글로벌 보안업계 행사인 ‘블랙햇(Black Hat) 콘퍼런스’에서는 해마다 정보기술(IT) 기기와 솔루션의 보안 취약점이 보고된다. 지난 7월 29일 미국 라스베이거스에서 열린 올해 행사에서는 한 연구원이 서로 다른 두 개의 현금자동입출금기(ATM)의 에러(버그)를 이용해 돈을 쏟아내게 하는 장면을 연출해 참석자들을 깜짝 놀라게 했다. ATM에 원격으로 접속한 해킹 정보단말기가 ‘잭팟’이라는 프로그램을 실행해 돈이 인출되게 한 것이다.
이런 해킹 범죄는 영화·소설이나 전문 콘퍼런스에서만 볼 수 있는 장면이 아니라 이미 현실에서 심심찮게 벌어진다. 가까운 예로 지난달 말 이란과 중국을 발칵 뒤집어 놓은 사이버 공격이 그것이다. 현존하는 악성 ‘웜’ 바이러스 가운데 가장 정교하다는 ‘스턱스넷(Stuxnet)’이 공격 무기로 쓰였다. 중국은 발전·통신·철강 등 기간산업의 시설 파괴를 노리는 스턱스넷에 의해 600여 만 대의 컴퓨터와 1000여 곳이 공격받은 것으로 알려졌다. 1주일 전에는 이란의 부셰르 발전소에 스턱스넷이 침투해 3만 개에 달하는 컴퓨터를 감염시켰다. 이란은 최초의 원자력발전소인 부셰르의 가동 시기를 내년으로 연기해야 했다. 전직 FBI 요원이 미국의 네트워크를 공격한 ‘다이하드4’ 영화 속 장면이 재현된 듯했다.
최근 사이버 공격은 그 목적이 ‘금전’만이 아닌 경우가 많다. ‘기밀 정보’를 유출하고, 인터넷 공간이 아닌 현실 세계에 물리적 타격을 입히며, ‘불특정 다수’가 아닌 ‘특정한 목표’를 겨냥한다는 점에서 기존 해킹과 근본적으로 다르다. 기관단총을 쏴대는 무차별적 단발 공격이 아니라 치밀한 사전 준비를 거친 스나이퍼의 지능적·차별적·지속적 공격이다.
최근 글로벌 보안 업계에서는 이런 형태의 사이버 공격을 뭉뚱그려 ‘APT(Advanced Persistent Threats)’라고 부른다. 보안업계에선 올 상반기부터 부쩍 자주 회자되는 용어가 됐다. 불특정 다수를 겨냥한 종전의 해킹이 경비 허술한 집을 노리는 도둑이라면, APT는 비싼 예술품이나 보석을 전문적으로 훔쳐내는 전문 털이범이라고 할 수 있다.
올 초 미국 구글을 비롯해 수십 개 기업을 공격한 ‘오로라’라는 ‘하이드락 트로이목마’가 이러한 표적 공격의 대표적 유형이다. 인터넷에 공개된 기업 임원들의 개인정보를 이용해 마치 친구가 보낸 메일로 위장하고, 아무 의심 없이 이를 열어 보도록 유도해 악성코드를 표적 기업 관계자의 PC에 침투시키는 것이다. 특히 소셜네트워크서비스(SNS)가 APT의 주요 정보 수집원 노릇까지 한다. 블로그·트위터·페이스북 같은 소셜 네트워킹 도구들의 인기가 폭발하는 터라 적절한 보안 정책이 필요할 때다.
우선 APT를 막아내려면 용하다는 보안제품을 앞다퉈 도입하기에 앞서 해당 시스템에 대한 지속적 점검과 관리가 중요하다. 네트워크의 트래픽을 꾸준히 모니터링하고, 회사뿐 아니라 국가 차원에서 보안을 주요 정책 과제로 인식해야 한다.
이란이나 중국, 그리고 일부 SNS의 사례에서 보듯 APT는 일반 기업뿐 아니라 정부·군대·방위산업 등 대상을 가리지 않는다. 개인 정보를 빼돌려 이를 팔아먹는 수준이 아니라 국가의 근간을 위협할 만한 파괴력을 갖고 있다. 우리가 그 존재조차 인식하지 못하는 사이에 사이버 전쟁은 우리 곁으로 바짝 다가오고 있다. 사이버 보안에 대한 담론과 국가 차원의 위기관리 체계가 마련돼야 할 시점
강익춘 한국주니퍼네트웍스 대표 itk@juniper.net
