SR1. Interview: 임종인 고려대 정보보호대학원 석좌 교수

“해킹 이어 사이버 심리전도 기승
상시 경계 ‘제로 트러스트’ 전략으로”

343호 (2022년 04월 Issue 2)

Article at a Glance

국가 간 사이버 전쟁이 한국 기업의 피해로 이어질 가능성이 있다. 러시아의 우크라이나 침공으로 미국이 타격을 입으면 한국 기업들 역시 간접적인 피해를 입을 것으로 보인다. 중국은 첨단 기술 탈취를 목표로 한국 기업들을 노리고 있다. 기업이 가짜 정보에 이용되거나 가짜 정보를 활용하는 사이버 심리전에 휘말릴 수도 있다. 한편, 유럽의 GDPR(개인정보보호법) 적절성 채택을 받은 한국은 아시아의 데이터 센터 요람이 될 것으로 전망된다. 한국의 클라우드 기업들은 보안에 더욱 힘써야 경쟁력을 유지할 수 있다.



2022년 3월21일, 조 바이든 미국 대통령이 워싱턴에서 열린 ‘비즈니스 라운드테이블(Business Roundtable)’ 행사에 참여했다. 비즈니스 라운드테이블은 미국 내 200대 대기업의 CEO들이 모이는 협의체로 미국 경제에서 영향력 있는 단체 중 하나로 꼽힌다. 비즈니스 라운드테이블 회의에서 논의된 안건은 전 세계 정부와 기업이 해결해야 할 주요 과제로 자리 잡는다. 지난 비즈니스 라운드테이블의 연설자로 오른 바이든 대통령이 CEO들에게 강조한 것은 다름 아닌 러시아의 사이버 공격 대비였다. 바이든 대통령은 러시아가 미국의 인프라를 운영하는 기업을 겨냥한 사이버 공격을 감행할 수 있다는 첩보가 늘고 있다며 기업들의 사전 대응을 촉구했다. 2월 러시아가 우크라이나를 침공하자 미국, EU 등 서방 국가들은 우크라이나를 지지하며 러시아에는 정치, 외교, 경제적 제재를 가했다. 그러자 러시아가 보복책으로 사이버 공격을 검토하고 있다는 것이 그의 경고였다.

023


사실 우크라이나 침공 이전부터 미국에서 벌어진 거대 해킹 사건의 배후에는 러시아가 있다는 의혹이 불거졌다. 2021년 5월 미국의 최대 송유관 업체 ‘콜로니얼 파이프라인’의 송유관 가동 중단 사태, 같은 달 세계 최대 정육 업체인 ‘JBS SA’가 당한 랜섬웨어 공격 등 미국 대형 기업 해킹 사고의 상당수가 러시아 정부와 연계됐거나 러시아에 근거를 둔 해킹 집단의 소행으로 추측되고 있다. 바이든의 경고 이후 아직까지 미국 기업을 대상으로 한 러시아의 대규모 사이버 공격 시도는 아직 감지되지 않은 것으로 알려졌다. 그러나 4월5일 월스트리트저널(WSJ)에 따르면 러시아는 악성 코드를 심은 e메일을 활용해 우크라이나 중앙, 지방 정부 등 주요 시설에 대한 사이버 공격을 감행하고 있는 것으로 나타났다.

해킹이 전쟁 무기가 된 시대에 과연 한국 기업들은 사이버 전쟁으로부터 안전할까? 임종인 고려대 정보보호대학원 석좌 교수는 “우크라이나 침공에서 비롯된 러시아의 사이버 공격이 한국 기업에 직접적인 영향을 미치긴 어려워 보인다”고 전망했다. 이어서 그는 “다만 실제 미국에서 인프라를 운영하는 기업들이 공격을 받으면 한국 기업들도 그 영향을 피해가긴 어려울 것”이라고 설명했다. 임 교수는 “한국은 러시아뿐 아니라 중국, 북한과도 인접해 있는데 이들 국가는 각각 해킹 능력이 3위, 2위, 4위다. “특히 중국의 경우 국가적 차원에서 기술 취득을 목적으로 한국 기업에 접근할 것”이라며 한국 기업 역시 글로벌 사이버 전쟁에서 자유로울 수 없다고 경고했다. 최근에는 ‘사이버 심리전’까지 활발해지면서 기업이 딥페이크(Deepfake)1 기술을 활용한 가짜 뉴스에 휘말릴 수도 있다. DBR가 임 교수를 만나 국가 간 사이버 전쟁이 한국 기업에 어떤 영향을 미칠 수 있는지 들었다. 암호학자인 그는 2015년 청와대 안보특보로 활동하는 등 국제 정세와 국가 안보 분야에서 국내에서 손꼽히는 전문가다.

