러시아가 우크라이나를 침공한 건 영토만이 아니다. 침공 하루 전인 지난달 23일(현지 시각) 우크라이나 국방부와 내무부, 의회 및 일부 은행 웹사이트는 트래픽 과부하를 일으키는 대규모 디도스(DDos·분산 서비스 거부) 공격과 데이터를 삭제하는 멀웨어(악성코드) 공격을 받아 한동안 마비되는 사태를 겪었다. 지난 1월 중순과 2월 중순에 이은 세 번째 대규모 사이버 공격이다. 마치 지상군 투입 전 주요 군사 요충지와 사회 인프라 시설에 먼저 공습(空襲)을 하듯 우크라이나 인터넷망을 선제 타격한 것이다. 러시아 정부는 “사이버 공격을 수행한 적이 없다”며 부인했지만, 우크라이나 정부와 서방 정보기관을 비롯한 전 세계 정보 보안 전문가들은 러시아를 배후로 지목했다. 글로벌 사이버 보안 업체 벡트라의 CEO(최고경영자) 히테시 셰스는 “우리는 사이버 공격이 국가가 보유한 전쟁 무기 중 하나가 될 것이라고 오랫동안 이론적으로 얘기해왔다”면서 “(이번 공격은) 인류 역사상 처음으로 사이버 공격이 (전쟁의) 선제 타격 수단으로 이용된 것”이라고 말했다.
사이버 범죄는 이미 거대한 산업이기도 하다. 미국 IT 기업 VM웨어가 지난해 발표한 ‘모던뱅크 하이스트4.0′ 보고서에 따르면, 올해 사이버 범죄가 일으킨 피해 규모는 6조달러(약 7245조원)에 이를 것으로 추산된다. 2021년 GDP(국내총생산) 기준 세계 3위 경제 대국인 일본의 GDP(5조1031억달러)보다 크고, 한국 GDP(1조8238억달러)와 비교하면 3배 이상이다. VM웨어는 사이버 범죄 산업이 오는 2025년에는 지금의 2배까지 성장할 것으로 전망했다. 한국전자통신연구원(ETRI)은 올 초 발표한 보고서에서 “팬데믹(전염병 대유행) 이후, 디지털 세계는 일상과 경제활동의 중심이 됐다”면서 “다음 팬데믹은 디지털 세계에서 발생할 것이라는 강력한 경고가 잇따르고 있다”고 했다. 이른바 ‘디지털 팬데믹’이다.
◇팬데믹 다음은 디지털 팬데믹
글로벌 공급망은 특히 사이버 공격에 취약하다. 전 세계 100개 이상 국가에 화물을 실어 나르는 글로벌 물류 대기업 익스페디터스는 지난달 20일 사이버 공격을 당해 일부 운영이 중단됐다. 이 회사는 피해 조사와 회복에 “상당한 비용을 지출하고 있다”고 밝혔다. 생산량 기준 세계 최대 자동차 기업인 일본 도요타는 사이버 공격으로 인해 지난 1일 일본 전역에 있는 14개 공장 운영을 중단시켰다. 협력관계인 부품업체 고지마인더스트리가 랜섬웨어(암호화한 데이터를 인질로 몸값을 요구하는 사이버 범죄) 공격을 당하면서 부품 조달에 문제가 생긴 탓이다. 이 문제로 도요타는 이날 하루에만 차량 1만대 규모의 생산 차질을 빚었다.
사이버 보안업계가 러시아와 우크라이나 사이에서 벌어지는 사이버 전쟁을 주시하는 이유 역시 이런 전파성에 있다. 사이버 보안업체 시만텍 연구원들은 “우크라이나에서 탐지된 ‘와이퍼’라는 멀웨어가 인근 국가인 라트비아와 리투아니아에도 영향을 미쳤다”며 러시아의 사이버 전술이 네트워크망을 타고 다른 국가로 파급될 가능성이 있다고 분석했다. 블라디미르 푸틴 러시아 대통령이 이번 침공과 관련해 외국 세력 개입 시 “대가를 치를 것”이라고 경고한 터라 러시아 경제제재에 동참한 한국도 안전 지대는 아니다. 미국과 영국, 캐나다 등 러시아 경제제재에 나선 국가들은 이미 지난 25일 정부기관에 주요 기업들에 사이버 공격에 대한 주의 경보를 내렸다. 한국 정부도 지난 2일 우크라이나 사태 비상대응 태스크포스(TF) 회의를 열고 정부와 금융기관 등을 대상으로 한 사이버 공격 감시를 강화하겠다고 밝혔다.
