MIT Sloan Management Review
사이버 공격, 다크웹을 알면 방어 전략 보인다
케만 황(Keman Huang),마이클 시겔(Michael Siegel),케리 필슨(Keri Pealson),스튜어트 매드닉(Stuart Madnick) | 287호 (2019년 12월 Issue 2)
Article at a Glance
1. 다크웹은 일종의 가치 시스템 역할을 하며 해커들과 여타 공급자들은 이 시스템을 통해 사이버 공격에 필요한 상품과 서비스를 개발하고 판매한다.
2. 다크웹의 작동 방식을 이해하면 새로운 공격의 출현을 예상해 차단하거나, 선제적으로 공격하거나, 사이버 보안 서비스 가치사슬을 구축하는 등 방어자들이 사이버 공격과 더 효과적으로 싸울 수 있다.
3. 오늘날 사이버 공격은 다른 사업적 위협과 동일하게 다뤄져야 한다. 각 조직은 방어를 기술 문제가 아닌 비즈니스 문제로 접근하고, 사업 프로세스 운영 및 전략 등에 대한 경영적 전문 지식을 활용할 필요가 있다.
기업들이 사이버 공격 위협에 놓이는 일이 많아지면서 임원들에게는 조직을 지킬 수 있는 새로운 툴과 기술, 접근법이 필요하게 됐다. 안타까운 일은 범죄자들의 혁신적인 수법은 이런 방어 노력을 종종 뛰어넘는다는 것이다. IT 보안 분야를 중점적으로 연구하는 AV-테스트 인스티튜트(AV-Test Institute)가 2019년 4월에 등록한 신종 멀웨어(malware, 악성 소프트웨어) 샘플들을 보면 하루에만 35만 개가 넘는 종이 새로 올라온다. 또 시만텍(Symantec)이 2019년 발표한 인터넷 보안 위협 보고서(Internet Security Threat Report)에 따르면 공급망의 취약점을 노리는 사이버 공격이 2018년에 78%나 증가했다.1
대규모 공격도 많아지고 있다. 2016년 10월에는 도메인 네임 시스템(DNS) 공급업체인 딘(Dyn)을 강타한 디도스(DDoS, 여러 대의 컴퓨터가 특정 사이트를 마비시키려고 한꺼번에 공격을 가하는 해킹 수법-역주) 공격으로 페이팔, 트위터, 레딧, 아마존, 넷플릭스, 스포티파이 같은 회사들이 줄줄이 타격을 입었다. 2 2017년에는 워너크라이(WannaCry)와 낫페트야(NotPetya), 랜섬웨어(ransomeware, 시스템 복구를 대가로 돈을 요구하는 악성 프로그램-역주) 공격으로 헬스케어, 교육, 제조업 등 여러 분야가 전 세계적으로 몸살을 앓았다. 영국 보건부는 한 보고서를 통해 워너크라이 공격으로 영국에서만 9200만 파운드가 날아갔다고 밝혔다. 3 같은 해, 여러 사이버 보안 집단이 랜섬웨어 퇴치 방법을 고민하고 있는 동안 크립토재킹(crytojacking, 암호화폐 채굴을 목적으로 타인의 PC를 해킹)이라는 또 다른 위협이 등장했다. 시만텍(Symantec)이 탐지한 크립토재킹 공격은 2017년 한 해에만 8500% 증가했다. 4 2018년에는 암호화폐 가치가 90%나 폭락했는데도 불구하고 시만텍은 전년보다 4배 많은 크립토재킹 공격들을 차단해야 했다. 5
사이버 공격에서는 공격수들이 수비수보다 늘 한두 걸음 앞서 있는 것 같다. 이는 공격수들이 기술적으로 더 뛰어나기 때문일까? 아니면 더 빨리 움직일 수 있는 혁신의 비결이라도 있는 걸까? 우리는 해커들이 보통 개별적으로 흩어져 활동한다고 알고 있고, 해킹이 이 정도로 자주 일어나려면 개개인이 엄청난 기술과 민첩함을 갖고 있을 것이라고 생각한다. 그러나 필자들은 이런 ‘흩어진 해커들’에 대한 보편적 인식이 잘못됐다는 것을 알게 됐다. 다크웹(dark web) 시장에 대한 연구를 수행하고, 사이버 공격에 대한 논문들을 조사하고, 사이버 보안 전문가들과 인터뷰를 하면서 발견한 사실이다.
본 연구를 통해 사이버 범죄자들이 어떻게 혁신을 이루고 전개하는지 파악하는 유용한 렌즈 하나를 발견했다. 하버드경영대학원의 마이클 포터(Michael E. Porter) 교수가 개발한 가치사슬 모델은 비즈니스에 대한 프로세스 기반의 시각을 제시한다.6 이 모델을 사이버 범죄에 적용했더니 다크웹(의도적으로 은폐되고, 표준 웹 브라우저로는 접속이 안 되며, 범죄 활동을 도모하는 데 활용되는 인터넷의 일종)이 포터가 말한 가치사슬의 역할을 하고 있었다. 이 시스템에는 종합적인 사이버 공격 공급망이 포함돼 있었고, 해커들과 여타 공급자들은 이 시스템을 통해 대규모 공격 개시에 필요한 상품과 서비스를 개발하고 판매하고 있었다. 다크웹이라는 가치사슬이 작동하는 방식을 파악하면 기업과 보안 서비스 공급업체, 방어공동체가 사이버 공격과 더 효과적으로 싸울 수 있는 새로운 방안들을 확인할 수 있을 것이다.
다크웹 시장
다크웹에서는 다양한 사이버 공격 서비스(cyberattack-as-a-service, CAaaS)가 거래되기도 하고, 범죄 목적을 가진 기술자 및 사업가 집단이 한데 모이기도 한다.7 기술자들은 직접 해킹 활동을 조직할 필요 없이 다크웹을 통해 공격 개시에 필요한 요소들을 개발하고 판매하거나, 공격을 완수하는 데 필요한 전문 기술과 서비스를 제공할 수 있다.
예를 들어, 필자들은 2017년 6월에 다크웹에 대한 설문 조사를 실시하면서 상업적으로 거래되는 개인정보들을 발견했다. 사적인 정보일수록 그 가치는 더 높게 매겨졌다. e메일 주소 등
5만여 명의 신상 정보가 포함된 약국 고객 데이터베이스가 1000달러에 거래되는 경우도 있었다. 크립토재킹에 활용되는 비트코인 채굴자의 정보는 2.25유로라는 푼돈에 판매됐다. 피싱 공격을 준비하는 범죄자들은 규모가 큰 다크웹 거래시장 중 하나인 드림마켓(Dream Market) 정도만 들어가도 원하는 걸 다 얻을 수 있었다. 피싱용 e메일을 복제하는 SMTP 서버와 e메일 자동 발송 애플리케이션, 가짜 웹사이트, 개인과 기업들의 e메일 리스트와 더불어 피싱 서비스를 구입할 수 있었기 때문이다. 이 모든 서비스를 한 달에 100달러 정도의 비용으로 이용할 수 있었다.
