2017년도 벌써 반이 지나갔다. 랜섬웨어로 인터넷 호스팅업체에 사상 최악의 피해를 남긴 '인터넷나야나' 사고, 국내 주요 금융 기관을 대상으로 대규모 디도스(DDoS) 공격을 하겠다고 선언한 국제 해커그룹 '아르마다 콜렉티브(Armada Collective)'의 협박, 고고도 미사일 방어체계(THAAD, 사드) 배치를 둘러싼 중국의 사이버 공습 등 다양하고 정교한 형태의 사이버 위협이 잇달아 발생하며 기업과 기관은 물론 개인의 삶에 크고 작은 상처를 남겼다. 이에, 지난 상반기에 발생한 주요 보안 사고들을 분석하고 시사점을 찾아보는 시간을 가져보고자 한다.

I want your money - 금전적 수익을 올리는 데 집중하는 공격자들

올 상반기 사이버 공격의 가장 큰 특징은 금전적 목적의 공격이 두드러지게 발생했다는 점이다. 특히, 특유의 익명성으로 범죄자들에게 큰 인기를 얻고 있는 가상화폐를 요구하는 공격이 많았다는 사실에 주목할 만하다. 리눅스 서버 153대에 대한 복호화 대가로 13억 원 상당의 비트코인을 요구한 '인터넷나야나' 사고부터 10-25 비트코인(약 3400만원-5100만원)을 지불하지 않으면 1 Tbps 급 DDoS 공격을 하겠다는 '아르마다 콜렉티브'의 협박까지, '비트코인'을 노린 공격사례들은 꾸준히 증가하고 있는 추세다.

이글루시큐리티를 비롯한 다수의 보안업체들이 2017년은 '랜섬웨어의 해'가 될 것이라고 예견했듯이 올 상반기에는 각양각색의 특성을 지닌 랜섬웨어 공격이 잇달아 발생했다. 전 세계적으로 악명을 떨친 '워너크라이'와 '페트야'는 물론 별도의 C&C서버 접근 없이 파일 암호화가 가능하고 피해자 유형에 따라 차등적인 몸값을 제시하는 '스포라', 윈도우 운영체제(OS) 및 응용 프로그램의 관리 제어·자동화에 사용되는 '파워쉘'을 이용해 감염시키는 '록키', 인터파크 고객정보 유출 사고 사과메일로 위장해 유포된 변종 '비너스락커' 등이 모습을 드러냈다.

익스플로잇 킷과 취약점을 이용한 랜섬웨어가 빠르게 확산되며 전 세계적으로 큰 피해를 야기했다는 점 역시 괄목할 만하다. 2017년 상반기에 등장한 랜섬웨어 중 전 세계 150개국 30만 대 이상의 PC를 감염시키고 무려 80억달러(한화 약 8조9000억원)에 달하는 금전적 피해를 야기한 워너크라이와 우크라이나 국가 시스템을 마비시킨 페트야 모두 윈도우 운영체제(OS)의 SMB(파일공유) 취약점을 이용했다는 공통 분모를 가지고 있다.

금융권을 노린 DDoS 공격 증가

작년에 이어 올 상반기에도 금융권을 대상으로 금전적인 수익을 올리고자 하는 사이버 공격이 어김없이 발생했다. 단, 올 상반기의 경우 장기간에 걸쳐 은밀하게 진행되는 지능형지속공격(APT) 공격이 주를 이루었던 2016년과는 달리 단기간에 수행 가능한 DDoS 공격 형태가 두드러졌다는 점에서 사뭇 다른 양상을 보였다. 작년 발생한 주요 사고들과 최근 화제가 된 '아르마다 콜렉티브'의 DDoS 공격 시도를 비교해보면 그 차이를 쉽게 확인할 수 있다.