러시아의 우크라이나 침공을 계기로 전 세계에 사이버 전쟁에 대한 위기 의식이 생겨났다. 한국 기업은 사이버 전쟁으로부터 안전한가?

러시아가 직접 한국 기업에 사이버 공격을 가할 가능성은 낮아 보인다. 다만 러시아가 미국, 유럽 등 인프라 기업을 공격해 에너지, 교통 등이 마비되는 일이 생긴다면 이들 기업과 긴밀하게 거래하는 한국 기업들 역시 어떤 방식으로든 타격을 입게 될 것이다. 작년 5월 미국 콜로니얼 파이프라인 사태에서 해커의 공격으로 인해 미국 전역 송유관 네트워크 5500마일, 약 8851㎞가 마비되는 일이 발생했고 연료 공급 부족 사태 우려가 제기되며 국제 유가가 들썩였다. 국제 유가가 오르면 원유를 전부 수입해 사용하는 우리나라의 경우 통상 물가가 덩달아 오르는 영향을 받는다.

024


현재의 전쟁 상황을 악용하는 해커들로부터 피해를 입을 가능성도 있다. 지난 3월 구글은 러시아, 중국, 북한, 이란의 해커들이 실제로 전쟁과 관련된 정보나 동영상을 제공하겠다며 악성 프로그램이 심어져 있는 메일을 무차별적으로 보내고 있다고 밝혔다. 최근 메일을 매개로 한 사이버 공격이 급증하고 있다. 개인 메일이든, 기업 메일이든 수상한 메일은 호기심으로도 열어보지 않는 편이 낫다.

한국 기업을 공격하는 이들은 누구인가?

한국은 정치적, 지정학적으로 사이버 전쟁으로부터 매우 위험한 위치에 놓였다. 미국 CIA가 발표한 국제 해킹 능력 순위는 1위 미국, 2위 중국, 3위 러시아, 4위 북한, 5위 이스라엘이다. 이 중 우리와 국경이 인접한 나라만 해도 중국, 러시아, 북한 3개국이다. 세 국가가 각자 작전을 펼치기도 하지만 합동 작전을 펴기도 한다.

특히 북한은 의뢰를 받아 사이버 공간에서 불법적으로 비밀 정보를 캐내는 ‘사이버 용병’ 활동을 주요 외화벌이 비즈니스로 삼고 있다. 국가나 기업의 보안 취약점을 연구해 공격 프로그램을 개발하고 이를 다크 웹2 내 암시장에 판매한다. 거래자가 직접 공격을 부담스러워 할 경우 해당 프로그램으로 공격을 대신해주기도 한다.

최근에는 가상 화폐 거래소가 북한의 새로운 타깃으로 떠올랐다. UN에 따르면 2020년부터 2021년 중반까지 북한은 전 세계 가상 화폐 거래소로부터 5000만 달러(약 607억 원)를 훔쳤다. 개인들의 전자 지갑을 노린 금액까지 포함하면 북한의 가상 화폐 절취액은 4억 달러(약 4800억 원)에 달할 것으로 예상된다. 북한 해커들은 주로 중국, 러시아에서 활동하는 것으로 알려졌다. 이처럼 북한이 사이버 공간에서의 위법 활동으로 벌어들인 수익은 연간 10억 달러(약 1조2180억 원)에 이른다.

중국, 러시아, 북한이 한국 기업을 노리는 이유도 제각각이다. 글로벌 보안 회사 파이어아이(FireEye)에 따르면 2021년 1분기에 우리나라를 대상으로 한 심각한 수준의 해킹은 3700건이 중국, 300건이 북한, 170건이 러시아의 주도 아래 이뤄졌다. 가장 많은 수를 차지한 중국이 한국을 노리는 건 국가보다는 민간 기업일 가능성이 크다. 기술 냉전의 시대다. 한국 기업의 반도체, 배터리, 조선 등 뛰어난 기술력을 훔치고자 하는 것이다.

