기관 해킹을 돈벌이 수단으로 삼고 있다.
또한, 2014년 북한의 해킹 조직 121부대가 중국 선양의 군사 지역에 있는 시설을 이용해 한국의 농협과 한수원 등 여러 기관을 해킹한 사건이 있었다. 사이버 보안업체인 우리 회사(파이어아이)조사 결과 2015년 일본과 북유럽 등을 대상으로 해킹을 시도한 덩샤오 악성코드 또한 북한과 연관된 것으로 보이는데, 여기에는 다수의 중국어 병음이 포함되어 있었다.
가장 우려되는 것은 신흥 사이버 강국들 대부분이 사이버 작전에 대한 군사 원칙이 제대로 정의되어 있지 않고, 작전에 대한 통제가 정부 수반에서 최전선 지휘관까지 다양한 레벨에서 이루어지고 있다는 점이다.
보안 태세를 갖추는 첫 번째 단계는 언제 공격이 발생할 것인지에 대한 대비를 하고, 사고 대응 및 억제를 위한 보안 태세를 갖추는 것이다. 전형적인 침입 시나리오를 시뮬레이션하는 사고 대응 훈련이 중요하다.
둘째, 조직화된 대규모의 범죄 그룹이 자행하는 실제 공격을 막기 위한 계획을 수립해야 한다. 고도화된 해킹 그룹에 대응하기 위해서는 보안 인텔리전스 기반의 분석 및 대응능력을 갖춘 솔루션 도입을 고려해야 한다.
셋째, 사이버 공격을 감행하는 주체의 위험도가 높아질수록 보안 기업들은 단순히 판매를 위한 제품이 아닌 총체적 보안 시스템을 구축할 수 있는 제품을 갖추어야 한다. 새로운 유형의 사이버 공격은 기존의 솔루션으로는 방어가 어렵다는 것을 인지하고 한층 진화된 방어 전략을 구상해야 할 것이다.
사이버 위협 행위자들을 찾아내는 데는 일 년이 넘게 걸리는 경우도 많다. 바로 이 순간에도 기업이나 정부의 네트워크를 오가며 데이터 세트를 탈취하고 있을 수도 있다. 때문에 이러한 공격자들을 먼저 추적하고 모니터링 하는 것은 북한의 공격 대상이 될 수 있는 모든 정부와 기업들에게 필수적으로 요구될 것이다.
전수홍 파이어아이 코리아 대표