최근에는 CAaaS 다크웹에서 한층 더 강력한 서비스를 개발하는 데 인공지능(AI)까지 활용되고 있다. AI 덕분에 트위터, 페이스북 등 여러 소셜미디어 사이트에서 수집된 개인 정보가 오픈율 60%에 이르는 피싱용 e메일과 포스트를 자동으로 만들어내는 데 활용되고 있다.8 이는 공격자가 피해자들에 대해 직접 조사해 표적 메시지를 만드는 스피어 피싱(spear phishing) 공격의 오픈율보다 높다. 또 다른 예로, 2018년에는 사이버보안 회사인 다크트레이스(Darktrace)가 이전에 한 번도 본 적 없는 신종 공격을 발견했는데, 이 공격은 네트워크 안에서 활동하는 일반 사용자들의 행동 패턴을 관찰하고, 학습하고, 모방하는 기본적인 머신러닝 기술을 활용한 결과물이었다. 9
CAaaS 시장의 등장은 사이버 범죄의 성행을 막는 장벽과 난제들을 획기적으로 줄여줬다. 해커들을 비롯한 다크웹의 서비스 공급자들은 굳이 직접 사이버 공격을 하지 않아도 자신의 혁신적인 수법으로 수익을 낼 수 있게 됐다. 마찬가지로 서비스 소비자들은 공격을 감행하기 위해 굳이 해커가 될 필요가 없어졌다. ‘서비스화(as a service)’ 모델에서는 개발자들이 특정 사이버 공격 활동에 직접 개입하지 않아도 된다. 이에 따라 개발자들은 그들의 제품 및 서비스로 인해 실현되는 공격으로부터 분리된다. 또 CAaaS 시장에서 거래되는 많은 서비스가 그 자체로 불법은 아니기 때문에 개발자들이 당국의 통제를 피하는 데도 도움이 된다. 예컨대, e메일을 생성하는 서비스는 그 자체로 어떤 법도 저촉하지 않지만 불법 피싱 활동에 활용될 수는 있다. 사이버 공격을 개발, 개시하는 데 이용되는 헬프 데스크나 결제 시스템 등의 서비스도 마찬가지다. 이렇게 개방된 공간과 자유 덕분에 해커들은 새로운 모듈을 더 쉽게 만들 수 있다. 게다가 국가안보국(National Security Agency) 같은 기관들이 개발한 도구를 훔쳐서 판매할 수도 있다. 10
다크웹에서 제공되는 서비스는 무작위로 선택된 것이 아니라 사업 기회에 맞게 계획적으로 설계된 혁신의 산물이다. 때때로 첨단 기술을 활용하기도 한다. 가령, 개인 정보 서비스(personal profile as a service, PPaaS)를 제공하는 대형 다크웹 시장인 조커스스테시(Joker’s Stash)를 보자. 이 다크웹은 사법 당국이 자신들의 시스템을 추적하거나 해체하지 못하도록 블록체인 기반의 DNS 서버를 이용한다. 11 또 다른 예로 2018년 1월에 ‘딥페이크(deepfakes)’라는 이름으로 활동하던 한 레딧(Reddit) 사용자는 오픈 소스 AI를 활용해 유명 연예인과 정치인의 모습을 합성한 가짜 포르노 비디오를 만들었다. 곧이어 누구나 쉽게 가짜 포르노 비디오를 만들 수 있는 데스크톱 애플리케이션인 페이크앱(FakeApp)도 개발했다. 페이크앱은 AI가 사이버 공격과 각종 사기 행각의 성공률을 높이는 데 얼마나 효과적으로 활용될 수 있는지를 보여줬고, 이로 인해 AI 기술에 대한 우려의 목소리는 더욱 커졌다. 12
상황이 이렇다 보니, 사이버 범죄는 이제 사악한 취미를 넘어 글로벌 차원의 사업 생태계 내지는 가치사슬로 진화하고 있다고 봐야 한다. 사이버 방어 공동체가 이런 범죄를 막는 게 불가능한 것까진 아니더라도 어려운 것만은 확실해 보인다.
사이버 공격 서비스(CAaaS)의 가치사슬
필자들은 다크웹에서 이용 가능한 서비스들을 조사하면서 사이버 공격자들에게 도움을 주거나, 공격 비용을 줄여주거나, 공격에 따른 혜택을 높이는 활동들을 전부 살펴봤다. 조사를 하면서 매번 “그래서 (이 활동으로) 창출되는 부가가치는 무엇일까”라는 질문을 던졌다. 그 결과 사이버 공격을 수행하는 데 필요한 주요(primary) 활동들과 공격의 효율성과 효과를 높이는 데 필요한 보조(support) 활동들의 가치사슬이 드러났다.(그림 1)
가치사슬을 구성하는 주요 활동에는 공격을 개시하는 데 필요한 서비스들이 주로 포함된다. 즉, 취약점의 발견, 취약점을 공격하는 데 필요한 무기 개발 및 전달, 사이버 공격의 실행을 뜻한다. 단일 공격이든, 다단계 공격이든, 아니면 장시간에 걸쳐 공격이 적발되지 않고 지속되는 지능형 지속 공격(advanced persistent threat)이든 마찬가지다. 한편 보조 활동에는 공격의 비용을 줄이고, 공격의 혜택을 높여서 사이버 공격 비즈니스를 촉진하는 서비스들이 주로 포함된다. 그중 하나인 사이버 공격의 생애주기 운영 관리 서비스는 가치 있는 공격 표적을 정하고, 해커들을 조직하고, 수익금 배분을 관리하고, 관계 당국의 눈을 속이는 활동들을 포함한다. 공격이 무산된 경우 와해된 활동을 복구하는 활동도 여기에 속한다. 해커 인력 서비스는 믿을 수 있는 해커들을 고용하고, 훈련하고, 관리하는 활동들이다. 마케팅과 유통 서비스는 공급자들과 구매자를 위해 믿을 만한 시장을 만들고, 시장 기반의 가격 책정 메커니즘을 짜고, 자금 이체 시스템을 제공하는 활동들을 말한다. 기술 지원은 고객 서비스와 같은 기능적 운영 활동이나 도구들을 가리킨다.
CAaaS의 가치사슬은 다크웹에서 이용할 수 있는 공격 서비스들이 어떤 식으로 연결돼 있는지를 보여준다. 또한 새로운 서비스의 개발 기회가 어디에 있는지 시장의 빈틈도 보여준다. 사이버 공격의 효율성이나 수익성을 높이려 하는 수요가 있으면 공급자 입장에서는 이런 수요에 부응하려는 동기를 얻을 수 있기 때문이다. 필자들은 이 가치사슬 모델을 활용해 다크웹에서 거래되는 24개의 주요 활동과 보조 활동들을 발견했다. 예를 들어, 보안 점검 서비스(security checker as a service, SCaaS)는 실제 공격을 개시하기 전에 개발된 공격이 과연 보안 방어벽을 뚫을 수 있는지 평가, 시험할 수 있는 시뮬레이션 환경을 제공한다. 디셉션 서비스(deception as a service, DaaS)는 피해자들을 속이는 데 사용되는 가짜 웹사이트와 e메일, 소프트웨어를 생성한다. 평판 서비스(Reputation as a service, RaaS)는 해커들의 이전 활동 내역을 토대로 사용자들의 평점을 생성해 공격자들이 신뢰할 수 있는 해커들을 찾는 데 도움을 준다. 또 가치평가 서비스(value evaluation as a service, VEaaS)는 사용자들이 도용된 신용카드의 품질을 확인하고 그 가격을 책정할 수 있게 해 준다. (표 1)
필자들은 CAaaS 생태계 내 각각의 서비스에 대한 입력, 출력, 지원 활동들을 확인했다. 그리고 그런 서비스들이 사이버 공격에 어떻게 활용될 수 있는지를 증명하기 위해 입력, 출력, 지원 활동 간 상호작용을 바탕으로 이들을 조합해 어떤 서비스를 개발할 수 있는지를 확인했다. 이런 서비스들이 모여서 사이버 공격 역량의 종합적인 공급망을 형성한다.
CAaaS 생태계에서 돈 벌기
CAaaS 가치사슬 안에서 사업 성공을 거두는 기본 경로는 두 가지다. 서비스 공급자들은 기술력에 의존해 새로운 서비스를 개발하고 판매하며, 공격 크리에이터들은 그런 서비스들을 이용해 성공적인 공격을 기획하고 실행한다.
서비스 공급자들은 다양한 모델로 가격을 책정한다. 일단 한 번만 돈을 내면 서비스를 무제한으로 이용할 수 있는 경우가 많다. 가령, 2016년 6월에 발생했던 마이크로소프트 오피스의 제로데이 취약점(zero-day vulnerability, 이전에 발견되지 않아서 복구 방법을 모르는 취약점)의 가격은 다크웹 시장에서 비트코인 3만31달러로 책정됐다. 원데이 취약점(one-day vulnerability, 공식적으로 알려진 취약점으로 패치는 있지만 아직 배포되지 않은 경우)은 익스플로잇(exploit, 취약점 공격 프로그램)을 포함한 가격이 약 648.10달러이다.
