#2014년 12월 9일 한국수력원자력에 악성코드가 첨부된 이메일 6000여통이 배달됐다. 이메일을 받은 한수원 직원은 전체 9500명 중 3분의 1에 달하는 3671명. 악성코드 파일을 발송한 이메일 계정은 211곳. 이 중 55개는 한수원 퇴직자 명의를 도용한 이메일이었다. 악성 이메일을 받은 직원 중 한 명이라도 첨부파일을 실행하면 바로 악성코드에 감염된다. 감염 문서가 망연계시스템이나 휴대용저장장치(USB)를 타고 내부망으로 들어간다면 피해는 더욱 확산된다.
기업 업무의 필수 의사소통 통로인 이메일을 타고 들어오는 지속적이고 지능적인 위협이 극에 달했다. 지난 연말 국민 불안을 가중시킨 한수원 원전 내부문건 유출 사고의 실체 파악은 아직도 이뤄지지 않았다. 말 그대로 보이지 않는 공격자와의 싸움이다.
다만 이메일로 엄청난 규모의 악성코드가 첨부된 공격이 있었다는 사실만 밝혀냈을 뿐이다. 이때 들어온 악성코드가 단순히 PC 하드디스크드라이브(HDD)를 파괴하는 기능이 있다는 정도만 분석됐다. 하지만 이번 사고 이전 알려지지 않고 밝혀내지 못한 수많은 공격이 있었을지는 알 수 없는 일이다.
◇은밀하고 예리한 표적공격 급증
한수원 사례처럼 기업이나 기관을 노린 사이버 테러 공격은 사전에 정확한 표적을 설정한다. 과거처럼 무차별적 불특정 다수를 노린 공격이 아니다. 공격자는 특정한 목표물을 정하고 치밀하고 지능적이며 장기적으로 움직인다. 전형적인 지능형지속위협(APT) 공격이다.
공격에 쓰인 악성코드는 완전히 새로운 형태다. 이른바 제로데이 공격이다. 바이러스백신처럼 기존의 악성코드 패턴을 토대로 엔진을 업데이트한 후 동종의 공격을 막아내는 바이러스백신으로는 알려지지 않은 새로운 형태의 공격을 막아낼 방법이 없다.
공격자는 언제나 새로운 형태로 기존 보안 솔루션을 우회하는 방법을 연구한다. 방패를 아무리 빠르게 만들어도 공격의 칼이 반 박자 이상 빠르니 대비가 아닌 대응 수준에서 끝난다.
공격자는 목표물을 다각도로 분석한다. 공격 대상이 된 기업에서 자주 쓰는 형태의 문서를 분석하고 수집한다. 공격 효과를 높이는 작업이다. 한수원 공격에 쓰인 문서 역시 ‘보고서 취합본’ 등 직원들에게 익숙한 제목과 내용의 한컴오피스 파일형태였다. 내부 직원이나 협력업체 직원 이메일 계정을 도용해 별다른 의심 없이 문서를 클릭하게 유도했다. 사회적 관계망을 위장한 소셜해킹인 셈이다. APT 공격은 한 번의 침투로 끝나는 게 아니라 오랫동안 보안 솔루션을 우회하며 기업 내부에서 활동한다. 장기간 자료를 빼내가고 결국엔 해당 PC가 오작동을 일으키게 한다.
글로벌 보안 기업 팔로알토네트웍스에 따르면 악성코드의 87.0%는 이메일전송프로토콜(SMTP)로 전송된다. 11.8%가 웹 브라우징에 쓰는 HTTP를 이용했고, 1.2%는 애플리케이션을 침투경로로 삼았다. 이메일을 이용한 APT 공격은 기업에 막대한 위협으로 부상했다.
◇고위층을 노린다
최고경영책임자(CEO)를 비롯해 기업과 기관 내 고위직 임원은 해커의 핵심 목표물이 된다. 기업의 주요 시스템에 접근할 권한은 많지만 보안 의식은 상대적으로 허술한 탓이다. C레벨 PC에서 APT공격이 성공하면 매우 쉽게 기업 내 주요자료에 접근할 수 있다. 최근 공격자는 C레벨을 많이 배출한 주요 대학 동문 주소록 등 확보에 혈안이다.
실제로 K대학 경영학과나 전자공학과 동문에게 대규모 스피어 피싱 메일이 전달된 사례가 있다. 스피어 피싱은 작살로 물고기를 잡듯 특정 인물을 노린 APT 공격의 일종이다. 동문회에서 온 홈커밍데이 초대장을 읽었을 뿐인데 악성코드에 감염되는 형태다. 기업 C레벨이 사내 PC에서 이 같은 이메일을 아무 의심없이 읽고 실행한다면 기업 내부 네트워크는 해커에 장악당할 수 있다. 해커는 이메일에 악성코드를 실어 보낸 후 들키지 않게 활동을 시작한다. 악성코드는 PC에 오랜 기간 잠복하며 PC에 입력되는 아이디와 비밀번호를 긁어 모은 후 외부에 빼돌린다.
공격자는 최소 2~3개월에서 최대 1년이 넘게 악성코드를 은닉해두고 사용자 패턴과 정보를 빼낸다. 그 다음에는 실제 공격을 수행하는 악성코드를 다시 내려보낸다. 기업 내 자료를 모두 빼돌리거나 파괴 등을 실행할 공격조를 보내는 격이다.
이창빈 팔로알토네트웍스 이사는 “APT공격은 내부 주요 데이터를 빼낸 후 이를 불특정 다수에게 팔아 돈을 벌기 위한 형태에서 이제는 사회 혼란을 유도하는 형태로까지 진화하고 있다”고 설명했다.
◇기업 넘어 국가안보 위협
APT공격은 매우 정교하게 계획돼 실행된다. 조직화된 사이버 테러로 변화하면서 기존 보안망을 회피하는 기술이 적용됐다. 지난해 말 발생한 소니픽처스 해킹 사고는 한 기업을 대상으로 한 것처럼 보이지만 미국 대통령이 나설 정도로 안보에 심각한 혼란을 초래했다.
평화의수호자(GOP)로 알려진 해킹 조직은 지난해 11월 24일 북한 김정은 암살 관련 코믹 영화 ‘더인터뷰’를 상영할 경우 극장에 물리적 테러를 감행하겠다는 협박을 했다. 해커는 소니픽처스의 최신 개봉작, 미개봉 영화를 온라인에 불법 유포했다. 회사 마케팅·회계 자료, 직원들 비밀번호·사회보장번호, 감독과 주연배우 출연료, 영화 제작비 등 내부 기밀 문서는 파일공유 사이트에 유포했다.
3일 버락 오바마 대통령은 대북제재 행정명령을 발동했다. 소니픽처스 해킹의 배후로 북한을 지목하며 “미국의 국가안보, 외교 정책, 경제 등에 지속적인 위협이 된다”고 강조했다. 그는 “이번 행정명령은 북한 국민이 아니라 북한 정부와 미국을 위협하는 그들의 행위”라고 덧붙였다.
13일에는 이슬람 원리주의 세력 ‘이슬람국가(IS)’라 자칭한 그룹이 미 국방부 네트워크를 해킹해 빼낸 자료라며 트위터에 다량의 문건을 공개했다. 미국이 대북제재를 내놓은 후 발생한 해킹으로 관심이 더욱 고조된다.
김인순기자 insoon@etnews.com