[사진=게티이미지뱅크]
하지만 올해 사이버공격 양상은 삶에 직접적인 영향을 미치는 형태로 진화했다. 해외에서는 수처리 시설을 해킹해 산도를 원격에서 조작하는 양잿물 테러가 발생하기도 했고, 랜섬웨어로 송유관 기업 시스템이 마비돼 일부 지역에 연료공급이 중단되기도 했다. 국내에서도 정부출연연구소에 적대국가 해커가 침입해 설계도면을 유출했다는 주장이 제기됐으며, 최근에는 일반 가정의 사물인터넷(IoT) 기기가 해킹돼 사생활 영상이 유출되면서 파장을 일으켰다.
소프트웨어 공급망을 노린 공격, IT업계 전반을 위협했다
소프트웨어 공급망이란 소프트웨어 개발사나 기업이 사용자에게 필요한 소프트웨어를 공급하고, 업데이트 등 패치를 제공하는 디지털 생태계 사슬을 말한다. 스마트폰에 설치한 애플리케이션을 예로 들면 개발사는 새로운 기능을 추가한 앱을 서버에 올리고, 구글 플레이를 통해 배포한 뒤 사용자가 이를 내려받아 설치하는 모든 과정이 해당한다.이 공급망에 해커가 침입하면 소프트웨어를 배포하는 '정상적인' 과정을 악용해 악성코드를 배포할 수도 있다. 2020년 12월 말 발생해 올해 초 IT업계를 혼란에 빠뜨린 솔라윈즈 사태가 대표적이다. 솔라윈즈는 포춘 500대 기업 중 400곳 이상이 도입한 네트워크 솔루션 기업이다. 보안 기업인 파이어아이, 소프트웨어 기업 마이크로소프트는 물론, 미국 국방부나 국토안보부 등 주요 기관 역시 이를 사용해온 것으로 알려졌다.
실제 해커가 침투한 것은 20년 3월부터 6월 사이지만, 공격자는 오랜 기간 은밀하게 숨어 솔루션 업데이트를 변조하고 고객사에 악성코드를 유포했다. 해당 사건이 알려진 것은 보안 기업 파이어아이가 20년 12월 침투 사실을 인지하면서다. 사이버보안에 최전선에 있는 보안 기업조차 공급망을 이용한 내부침투에는 속수무책이었다. 올해 초부터 피해기업이 속출하자 조 바이든 미국 대통령은 사이버 보안 강화와 관련한 행정명령을 발표하고, 연방정부기관이 준수해야 할 대책을 발표하기도 했다.
솔라윈즈의 여파가 가라앉기도 전인 7월에는 카세야 랜섬웨어 사태가 발생했다. 카세야는 원격에서 컴퓨터를 관리하는 솔루션을 공급하는 기업이다. 일부 MSP(클라우드 관리 서비스 기업)은 카세야를 이용해 유지보수 등 서비스를 제공해왔으며, 공격자는 취약점을 악용해 MSP를 거쳐 고객사에 랜섬웨어를 심었다. 특히 미국 독립기념일 연휴 기간에 공격이 발생하면서 적시에 대응하지 못했다. 미국은 이 사태의 주범으로 러시아를 배후에 둔 해킹 조직 '레빌'을 지목하고 해커에 대해 118억원 상당의 현상금을 걸기도 했다.
두 사건을 통해 공급망 공격이 이론상으로만 존재하는 것이 아니라 IT 업계, 나아가 일반 소프트웨어 사용자까지도 노릴 수 있는 공격임이 입증된 셈이다.
사이버공격이 사회 기반 마비시키고 생명을 위협할 수도 있어
올해 2월에는 미국 플로리다주 소도시에 위치한 수처리 시설에서 사이버 테러가 발생했다. 정체를 알 수 없는 해커가 시스템에 침입해 인근에서 식수로 사용하는 물의 수산화나트륨 농도를 100배 이상 높게 설정했다. 쉽게 말해 해킹을 통해 식수를 양잿물로 만든 것이다. 다행히 원격에서 근무하던 시설 운영자가 이를 조기에 발견해 차단해 실제 테러로 이어지지는 않았다. 하지만, 이는 사회 기반시설을 제어하는 시스템이 사이버공격을 받을 경우 심각한 인명피해로 이어질 수 있음을 잘 보여준 사건이다.사회 인프라에 대한 공격은 이어졌다. 올해 5월에는 미국 최대 규모 송유관 업체 콜로니얼 파이프라인이 랜섬웨어 공격을 받아 시스템이 마비되기도 했다. 단순히 업무만 중단된 것이 아니라 하루 250만 배럴을 운반하는 송유관 관리 시스템까지 정지됐다. 이 사고로 미국 동부지역에 연료공급이 수일간 중단됐으며, 유가가 폭등하기도 했다.
6월에는 랜섬웨어로 식품 가공 업체 공장이 멈췄다. 미국 정부는 이 역시 카세야 사태를 일으킨 레빌 조직의 범죄로 보고 있다. 해커는 글로벌 육가공 업체 JBS 푸즈의 미국·호주 IT 시스템을 랜섬웨어로 마비시켰으며, 이 때문에 식품 가공 시설 역시 작동을 멈췄다.