일부 서비스 공급자들은 성과를 근거로 비용을 지급하는 좀 더 창의적인 가격 책정 모델을 채택한다. 예컨대, 설치 횟수당 비용을 매기는 멀웨어도 있다. 가령, 멀웨어가 피해자의 기기에 성공적으로 설치된 경우에만 구매자가 기기당 2∼10센트 정도의 수수료를 지불하는 식이다.13 수익을 공유하는 방식도 있다. 갠드크랩(GandCrab) 랜섬웨어는 멤버들이 수익의 40%를 개발자들과 나눠 갖는 파트너 프로그램을 제공한다. 14 구매자가 주기적으로 수수료를 내면 그 대가로 서비스가 업데이트되고 개선되는 구독 모델도 있다. ‘제로데이 취약점과 익스플로잇’ 서비스인 섀도 브로커의 덤프 서비스(Shadow Broker’s Dump Service)의 월간 구독자들은 꾸준히 업데이트되는 취약점과 툴, 데이터 세트들을 이용할 수 있다.
공격 크리에이터는 서비스 공급자와는 달리 기술 전문가가 아니라 영민한 비즈니스맨인 경우가 많다. 이들은 공격을 구상하고 실행하기 위해 CAaaS 가치사슬에 있는 서비스들을 이용한다.
공격 크리에이터들은 랜섬웨어 공격을 개발하고 실행하기 위해 고객 지원 서비스와 랜섬웨어 페이로드(payload, 악성코드를 실어 나르는 브로커 프로그램-역주)가 포함된 뉴트리노 익스플로잇 키트(Neutrino exploit kit), 익스플로잇 키트와 랜섬웨어 페이로드를 운영하는 방탄 서버(bulletproof server), 인프라로 활용되는 봇네트(botnet, 악성 봇에 감염된 네트워크-역주), 멀웨어 차단 솔루션들이 공격을 탐지하지 못하게 하는 난독화 서비스(obfuscation service), 피해자들을 서버로 유인하는 트래픽 리디렉션 서비스(traffic redirection service) 등을 구입할 수 있다. 크리에이터가 공격을 실행하는 과정에서 문제에 부딪치면 랜섬웨어를 다뤄 본 경험이 있는 해커를 고용해 기술적 난제들을 해결할 수 있다. 게다가 크리에이터는 암호화폐로 랜섬을 징수하는 서비스와 그 비용을 안전한 자금으로 바꾸는 돈세탁 서비스도 구매할 수 있다.
다크웹에서 확인한 가격들을 근거로 했을 때, 공격 크리에이터가 위에서 언급한 서비스들을 모두 이용하려면 매달 약 1만3000달러의 비용을 내야 하고, 돈세탁 서비스로 얻는 수익의 40%가량을 수수료로 지불해야 할 것으로 보인다. 2017년에 시스코(Cisco)가 보고한 앵글러(Angler) 익스플로잇 키트의 수익, 최신 방어 활동들에 대한 지식을 근거로 봤을 때 사이버 공격으로 인해 익스플로잇 키트와 랜섬웨어 페이로드 운영 서버로 리디렉션되는 사용자는 한 달에 약 90만 명에 이를 것으로 추산된다. 15 이 90만 명의 사용자 중 10%의 컴퓨터가 다운되고, 피해자 중 0.5%가 랜섬으로 300달러씩을 보낸다고 가정할 때 공격자들이 돈세탁 수수료 지급 후 버는 수익은 한 달에 8만1000달러 정도다. 그렇다면 사이버 공격의 대략적인 투자자본수익률(ROI)은 500%가 넘는다.
방어 전략 바꾸기
가치사슬이라는 렌즈를 끼고 사이버 공격을 살펴보면 수요와 공급 법칙이 지배하는 잘 정의된 생태계 안에서 검증된 사업 모델을 활용하는 조직적인 사업가들이 보인다. 이런 CAaaS 생태계는 표적 중심의 대규모 사이버 공격을 더 빠르고, 더 저렴하고, 더 막기 어렵게 만든다. 하지만 그 특징들을 모두 이해하면 공격을 방어하는 주체들이 사이버 공격에 맞서 싸우는 방법을 다시 고안할 수 있다. 다음과 같은 반격이 가능하기 때문이다.
1. 지능형 사이버 위협 대응 서비스의 목표물 확장하기. 많은 지능형 사이버 위협 대응(cyber-threat intelligence, CTI) 서비스들은 잠재적 사이버 공격을 탐지하기 위해 기업 IT 환경에서 데이터를 수집한다. 다크웹을 조사할 때도 있지만 보통은 위협 정보를 수집하고 잠재적 공격 표적을 경고하는 선에서 끝난다. 예를 들어, 조사관들은 어떤 회사의 데이터가 다크웹 시장에서 거래되고 있지는 않은지, 혹은 그 회사의 기기들이 봇네트에 감염된 것은 아닌지 알아낼 수 있다. 그러나 이 CTI 프로세스가 다크웹 시장에서 제공되는 서비스까지 조사하는 일은 거의 없다.
오늘날의 사이버 공격은 대부분이 여러 서비스를 조합해 이뤄진다. 따라서 새로운 서비스가 등장했다는 사실만으로 공격을 받는 잠재적 표적과 방어자들에게 경고성 메시지를 줄 수 있다. 가령, 최근 몇 년간 데이터 유출 사고가 급증하고 있다는 사실은 개인 정보를 제공하는 서비스가 많아질 가능성을 내포한다. 이에 따라 개인 정보를 활용하는 공격의 숫자와 유형이 늘어날 것을 유추할 수 있다. 이런 서비스를 모니터링하고 조사하면 새롭고 효과적인 방어 메커니즘을 개발하는 통찰을 얻을 수 있다.
게다가 공격자들은 사업을 개선하는 데 도움이 되는 서비스를 찾고, 서비스 제공자들은 이런 수요에 부응하기 위해 최선을 다한다. 이런 시장 수요를 잘 살핀다면 앞으로 어떤 공격 벡터들이 새롭게 등장할지를 알고 미리 차단할 수 있다. 예를 들어, 2017년 말에는 코인하이브(Coinhive), 크립토루트(CryptoLoot), JSE코인(JSEcoin) 같은 크립토재킹 서비스가 다크웹 시장에 등장하면서 암호화폐 가격이 폭등했다. 이런 추이를 잘 봤다면 우리는 2018년 초 줄줄이 발생한 크립토재킹 공격을 예상할 수도 있었을 것이다.
2. 좋은 공격이 최선의 방어라고 믿기. 대부분의 조직이 대응 중심의 사이버 전략을 갖고 있다. 기업들은 성공적 공격이 이뤄진 뒤에 부랴부랴 방어 대책을 세운다. 하지만 사이버 공격을 가치사슬 기반으로 생각하면 더 주도적인 방어 전략을 세울 수 있다. CAaaS 생태계를 파괴해서 우리가 공격하는 쪽으로 전술을 바꿀 수 있다.
