공공기관, 기업을 막론하고 사이버 공간은 해커와 헌터들의 전쟁터다. 정보통신기술(ICT) 보안업체 파이어아이의 디렉터 팀 웰스모어는 “남북 화해 분위기에도 북한발(發) 사이버 공격은 계속될 것”이라고 경고했다.

▎회사명 ‘파이어아이’는 게르만족의 전설 속에 등장한다. 팀 웰스모어 디렉터는 “숨은 것을 찾아내서 그에 맞서 싸울 수 있는 눈을 의미한다”고 말했다.

랜섬웨어(ransomware) 공격 하나에 인구 600만 명의 미국 도시가 열흘 가까이 휘청거렸다. 지난 3월 22일 미국 조지아주 애틀랜타 시정부의 컴퓨터 네트워크가 랜섬웨어 공격을 받아 온라인 업무가 마비됐다. 8000여 명에 이르는 공무원이 잉크와 펜으로 업무를 봐야 했고, 법원은 영장을 일일이 손으로 써서 발부했다. 시민들은 민원 해결을 위해 직접 시청과 법원을 찾아야 했다. 애틀랜타 국제공항의 와이파이도 불통이 됐다. CNN은 “근무환경이 수십 년 전으로 돌아갔다”고 보도했다. 지난해 4월엔 텍사스주 댈러스시 전역에 설치된 156개 토네이도 경보 사이렌이 사이버 공격을 받아 한밤중에 수십 차례 울리기도 했다.

컴퓨터 시스템이 해커 집단에 뚫리면서 아수라장이 되는 ‘컴퓨터 디스토피아(dystopia)’가 벌어진 것이다. 랜섬웨어는 해커들이 컴퓨터 시스템을 악성코드로 감염시켜 주요 데이터에 접근하지 못하도록 막고 ‘몸값(ransom)’을 요구하는 악성 소프트웨어다. 애틀랜타를 공격한 해커들은 “비트코인 5만 달러어치(약 5300만원)를 내놓으라”고 요구했다. 병원, 학교, 지자체 등이 자체 복구에 진땀을 쏟느니 5만 달러라는 낮은 몸값을 지불하도록 유도한 것이다. 2016년 전 세계적으로 발생한 랜섬웨어 피해액은 10억 달러(약 1조700억원)에 이른다.

북한發 ‘APT37’ 전방위로 진화 중

4월 5일 서울 강남구 파르나스호텔에서 만난 정보통신기술(ICT) 보안업체 파이어아이(FireEye)의 팀 웰스모어는 “공공기관, 기업에서 보안을 강화하고 있지만 랜섬웨어 역시 끊임없이 진화하고 있다”며 “효과적으로 돈을 벌 수 있는 수단으로 주목받으면서 공격 대상도 확대되고 있다”고 말했다. 아시아태평양 지역 위협정보분석 디렉터인 그는 사이버 보안 컨퍼런스 ‘사이버 디펜스 라이브 서울’에 참석하기 위해 방한했다. 그는 “한국은 다양한 사이버 공격에 노출되어 있지만 그에 따른 예방·대책은 미미한 수준”이라고 진단했다.

2004년 설립된 파이어아이는 공격자의 행동과 특징을 분석하는 혁신적인 시스템을 선보이며 주목받았다. 정부기관, 테크놀로지 기업, 하이테크 제조업체와 방위산업체가 주 고객이며 중국·북한·러시아·이란 등의 사이버 범죄 조직에 대응한다. 이 회사의 보안 솔루션은 한국의 380개사를 포함해 67개 국가, 6600개 기업이 사용 중이다. ‘포브스 글로벌 2000(Forbes Global 2000)’ 기업 중 45%가 고객사다.

사이버 보안 솔루션의 핵심 경쟁력은 공격자가 행동을 개시하기 전에 그들의 신원을 파악하는 것이다. 공격자도 언젠가는 실수를 범하는데 그 순간을 탐지해 이들의 신원을 업계에 알리는 것이 비즈니스의 성공 요소다. 파이어아이는 2013년 중국인민해방군 내 사이버 간첩 팀의 존재를 알린 바 있다. 웰스모어 디렉터는 “우리는 2016년 9월 랜섬웨어 공격을 경고했는데 실제로 발생했다. 2017년 2월엔 북한의 금융권 해킹을 예고했는데 그해 5월 북한의 소행으로 파악되는 워너크라이 공격이 벌어졌다”고 말했다.

전 세계에서 동시다발로 벌어진 워너크라이 사이버 공격은 영국 국민보건서비스(NHS), 미국 물류업체 페덱스, 일본 자동차업체 닛산 등에 막대한 피해를 입혔다. 국내에서도 CJ CGV의 일부 상영관에서 광고 영상 송출이 중단되고, 충남 아산시에서는 버스정류장 안내판이 작동을 멈추었다. 웰스모어 디텍터는 “하지만 파이어아이 고객사는 피해가 적었다. 공격자에 관한 정보, 추적 경로 등을 다량 확보하고 있어 사전에 예측하고 대비한 덕분”이라고 말했다.

