“민간 기업 뚫는 해커조직 득세, 산업 보안이 국가 안보”

중앙선데이

입력 2022.06.18 00:20

업데이트 2022.06.18 00:21

지면보기

793호 16면

[SUNDAY 인터뷰] 사이버 보안 전문가 에란 슈타우버

100만 달러(약 12억원). 지난 2월 국제 해커조직 랩서스가 글로벌 반도체 기업 엔비디아를 해킹한 뒤 빼돌린 기밀 데이터를 공개하지 않는 대가로 제시한 금액이다. 이들은 지난 3월 6일 삼성전자에도 사이버 공격을 감행해 총 190GB(기가바이트)에 달하는 보안 관련 소스코드(프로그래밍 설계도)와 파일을 탈취했다. 지난해 11월부터 활동한 것으로 알려진 랩서스는 마이크로소프트와 T모바일, 옥타, LG전자 등 전 세계 정보통신(IT) 기업은 물론 미국 연국연방수사국(FBI) 공격한 것으로 알려지며 악명을 떨쳤다.

글로벌 기업을 향한 사이버 공격은 이번이 처음이 아니다. 랩서스 이전엔 래빌·아바돈·헤르메스 등의 해커그룹이 악명을 떨쳤다. 이 가운데 러시아와 연계된 해커조직 래빌은 지난해 3월 중국 IT 업체 에이서에 랜섬웨어(몸값과 소프트웨어의 합성어) 공격을 감행했다. 랜섬웨어는 악성프로그램의 일종으로 감염될 경우 특정 데이터나 시스템을 사용할 수 없게 만드는데, 해커들은 이런 데이터를 인질로 삼아 몸값을 요구하곤 했다. 래빌은 당시 기준으로 사상 최고치인 5000만 달러어치의 암호화폐를 요구했다. 넉 달 뒤인 7월엔 미국 IT 기업 카세아를 동일한 방식으로 공격해 7000만 달러를 요구한 바 있다.

상황이 이렇다 보니 기업들은 사이버 보안에 주목하고 있다. 2022년 세계경제포럼 글로벌 리스크 보고서에 따르면 전 세계 500대 기업 CEO는 올해 기업 성장의 가장 큰 위협으로 ‘사이버 보안’ 문제를 지목했다. 이에 대해 이스라엘 사이버 보안 기업 울트라레드의 에란 슈타우버 창업자 겸 최고경영자(CEO) “기업이 해커보다 한발 앞서 대비해야 한다”는 지적했다. 15일 한·이스라엘 컨퍼런스가 주최한 사이버인텔리전스 강연차 방한한 슈타우버 CEO는 이스라엘 사이버 방위군인 ‘8200부대’에서 선임 애널리스트와 프로젝트 리더를 역임한 사이버 보안 전문가다. 그가 창업한 울트라레드는 노키아를 비롯한 다수의 글로벌 기업들의 보안 문제를 담당하고 있다. 그에게 최근 증가하고 있는 사이버 공격에 대해 물었다.