사이버 공격이 여러 서비스의 조합으로 일어난다는 것을 알면 공격을 무력화할 새로운 묘안이 떠오르기 마련이다. 이를테면 방어자들은 사이버 공격 생태계를 디셉션 서비스들로 가득 채워서 서비스를 구매하려는 사이버 범죄자들에게 다크웹의 매력도를 떨어뜨릴 수도 있다.16 2017년에 그런 일이 벌어졌다. 네덜란드 경찰은 당시 가장 규모가 큰 다크웹 시장 중 하나였던 한사(Hansa)에 잠입해서 한 달간 정보를 수집한 후 서비스 공급자들과 공격 크리에이터들에 대항했다. 그 결과 한사 웹은 폐쇄됐을 뿐 아니라 다른 다크웹 시장에 대한 신뢰가 붕괴되는 연쇄 효과가 일어났다. 17
또 다른 공격 전략으로는 공격 벡터를 만들 때 자주 활용되는 최고 수준의 서비스들을 망가뜨려 애초에 공격을 조직하기 어렵게 만드는 것이다. 가령, 수사 기관이 봇네트 서비스를 모니터링하고 여기에 침투하면 봇네트를 활용하는 공격들을 예측하고 방지할 수 있다. 비슷한 방법으로, 암호화폐 기반의 돈세탁 서비스에 잠입해 그들이 불법 수익을 편취하지 못하게 함으로써 공격을 저지할 수도 있다.
3. 사이버 보안 서비스 가치사슬 만들기. 사이버 범죄자들이 공격을 더 쉽고 수익성 있게 만드는 가치사슬을 개발할 수 있다면 우리라고 방어용 가치사슬을 만들지 못할 이유가 있을까? 사이버 공격에 대한 방어 활동을 수사기관에만 맡겨서는 안 된다. 사이버 범죄와 맞서 싸우려면 개인, 기업, 소프트웨어와 하드웨어 공급업체, 사이버 보안 솔루션 공급업체, 인프라 운영업체, 금융 시스템, 정부 등 여러 이해당사자가 협력할 수 있는 생태계가 필요하다.
이상적이라면 정책과 규제가 포함된 방어적 가치사슬 조성을 정부가 지원할 수도 있다. 인터넷 서비스 공급업체 같은 인프라 운영자들은 모니터링에 유리한 상황을 이용해서 사이버 공격이 실행되지 못하게 망가뜨릴 수 있다. 금융기관들은 돈세탁 네트워크와 암호화폐의 현금화 활동 같은 사이버 범죄자들의 수익 창출 활동을 저지할 수 있다.
물론 이해관계가 전혀 다른 이질적인 집단들을 한데 모으는 것은 무척 어려운 일이고, 어떻게 접근해야 할지 방법도 명확하지 않다. 한 가지 방법은 금전적 보상을 제공해서 사이버 범죄와 싸우는 데 필요한 능력들을 더 잘 정비하도록 만드는 것이다. 기관들이 사이버 방어 서비스에 기꺼이 비용을 치를 만한 충분한 수요와 의지를 갖게 되면, 그래서 사이버 공격 서비스와 자원이나 서비스 공급자를 두고 경쟁할 수 있게 되면 강력한 방어 생태계는 실현될 수 있다.
하지만 어떤 방법이든 여러 방어 서비스를 한데 모아 가치사슬을 구축한다면 방어자들은 공격 차단을 위해 확보할 수 있는 서비스 활동의 범위를 확장할 수 있다. 또한 더 많은 서비스 공급자들이 서비스형 방어 상품들을 개발하고 판매하도록 동기부여할 수 있다. 지금처럼 산발적인 노력을 기울이는 것보다는 이렇게 불로 불과 맞붙는 전략이 훨씬 효과적일 것이다.
4. 방어를 기술 문제가 아닌 비즈니스 문제로 접근하라. 기업인들이 “예기치 않은 사이버 공격에 어떻게 대비해야 할까요”라고 물을 때 보통 이들은 공격자들이 새롭고 알려지지 않은 기술을 사용할 것이라고 여긴다. 물론 그런 경우도 있지만 사실 공격자와 방어자 모두 이전과 동일한 기술을 쓸 때가 많다. 가령, 디도스 공격에 쓰이는 기술은 원래 소프트웨어 스트레스 테스트를 위해 개발된 것이다. 역설적인 것은 사이버 공격에 이용되는 많은 기술이 본래는 다른 유형의 공격을 막으려는 방어 연구 목적으로 개발된 것이라는 점이다.
게다가 오늘날 자행되는 사이버 공격들은 영악한 사업가들이 특정 조직을 표적으로 용의주도하게 기획된 경우가 많다. 주로 훔치거나 파괴하고 싶을 정도로 가치 있는 무언가를 갖고 있는 조직이 표적이 된다. 따라서 사이버 공격도 다른 사업적 위협과 동일하게 다뤄져야 한다. 리스크 관리 툴과 기법을 활용하면 공격을 주도하는 동인들에 대한 추가 정보를 얻을 수 있고, 공격자들이 노리는 표적의 취약점을 파악할 수 있다. 이는 잠재적 피해자들이 공격자들의 움직임을 예측하는 데 도움이 된다. 조직은 또한 사업 프로세스와 운영 및 전략 등에 대한 경영 전문 지식들을 활용해 사이버 공격들을 보다 완벽하게 이해할 수 있다. 기업을 보호하고, 공격을 감지하고, 이에 대응해 공격의 피해를 복구하는 일을 전적으로 기술 전문가들에게만 맡겨서는 안 된다.
사이버 공격이 점점 더 잦아지고, 강해지고, 피해 규모가 커지고 있다. 이런 상황에서 현재 우리가 생각하는 방어 전략은 이런 흐름을 막기에 적절치 않다. 이제는 사이버 범죄에 대한 관점을 바꿔야 한다. 이런 공격은 무작위로 터지는 골치 아픈 사건이 아니라 충분히 예측 가능하고 조직화된 사업 개입이자 프로세스임을 알아야 한다. 사이버 범죄가 다크웹에 존재하는 서비스들을 조직화한 하나의 계략임을 이해하면 잠재적 위협을 예측하고, 그런 위협에 효과적으로 대항하기 위한 새로운 통찰을 얻을 수 있다. 우리는 진작에 악당들이 벌인 게임에 뛰어들어 그들을 처단했어야 한다.
번역 |김성아 dazzlingkim@gmail.com
필자소개
케만 황(Keman Huang)은 MIT 슬론 사이버보안연구소(Cybersecurity at MIT Sloan, CAMS)의 연구원이다. 마이클 시겔(Michael Siegel)은 MIT 슬론 경영대학원의 책임연구원이자 CAMS의 공동 디렉터이며 케리 필슨(Keri Pealson)은 CAMS의 수석 디렉터다. 스튜어트 매드닉(Stuart Madnick)은 MIT 슬론 경영대학원 정보기술 분야의 존 노리스 맥과이어(John Norris Maguire) 후원 교수이자 MIT 공과대학원, 공학시스템 교수로 CAMS의 공동 디렉터다. 이 기사에 의견이 있는 분은 http://sloanreview.mit.edu/x/61101에 접속해 남겨 주시기 바란다.
1. 다크웹은 일종의 가치 시스템 역할을 하며 해커들과 여타 공급자들은 이 시스템을 통해 사이버 공격에 필요한 상품과 서비스를 개발하고 판매한다.
2. 다크웹의 작동 방식을 이해하면 새로운 공격의 출현을 예상해 차단하거나, 선제적으로 공격하거나, 사이버 보안 서비스 가치사슬을 구축하는 등 방어자들이 사이버 공격과 더 효과적으로 싸울 수 있다.