그는 “공격자의 동기를 파악하는 것이 최우선”이라고 말했다. 돈을 요구하거나 이목을 끌기 위한 공격도 있지만 어떤 해커는 정보 수집을 위해 은밀히 접근한다는 것. 그는 “한국은 IT·중공업의 수준이 높아 경쟁국가에선 이 정보가 상당히 탐 날 것”이라며 “이란의 해커그룹이 최근 한국의 에너지 분야 기업을 공격한 것도 같은 맥락”이라고 말했다.

파이어아이는 한국에 가장 위협적인 사이버 공격 그룹을 북한으로 단정한다. 파이어아이는 ‘리퍼(Reaper)’라고 불리던 해커 조직이 북한의 국가적 지원을 받아 한국에 지속적으로 위협을 가하고 있다고 판단하고 ‘APT37’이라는 이름을 붙였다(APT는 지능형 지속 위협 공격을 뜻함). 웰스모어 디렉터는 “이들은 은밀한 첩보 수집을 목적으로 하는데, 적어도 2012년부터 한국 정부의 정책 방향에 영향을 미칠 수 있는 조직을 주요 목표로 삼고 있다”며 “소프트웨어 개발 시간, 악성코드 배포 시간 등 공격이 이뤄진 시간대가 북한의 업무시간대와 일치하고, 한국의 공공기관과 사설 단체가 지속적으로 공격 대상이 되었다는 점이 그 근거”라고 말했다.

APT37은 그동안 활동 반경이 넓어졌을 뿐만 아니라 수법도 더욱 정교해지고 있다는 분석이다. 화학·전자·제조·항공우주산업·자동차·헬스케어 등 산업 분야를 가리지 않고 공격 대상 범위를 넓혀가고 있다. 그는 “최근 중동지역의 한 기업이 북한과의 업무협력을 취소하자 APT37이 보복성 공격을 가한 것으로 파악된다”고 말했다.

웰스모어 디렉터는 최근 남북 화해 분위기 가운데서도 북한발 사이버 공격이 이어질 것이라고 전망했다. 그는 “남북 간 긴장 완화는 환영할 일이지만 아직 북한발 공격이 줄었다는 증거는 없다”며 “25년간 보안 관련 업무 경험상 국가 간에는 평화 시에도 계속해서 공격과 방어가 진행되고 있다. 다만 긴장관계일 때 더 늘어난다”고 강조했다. 최근 일본 산케이신문은 전직 미군 장교의 발언을 인용해 APT37이 2018 평창 동계올림픽 개막 이후 한 달 동안 국가정보원을 비롯한 정부기관과 민간 기업을 상대로 8000회 이상 사이버 공격을 시도했다고 보도했다.

亞지역 사이버 보안 인식·대책 높여야

시장조사 기관 가트너에 따르면 2017년 전 세계 보안시장 규모는 891억3300만 달러로 추정된다. 한국은 2조7064억원으로 전년 대비 10.3% 성장했다(한국정보보호산업협회). 웰스모어 디렉터는 “개인이든 조직이든 보호해야 할 정보가 있다면 모두 사이버 보안 시장에 포함된다”며 “브라질의 아마존 정글 정도가 사이버 보안 밖의 영역”이라며 웃었다.

그러나 아태 지역의 사이버 보안 인식과 대책은 미국이나 유럽에 비해 상당히 뒤떨어져 있다는 평가다. 파이어아이가 발표한 ‘2018 M-트렌드 보고서’를 보면 공격자가 아태 지역 기관 내부 네트워크에 머문 시간은 498일에 달한다. 글로벌 평균 체류시간(101일)의 5배 수준으로, 아태 지역이 다른 지역에 비해 사이버 공격을 감지하는 속도가 느리다는 분석이다. 또 아태지역에서 한 번 이상 공격을 받은 기관의 91%가 심각한 2차 공격을 받았다. 미국은 44%였다. 아태 지역에서 지속적인 예방과 신속한 대응이 필요한 이유다.

웰스모어 디렉터는 “한국의 공공기관과 기업들도 사이버 보안 리스크를 심각하게 받아들여야 한다”고 강조했다. 그는 “기업이 빠지는 착오 중 하나가 ‘내부적으로 사이버 보안을 해결할 수 있다’는 인식”이라며 “내부 팀의 역량으로는 부족한 것이 사이버 보안이다. 그래서 사이버 보안솔루션 서비스 시장이 커지고 있는 것”이라고 말했다. 그는 “방어자가 강해지면 공격자도 그만큼 강해진다. 이 때문에 기업 입장에선 이를 예방하지 못할 수 있다. 그러나 공격에 신속히 대응하지 못하는 것은 기업의 책임”이라고 말했다.

- 조득진 기자 chodj21@joongang.co.kr·사진 전민규 기자