작년 금융권에서 발생한 가장 대표적인 사고 사례로 2016년 2월 발생한 방글라데시 중앙은행 해킹사고를 꼽을 수 있다. 방글라데시 중앙은행의 보안이 취약하다는 점을 간파한 공격자들은 은행 내부 시스템에 침투해 장기간 은닉하며 금융기관 간의 거래에 사용되는 글로벌 금융통신망인 스위프트 인증 정보를 획득하고, 이를 이용해 임의로 이체를 시도하여 8100만달러(한화 약 915억원)에 달하는 금액을 탈취하는 데 성공했다. 미리 정해 둔 표적의 정보를 꾸준히 모아 약점을 파악한 뒤 공격하는 전형적인 APT 공격 형태다.

반면, 최근 발생한 DDoS 공격의 경우, 표적으로 삼은 금융 기관들에게 비트코인을 지불하지 않으면 공격을 하겠다는 의향을 먼저 밝히고 단기간에 수행 가능한 DDoS 공격을 선택했다는 점에서 방글라데시 중앙은행 해킹사고와는 분명한 차이가 있다. '아르마다 콜렉티브'가 대규모 비트코인 갈취 공격을 벌인 유럽의 해킹 그룹 'DD4BC(DDoS for Bitcoin)'을 모방하여, 협박은 하지만 타격을 입힐 만한 대규모의 공격은 하지 않는다는 점에서 그 차이가 더욱 두드러진다.

대의를 위한 비 금전적 목적의 DDoS 공격 시도 역시 지속적으로 발생했다. 금융기관의 부패·탐욕에 대한 경고의 의미로 전세계 금융기관 웹사이트에 대한 공격을 시도했던 국제해커단체 '어나니머스'의 공격은 올해도 이어졌다. 작년 5월 한국은행 웹사이트에 DDoS 공격을 감행해 사이트를 약 39분간 다운시켰던 어나니머스는 올해 6월에도 한국은행 홈페이지에 대한 DDoS 공격을 예고했으나, 한국은행에 따르면 다행히도 공격은 발생하지 않은 것으로 알려졌다.

'사드 보복?' 中 해커들의 사이버 공습 본격화

사드 배치 문제를 둘러싸고 한·중 관계가 악화됨에 따라, 국내에서는 한 동안 잠잠했던 정치적 목적의 사이버 공격도 발생했다. 2월 28일 국방부와 사드 배치 부지 계약을 맺은 롯데그룹을 대상으로 첫 공격이 이뤄진 이래 다수의 정부기관 및 기업, 교육기관 사이트를 표적으로 한 DDoS 및 디페이스 공격이 발생하여 수 많은 기업, 기관들이 적지 않은 피해를 입었다. 특히 홈페이지가 약 3시간 동안 마비되었던 롯데면세점은 5억 원 이상의 손실을 입은 것으로 알려졌다.
 
한국의 사드 배치 결정에 반발하여 공격을 주도한 '판다정보국', '화샤해커동맹', '1937C' 등 중국 유명 해커 그룹들은 국내 웹사이트에 보편적으로 쓰이는 오픈소스 프레임워크인 아파치 스트럿츠2의 최신 취약점(CVE-2017-5683)을 활용해 공격을 감행했다. 이들은 해당 취약점이 있는 웹 서버를 찾아 공격할 수 있는 자동화 도구를 유포하는 방식으로 공격을 빠르게 확산시켰으며 CNN의 보도에 따르면 DDoS, 디페이스 공격과 더불어 사드 기밀정보 탈취를 목적으로 한 공격도 감행한 것으로 확인됐다.

지나간 시간은 바뀔 수 없지만, 다가올 미래는 인간의 의지에 따라 바뀔 수 있다

위와 같이 2017년 상반기에는 금전적 수익을 위한 해킹부터 정치적 목적의 사이버 테러까지 다양한 보안 사건과 사고들이 잇따라 발생했다. 가상화폐를 노린 공격, 변종 랜섬웨어의 출현, 금융권을 노린 DDoS 공격 등 상반기에 발생한 보안 위협은 하반기에도 지속적으로 나타날 것으로 보인다. 올 상반기에 발생한 보안 사고와 이슈에 대한 철저한 분석을 통해, 지능화되고 정교화되는 사이버 공격 시도에 맞설 수 있는 대응력을 확보했으면 한다.