러시아의 경우 랜섬웨어 공격이 대다수다. 즉, 기업의 시스템을 암호로 잠그고 이를 풀어주는 조건으로 돈을 요구하는 것이다. 북한의 경우 정치, 군사적 목적이 한국을 공격하는 주된 이유겠지만 사이버 용병을 통해 기업을 공격할 가능성도 열려 있다.

최근 해커 조직들의 활동도 매섭다.

국가 주도로만 기업들이 해킹의 타깃이 되는 건 아니다. 지난 3월 엔비디아, 삼성전자, LG전자, 마이크로소프트(MS) 등 글로벌 대형 테크 기업을 공격한 ‘랩서스(Lapsus$)’는 신생 해커 그룹이다. 빅테크 기업을 노린 해킹은 종종 발생하지만 랩서스만큼 연달아 성공한 경우는 드물어 더욱 악명을 높이고 있다. 이들의 배후에 관해서는 잘 알려진 게 없다. 남미에 본거지를 두고 있는 10명 미만의 소형 해커 그룹 정도로 추측된다. 이들은 텔레그램 채널을 개설해 자신들의 행보를 당당히 알리기도 한다. 심지어 네티즌들의 투표를 통해 다음 타깃 대상을 선정하기도 한다. 최근 랩서스에 가담한 혐의로 영국에서 2명이 기소됐는데 이들의 정체는 10대 청소년이라 대중들에게 더 큰 충격을 줬다.

025


수법이 치밀한 것도 아니다. 우선 해당 기업에 다니는 직원 1명의 계정을 구한다. 다크 웹에서 구입하거나 심지어는 비밀번호를 까먹은 내부 직원을 사칭해 IT 부서에 직접 연락을 하기도 한다. 협력 업체 직원을 매수한 정황도 있다. 이렇게 얻은 하나의 계정으로 주변 직원들, 회사 시스템 전체에 접근해 정보를 빼내는 것이다. 특히 패치를 통해 수정되지 않은 채로 남아 있는 고위험 취약점인 ‘제로 데이(Zero Day)’를 수집하는 게 목표다.3 거래 가치가 높기 때문이다.

최근에는 애플, 메타, 디스코드가 지난해 중순 사법기관을 사칭한 해커들에게 고객 정보를 넘겼다는 사실이 밝혀졌다. 이들은 ‘긴급 데이터 요청’을 통해 고객 정보를 요구했다. 사법당국이 고객 정보를 요구할 때는 수색영장, 소환장 등이 필요하지만 긴급 요청 시에는 이 같은 절차가 따로 필요하지 않다는 점을 착안했다. 수법이 비슷해 랩서스 관련 인물의 소행으로 추정되고 있다.

이처럼 허술한 해커들의 공격이 큰 파장을 낳자 올해 초 바이든 행정부는 사이버 보안 전략으로 ‘제로 트러스트(Zero Trust)’ 전략을 선언했다. 말 그대로 누구도 믿지 않겠다는 것이다. 제로 트러스트 전략에 따르면 안전한 영역도 없고, 안전한 사용자도 없다. 내부인이라도 철저한 인증과 신원 확인을 거쳐야 한다. 네트워크를 사용할 수 있는 시스템과 정보 접근 권한도 최소화할 필요가 있다. 우리 정부도 지난달 제로 트러스트 정책에 대한 연구를 시작했다.

026


랩서스와 같은 민간 해커 조직이 왜 기업을 노리는 걸까. 그 진의는 제대로 파악되지 않는다. 삼성전자 해킹 당시 랩서스가 삼성전자에 “다른 유출을 막으려면 연락하라”며 메시지를 남긴 정황이 포착됐다. 그러나 메시지는 곧바로 삭제됐다. 돈이 주목적이라고 하기에는 메시지를 바로 지웠다는 점이 석연치 않다. 확실한 건 해커들 사이에서 규모가 큰 테크 기업을 해킹하는 일이 자신들의 능력을 증명하는 일로 자리 잡았다는 것이다.

기업의 힘만으로는 해커들의 공격에
대응하기 어려워 보인다.

구글, MS 등 보안 인력이 수천 명에 달하는 기업도 해커들의 표적이 된다. 기업이 안전망을 구축하기 위해서는 정부의 협력이 필수적이다. 콜로니얼 파이프라인도 결국 해커들에게 440만 달러(약 49억 원) 상당의 75BTC(비트코인 단위)를 지불했다. 그런데 해커들의 전자 지갑을 추적해 이 중 절반 이상인 63.7BTC(230만 달러, 약 25억 원)를 회수하는 데 성공했다. 이 작전은 연방수사국(FBI)이 주도했다. 콜로니얼 파이프는 사업 정상화를 위해 해커들에게 비트코인을 지급했지만 신속하게 사법기관에 알리고 수사에 적극 협조했다.

