사이버 공간은 점점 더 위험해지고 있다. 기업들의 탐지 속도가 점점 빨라지고 있지만, 위험해지는 속도를 따라잡지는 못하고 있다. 그러다 보니 공격자들은 협박의 종류와 수위를 계속해서 높이면서도 아무런 위험부담을 갖지 않게 됐다. 심지어 허위 공갈까지 등장하고 있을 정도다.

[보안뉴스 문가용 기자] 2000년대 초반, 지금은 대형 회사로 커버린 보안 업체 맨디언트(Mandiant)는 미국의 작은 컨설팅 업체였다. 케빈 맨디아(Kevin Mandia)는 가끔 의뢰가 들어올 때마다 사건 대응을 하러 사무실 밖으로 나서곤 했다. 십수 년이 넉넉히 흐른 지금 그 작은 회사는 한꺼번에 수십 건 씩의 사건을 조사하는 거대 보안 회사로 성장했다.

[보안뉴스 / 6.8.] 피해를 입힐 줄 아는 공격자들, 하다하다 허위 협박에까지 도달해

[이미지 = utoimage]

공격의 양은 하루가 다르게 증가하는 중이다. 특히 지난 한 해 동안 성장의 추세는 가팔랐다. 맨디언트의 할 일이 많았다는 뜻이다. 최근 맨디언트는 제로데이 공격과 탈취된 크리덴셜을 활용한 사건, 그리고 피싱 공격 한 건을 수사 중에 있다고 한다. RSA 컨퍼런스의 강연자로 초대된 케빈 맨디아의 설명이다.

“제가 만나 본 많은 고객들이 궁금해 하는 게 있어요. ‘언제까지 방패를 들고 있어야 하는가?’입니다. 방어 체제를 구축하고 유지하는 게 쉽지 않으니 나오는 질문이죠. 제 생각은 ‘언제까지나 들고 있어야 한다’는 겁니다. 그리고 작년 한 해 동안 우리가 뼈저리게 배운 교훈이기도 하고요.”

맨디언트는 그 이유에 대해 “침해 사고의 충격이 예전과 비교할 수 없을 정도로 심대하기 때문”이라고 말한다. “랜섬웨어도 점점 파괴적으로 변하고, 각종 데이터를 빼낸 공격자들의 협박 행위도 심각해지고 있지요. 그러면서 어떤 현상이 분명해지고 있냐면, 일반 사이버 범죄자들의 수준이 국가 지원 해커들의 그것과 비슷하게 올라오고 있다는 겁니다. 즉 세계에서 가장 뛰어난 자들의 해킹 기술에 일반인들이 편만하게 노출되어 가고 있다고 볼 수 있죠.”

희망은 있는 걸까
매우 암울한 미래를 예측한 맨디언트지만 희망이 없는 건 아니라고 덧붙이기도 했다. “일반 회사의 이상 징후 발견 시간이 점점 짧아지고 있습니다. 자체 탐지력이 향상되고 있다는 분명한 신호입니다. 저희에게 사건 대응을 해달라고 의뢰를 해주는 기업들이 예전에는 이미 일이 벌어질대로 벌어진 후에야 연락을 주었다면 지금은 꽤 이른 시기에 줍니다. 그래서 공격자들이 머무르는 시간이 상대적으로 짧아지죠.”

실제로 맨디언트가 측정했을 때 공격자가 피해자의 네트워크에 들키지 않고 머무르는 시간(일명 ‘드웰 타임’)이 2020년에는 24일이었는데, 2021년에는 21일로 줄었다고 한다. 그리고 이러한 흐름은 지난 4년 동안 이어져 오고 있다는 게 맨디언트의 설명이다.

“최근 공격자들 사이에는 일종의 ‘조급증’ 같은 것들이 생겨나고 있습니다. 너도 나도 데이터를 훔쳐다가 협박을 하고 있으니, ‘나도 얼른 가치 높은 정보에 접근해 한몫 거둬야 한다’는 마음이 있는 것이죠. 우리의 방어도 단단해지고 있지만 ‘얼른 다른 곳도 털어야 한다’는 공격자들의 급한 마음도 드웰 타임의 감소를 부추기고 있습니다. 공격자들이 뭔가를 침착하게 계획하고 공격하기 힘들다는 뜻입니다. 이것이 범죄 시장에 작은 균열이 되고 있습니다.”

그러나 CISO로서는 당분간 힘든 나날들이 이어질 것이라고 맨디언트는 경고했다. “작년은 CISO가 되기 가장 힘든 최악의 해였습니다. 데이터를 지키는 것도 이만 저만 힘든 일이 아니었는데, 작년부터는 사람도 지켜야 했으니까요. 그러면서 해커와 보안 업계의 싸움은 점점 더 불공평하게 흘러갔습니다. 위험 부담은 방어하는 쪽에서만 일방적으로 지게 되는 형국이 됐죠.”

그러면서 공격은 아무런 알맹이가 없는 협박의 형태까지 취하게 됐다. 즉 ‘당신의 데이터를 우리가 가지고 있고, 곧 유출할 것’이라는 메시지만 적당히 주입해도 피해자들이 알아서 겁을 먹고 알아서 돈을 낸다는 걸 공격자들이 발견한 것이다. “사실 여부와 상관 없이 ‘당신 조직은 해킹 됐어’라는 소문만 나돌아도 기업의 신뢰도가 크게 하락한다는 걸 범인들이 이해하기 시작했습니다. 그것 자체가 충분한 협박거리가 된다는 걸 이용하는 게 요즘의 해커들입니다.”

게다가 해킹이 안 됐다는 걸 증명한다는 건 상당히 까다로운 일이다. “없는 걸 없다고 증명하는 건 대단히 까다로운 일이죠. 그렇기 때문에 허위 협박이나 허위 주장을 허위라고 입증하는 것도 어려운 일이 됩니다. 보통 목소리가 크면 사람들이 주의를 기울이죠? 해커와 피해 조직 사이에서도 같은 현상이 발생합니다. 해커의 목소리가 훨씬 크거든요. 그래서 ‘해킹했다!’는 주장을 믿게 되는 것이고요.”

아이러니하게도 맨디언트가 설명한 이런 일은, 맨디언트가 강단에 올라선 시기에 맨디언트의 회사에서도 발생했다. 록빗(LockBit)이라는 랜섬웨어 업체가 맨디언트를 해킹했고, 내부 정보를 보유하고 있다고 주장한 것이다. 하지만 맨디언트 측은 해커가 내부 정보를 탈취했다는 증거를 찾기 힘들다는 조사 결과를 발표했다. 하지만 맨디언트가 당하지 않은 사실을 입증할 수는 없었다. 맨디언트는 이것이 맨디언트의 명성이나 시장 가치를 저하하려는 시도라고 보고 있다. 마침 맨디언트는 구글에 의해 54억이라는 큰 규모에 인수될 전망이었다.

3줄 요약
1. 사이버 공간의 현재 상황 : 최고의 해킹 공격 기법에 수많은 사람들이 노출되어 있음.
2. 다행히 공격 탐지 시간은 평균적으로 줄어드는 추세임.
3. 이제 실체 없는 해킹 주장 자체만으로도 돈이 되는 시대.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>