[정은진의 기술을 기술하다] 이 메일은 오직 당신만을 노린 미끼

(10) 점점 지능화되는 APT

국가·기업 상대 ‘지능형 지속 공격’
원하는 목적 위해 1년 이상 준비도

담당자 찾아낸 뒤 사생활 뒷조사
개인정보 활용해 가족·지인인 척
사회공학적 기법으로 ‘맞춤 피싱’
메일 첨부파일 등 통해 코드 심기

최근 큰 화제가 된 드라마 <이상한 변호사 우영우>의 마지막 회는 해킹을 소재로 다루었다. 가상의 사건이지만, 국가나 기업을 대상으로 하는 APT(지능형 지속 공격·Advanced Persistent Threat)에 실제로 사용되는 기법들을 담고 있어서 인상적이었다.

<우영우>에서 판사는 변호사가 APT에 대해 설명하려고 하자 “목표 대상을 향해 지능적이고 끈질기게 공격한다는 뜻”임을 이미 알고 있으니 넘어가라고 한다. 사실 APT에 사용되는 기법은 매우 광범위해서 짧은 시간 안에 몇 가지 용어를 설명하는 것으로는 부족하다. 좀 더 직관적인 이해를 돕기 위해, 보안이 잘 갖추어진 건물 안에 금고가 있고, 그 안에 있는 보물을 훔치려고 하는 도둑의 입장을 상상해보자. <도둑들> <오션스 일레븐> 등의 범죄영화를 생각하면 쉽게 상상할 수 있을 것이다.

범행의 전 과정은 금고에 접근할 수 있는 직원을 찾고, 이 직원에게 접근할 방법을 찾아내고, 직원을 함정에 빠뜨려 금고에 접근하는 데에 필요한 핀넘버나 열쇠 등을 얻어내고, 금고에 접근해서 보물을 훔쳐내어 탈출한 다음, 보물을 현금화하는 데까지 여러 단계로 이루어진다.

실제 APT는 짧게는 몇 주, 길게는 1년여의 준비과정을 거친다. 직원을 함정에 빠뜨리기 위해 직원의 뒷조사를 하는 일도 흔하다. 직원이 금고까지 가는 길을 열어주면 그때부터 금고를 열기 위해 각종 보안장치를 뚫는 기술이 종합적으로 사용된다. 이 모두를 해낸 다음에도, 들키지 않고 보물을 들고나오는 일도 간단하지 않다. APT는 이런 모든 과정이 사이버 공간에서 일어난다.

■누가 금고에 접근할 수 있나

<우영우>에서 사건은 데이터베이스 관리자 권한을 가진 직원에게 밤늦게 도착한 e메일을 보여주면서 시작된다. 해커는 이 직원이 데이터베이스 관리자라는 것을 어떻게 알았을까? 이 직원의 e메일 주소는 또 어떻게 알았을까? 드라마에서는 내부에 공범이 있었으므로 공범이 알려주었을 수도 있다. 공범이 없는 경우라면 사회관계망서비스(SNS)나 각종 강연, 인터뷰 자료 등을 검색해서 특정 회사의 보안부서 직원의 정보를 찾기도 하고, 그 회사의 e메일 주소를 무작위로 생성해서 어느 주소가 실제로 사용되는지 찾아보기도 한다. 일단 실제로 사용되는 e메일 주소들을 확보하고 나면, 그중 한 직원의 계정을 해킹한 다음, 그 직원의 계정을 이용해 직원 정보 데이터베이스에 접근할 수도 있다. 사내에서만 사용하는 관리자 계정을 해킹하기 어려울 때는 중요한 정보에 접근 권한을 가지고 있으면서 상대적으로 외부에서 접근하는 일이 많은 파견 직원이나 계약직 직원들의 계정을 해킹하기도 한다. 지난 2월 미국 정부는 러시아 정부가 지원하는 해커들이 미국 국방 관련 사업에 종사하는 계약직 직원들의 계정을 해킹해서 무기 정보 등 중요한 정보를 유출했다는 의혹을 제기했다.