3. 오늘날 사이버 공격은 다른 사업적 위협과 동일하게 다뤄져야 한다. 각 조직은 방어를 기술 문제가 아닌 비즈니스 문제로 접근하고, 사업 프로세스 운영 및 전략 등에 대한 경영적 전문 지식을 활용할 필요가 있다.
| 편집자주 이 글은 MIT 슬론 매니지먼트 리뷰(SMR) 2019년 가을 호에 실린 ‘Casting the Dark Web in a New Light’를 번역한 것입니다. |
기업들이 사이버 공격 위협에 놓이는 일이 많아지면서 임원들에게는 조직을 지킬 수 있는 새로운 툴과 기술, 접근법이 필요하게 됐다. 안타까운 일은 범죄자들의 혁신적인 수법은 이런 방어 노력을 종종 뛰어넘는다는 것이다. IT 보안 분야를 중점적으로 연구하는 AV-테스트 인스티튜트(AV-Test Institute)가 2019년 4월에 등록한 신종 멀웨어(malware, 악성 소프트웨어) 샘플들을 보면 하루에만 35만 개가 넘는 종이 새로 올라온다. 또 시만텍(Symantec)이 2019년 발표한 인터넷 보안 위협 보고서(Internet Security Threat Report)에 따르면 공급망의 취약점을 노리는 사이버 공격이 2018년에 78%나 증가했다.1
닫기대규모 공격도 많아지고 있다. 2016년 10월에는 도메인 네임 시스템(DNS) 공급업체인 딘(Dyn)을 강타한 디도스(DDoS, 여러 대의 컴퓨터가 특정 사이트를 마비시키려고 한꺼번에 공격을 가하는 해킹 수법-역주) 공격으로 페이팔, 트위터, 레딧, 아마존, 넷플릭스, 스포티파이 같은 회사들이 줄줄이 타격을 입었다. 2 2017년에는 워너크라이(WannaCry)와 낫페트야(NotPetya), 랜섬웨어(ransomeware, 시스템 복구를 대가로 돈을 요구하는 악성 프로그램-역주) 공격으로 헬스케어, 교육, 제조업 등 여러 분야가 전 세계적으로 몸살을 앓았다. 영국 보건부는 한 보고서를 통해 워너크라이 공격으로 영국에서만 9200만 파운드가 날아갔다고 밝혔다. 3 같은 해, 여러 사이버 보안 집단이 랜섬웨어 퇴치 방법을 고민하고 있는 동안 크립토재킹(crytojacking, 암호화폐 채굴을 목적으로 타인의 PC를 해킹)이라는 또 다른 위협이 등장했다. 시만텍(Symantec)이 탐지한 크립토재킹 공격은 2017년 한 해에만 8500% 증가했다. 4 2018년에는 암호화폐 가치가 90%나 폭락했는데도 불구하고 시만텍은 전년보다 4배 많은 크립토재킹 공격들을 차단해야 했다. 5
사이버 공격에서는 공격수들이 수비수보다 늘 한두 걸음 앞서 있는 것 같다. 이는 공격수들이 기술적으로 더 뛰어나기 때문일까? 아니면 더 빨리 움직일 수 있는 혁신의 비결이라도 있는 걸까? 우리는 해커들이 보통 개별적으로 흩어져 활동한다고 알고 있고, 해킹이 이 정도로 자주 일어나려면 개개인이 엄청난 기술과 민첩함을 갖고 있을 것이라고 생각한다. 그러나 필자들은 이런 ‘흩어진 해커들’에 대한 보편적 인식이 잘못됐다는 것을 알게 됐다. 다크웹(dark web) 시장에 대한 연구를 수행하고, 사이버 공격에 대한 논문들을 조사하고, 사이버 보안 전문가들과 인터뷰를 하면서 발견한 사실이다.
본 연구를 통해 사이버 범죄자들이 어떻게 혁신을 이루고 전개하는지 파악하는 유용한 렌즈 하나를 발견했다. 하버드경영대학원의 마이클 포터(Michael E. Porter) 교수가 개발한 가치사슬 모델은 비즈니스에 대한 프로세스 기반의 시각을 제시한다.6 이 모델을 사이버 범죄에 적용했더니 다크웹(의도적으로 은폐되고, 표준 웹 브라우저로는 접속이 안 되며, 범죄 활동을 도모하는 데 활용되는 인터넷의 일종)이 포터가 말한 가치사슬의 역할을 하고 있었다. 이 시스템에는 종합적인 사이버 공격 공급망이 포함돼 있었고, 해커들과 여타 공급자들은 이 시스템을 통해 대규모 공격 개시에 필요한 상품과 서비스를 개발하고 판매하고 있었다. 다크웹이라는 가치사슬이 작동하는 방식을 파악하면 기업과 보안 서비스 공급업체, 방어공동체가 사이버 공격과 더 효과적으로 싸울 수 있는 새로운 방안들을 확인할 수 있을 것이다.
| DBR mini box I: 연구 내용 1. 필자들은 다크웹 시장에서 거래되는 서비스들의 샘플을 분석한 다음 학술 논문 및 공개 보고서들을 살펴봤다. (연구 방법을 좀 더 자세히 알고 싶은 독자들은 필자들이 발표한 ‘Systematically Understanding the Cyber Attack Business: A Survey (ACM Computing Surveys 51, no. 4)’라는 글을 참조하기 바란다.) 2. 이들은 또한 포천 500대 기업들과 주요 사이버 보안 솔루션 업체에서 사이버 보안 업무를 담당하는 임원, 간부, 연구원들을 30명 이상 만나 인터뷰했다. |
다크웹 시장
다크웹에서는 다양한 사이버 공격 서비스(cyberattack-as-a-service, CAaaS)가 거래되기도 하고, 범죄 목적을 가진 기술자 및 사업가 집단이 한데 모이기도 한다.7 기술자들은 직접 해킹 활동을 조직할 필요 없이 다크웹을 통해 공격 개시에 필요한 요소들을 개발하고 판매하거나, 공격을 완수하는 데 필요한 전문 기술과 서비스를 제공할 수 있다.
예를 들어, 필자들은 2017년 6월에 다크웹에 대한 설문 조사를 실시하면서 상업적으로 거래되는 개인정보들을 발견했다. 사적인 정보일수록 그 가치는 더 높게 매겨졌다. e메일 주소 등
5만여 명의 신상 정보가 포함된 약국 고객 데이터베이스가 1000달러에 거래되는 경우도 있었다. 크립토재킹에 활용되는 비트코인 채굴자의 정보는 2.25유로라는 푼돈에 판매됐다. 피싱 공격을 준비하는 범죄자들은 규모가 큰 다크웹 거래시장 중 하나인 드림마켓(Dream Market) 정도만 들어가도 원하는 걸 다 얻을 수 있었다. 피싱용 e메일을 복제하는 SMTP 서버와 e메일 자동 발송 애플리케이션, 가짜 웹사이트, 개인과 기업들의 e메일 리스트와 더불어 피싱 서비스를 구입할 수 있었기 때문이다. 이 모든 서비스를 한 달에 100달러 정도의 비용으로 이용할 수 있었다.