안타깝지만 한국 기업들은 사이버 공격을 받아도 주관 부서인 과학기술정보통신부(과기부)나 수사 기관에 알리기를 썩 좋아하지 않는 듯하다. 신고 의무가 있어서 신고는 하지만 실제 조사에 들이는 노력에 비해 명명백백히 밝혀지는 게 없다는 것이다. 랜섬웨어에 공격을 당한 기업은 별도의 브로커를 고용해 해커 조직을 찾고 거래하기도 한다. 사이버 공격의 주체가 다른 국가부터 민간 조직까지 다양하다 보니 국가 차원에서의 수사가 필요하다. 그런데 현재 한국의 사이버 공격 대응 체계는 과기부, 국정원, 국방부 각각 민•군•관을 분담해 대응하다 보니 빠르고 총체적인 대응이 어려운 상황이다. 제대로 된 컨트롤타워가 필요한 이유다.

한국 정부만의 힘으로도 역부족이다. 해커들이 전 세계 어디에 있든 우리는 공격을 받을 수 있다. 최근에는 해커들이 랜섬웨어 해제를 위한 거래 수단으로 가상 화폐를 사용하다 보니 이들을 추적하기란 하늘의 별 따기가 됐다. 사건별로는 미국 등 다른 나라와 협업을 하고 있기는 하지만 사이버 동맹을 통해 상시로 정보를 교류해야 한다. 예컨대 미국과 일본은 사이버 동맹을 비롯해 우주 동맹까지 맺었다.

필요하다면 국가 차원에서 해커들에 대한 선제적 공격을 할 필요도 있다고 생각한다. 지속적으로 한국 기업을 노리는 해커 집단들이 있다면 국가가 나서서 이들의 실체를 밝히고 소멸에 힘쓰는 것이다. 미국의 경우 2020년부터 랜섬웨어 소탕 작전에 나선다고 선포했다. 아직 그 효과를 논하기는 이르지만 2021년 하반기 실제 의료, 교육계를 대상으로 한 랜섬웨어 공격은 줄어든 것으로 나타났다. 반면 랜섬웨어 공격에 대한 소탕 의지를 표명하지 않은 프랑스, 독일 등의 국가에서는 랜섬웨어 공격이 증가했다.

기업들이 특히 유의해야 할 사이버 공격은 무엇인가?

최근에는 단연 랜섬웨어다. 콜로니얼 파이프라인 사태처럼 랜섬웨어의 피해가 디지털 세상을 넘어 현실 세상까지 마비시킨다. 공장 하나 먹통 만들기가 우스운 일이 됐다. 더욱이 원격 근무가 뉴노멀로 자리 잡으며 기업이 일하는 모든 프로세스가 디지털화되고 데이터로 남겨지고 있다. 공장이나 인프라 시설 역시 스마트팩토리와 자동화를 도입하며 모든 공정이 디지털 시스템을 통해 제어된다. 메타버스에서는 가상 화폐를 기반으로 한 자체적인 경제 시스템을 구축하기도 한다. 디지털 세상 내에서의 연결성은 물론 디지털 세상과 현실 세상의 연결성이 강화될수록 랜섬웨어가 불러오는 피해는 더더욱 커질 것이다.

최근에는 개인들의 의료 정보도 데이터화되고 있다. 의료 데이터가 해커들의 손아귀에 들어가면 어떻게 될까. 기업도 막대한 피해를 입겠지만 무엇보다 사람의 생명과 직결된 문제로 이어질 수 있다.

최근 이슈로 떠오른 사이버 심리전에 기업이 휘말릴 수도 있다. 사이버 심리전은 가짜 뉴스를 퍼뜨려 대중의 불신을 조장하고 선동하는 전쟁이다. 러시아가 우크라이나를 침공하자 SNS에는 전쟁 현장이라며 올라온 사진이나 게시물들이 넘쳐났다. 이를 본 네티즌들은 분개하거나 공포에 사로 잡히는 등 감정적으로 동요했다. 어느 한쪽을 옹호하며 극단적인 의견도 서슴지 않는다. 그런데 이 사진이나 영상, 심지어 댓글들까지 상당수는 검증되지 않은 정보일 가능성이 크다. 과거 전쟁 사진이나 영상을 그대로 올려도 사람들은 진위를 파악하기 어렵다. 최근에는 딥 페이크 기술이 사이버 심리전에도 활용되기 시작했으며 제작자의 철저한 의도가 반영된 동시에 판별이 어려운 가짜 정보들이 넘쳐나게 됐다.