이런 이유로 매우 민감한 정보를 다루는 직군의 사람들은 공격 목표가 되는 것을 피하기 위해 자신의 직업에 대한 구체적인 정보를 SNS 등에 공개하지 않는 경우가 많다. 2020년 이랜드에 클롭 랜섬웨어를 퍼뜨려 500억원을 지불하라고 협박한 해커집단은 한국, 미국, 우크라이나 경찰의 공조 수사를 통해 2021년에 체포되었는데, 그 수사를 비롯해 각종 사건에서 해커 추적을 돕는 지인은 SNS를 전혀 하지 않는다. 업무상 연락처를 공유해야 할 때에는 관리자 권한이 있는 계정과 별도로 외부와의 연락에만 사용하는 계정을 따로 만들어 공유한다. 심지어 어떤 보안 전문가는 연락처를 줄 때마다 새로운 계정을 만들어서 해킹 시도가 발견될 경우 어느 업무 파트너를 통해 계정 정보가 유출되었는지를 파악하기도 한다. 가능한 한 관리자 권한이 있는 계정은 사내에서만 사용하고, 불가피하게 외부에서 사용해야 할 경우 VPN(Virtual Private Network)을 사용한다든지 해서 통신을 암호화한다. 특히 암호화되어 있지 않은 와이파이는 누군가 네트워크에서 도청하고 있어도 알 수 없기 때문에 그럴 때는 절대 주요 서버에 접속하지 않는다.

■함정을 파기 위한 뒷조사

직원 한 명의 계정이나 컴퓨터를 해킹하는 데에 가장 많이 쓰이는 것은 피싱(phishing) e메일이나 문자다. 2010년대 초반 누구나 한번쯤은 받았을 ‘김미영 팀장’의 대출 권유 문자가 피싱 문자의 시초라면, 최근에는 “고객님께서 주문하신 상품 배송이 시작되었습니다”라는 메시지와 함께 배송 추적 링크로 위장하는 등 악성코드 배포 URL을 첨부한 문자가 좀 더 유행하는 추세다.

이런 피싱 e메일이나 문자 중 어느 정도 유형이 정해져 있는 것들은 스팸 필터에서 걸러주기도 하고, 받는 사람들도 조심할 수 있다. 하지만 공격 대상을 오랫동안 관찰하는 사회공학적 기법(social engineering)을 이용해서 맞춤형으로 공격하는 스피어 피싱(spear phishing)을 회피하기는 쉽지 않다. <우영우>에서는 피싱 메일이 직원의 컴퓨터에 도착한 밤 늦은 시간부터 해킹의 시작으로 간주해서 그다음날 변경된 법령을 적용할지 말지 논쟁하지만, 사실 직원 동생의 이름과 자기소개서라는 문맥을 알 만큼 직원의 사생활을 이미 파악하고 있었다는 점에서 해킹의 준비 단계는 훨씬 전에 시작했을 것을 미루어 짐작할 수 있다.

동생의 이름뿐만 아니라 자기소개서를 준비 중이라는 개인적인 정황을 다 알고 있을 수 있나 의아해질 수도 있겠지만, 실제로 2016년 인터파크 해킹 사건에도 직원의 여동생 말투까지 흉내낸 e메일이 사용되었다. 사적인 e메일을 회사 컴퓨터에서 읽지 않으면 될까? 업무 관련 작업을 하는 컴퓨터와 사적인 용무를 보는 컴퓨터를 분리해서 쓰는 것은 좋은 습관이지만, 외부 협력업체의 자료를 기다리고 있는 직원에게 “늦어서 죄송합니다” 같은 제목을 붙여 첨부파일을 보내면 급하게 열어볼 것이다.

