[2023 안녕하셨습니까] 허술한 정보보호체계… 커져가는 사이버위협

사이버보안이 국방력 좌우해
AI, 발전성·위험성 '양날의검'

AI가 생성한 이미지

2023년 국내 사이버위협 동향. KISA 제공

2023년 국내 사이버위협 동향. KISA 제공

<2023, 안녕하셨습니까 - 수시로 터지는 보안사고>

IT(정보기술)가 발전하고 가상공간의 지분이 커질수록 사이버위협의 심각성도 커졌다. 2023년 한 해에도 공공과 민간영역, 산업분야를 막론하고 벌어진 침해사고와 허술한 정보보호체계 때문에 가슴을 쓸어내려야 했다. 지정학적 갈등까지 고조되면서 사이버보안이 국방력을 좌우하는 시대가 됐다.

◇보안태세 이상 有…랜섬웨어 기승도 여전

올 한 해는 연초부터 굵직한 보안사고가 잇따르며 정보보호분야 종사자들의 혼을 빼놨다. LG유플러스는 부가서비스용 CAS(고객인증시스템)가 해커 공격을 받아 약 29만명의 개인정보가 불법거래 사이트에 노출됐다. 상용 SW(소프트웨어) 유지관리와 방화벽·IPS(침입방지시스템)·웹방화벽과 같은 보안장비 활용이 제대로 이뤄지지 않은 등 관리 소홀이 지적받았다.

온라인쇼핑몰들은 크리덴셜 스터핑(인증정보 무작위 대입) 공격을 받아 피해가 잇따랐다. 지마켓의 상품권 번호와 스타벅스의 카드 충전금이 도용되고 인터파크에선 78만건의 개인정보가 유출됐다. 한국고용정보원 워크넷에서도 23만건 유출이 벌어졌다. 설 명절 기간 중국 해킹그룹 '샤오치잉'이 "한국 정부기관 2000곳을 해킹하겠다"고 밝혀 비상대응 체계를 가동하기도 했다. 공언과 달리 별다른 피해는 없었지만 학술단체 12곳의 홈페이지가 웹변조(Deface) 당해 이들의 메시지가 표시됐다.

공공분야에서도 보안태세에 구멍이 난 사례가 이어졌다. 5월 경기도교육청에서 해킹으로 27만여 전국연합학력평가 응시학생의 성적정보가 유출됐다. 선관위는 국정원과 KISA(한국인터넷진흥원)의 합동보안점검 결과 망분리도 미흡하고 비밀번호 관리도 제대로 안 되는 등 허술함을 드러났다.

랜섬웨어는 여전히 기승을 부렸다. 산업 기밀정보 유출과 함께 금전 취득 목적의 공격이 지속적으로 발생했다. KISA 침해사고 신고를 살펴보면 올해 11월까지 랜섬웨어 공격 건수는 237건으로 지난해(325건)보다 줄어든 것처럼 보인다. 하지만 주로 중소기업(78.1%)과 제조업종(36.7%)을 대상으로 먼저 기업 기밀정보를 빼내고, 운영서버와 백업서버 자료까지 찾아 암호화해 금전을 요구하는 다중협박으로 이뤄져 공격 양상이 더욱 악랄해졌다.

이호석 SK쉴더스 이큐스트랩장은 "침해사고에서 여전히 랜섬웨어가 50% 이상 비중을 차지하고 있다. APT(지능형지속위협) 공격처럼 달을 넘기곤 하며 공격하던 지난해까지와 달리 올해에는 제로데이 취약점 등을 악용해 짧은 기간에 대규모로 공격하는 형태로 바뀌었다"며 "랜섬웨어 사고는 사이버보안이 잘 갖춰진 대기업 본사보다 계열사나 협력사 등에서 먼저 발생해서 연쇄적으로 뚫리는 경향이 있으므로 경각심을 갖고 필요 시 MDR(관리형 탐지·대응) 등 도입도 검토해볼 필요가 있다"고 설명했다.