그래픽=박춘환 기자 park.choonhwan@joongang.co.kr

그래픽=박춘환 기자 park.choonhwan@joongang.co.kr

군 출신이란 이력이 특이한데.
“계속해서 정부 쪽에서 일을 할 수도 있었지만, 이스라엘의 경제를 더욱 강하게 만들기 위해선 경제와 민간사업 분야의 힘이 필요하다 생각했다. 이스라엘은 익히 알려진 대로 혁신기업 창업 정신이 강한 나라다. 해커의 수준이 하루가 다르게 성장하는데 이들을 막을 수 있는 기술이 군대에 머무르면 안 된다는 생각에 창업했다. 전 세계 사이버 보안 투자의 20%가 이스라엘 기업에서 나올 만큼, 이스라엘의 사이버 보안 기술은 세계 최고 수준이다.”
한국도 사이버 공격을 종종 받는다.
“한국은 주변 국가로부터 위협에 놓인 나라라는 점에서 한국과 이스라엘은 비슷한 입장이다. 주목할 부분은 최근 러시아의 우크라이나 침공 사례에서 보듯 정부의 지원을 받은 해커 그룹이 민간 기업을 공격하는 일이 빈번해졌다는 것이다. 민간 해커가 넷플릭스나 아마존 같은 대기업을 뚫는다면 대단한 수준인데, 정부 차원의 공격이라면 얘기가 달라진다.”
어떤 차이가 있나.
“국가 차원의 엘리트 부대가 사이버 공격에 나서면 모든 것이 가능하다. 목표를 달성할 때까지 공격을 반복할 수 있다. 더구나 최근 사이버 공격의 추세는 기업 한 곳이 뚫리는 데 그치지 않는다. 예컨대 삼성전자가 공격받으면 협력사 정보도 유출될 수밖에 없어 관련 산업 정보가 통째로 넘어가게 된다. 기업을 적극적으로 보호하는 게 유관 산업을 보호하고 국가 안보를 지키는 일이란 얘기다.”
최근 사이버 위협이 증가한 이유도 이 때문인가.
“전시 상황이 아니라면 민간 기업에 대한 사이버 공격은 민간 해커일 가능성이 크다. 그런데 민간 해커의 무기도 예전과 다르게 발전했다. 인공지능과 빅데이터 분야에 연구가 활발히 진행되는 등 해커 입장에서 활용할 수 있는 기술이 발전한 것이다. 먹잇감인 기업은 원자재 확보나 공급망 다변화 등으로 전 세계에 진출했고 네트워크 활용이 극대화된 상태다. 보안 취약점이 늘어난 것이다. 암호화폐의 성장도 주목할 부분이다. 전 세계적으로 암호화폐의 거래가 일반적인 일이 되면서 해커 입장에선 해킹한 정보를 팔아치우기 쉬운 상황이다. 래빌만 하더라도 달러가 아니라 암호화폐인 모네로와 비트코인을 요구했다. 이런 암호화폐는 거래 경로를 추적하기가 쉽지 않다.”
막을 수 있는 방법은 없나.
“해커는 다크넷을 하나의 커뮤니티로 활용한다. 다크넷은 특정 소프트웨어로만 접속할 수 있는 ‘오버레이 네트워크’(기존 네트워크 위에 별도로 구성된 가상 네트워크)인데 인터넷의 블랙마켓(암시장)과 유사하다. 삼성전자를 공격한 랩서스도 공격하기 전 다크웹을 통해 공격 대상 임직원 정보를 구매하기도 했다. 다크웹에선 이런 해커 그룹의 채용 공고도 올라오고, 다음에 누굴 공격할지 토론하기도 한다. 우리가 개발한 ‘딥인리치먼트’를 사용해 다크넷에서 구글의 g메일을 입력하면 25억 개의 g메일 계정이 다크넷에서 위험 노출돼 있는 것을 확인할 수 있다. 이 가운데 8만1000개 계정은 해커에 의해 판매 중이다. 이를 분석해 취약점을 확인하고 대응책을 마련하는 게 우리가 제공하는 서비스다.”
해커도 대응할 수 있는 것 아닌가.
“사이버 공격과 방어는 항상 함께 성장한다. 한쪽이 새로운 방식을 만들어내면 다른 한쪽도 그에 맞게 변화하곤 했다. 앞으로 또 다른 환경에 놓인다면 또 다른 해법을 찾아야 할 것이다. 다만 지금 시점에선 사이버 공격이 진행되기 전에 사전에 막는 데 초점을 두고 있고, 기업도 사전 예방에 초점을 맞춰야 한다.”
기업입장에서 신경써야 할 부분은.
“일단 해커들이 진화한 만큼 사이버 보안 기술도 발전하고 있다는 것을 알고 있어야 한다. 10년 전엔 백신과 방화벽 같은 보안책을 사용했다면 5년 전부터는 회사의 브랜드와 직원 정보 등 빅데이터를 파악했다. 이제는 CISO(최고정보보안책임자)가 사이버 위협을 체계적으로 분석하고 대응하는 역할까지 맡는 추세다. 이 가운데 어느 수준인지는 중요하지 않다. 기업 스스로 보안 의식을 정립하는 것이 가장 중요하다.”
ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT

Innovation Lab