이때는 아직 해커가 공격을 준비하고 있다는 사실을 들키지 않기 위해 e메일이나 SNS에 올라오는 포스팅 등을 읽기만 하기 때문에, 공격 대상이 된 사람이 해커의 주목을 받고 있다는 상황을 알아차리기는 쉽지 않다. 해커가 e메일이나 SNS 계정의 패스워드를 사용할 경우, 평소와 다른 장소(IP 주소)나 본인이 사용하지 않은 시간대에 로그인했는지 확인해볼 수 있다. 개인정보보호위원회와 한국인터넷진흥원이 함께 운영하고 있는 ‘털린 내 정보 찾기’(https://kidc.eprivacy.go.kr/) 서비스를 정기적으로 이용해서 내 계정 정보가 유출되지는 않았는지 확인하는 것도 좋은 방법이다.

■함정에 빠지면 본격적인 범행의 시작

금고에 접근할 수 있는 직원을 찾아 그의 약점을 파악하고 나면 본격적인 범행을 위한 함정을 판다. 드라마 속 데이터베이스 관리자가 다운로드받은 첨부파일을 열어보면, 분명히 워드 파일인데 “마이크로소프트와 관련이 없는 응용 프로그람을 이용하여 작성된 문서. 문서를 보시려면 도구바의 콘텐츠 사용을 클릭하세요”라는 안내가 뜬다. 이는 실제로 해킹에 사용되는 기법으로, 부가기능인 진단 툴이나 데이터 전송 툴 등을 통해 문서 파일 안에 숨겨둔 악성코드(또는 인터넷에서 악성코드를 다운받는 코드)를 실행시킨다. 비슷한 예로, 엑셀 파일을 열었을 때 “매크로를 실행하시겠습니까?”라는 안내에 “예”를 클릭할 경우 악성코드가 실행되는 첨부파일도 있다. 극중 직원은 빈 문서를 보고 첨부파일에 오류가 있었다고 생각하고, 직원이 보지 않는 사이 악성코드는 연결되어 있던 고객 정보 데이터베이스에서 정보를 빼내 해커에게 전달한다. 뒤늦게 스피어 피싱에 당했다는 것을 알아챈 직원이 급히 워드 프로그램을 종료해보려고 시도하지만, 이미 마우스의 통제권까지 뺏긴 상태다.

이미 사회공학적 방법을 통해 직원에게 맞춤형으로 만들어진 스피어 피싱 메일은 진위를 판별하기 어려워 첨부파일을 여는 것까지는 어쩔 수 없다손 치자. “마이크로소프트와 관련이 없는 응용 프로그람”이라는 안내 메시지에 의심을 가지고 콘텐츠 사용에 클릭하지 않았으면 악성코드에 감염되지 않았을 것이라고 생각할 수도 있지만, 사람의 눈과 뇌는 익숙하게 생긴 안내 메시지의 오타를 쉽게 발견하지 못한다. 콘텐츠 사용이나 매크로 실행이 필요한 문서를 작업하는 컴퓨터는 민감한 정보가 담긴 데이터베이스에 접근하지 못하도록 별도의 네트워크에 연결한다든가, 문서 작업을 ‘샌드박스’라 불리는 외부와 차단된 환경에서 실행하도록 하는 등 시스템적인 해결책이 더 효과적이다.

■조용히 보물을 들고나와 현금화

드라마에서는 동생에게서 e메일을 보낸 적이 없다는 얘기를 듣고 바로 스피어 피싱에 당했다는 것을 알아차리지만, 실제로는 APT 공격으로 인해 피해를 입었다는 사실을 알아차리는 데는 훨씬 긴 시간이 걸리는 것이 보통이다. 글로벌 보안솔루션 업체 파이어아이는 매년 해커가 서버에 접근한 첫날로부터 업체가 해킹을 인지하는 데까지 걸린 시간의 중간값을 지역별로 제공한다. 가장 최근의 리포트는 2019년 10월부터 1년간 알려진 해킹 사건들을 분석한 결과, 전 세계 중간값은 24일, 미국은 17일, 아시아·태평양 지역은 76일이라고 보도했다.

