도시 인프라까지 인질로 협박… 코로나에 더 대담해진 사이버 테러

입력
2021.08.11 04:30
1면
재택근무 확산되면서 보안 취약점 더 커져
시스템 마비, 정보 유출, 디도스 공격 등 협박
비트코인 등 가상화폐로 더 은밀하게 수익화
'서비스형 랜섬웨어'로 누구나 사이버 범죄 가능


#지난 5월, 미 동부지역에서 소비되는 연료의 45%를 운송해온 송유관 업체 콜로니얼 파이프라인의 시스템이 갑작스럽게 마비됐다. 사이버 해킹 집단인 다크사이드의 랜섬웨어 공격에 무방비로 뚫리면서다. 이로 인해 해당지역 주유소의 물량 공급이 6일 동안이나 끊기면서 휘발유 가격은 폭등했고 소비자들의 거센 반발을 불러왔다. 결국 콜로니얼 파이프라인 시스템은 회사측에서 해커들의 요구 조건인 440만 달러(약 50억 원) 상당의 가상화폐 비트코인을 지급한 이후에야 복구됐다. 조사 결과, 보안 시스템의 취약점은 '원격근무'에서 발견됐다. 외부에서도 시스템 접속이 가능하도록 구축한 회사의 가상사설망(VPN) 비밀번호가 해커에게 넘어간 것. 비밀번호는 복잡하게 구성됐지만 정작 비밀번호 이외의 추가 인증절차를 생략한 게 이번 사태의 빌미가 된 것으로 드러났다.

신종 코로나바이러스 감염증(코로나19) 확산으로 일상화된 원격근무 속에 사이버 테러가 최고조에 달하고 있다. 특히 회사 내부에 접속해 데이터를 훔치고, 이를 인질로 금전을 요구하는 랜섬웨어 공격은 심각한 사회문제로 떠올랐다.

10일 글로벌 보안업체인 체크포인트의 분석에 따르면, 올해 전 세계 랜섬웨어 공격은 지난해 초 대비 102% 증가했다. 특히 재택근무가 활성화된 지난해 3분기부터 급증한 양상이다. 국내 기업의 랜섬웨어 피해 신고 역시 최근 3년간 수직 상승했다. 한국인터넷진흥원(KISA)에 신고된 랜섬웨어 신고 건수는 2019년 38건에서 지난해엔 127건으로 3배 이상 증가했다. 올해에도 상반기에만 이미 78건이 접수됐다.


"도둑놈이 물건 훔치고, 돌려줄 테니까 돈 내라는 격"

사실 금전을 노린 사이버 공격은 어제오늘의 일은 아니다. 인터넷이 발달한 순간부터 존재했다고 봐도 무방하다. 하지만 최근 사이버 공격의 경우엔 갈수록 지능화되고 있다는 점에서 문제의 심각성은 더해진다. 과거 해커들은 개개인에게 무작위로 이메일, 문자 등 피싱 프로그램을 보냈다면 이젠 직접 네트워크 시스템 공략에 직접 가담한다. 정보 유출 시 피해가 심각할 만한 기업이나 조직을 선별해 집중 공격하는 형태로 진화되고 있다.

지난해 12월 발생한 솔라윈즈 해킹이 대표적이다. 러시아 해커로 추정된 조직이 미국 네트워크 관리 기업인 솔라윈즈의 솔루션에 악성코드를 주입하면서 불거진 사건인데, 미 정부 기관과 마이크로소프트 등 세계적 정보기술(IT) 기업들이 이를 사용했단 사실이 밝혀지면서 파장은 커졌다. 피해 대상엔 미국 핵안보국(NNSA)과 재무부, 통신정보관리청(NTIA), 국립보건원(NIH), CISA, 국토안보부(DHS), 국무부, 에너지부(DOE) 등을 비롯한 국가 기관이 무더기로 포함됐다. 아직까지도 정확한 피해 규모는 밝혀지지 않고 있다.

사이버테러의 경우엔, 한 번 보안이 뚫리면 속수무책이다. 해커들은 시스템을 먹통으로 만들고, 내부 데이터를 외부로 유출하는 동시에 분산서비스거부(DDoS·디도스) 공격도 병행한다. 이를 통해 피해자와 금전적인 복구 협상에서 유리한 고지를 점령하는 게 일반적인 형태다. 디지털 포렌식 전문기업 플레인비트의 김진국 대표는 "해커들은 1차로 당사자 간 협상을 진행하고, 협상의 여지가 없을 경우 이를 언론사에 제보하거나 경쟁사에 일부 데이터를 넘기기도 한다"며 "또 해킹 사실을 피해 기업의 협력사에 흘려 사업 자체를 위협하기까지 한다"고 말했다.

실제 지난해 메이즈로 알려진 해커단체는 SK하이닉스와 LG전자를 해킹했다고 주장하면서, 자신들이 개설한 '메이지뉴스'라는 사이트에 빼돌린 파일 리스트를 공개하기도 했다. 이런 공격은 기업의 규모와 무관하게 발생한다. 지난 5월엔 서울 강남의 한 성형외과도 랜섬웨어 공격을 받아 개인정보가 유출됐다. 해커들은 환자들에게 문자나 메일을 통해 해킹 사실을 알린 것으로 드러났다. 지켜야 할 정보가 민감할수록 피해자가 지불해야 하는 금액도 커질 수밖에 없다.


가상화폐로 손쉬워진 범죄 수익화...'서비스형 랜섬웨어'까지 등장

그동안 해커들은 금전을 취득하는 과정에서 수사기관에 덜미를 잡혔다. 이에 일부 해킹단체는 자금세탁 범죄그룹과 결탁하는 방법을 택하기도 했다. 하지만 가상화폐가 등장하면서 범죄의 수익화도 수월해졌다. 블록체인 분석 기업인 체이널리시스에 따르면, 지난해 랜섬웨어 공격자가 받은 가상화폐 자금은 4억1200만 달러(약 4,600억 원)로 추산된다.

랜섬웨어 공격이 돈이 되다 보니 해킹 프로그램부터 협상과 수익화까지 하나의 서비스 형태로 판매되는 '서비스형 랜섬웨어'까지 주목받고 있다. 해킹 기술이 부족한 제3자도 손쉽게 랜섬웨어 공격이 가능해진 셈이다.

해킹집단인 다크사이드에선 지난 4월 랜섬웨어 공격 프로세스 전반을 자동화하는 기능과 디도스 공격까지 수행 가능한 솔루션도 공개했다. 해당 솔루션으로 랜섬웨어 공격을 성공할 경우 수익에 따라 수수료는 배분한다. 다크사이드는 50만 달러 미만의 랜섬웨어 공격에 대해서는 25%를, 500만 달러 이상에선 10%를 각각 수수료로 제시했다.

전자 제품부터 도시 인프라까지 모두 전산화되는 만물인터넷(IoE, Internet of Everything) 시대가 다가오면서 랜섬웨어 피해도 급증할 것으로 예상된다. 보안 전문 시장조사업체 사이버시큐리티벤처스에 따르면, 랜섬웨어 피해액은 매년 30% 증가하면서 2031년엔 연간 2,650억 달러(약 300조 원)에 달할 전망이다.

김 대표는 "어떠한 보안 시스템도 모든 공격을 100% 막을 수 없다"면서 "결국 사고를 빠르게 인지하고, 피해를 최소화할 수 있는 체계를 만드는 것이 과제가 되고 있다"고 조언했다.

안하늘 기자