최근에는 CAaaS 다크웹에서 한층 더 강력한 서비스를 개발하는 데 인공지능(AI)까지 활용되고 있다. AI 덕분에 트위터, 페이스북 등 여러 소셜미디어 사이트에서 수집된 개인 정보가 오픈율 60%에 이르는 피싱용 e메일과 포스트를 자동으로 만들어내는 데 활용되고 있다.8 이는 공격자가 피해자들에 대해 직접 조사해 표적 메시지를 만드는 스피어 피싱(spear phishing) 공격의 오픈율보다 높다. 또 다른 예로, 2018년에는 사이버보안 회사인 다크트레이스(Darktrace)가 이전에 한 번도 본 적 없는 신종 공격을 발견했는데, 이 공격은 네트워크 안에서 활동하는 일반 사용자들의 행동 패턴을 관찰하고, 학습하고, 모방하는 기본적인 머신러닝 기술을 활용한 결과물이었다. 9
CAaaS 시장의 등장은 사이버 범죄의 성행을 막는 장벽과 난제들을 획기적으로 줄여줬다. 해커들을 비롯한 다크웹의 서비스 공급자들은 굳이 직접 사이버 공격을 하지 않아도 자신의 혁신적인 수법으로 수익을 낼 수 있게 됐다. 마찬가지로 서비스 소비자들은 공격을 감행하기 위해 굳이 해커가 될 필요가 없어졌다. ‘서비스화(as a service)’ 모델에서는 개발자들이 특정 사이버 공격 활동에 직접 개입하지 않아도 된다. 이에 따라 개발자들은 그들의 제품 및 서비스로 인해 실현되는 공격으로부터 분리된다. 또 CAaaS 시장에서 거래되는 많은 서비스가 그 자체로 불법은 아니기 때문에 개발자들이 당국의 통제를 피하는 데도 도움이 된다. 예컨대, e메일을 생성하는 서비스는 그 자체로 어떤 법도 저촉하지 않지만 불법 피싱 활동에 활용될 수는 있다. 사이버 공격을 개발, 개시하는 데 이용되는 헬프 데스크나 결제 시스템 등의 서비스도 마찬가지다. 이렇게 개방된 공간과 자유 덕분에 해커들은 새로운 모듈을 더 쉽게 만들 수 있다. 게다가 국가안보국(National Security Agency) 같은 기관들이 개발한 도구를 훔쳐서 판매할 수도 있다. 10
다크웹에서 제공되는 서비스는 무작위로 선택된 것이 아니라 사업 기회에 맞게 계획적으로 설계된 혁신의 산물이다. 때때로 첨단 기술을 활용하기도 한다. 가령, 개인 정보 서비스(personal profile as a service, PPaaS)를 제공하는 대형 다크웹 시장인 조커스스테시(Joker’s Stash)를 보자. 이 다크웹은 사법 당국이 자신들의 시스템을 추적하거나 해체하지 못하도록 블록체인 기반의 DNS 서버를 이용한다. 11 또 다른 예로 2018년 1월에 ‘딥페이크(deepfakes)’라는 이름으로 활동하던 한 레딧(Reddit) 사용자는 오픈 소스 AI를 활용해 유명 연예인과 정치인의 모습을 합성한 가짜 포르노 비디오를 만들었다. 곧이어 누구나 쉽게 가짜 포르노 비디오를 만들 수 있는 데스크톱 애플리케이션인 페이크앱(FakeApp)도 개발했다. 페이크앱은 AI가 사이버 공격과 각종 사기 행각의 성공률을 높이는 데 얼마나 효과적으로 활용될 수 있는지를 보여줬고, 이로 인해 AI 기술에 대한 우려의 목소리는 더욱 커졌다. 12
상황이 이렇다 보니, 사이버 범죄는 이제 사악한 취미를 넘어 글로벌 차원의 사업 생태계 내지는 가치사슬로 진화하고 있다고 봐야 한다. 사이버 방어 공동체가 이런 범죄를 막는 게 불가능한 것까진 아니더라도 어려운 것만은 확실해 보인다.
사이버 공격 서비스(CAaaS)의 가치사슬
필자들은 다크웹에서 이용 가능한 서비스들을 조사하면서 사이버 공격자들에게 도움을 주거나, 공격 비용을 줄여주거나, 공격에 따른 혜택을 높이는 활동들을 전부 살펴봤다. 조사를 하면서 매번 “그래서 (이 활동으로) 창출되는 부가가치는 무엇일까”라는 질문을 던졌다. 그 결과 사이버 공격을 수행하는 데 필요한 주요(primary) 활동들과 공격의 효율성과 효과를 높이는 데 필요한 보조(support) 활동들의 가치사슬이 드러났다.(그림 1)
가치사슬을 구성하는 주요 활동에는 공격을 개시하는 데 필요한 서비스들이 주로 포함된다. 즉, 취약점의 발견, 취약점을 공격하는 데 필요한 무기 개발 및 전달, 사이버 공격의 실행을 뜻한다. 단일 공격이든, 다단계 공격이든, 아니면 장시간에 걸쳐 공격이 적발되지 않고 지속되는 지능형 지속 공격(advanced persistent threat)이든 마찬가지다. 한편 보조 활동에는 공격의 비용을 줄이고, 공격의 혜택을 높여서 사이버 공격 비즈니스를 촉진하는 서비스들이 주로 포함된다. 그중 하나인 사이버 공격의 생애주기 운영 관리 서비스는 가치 있는 공격 표적을 정하고, 해커들을 조직하고, 수익금 배분을 관리하고, 관계 당국의 눈을 속이는 활동들을 포함한다. 공격이 무산된 경우 와해된 활동을 복구하는 활동도 여기에 속한다. 해커 인력 서비스는 믿을 수 있는 해커들을 고용하고, 훈련하고, 관리하는 활동들이다. 마케팅과 유통 서비스는 공급자들과 구매자를 위해 믿을 만한 시장을 만들고, 시장 기반의 가격 책정 메커니즘을 짜고, 자금 이체 시스템을 제공하는 활동들을 말한다. 기술 지원은 고객 서비스와 같은 기능적 운영 활동이나 도구들을 가리킨다.
CAaaS의 가치사슬은 다크웹에서 이용할 수 있는 공격 서비스들이 어떤 식으로 연결돼 있는지를 보여준다. 또한 새로운 서비스의 개발 기회가 어디에 있는지 시장의 빈틈도 보여준다. 사이버 공격의 효율성이나 수익성을 높이려 하는 수요가 있으면 공급자 입장에서는 이런 수요에 부응하려는 동기를 얻을 수 있기 때문이다. 필자들은 이 가치사슬 모델을 활용해 다크웹에서 거래되는 24개의 주요 활동과 보조 활동들을 발견했다. 예를 들어, 보안 점검 서비스(security checker as a service, SCaaS)는 실제 공격을 개시하기 전에 개발된 공격이 과연 보안 방어벽을 뚫을 수 있는지 평가, 시험할 수 있는 시뮬레이션 환경을 제공한다. 디셉션 서비스(deception as a service, DaaS)는 피해자들을 속이는 데 사용되는 가짜 웹사이트와 e메일, 소프트웨어를 생성한다. 평판 서비스(Reputation as a service, RaaS)는 해커들의 이전 활동 내역을 토대로 사용자들의 평점을 생성해 공격자들이 신뢰할 수 있는 해커들을 찾는 데 도움을 준다. 또 가치평가 서비스(value evaluation as a service, VEaaS)는 사용자들이 도용된 신용카드의 품질을 확인하고 그 가격을 책정할 수 있게 해 준다. (표 1)
필자들은 CAaaS 생태계 내 각각의 서비스에 대한 입력, 출력, 지원 활동들을 확인했다. 그리고 그런 서비스들이 사이버 공격에 어떻게 활용될 수 있는지를 증명하기 위해 입력, 출력, 지원 활동 간 상호작용을 바탕으로 이들을 조합해 어떤 서비스를 개발할 수 있는지를 확인했다. 이런 서비스들이 모여서 사이버 공격 역량의 종합적인 공급망을 형성한다.
CAaaS 생태계에서 돈 벌기
CAaaS 가치사슬 안에서 사업 성공을 거두는 기본 경로는 두 가지다. 서비스 공급자들은 기술력에 의존해 새로운 서비스를 개발하고 판매하며, 공격 크리에이터들은 그런 서비스들을 이용해 성공적인 공격을 기획하고 실행한다.
서비스 공급자들은 다양한 모델로 가격을 책정한다. 일단 한 번만 돈을 내면 서비스를 무제한으로 이용할 수 있는 경우가 많다. 가령, 2016년 6월에 발생했던 마이크로소프트 오피스의 제로데이 취약점(zero-day vulnerability, 이전에 발견되지 않아서 복구 방법을 모르는 취약점)의 가격은 다크웹 시장에서 비트코인 3만31달러로 책정됐다. 원데이 취약점(one-day vulnerability, 공식적으로 알려진 취약점으로 패치는 있지만 아직 배포되지 않은 경우)은 익스플로잇(exploit, 취약점 공격 프로그램)을 포함한 가격이 약 648.10달러이다.
일부 서비스 공급자들은 성과를 근거로 비용을 지급하는 좀 더 창의적인 가격 책정 모델을 채택한다. 예컨대, 설치 횟수당 비용을 매기는 멀웨어도 있다. 가령, 멀웨어가 피해자의 기기에 성공적으로 설치된 경우에만 구매자가 기기당 2∼10센트 정도의 수수료를 지불하는 식이다.13 수익을 공유하는 방식도 있다. 갠드크랩(GandCrab) 랜섬웨어는 멤버들이 수익의 40%를 개발자들과 나눠 갖는 파트너 프로그램을 제공한다. 14 구매자가 주기적으로 수수료를 내면 그 대가로 서비스가 업데이트되고 개선되는 구독 모델도 있다. ‘제로데이 취약점과 익스플로잇’ 서비스인 섀도 브로커의 덤프 서비스(Shadow Broker’s Dump Service)의 월간 구독자들은 꾸준히 업데이트되는 취약점과 툴, 데이터 세트들을 이용할 수 있다.