협박을 통해 금전을 갈취하는 것을 목표로 하는 랜섬웨어의 경우는 해킹에 성공하면 비교적 빨리 피해자에게 알려서 금전을 받아내고자 한다. 하지만 고객 정보나 기업 기밀을 유출하는 것이 목적인 경우는 스피어 피싱을 통해 악성코드를 설치한 다음 시간을 들여 더 많은 정보를 빼내고, 그동안 사내의 다른 컴퓨터로도 침투하여 데이터뿐만 아니라 이렇게 장악한 컴퓨터와 인터넷 자원을 디도스(DDoS) 같은 다른 해킹에 사용하기도 한다. 고객 정보나 기업 기밀은 다크웹에서 팔 수도 있고, 반대로 피해기업을 협박해서 금전을 갈취하는 데에 사용할 수도 있다. 장악한 컴퓨터와 인터넷 자원을 다른 해킹에 사용한 경우, 피해기업이 해킹에 가담했다는 증거를 확보했다며 도리어 피해 기업에 입막음 비용을 내라고 협박하기도 한다.

■빨라지는 진단과 대응

이렇게까지 장기간에 걸쳐 시간과 자원을 들여 준비하는 APT를 100% 막아내기는 매우 어렵다. 물론 공격을 막는 방법도 발전하고 있지만, 공격을 빨리 발견해서 대응하는 기술도 아주 중요하다. 글로벌 보안솔루션 업체 파이어아이가 발표한 2022년 리포트를 보면 아시아·태평양 지역이 APT를 적발하는 데 걸린 시간의 중간값은 2018년 204일에서 2020년 76일로 줄어들었다. 2011년 농협 해킹의 경우 무려 18일 동안 일부 은행 업무가 마비되었고 복구 불가능한 거래 내역도 있었던 반면, 2018년 평창 동계올림픽 서버 해킹의 경우 12시간 만에 모든 시스템이 복구되었다.

치밀한 표적화, 100% 예방 어려워
다행히 해킹만큼 보안기술도 발전
훈련으로 ‘사이버 면역력’ 키워야

우리가 외부에서 우리 몸으로 들어오는 바이러스를 100% 차단할 수 없는 것처럼, APT를 100% 막을 수는 없지만 바이러스와 싸워 이길 면역 시스템을 준비할 수는 있다. 일례로 한국인터넷진흥원은 다크웹에서 거래되는 개인정보를 꾸준히 모니터해서 ‘털린 내 정보 찾기’ 서비스를 제공하고, 매년 APT에 대비하고자 하는 기업들을 대상으로 모의 훈련을 실시하고 있다. APT 등 해킹으로부터 서버를 보호하는 정보보호제품은 성능평가를 통해 효과를 확인해준다. 이런 노력을 통해 사이버 면역력을 키워둘 필요가 있다.

▶정은진 교수

서울대 전산과학과를 졸업하고 미국 오스틴에 있는 텍사스주립대학에서 전산과학 석·박사 학위를 받았다. 현재 샌프란시스코대학 부교수로 재직 중이다. 분산시스템과 인터넷에서의 보안을 연구했고, 최근에는 게임이론을 이용해서 합리적인 사람들이 블록체인처럼 탈중앙화된 시스템을 안전하게 사용할 수 있게 해주는 방법을 연구하고 있다. 최신 기술의 발전을 가까이 볼 수 있는 실리콘밸리에서 컴퓨터과학을 오래 가르치면서 기술이 사회에 미치는 영향에 대해 깊이 생각하게 되었고, 그 영향력을 선한 방향으로 이끌어가기 위해서는 더 많은 사람들이 기술을 쉽게 이해할 수 있어야 한다고 믿는다.

해킹 APT 스피어피싱 한국인터넷진흥원