2013년, 사이버테러와의 전쟁...국제 APT 공격그룹의 국내 타깃 공격도 빈번
KISIA, 정보보호 유지관리 서비스 개선 노력...조규곤 제11대 회장 “정보보호 날·달 제정 의미”
[보안뉴스 권 준 기자] 2013년 한 해는 3.20·6·25 사이버테러를 비롯해 스미싱, 인터넷뱅킹 등 각종 사이버공격과의 전쟁이었다고 해도 과언이 아니다. 유난히 사이버공격과 사건사고가 많았던 한 해였으며, 사이버 보안 위협은 점점 더 다양화·고도화·지능화되는 등 많은 변화가 있었다.
[이미지=icilckart]
3.20 사이버테러 발발, 언론사 및 금융 전산망 마비
북한 정찰총국 소행으로 알려진 3.20 사이버테러는 2013년 당시 전 국민을 떠들썩하게 만든 대형 사이버테러 사건이었다. 3월 20일 KBS, MBC, YTN 등의 방송국과 농협, 신한은행, 제주은행, 우리은행 4곳이 사이버공격을 당해 직원 PC, 서버 등이 악성코드에 감염되면서 인터넷 뱅킹 거래와 현금 자동입출금기 이용 등이 중단되는 사태가 발생했다.
3.20 사이버테러를 감행한 북한 추정 해커조직은 피해기업의 내부 직원 PC를 감염시키기 위해 액티브X 모듈의 업데이트 기능을 이용해 업데이트 파일 경로를 변조시키는 방법 등을 활용했으며, 하드디스크를 파괴하기 위해 내부 모든 PC의 백신 업데이트 등을 제어·관리하는 중앙관리 솔루션의 취약점을 악용했다. 특히, 해당 조직은 오래 전부터 보안 소프트웨어를 포함해 국내 SW를 상세히 연구·분석해 취약점을 찾아내고, 이를 악성코드 유포에 악용했던 것으로 조사됐다.
특히, 3.20 사이버테러를 일으킨 해커조직이 지난 2007년 2월부터 우리나라의 기밀정보 탈취를 시도해온 조직으로, ‘키리졸브, 작전, 미군, Key Resolve, Warfare’ 등 국가안보에 관련된 한글 및 영문 키워드들이 포함된 비밀문서를 탈취해 왔던 것으로 드러나 더욱 큰 충격을 줬다.
사이버위기 경보 단계, 관심에서 주의로 상향 조정
정부는 언론 및 금융사 전산망 마비와 관련해 2013년 3월 20일 15:00부로 사이버위기 경보를 총 5단계(정상→관심→주의→경계→심각) 중 2단계인 ‘관심’에서 3단계인 ‘주의’로 상향 조정했다.
군 당국 역시 전산망이 마비되면서 정보작전방호태세인 ‘인포콘’을 4단계에서 3단계로 한 단계 격상했다. 인포콘은 북한이 사이버테러 등의 시도에 대비하는 정보작전방호태세로 5단계-정상(통상적 활동), 4단계-알파(증가된 위험), 3단계-브라보(특정한 공격위험), 2단계-찰리(제한적 공격), 1단계-델타(전면적인 공격) 등 5단계로 구분된다. 인포콘이 4단계에서 3단계로 한 단계 격상하면서 국방부와 각 군 본부 및 군단급 정보전 대응팀은 비상 전투준비태세에 돌입해 본격적인 대응채비에 나서기도 했다.
또한, 금융위원회는 2013년 3월 20일 오후 2시경에 발생한 금융권 전산사고 경위와 향후 대응방안을 브리핑했으며, 금융전산위기관리협의회(의장: 금융위원회 사무처장)를 구성해 금융권별 상황을 파악하고, 사고 원인 규명에 나섰다. 이와 함께 실무반인 금융전산위기상황대응반(반장: 금융위 전자금융팀장)을 가동했다.
정부는 언론 및 금융사 전산망 마비와 관련해 2013년 3월 20일 15:00부로 사이버위기 경보를 총 5단계(정상→관심→주의→경계→심각) 중 2단계인 ‘관심’에서 3단계인 ‘주의’로 상향 조정했다.
[이미지=icilckart]
민·관·군 합동대응팀, ‘3.20 사이버테러’ 북한 정찰총국 소행 발표
당시 방송통신위원회, 경찰청, 한국인터넷진흥원 등의 관계자로 구성된 민·관·군 합동대응팀은 피해기관으로부터 채증한 악성코드 초동 분석에서 업데이트 관리서버(Patch Management System)를 통해 유포가 진행됐으며, 부팅영역(Master Boot Record)을 파괴시킨 것으로 분석했다. 또한, 농협의 시스템을 분석한 결과 중국 IP(101.106.25.105)가 백신 소프트웨어(SW) 배포 관리 서버에 접속해 악성파일을 생성했음을 확인했다고 발표했다. 당시 피해 규모는 방송·금융기관 6개사의 PC와 서버 3만2천여 대가 피해를 당한 것으로 집계됐다.