공격 크리에이터는 서비스 공급자와는 달리 기술 전문가가 아니라 영민한 비즈니스맨인 경우가 많다. 이들은 공격을 구상하고 실행하기 위해 CAaaS 가치사슬에 있는 서비스들을 이용한다.
공격 크리에이터들은 랜섬웨어 공격을 개발하고 실행하기 위해 고객 지원 서비스와 랜섬웨어 페이로드(payload, 악성코드를 실어 나르는 브로커 프로그램-역주)가 포함된 뉴트리노 익스플로잇 키트(Neutrino exploit kit), 익스플로잇 키트와 랜섬웨어 페이로드를 운영하는 방탄 서버(bulletproof server), 인프라로 활용되는 봇네트(botnet, 악성 봇에 감염된 네트워크-역주), 멀웨어 차단 솔루션들이 공격을 탐지하지 못하게 하는 난독화 서비스(obfuscation service), 피해자들을 서버로 유인하는 트래픽 리디렉션 서비스(traffic redirection service) 등을 구입할 수 있다. 크리에이터가 공격을 실행하는 과정에서 문제에 부딪치면 랜섬웨어를 다뤄 본 경험이 있는 해커를 고용해 기술적 난제들을 해결할 수 있다. 게다가 크리에이터는 암호화폐로 랜섬을 징수하는 서비스와 그 비용을 안전한 자금으로 바꾸는 돈세탁 서비스도 구매할 수 있다.
다크웹에서 확인한 가격들을 근거로 했을 때, 공격 크리에이터가 위에서 언급한 서비스들을 모두 이용하려면 매달 약 1만3000달러의 비용을 내야 하고, 돈세탁 서비스로 얻는 수익의 40%가량을 수수료로 지불해야 할 것으로 보인다. 2017년에 시스코(Cisco)가 보고한 앵글러(Angler) 익스플로잇 키트의 수익, 최신 방어 활동들에 대한 지식을 근거로 봤을 때 사이버 공격으로 인해 익스플로잇 키트와 랜섬웨어 페이로드 운영 서버로 리디렉션되는 사용자는 한 달에 약 90만 명에 이를 것으로 추산된다. 15 이 90만 명의 사용자 중 10%의 컴퓨터가 다운되고, 피해자 중 0.5%가 랜섬으로 300달러씩을 보낸다고 가정할 때 공격자들이 돈세탁 수수료 지급 후 버는 수익은 한 달에 8만1000달러 정도다. 그렇다면 사이버 공격의 대략적인 투자자본수익률(ROI)은 500%가 넘는다.
| DBR mini box II: 성공이 성공을 낳는다 일단 공격 하나가 성공하면 사이버 공격 서비스라는 가치사슬은 새로운 공격을 빠르게 만들어 내는 능력을 전반적으로 높일 수 있다. 예를 들어, 더 섀도 브로커스(The Shadow Brokers)라는 해커 그룹은 2016년 8월에 단행한 사이버 공격을 통해 미국 국가안보국(NSA)에서 개발한 취약점 익스플로잇 툴인 이터널블루(EternalBlue)와 더블퍼서(DoublePulsar)를 훔쳤다. 그 덕분에 이 그룹은 툴풀 서비스(TPaaS) 같은 신규 서비스를 개발할 수 있었으며, 해당 툴은 2017년 5월에 이뤄진 워너크라이 랜섬웨어 공격의 무기 중 하나로 사용됐다. I 성공적인 공격이 후속 공격의 발판을 마련한 사례는 많다. 예를 들어, 한 번 컴퓨터나 시스템이 손상되면 봇네트를 생성하는 멀웨어에 감염될 수 있다. 이런 감염은 이후 다른 기계에까지 옮겨갈 수 있다. 사이버 공격 과정에서 공격 대상이 될 만한 새로운 취약점들이 드러날 수도 있다. 가령, 주민등록번호, 디지털 이미지, 그리고 소셜미디어나 데이터 유출 사고, 혹은 다크웹 거래를 통해 수집된 지리 정보나 생체 정보 같은 개인 식별 정보들은 후속 공격의 밑밥이 된다. 이런 예 중 하나로 웨일링(whaling) 피싱 공격이 있는데, 이 경우에는 회사 자금이나 민감한 데이터에 접근하기 위해 CEO와 CFO 같은 고위 임원을 사칭하는 개인 프로필 서비스(PPaaS)나 표적 선정 서비스(TSaaS), 디셉션 서비스(DaaS) 등을 이용한다. 이 초기 공격에 이어 새로운 공격이나 취약점을 자동으로 생성하는 서비스는 이 밖에도 많다. 이런 것들은 다크웹 생태계를 통해 빠르게 성장하고 확대되며 그 결과 조직은 적절한 방어 전략을 유지하기가 점점 어려워진다. |
방어 전략 바꾸기
가치사슬이라는 렌즈를 끼고 사이버 공격을 살펴보면 수요와 공급 법칙이 지배하는 잘 정의된 생태계 안에서 검증된 사업 모델을 활용하는 조직적인 사업가들이 보인다. 이런 CAaaS 생태계는 표적 중심의 대규모 사이버 공격을 더 빠르고, 더 저렴하고, 더 막기 어렵게 만든다. 하지만 그 특징들을 모두 이해하면 공격을 방어하는 주체들이 사이버 공격에 맞서 싸우는 방법을 다시 고안할 수 있다. 다음과 같은 반격이 가능하기 때문이다.
1. 지능형 사이버 위협 대응 서비스의 목표물 확장하기. 많은 지능형 사이버 위협 대응(cyber-threat intelligence, CTI) 서비스들은 잠재적 사이버 공격을 탐지하기 위해 기업 IT 환경에서 데이터를 수집한다. 다크웹을 조사할 때도 있지만 보통은 위협 정보를 수집하고 잠재적 공격 표적을 경고하는 선에서 끝난다. 예를 들어, 조사관들은 어떤 회사의 데이터가 다크웹 시장에서 거래되고 있지는 않은지, 혹은 그 회사의 기기들이 봇네트에 감염된 것은 아닌지 알아낼 수 있다. 그러나 이 CTI 프로세스가 다크웹 시장에서 제공되는 서비스까지 조사하는 일은 거의 없다.
오늘날의 사이버 공격은 대부분이 여러 서비스를 조합해 이뤄진다. 따라서 새로운 서비스가 등장했다는 사실만으로 공격을 받는 잠재적 표적과 방어자들에게 경고성 메시지를 줄 수 있다. 가령, 최근 몇 년간 데이터 유출 사고가 급증하고 있다는 사실은 개인 정보를 제공하는 서비스가 많아질 가능성을 내포한다. 이에 따라 개인 정보를 활용하는 공격의 숫자와 유형이 늘어날 것을 유추할 수 있다. 이런 서비스를 모니터링하고 조사하면 새롭고 효과적인 방어 메커니즘을 개발하는 통찰을 얻을 수 있다.
게다가 공격자들은 사업을 개선하는 데 도움이 되는 서비스를 찾고, 서비스 제공자들은 이런 수요에 부응하기 위해 최선을 다한다. 이런 시장 수요를 잘 살핀다면 앞으로 어떤 공격 벡터들이 새롭게 등장할지를 알고 미리 차단할 수 있다. 예를 들어, 2017년 말에는 코인하이브(Coinhive), 크립토루트(CryptoLoot), JSE코인(JSEcoin) 같은 크립토재킹 서비스가 다크웹 시장에 등장하면서 암호화폐 가격이 폭등했다. 이런 추이를 잘 봤다면 우리는 2018년 초 줄줄이 발생한 크립토재킹 공격을 예상할 수도 있었을 것이다.