이런 우려를 기우로만 치부할 수 없는 배경에는 지난 2017년 발생한 ‘낫페트야(NotPetya)’ 사태가 있다. 러시아로 추정되는 해커 집단이 우크라이나 기업에 뿌린 악성 코드(낫페트야)가 회계 소프트웨어를 통해 퍼지기 시작해 네트워크를 타고 전 세계 기업에 확산된 사건이다. 세계 최대 해운사 머스크(Maersk)와 다국적 제약사 머크(Merck), 세계 최대 광고 기업인 WPP 등 전 세계 60개 이상 나라의 수많은 기업이 낫페트야 감염으로 심각한 피해를 봤다. 당시 미 백악관은 피해 규모를 100억달러(약 12조700억원) 이상으로 추산하고 “역사상 가장 파괴적이고 손실 금액이 큰 사이버 공격”이라고 평가했다.
◇기업 60%가 사이버 공격에 노출
공통된 IT 소프트웨어를 사용하는 기업 네트워크의 피해는 더욱 막심하다. 지난 2020년 12월 발생해 ‘IT 역사상 최악의 공급망 공격’으로 꼽히는 솔라윈즈(SolarWinds) 사건이 대표적이다. 당시 악성 코드의 공격을 당한 건 네트워크 통합 모니터링 소프트웨어를 만드는 기업(솔라윈즈) 한 곳이었지만, 이곳 제품을 이용하는 약 1만8000여 개 기관과 기업이 손해를 입었다. 피해를 당한 곳 중에는 마이크로소프트(MS)와 인텔 같은 대기업뿐 아니라 핵무기 담당 기관인 미국 에너지국과 국방부, 국토안보부, 재무부, 상무부 등 주요 정부기관들도 포함돼 있었다. 심지어 맨디언트와 파이어아이 같은 이름 높은 사이버 보안업체까지 피해를 본 사실이 밝혀져 충격을 줬다. 클라우스 슈밥 세계경제포럼(WEF) 회장은 “우리는 모두 전력 공급과 운송, 병원 서비스 등 우리 사회 전체를 완전히 정지시킬 포괄적인 사이버 공격의 무서운 시나리오를 알고 있지만, 여전히 주의를 기울이지 않는다”며 “대표적인 사이버 공격과 비교하면 팬데믹 위기는 작은 장애물에 불과하다”고 했다.
더 큰 문제는 사이버 범죄가 매해 더 크게 늘고 있다는 점이다. 사이버 보안업체 체크포인트리서치(CPR)는 “지난해 기업 네트워크에 대한 사이버 공격은 전년 대비 50% 증가했다”며 “기업마다 매주 925건의 사이버 공격을 당하는 등 사상 최고치를 기록했다”고 밝혔다. CPR 조사에 따르면, 전 세계적으로 매일 평균 웹사이트 3만개가 해킹됐고 기업의 60% 이상은 최소 한 가지 종류 이상의 사이버 공격을 경험한 것으로 나타났다. 솔라윈즈 사태 이후 1년도 채 안 된 작년 7월만 해도 비슷한 사태가 다시금 벌어졌다. 원격 모니터링과 네트워크 관리 소프트웨어를 만드는 미국 IT 기업 카세야가 랜섬웨어 공격을 받으면서 이 회사 제품을 사용하는 기업 1500개 기업으로 피해가 번진 것이다. 카세야 고객사 중 한 곳인 스웨덴 최대 수퍼마켓 체인 쿱(Coop)의 경우 결제 시스템 오류로 인해 전국 800개 매장을 임시 폐쇄하기도 했다.