◇제로트러스트 도입 개시…AI발 위협은 새로운 변수

올 한 해 발생한 사이버공격의 또 하나 특징은 SW(소프트웨어)공급망 공격이 본격화됐다는 점이다. 온라인 금융거래용 보안인증 프로그램 '매직라인4NX'의 경우 지난 3월 북한 해킹그룹 라자루스 소행으로 추정되는 해킹공격을 받았고, 공공기관·방산·IT·언론사 등 수십여 곳의 PC가 악성코드에 감염되는 결과로 이어졌다. 또한 3CX '데스크톱 앱'을 노린 사례에선 북한 해커가 3CX 개발 과정에 침투해 최소 7일이 지난 뒤 가동되는 악성코드를 설치 프로그램에 은닉, 회사 공식 웹사이트를 통해 수많은 고객 PC 등을 감염시켰다. 연쇄공격에 대비하기 위해 SBOM(SW자재명세서) 마련 필요성을 강조하는 목소리도 높아졌다.

이렇듯 북한 해킹조직은 갈수록 활개를 치고 있다. 지난해 UN(국제연합) 추산 10억달러(1조3000억원) 규모 암호화폐를 탈취한 데 이어 올해에는 언론인 등을 사칭하며 첩보활동도 펼친 것으로 파악됐다. 또한 맨디언트에 따르면 북한 해킹그룹은 자국 핵개발 프로그램에 필요한 대외 정보수집 목적의 사이버활동을 펼친 사실도 적발됐다. 인민군 총참모부 산하 정찰총국에서 해킹그룹 간 조직적 역할 분담이 이뤄지고 있으며, 공격에 쓰이는 수법과 도구도 지속적으로 다변화·정교화되고 있다는 분석이다.

이에 따라 정부는 올해 제로트러스트 보안모델 도입과 확산을 위한 행보를 본격화했다. 제로트러스트는 기존에 내부에 대한 암묵적 신뢰를 바탕으로 외부 공격 탐지·대응에 집중했던 '경계형 보안'과 대비되는 개념으로 마련됐다. 원칙은 '절대 믿지 말고 계속 검증하라'다. 컴퓨팅 자원이나 데이터를 각각 분리·보호하고 인증을 거치게 해, 한 곳이 해킹돼도 다른 영역까지 침해당하지 않도록 하는 방식이다.

과기정통부는 지난 7월 '제로트러스트 가이드라인 1.0'을 발표하고 이를 기반으로 실증 사업을 진행, 최근 국내 기업망 환경에 적용할 수 있는 '제로트러스트 기본모델 2종'을 발표했다. 또한 국정원도 지난해 8월부터 '한국형 제로트러스트 구축'을 국정과제로 채택하고 한국형 제로트러스트 아키텍처 및 가이드라인 개발에 착수한 결과를 내년 초 선보일 예정이다.

이밖에 올해 내내 세계를 달군 생성형AI(인공지능)도 사이버보안에 새로운 가능성과 위험성을 동시에 가져올 것으로 전망된다. 딥페이크 등으로 대표되는 위변조는 이미 보이스피싱에도 악용되고 있고, 챗GPT와 같은 생성형AI 서비스에 입력한 내용이 유출된 사례가 발생하기도 했다. 앞으로는 공격과 방어 모두에 AI가 더욱 활용될 것으로 전망된다.

김명주 서울여대 정보보호학과 교수눈 "버그바운팅 결과를 살펴보면 챗GPT도 한 해 전에 오픈할 당시 60개 이상의 심각한 취약점을 지니고 시작했던 셈이다. 이에 최근 미국 바이든행정부가 내린 행정명령에도 AI기업들이 레드팀을 갖추고 보안 검증을 실시해야 한다는 내용이 포함됐다"며 "IT분야의 새로운 기술은 결국 보안이 관건이 된다. AI보안의 중요성이 갈수록 높아질 것"이라고 내다봤다.

팽동현기자 dhp@dt.co.kr