2. 좋은 공격이 최선의 방어라고 믿기. 대부분의 조직이 대응 중심의 사이버 전략을 갖고 있다. 기업들은 성공적 공격이 이뤄진 뒤에 부랴부랴 방어 대책을 세운다. 하지만 사이버 공격을 가치사슬 기반으로 생각하면 더 주도적인 방어 전략을 세울 수 있다. CAaaS 생태계를 파괴해서 우리가 공격하는 쪽으로 전술을 바꿀 수 있다.
사이버 공격이 여러 서비스의 조합으로 일어난다는 것을 알면 공격을 무력화할 새로운 묘안이 떠오르기 마련이다. 이를테면 방어자들은 사이버 공격 생태계를 디셉션 서비스들로 가득 채워서 서비스를 구매하려는 사이버 범죄자들에게 다크웹의 매력도를 떨어뜨릴 수도 있다.16 2017년에 그런 일이 벌어졌다. 네덜란드 경찰은 당시 가장 규모가 큰 다크웹 시장 중 하나였던 한사(Hansa)에 잠입해서 한 달간 정보를 수집한 후 서비스 공급자들과 공격 크리에이터들에 대항했다. 그 결과 한사 웹은 폐쇄됐을 뿐 아니라 다른 다크웹 시장에 대한 신뢰가 붕괴되는 연쇄 효과가 일어났다. 17
또 다른 공격 전략으로는 공격 벡터를 만들 때 자주 활용되는 최고 수준의 서비스들을 망가뜨려 애초에 공격을 조직하기 어렵게 만드는 것이다. 가령, 수사 기관이 봇네트 서비스를 모니터링하고 여기에 침투하면 봇네트를 활용하는 공격들을 예측하고 방지할 수 있다. 비슷한 방법으로, 암호화폐 기반의 돈세탁 서비스에 잠입해 그들이 불법 수익을 편취하지 못하게 함으로써 공격을 저지할 수도 있다.
3. 사이버 보안 서비스 가치사슬 만들기. 사이버 범죄자들이 공격을 더 쉽고 수익성 있게 만드는 가치사슬을 개발할 수 있다면 우리라고 방어용 가치사슬을 만들지 못할 이유가 있을까? 사이버 공격에 대한 방어 활동을 수사기관에만 맡겨서는 안 된다. 사이버 범죄와 맞서 싸우려면 개인, 기업, 소프트웨어와 하드웨어 공급업체, 사이버 보안 솔루션 공급업체, 인프라 운영업체, 금융 시스템, 정부 등 여러 이해당사자가 협력할 수 있는 생태계가 필요하다.
이상적이라면 정책과 규제가 포함된 방어적 가치사슬 조성을 정부가 지원할 수도 있다. 인터넷 서비스 공급업체 같은 인프라 운영자들은 모니터링에 유리한 상황을 이용해서 사이버 공격이 실행되지 못하게 망가뜨릴 수 있다. 금융기관들은 돈세탁 네트워크와 암호화폐의 현금화 활동 같은 사이버 범죄자들의 수익 창출 활동을 저지할 수 있다.
물론 이해관계가 전혀 다른 이질적인 집단들을 한데 모으는 것은 무척 어려운 일이고, 어떻게 접근해야 할지 방법도 명확하지 않다. 한 가지 방법은 금전적 보상을 제공해서 사이버 범죄와 싸우는 데 필요한 능력들을 더 잘 정비하도록 만드는 것이다. 기관들이 사이버 방어 서비스에 기꺼이 비용을 치를 만한 충분한 수요와 의지를 갖게 되면, 그래서 사이버 공격 서비스와 자원이나 서비스 공급자를 두고 경쟁할 수 있게 되면 강력한 방어 생태계는 실현될 수 있다.
하지만 어떤 방법이든 여러 방어 서비스를 한데 모아 가치사슬을 구축한다면 방어자들은 공격 차단을 위해 확보할 수 있는 서비스 활동의 범위를 확장할 수 있다. 또한 더 많은 서비스 공급자들이 서비스형 방어 상품들을 개발하고 판매하도록 동기부여할 수 있다. 지금처럼 산발적인 노력을 기울이는 것보다는 이렇게 불로 불과 맞붙는 전략이 훨씬 효과적일 것이다.
4. 방어를 기술 문제가 아닌 비즈니스 문제로 접근하라. 기업인들이 “예기치 않은 사이버 공격에 어떻게 대비해야 할까요”라고 물을 때 보통 이들은 공격자들이 새롭고 알려지지 않은 기술을 사용할 것이라고 여긴다. 물론 그런 경우도 있지만 사실 공격자와 방어자 모두 이전과 동일한 기술을 쓸 때가 많다. 가령, 디도스 공격에 쓰이는 기술은 원래 소프트웨어 스트레스 테스트를 위해 개발된 것이다. 역설적인 것은 사이버 공격에 이용되는 많은 기술이 본래는 다른 유형의 공격을 막으려는 방어 연구 목적으로 개발된 것이라는 점이다.
게다가 오늘날 자행되는 사이버 공격들은 영악한 사업가들이 특정 조직을 표적으로 용의주도하게 기획된 경우가 많다. 주로 훔치거나 파괴하고 싶을 정도로 가치 있는 무언가를 갖고 있는 조직이 표적이 된다. 따라서 사이버 공격도 다른 사업적 위협과 동일하게 다뤄져야 한다. 리스크 관리 툴과 기법을 활용하면 공격을 주도하는 동인들에 대한 추가 정보를 얻을 수 있고, 공격자들이 노리는 표적의 취약점을 파악할 수 있다. 이는 잠재적 피해자들이 공격자들의 움직임을 예측하는 데 도움이 된다. 조직은 또한 사업 프로세스와 운영 및 전략 등에 대한 경영 전문 지식들을 활용해 사이버 공격들을 보다 완벽하게 이해할 수 있다. 기업을 보호하고, 공격을 감지하고, 이에 대응해 공격의 피해를 복구하는 일을 전적으로 기술 전문가들에게만 맡겨서는 안 된다.
사이버 공격이 점점 더 잦아지고, 강해지고, 피해 규모가 커지고 있다. 이런 상황에서 현재 우리가 생각하는 방어 전략은 이런 흐름을 막기에 적절치 않다. 이제는 사이버 범죄에 대한 관점을 바꿔야 한다. 이런 공격은 무작위로 터지는 골치 아픈 사건이 아니라 충분히 예측 가능하고 조직화된 사업 개입이자 프로세스임을 알아야 한다. 사이버 범죄가 다크웹에 존재하는 서비스들을 조직화한 하나의 계략임을 이해하면 잠재적 위협을 예측하고, 그런 위협에 효과적으로 대항하기 위한 새로운 통찰을 얻을 수 있다. 우리는 진작에 악당들이 벌인 게임에 뛰어들어 그들을 처단했어야 한다.
번역 |김성아 dazzlingkim@gmail.com
| 감사의 글 본 연구는 MIT 슬론 사이버보안연구소 협력단의 기금을 지원받아 작성됐다. |
필자소개
케만 황(Keman Huang)은 MIT 슬론 사이버보안연구소(Cybersecurity at MIT Sloan, CAMS)의 연구원이다. 마이클 시겔(Michael Siegel)은 MIT 슬론 경영대학원의 책임연구원이자 CAMS의 공동 디렉터이며 케리 필슨(Keri Pealson)은 CAMS의 수석 디렉터다. 스튜어트 매드닉(Stuart Madnick)은 MIT 슬론 경영대학원 정보기술 분야의 존 노리스 맥과이어(John Norris Maguire) 후원 교수이자 MIT 공과대학원, 공학시스템 교수로 CAMS의 공동 디렉터다. 이 기사에 의견이 있는 분은 http://sloanreview.mit.edu/x/61101에 접속해 남겨 주시기 바란다.
인기기사