◇디지털 전환이 부채질
사이버 범죄가 급격히 불어난 배경에는 팬데믹발(發) 디지털 전환이 있다. 팬데믹으로 인해 원격 근무가 보편화하면서 기업들 역시 모든 업무 체계를 디지털로 전환했고, 보안이 크게 개선되지 않은 상황에서 이런 변화는 해커 집단이 공격할 수 있는 통로를 늘리는 효과를 가져왔다. 가령 사이버 공격 수법 중 40% 이상을 차지하는 피싱(phishing)은 거의 대부분 악성 코드를 심은 전자우편을 통해 이뤄진다. 그런데 원격 근무와 함께 업무 이메일 발송이 폭증하면서 직장인들을 속이기 더 쉬운 환경이 조성됐다. MS에 따르면, 작년 2월 이메일 발송 건수는 1년 전에 비해 무려 406억건 늘었다. IBM 시큐리티는 “피싱은 2021년 발생한 사이버 공격 중 41%를 차지해 가장 흔한 경로로 떠올랐다”며 “공격자들이 피싱 작업을 할 때 위장한 상위 3개 브랜드는 MS와 애플, 구글”이라고 밝혔다. 인지도와 신뢰도가 높은 IT 기업으로 발송처를 위장해 이메일을 클릭하도록 유인한 것이다.
팬데믹으로 가속된 정부기관과 기업들의 클라우드(가상 서버를 이용한 원격 컴퓨팅) 전환 역시 사이버 보안의 새로운 위협 요소다. 현재 기업마다 있는 ERP(전사적자원관리) 시스템은 물론이고 넷플릭스 같은 OTT(온라인 동영상 서비스)마저 대부분 클라우드를 기반으로 작동되는데, 통상 AWS(아마존)나 애저(MS), 구글 클라우드 같은 클라우드 전문 기업의 서비스를 공통적으로 이용한다. 캐나다 IT 기업 블랙베리는 올해 사이버 보안 시장을 전망한 보고서에서 “(악성 코드에 감염된) 민간 클라우드 플랫폼은 의도치 않게 악성 프로그램을 호스팅(임대)한다”며 “점점 더 많은 멀웨어가 민간 클라우드 플랫폼에 수용되고 있다”고 지적했다.
◇공유 경제화 되는 사이버 범죄
사이버 범죄가 진화를 거듭하면서 이제는 불특정 다수가 이용할 수 있는 서비스형 비즈니스 모델 ‘CaaS(Crimeware-as-a-Service)’로 변모하고 있다는 분석도 나온다. 사이버 범죄자들이 각종 악성 코드와 해킹 소프트웨어를 상품처럼 만들어 사법기관도 추적이 어려운 다크 웹에서 판매하는 것이다. 블랙베리는 “작년 사이버 범죄자를 추적해 식별한 결과, 복잡한 랜섬웨어를 만든 사람과 공격을 수행한 사람이 다르다는 게 밝혀졌다”며 “사이버 범죄가 지하 세계의 공유 경제처럼 돼가고 있다”고 했다. 작년 카세야를 공격했던 랜섬웨어 범죄조직 레빌(REvil) 역시 CaaS의 일종인 서비스형 랜섬웨어 모델(RaaS)로 운영되며 빠르게 확산됐다. IBM 시큐리티 조사 결과, 지난해 전 세계 랜섬웨어 공격의 37%를 레빌이 차지했다. 범죄 조직이 마치 대기업처럼 성장한 셈이다.