그 사이에서 바쁜 건 다름 아닌 유튜브, 메타, 트위터, 틱톡 등 정보가 오가며 새로운 전쟁의 장으로 떠오른 플랫폼들이다. 가짜 뉴스나 악성 프로그램이 포함된 정보를 선별해 내는 것이 이들이 수행해야 할 사회적 역할 중 하나가 됐기 때문이다.

일반 기업들도 사이버 심리전으로부터 안심하긴 어렵다. 딥 페이크 기술의 악용이 기업을 타깃으로 할 가능성을 배제할 수 없다. ESG 경영이 본격화된 지금 오너 리스크도 커졌다. 이때 기업 오너의 얼굴을 사칭한 딥 페이크 영상이 떠돌아다니면 어떻게 될까. 이내 가짜 영상이라는 사실이 알려질 것이다. 그러나 단기적으로 기업의 주가나 이미지는 타격을 입을 가능성이 있다. 기업이 사이버 심리전을 위해 만들어진 가짜 뉴스를 신뢰해 무역, 생산 등 전략적 의사결정에 활용할 수도 있다.

클라우드가 보안을 취약하게 만든다는 말도 있다.

디지털 세상에 정보를 저장하고 어디서든 사용할 수 있는 클라우드의 구조적인 문제다. 그래서 클라우드 사업을 적극 키우고자 하는 구글, 아마존, MS가 최근 보안에 막대한 투자를 하고 있는 것이다. 지난달 구글이 글로벌 사이버 보안 기업 ‘맨디언트(Mandiant)’를 54억 달러(약 6조6700억 원)에 전량 현금으로 매입해 화제가 됐다. 맨디언트는 솔라윈즈 공격을 처음 발견해 업계의 주목을 받았다. 빅테크 기업이 사이버 보안 기업에 투자한 금액은 2021년 23억9700만 달러(약 2조9212원)로 2020년 5억4900만 달러(약 6690억 원)에서 4배 이상 급증했다.

028


이미 많은 기업이 클라우드로 데이터를 이전했고 클라우드의 활용도 역시 점차 높아질 것으로 보인다. 특히 한국에서 클라우드 산업은 더욱 탄력을 얻을 것으로 예상된다. 2021년 12월 GDPR(General Data Protection Regulation, 개인정보보호 규정) 적절성이 협의가 시작된 지 5년 만에 채택됐다. GDPR는 유럽의 개인정보보호법이다. GDPR 적절성이 채택됐다는 것은 EU와 동등한 수준의 개인정보 수준을 갖춘 국가로 인정받았다는 뜻이다. 이로써 EU의 개인정보를 한국에 이전하는 일이 가능해졌다. 일본, 영국에 이어 3번째다.

클라우드 사업을 위해선 데이터 센터가 필수적이다. GDPR 적절성이 채택되고 아시아에서는 한국이 클라우드 데이터 센터의 요람이 될 것으로 보인다. 중국은 정치, 외교, 안보적 문제가 있고 일본은 자연재해의 위협을 받는다. 싱가포르나 홍콩은 땅이 작다. 반면 한국은 앞선 리스크들로부터 비교적 자유로울뿐더러 산업 전기도 저렴하다. IT 인력도 풍부하다. 유럽의 데이터 센터가 들어오면 다음 차례는 미국이다. 이들 데이터 센터가 한국에 들어오면 한국 기업들 역시 더 빠르고 편하고 저렴하게 클라우드 서비스를 이용할 수 있을 것이다. 네이버, KT 등 국내에서 클라우드 사업을 전개하는 기업들도 구글, 아마존, MS 못지않게 보안에 투자해야 경쟁력을 얻을 수 있을 것이다. 클라우드를 사용하는 기업이라면 모든 데이터를 전면적으로 클라우드에 저장하기보다는 주요 정보는 자체 데이터 센터에 이식해 두는 편이 더 안전하다. 클라우드 역시 주기적으로 백업을 해둘 필요가 있다.


이규열 기자 kylee@donga.com

동아비즈니스리뷰 351호 Diversity in Talent Management 2022년 08월 Issue 2 목차보기