이전까지 사이버공격은 서버나 PC를 주로 노려왔지만, 이제는 산업 전반에 걸쳐 IT 시스템이 활용되면서 해커의 새로운 표적이 됐다. 이에 따라 운영기술(OT)과 산업제어시스템(ICS)에 대한 보안 강화 역시 커졌다.
코로나19로 도입된 원격근무, 시스템 침입 위한 교두보로 악용
올해에도 코로나19 확산세가 지속되면서 원격근무를 위한 솔루션이 대거 도입됐다. 하지만 제대로 관리하지 않은 원격근무 솔루션을 해커가 악용한다면 별다른 제재 없이도 기업 주요 업무 시스템에 접근할 수 있게 된다. 하태경 국민의힘 의원은 올해 7월 한국항공우주산업(KAI) 내부 시스템이 적대국가에 의해 해킹됐다고 밝혔다. 5월 한국원자력연구원에 이어 두 번째다. 특히 하 의원은 이번 해킹을 통해 KF-21 등 국내에서 개발 중인 주요 전투기 도면과 제원 등이 유출됐을 가능성도 제기했다.
사건은 VPN(가상사설망) 취약점을 통해 발생했다. VPN은 쉽게 말해 원격근무용 PC와 기업 업무 시스템을 연결하는 비밀통로다. 공개된 통로를 막는 대신 비밀통로로만 접근할 수 있도록 허용해 외부인의 침입을 막을 수 있고, 이를 통해 안전한 원격근무를 수행한다. 하지만 VPN 취약점을 통해 비밀통로가 해커에게 노출됐고, 정보유출 등 사이버 공격이 발생했다.
일부 보안업계 전문가들은 이미 해당 사고가 발생하기 전인 4월부터 공공기관에 대해 취약점을 보완하라는 안내가 있었음에도 불구하고 피해가 발생했다고 꼬집었다.
일상에 스며든 IT 기술, 우리 생활을 노린다
사물인터넷(IoT)과 스마트홈이 일상에 쓰이면서, 사이버공격 역시 일상생활 전반으로 확대됐다. 최근 불거진 월패드 해킹 사고가 대표적인 사례다. 사건은 올해 10월 중순 홍콩의 한 해킹 포럼에서 한국 아파트 17만 가구의 영상을 촬영했다는 게시물을 통해 알려졌고, 11월 중순에는 해당 영상을 판매한다는 글과 정보를 유출한 아파트 목록이 등장하면서 논란이 커졌다.특히 해당 영상에는 민감한 사생활 내용까지 포함돼 있어 우려도 커졌다. 과학기술정보통신부 즉시 월패드 보안 조치 사항을 전파하며 사용하지 않는 카메라는 가릴 것을 권고했으며, 경찰은 수사에 착수했다.
12월에는 인터넷 세계의 근간을 흔드는 로그4j 취약점이 발견됐다. 로그4j는 거의 모든 인터넷 서버에 쓰이는 관리용 오픈소스 소프트웨어로, 이 취약점을 악용하면 해커가 원격에서 악성코드를 심거나 정보를 유출하는 등 다양한 형태의 공격을 펼칠 수 있다. 글로벌 보안 기업은 이미 해당 취약점을 이용한 공격이 시도되고 있으며, 철저한 모니터링으로 비정상적인 접근을 막아야 한다고 경고했다. 인터넷 서비스 제공을 위해 쓰는 핵심 기술이 서비스 전체를 위협한 셈이다.
이처럼 사이버공격이 사회 전반으로 확산되면서 국내 유관기관도 대응책 마련에 나섰다. 과기정통부는 8개 정보보호 협·단체와 약 2만여개 회원사를 아우르는 K-사이버보안 대연합을 출범하고 침해사고에 대한 정보 공유를 본격화하겠다고 밝혔다. 또한, 한국인터넷진흥원과 한국정보보호학회 등은 사이버보안 정책 포럼을 창립하고 산·학·연이 정보보호 기술과 입법 방안을 논의하기로 했다.
정보보호를 위한 제도 역시 강화했다. 정부는 정보보호최고책임자(CISO) 제도를 개선해 정보보호 필요성이 큰 기업에 대해 CISO를 지정케 하고, 정보보호공시제도 의무화를 통해 기업이 얼마나 보안에 투자하고 있는지 알리도록 했다. 위협 정보 공유 체계인 C-TAS는 C-TAS 2.0으로 개편해 기존 회원사에만 제공하던 취약점 정보와 위협 동향을 가능한 모든 기업에 알리기로 했다.
올해부터 사이버안보 직무를 수행해온 국가정보원 역시 기업의 사이버위협 정보 접근성을 높이고 민간과 소통하고 있다. 국내외 유관기관과 협력해 확보한 사이버 위협정보를 국가사이버위협정보공유시스템(NCTI)과 인터넷용정보공유시스템(KCTI)를 통해 전파하고, 올해만 10만건 가량의 정보를 민간과 공유했다. 또한, 국가사이버안보센터 홈페이지를 별도로 개설하면서 기업에는 더 빠르게 위협 상황을 알리고, 일반인에게는 웹툰이나 Q&A 등을 통해 보안 상식을 소개하는 등 접근성을 높이고 있다. 입법에서도 국정원을 컨트롤타워로 하고 민·관 사이버위협 정보를 포괄하는 사이버안보법안이 여야 모두에서 발의되는 등 초국가적 위협에 대응하기 위해 총력을 기울이고 있다.