사이버 범죄는 그만큼 돈이 된다. 글로벌 사이버 범죄 산업 규모는 현재 연간 6조달러로 추정되는데 이는 마약과 인신 매매, 무기 밀매와 석유 절도 같은 초국가적 범죄가 벌어 들이는 돈을 모두 합친 것(연간 1조6000억~2조2000억달러)의 3배 수준이다. 특히 최근 급격히 커진 가상 화폐 시장은 사이버 범죄 산업 성장에 기여했다. 탈중앙화된 블록체인 기술에 기반을 둔 가상 화폐는 정부나 국제사회의 통제를 받지 않는 만큼 사이버 범죄 조직이 몸값을 더 쉽고 안전하게 받을 수 있게 만들어줬다. 블록체인 데이터 분석기업 체이널리시스 집계에 따르면, 지난해 불법 거래에 쓰인 가상 화폐 거래량만 140억달러(약 16조8616억원)에 달하는 것으로 나타났다. 전년(78억달러) 대비 79% 증가한 규모로 역대 최고치다.
◇패러다임의 전환 ‘제로 트러스트’
사이버 범죄가 극대화되면서 이에 대항하는 각국 정부와 기업의 사이버 보안 체계에도 패러다임 전환이 이뤄지고 있다. 현행 보안 패러다임의 가장 큰 약점이자 오랜 관행은 바로 내부 네트워크 사용자와 트래픽에 대한 암묵적인 신뢰다. 미국 최대 이동통신사 버라이즌의 ‘2021년 데이터 침해 조사 보고서’에 따르면, 데이터 유출의 85%는 인적 요소와 관련이 있는 것으로 나타났다. 내부 임직원들의 실수나 잘못이 사이버 공격 경로로 활용되고 있다는 의미다.
이런 약점을 보완하기 위해 사이버 보안업계에 새롭게 대두된 패러다임은 ‘제로 트러스트(Zero Trust)’다. 올 1월 미국 바이든 행정부가 새로운 국가 사이버 보안 전략으로 소개한 제로 트러스트는 사이버 보안 전문가 존 킨더버그가 2009년 만든 개념으로 ‘신뢰가 곧 보안 취약점’이라는 원칙을 내세운다. 예컨대, 기업 네트워크에 이미 침입자가 있다는 가정하에 접속 위치나 내부자 여부를 막론하고 접속 권한을 부여하기 전 인증 절차와 신원 확인 과정을 거치도록 한다. 접속 권한을 부여한다 해도 접근 범위는 최소화한다. 원격근무로 인해 접속 단말기와 위치, 사용 네트워크망이 다양해지는 만큼 내부자 특권을 없애고 누구에게나 적용되는 엄격한 보안 프로세스를 통해 사이버 공격을 최대한 줄이겠다는 것이다.
국내에서도 기업을 중심으로 제로 트러스트 기술 개발과 도입이 이뤄지고 있지만, 국가 차원의 노력은 아직 없는 상황이다. 반면 미국은 펜타곤(국방성) 산하 국방정보시스템국(DISA)이 제로 트러스트를 적용한 보안 플랫폼인 ‘선더돔’ 시제품을 개발·운영하기 위해 지난 1월 정보 기술 컨설팅 기업인 부즈 앨런 해밀턴과 680만달러(약 82억1100만원) 규모의 계약을 체결하는 등 발빠르게 움직이고 있다. MS와 시스코, IBM 등 IT 기업들 역시 자사 제품에 제로 트러스트 기능을 강화하는 방식으로 업데이트를 진행 중이다. MS는 작년 보고서에서 “기업들은 제로 트러스트 전략에 올인(all-in)하고 있으며, 의사 결정권자들은 제로 트러스트가 향후 2년간 사이버 보안의 최우선 과제가 될 것이라고 보고 있다”고 밝혔다. 리서치 기업 마켓앤드마켓은 글로벌 제로 트러스트 보안 시장이 2020년 196억달러에서 오는 2026년에는 516억달러(약 62조3070억원)까지 성장할 것으로 전망했다.
☞멀웨어(malware)
악성 소프트웨어(malicious software)를 줄인 말로, 시스템을 파괴하거나 정보를 유출하는 등 사이버 범죄를 수행하도록 의도적으로 만든 소프트웨어를 뜻한다. 최근 러시아에 침공당한 우크라이나에선 데이터를 훼손 또는 삭제하는 방식의 멀웨어 ‘와이퍼’가 발견됐다.
WEEKLY BIZ Newsletter 구독하기 ☞ https://page.stibee.com/subscriptions/146096