이러한 조사결과를 바탕으로 민·관·군 합동대응팀은 3.20 사이버테러가 북한 정찰총국 소행임을 공식 발표했다. 주요 방송사 및 금융기관의 사이버테러에 이어 ‘날씨닷컴’ 사이트를 통한 악성코드 유포, 대북보수단체 홈페이지 자료 삭제, YTN 계열사 홈페이지 자료서버 파괴 등이 모두 북한 해커조직 소행이라고 발표했다. 이에 따른 근거로 합동대응팀은 북한 내부에서 국내 공격경유지에 수시 접속하며 장기간 공격준비를 한 점, 공격경유지가 과거 사용했던 경유지와 동일한 점, 악성코드 재활용, 개발경로 등을 꼽았다.
6.25 사이버테러 또 발생, 청와대 및 주요 정부기관 등 피해 입어
하지만 3.20 사이버테러가 발생한지 3개월여 만에 또 다시 6.25 사이버테러가 발생했다. 2013년 6월 25일 오전 9시 10분경 청와대 홈페이지 및 주요 정부기관 등이 사이버 침해 공격을 받으면서 홈페이지 접속이 불가능해지고, 서버가 다운되는 등의 피해를 입은 것이다. 하드디스크 파괴와 디도스(DDoS) 공격을 병행한 사이버테러였다. 이는 좀비 PC를 사용한 2009년 7.7 디도스 공격이나 2011년 3.4 디도스와 달리 APT(Advanced Persistent Attack, 지능형 지속 공격) 공격을 통해 국내 주요기반시설에 동시다발적 피해를 준 사례였다.
6.25 사이버공격은 3.20 사이버테러를 일으킨 조직과 동일조직으로 밝혀졌으며, 기존에 알려져 있지 않은 악성파일과 보안취약점(Zero-Day)을 이용해서 주요 웹사이트 침투, 자료수집, 공격 수행(디도스 공격, 자료 파괴) 등의 활동을 반복하며 은밀하게 각종 기밀자료를 확보하는 등 사이버전의 기초 자료로 활용한 것으로 드러났다. 특히, 이전의 불특정 다수를 타깃으로 한 무차별적인 악성코드 유포와 달리, 특정 프로그램의 업데이트 기능 취약점을 비롯해 웹 취약점, 스피어피싱 이메일(특정 표적에 최적화된 내용의 악성메일) 등을 이용하고, 내부 침투 이후 장기간 분석으로 각 피해 회사의 내부 인프라를 이용한 공격을 수행했다. 또한, 분석 및 복구가 어렵게 단기간 내 악성코드를 업그레이드하는 등 공격과정에서 지능적인 모습을 보였다.
이 가운데 청와대, 국정원, 새누리당(현 자유한국당) 홈페이지는 기존에 실행되지 않은 새로운 공격 형태인 악성스크립트 방식의 디도스 공격이 감행됐고, 정부통합전산센터(현 국가정보자원관리원)와 새누리당 각 시도당 홈페이지는 좀비PC를 통한 디도스 공격을 받은 것으로 알려졌다. 공격자는 최소 수개월 이상 국내 P2P사이트와 웹하드 서비스, 웹호스팅 업체 등 다중 이용 사이트를 사전에 해킹해 다수의 공격목표에 대한 취약점을 미리 확보하는 등 치밀하게 공격을 준비한 것으로 밝혀졌다.
[이미지=icilckart]
국제 APT 공격그룹의 국내 타깃 공격 현실화
2013년에는 국제 APT 공격그룹의 국내 타깃 공격이 활발한 해였다. 우리나라 국방기술과 제조 관련 기업의 첨단기술 탈취를 목적으로 하는 공격그룹과 2011년부터 지속적으로 게임머니 획득과 게임 인프라 구축기술 유출을 목적으로 하는 공격그룹 등의 활동이 보고됐기 때문이다.
국내에서 활동이 보고된 APT 그룹은 다양한 공격방법과 치밀한 침투 시나리오, 표적별로 특화된 악성코드를 사용하는 특징을 나타냈다. 이와 같은 고도화된 공격기법을 사용하는 국제 사이버 산업스파이 그룹은 공격목적에 따라 국가·군사기관과 범죄 집단의 지원을 받고 있는 것으로 추정되며, 다국어에 대한 처리가 가능한 인력으로 구성된 것으로 조사됐다. 풍부한 자본과 체계적인 공격조 구성, 기술력을 바탕으로 여러 국가의 고급정보를 유출하는 시도가 국내에서도 잇따라 발생해 다각적인 APT 공격이 현실화된 순간이었다.
스미싱 위한 모바일 악성코드의 폭발적 증가
2013년은 스미싱과 파밍 등이 폭발적으로 증가하며 기승을 부린 한해였다. 2012년 30여 건에 불과했던 스미싱 악성코드는 2013년에는 11월까지만 4천6백여 건이 확인됐다. 초기에는 소액결제 시 인증 문자를 유출하는 기능으로 시작했다가 이후 스마트폰에 설치된 은행 앱의 종류를 식별하고 설치된 은행앱을 악성앱으로 교체해 사용자가 스스로 금융정보를 입력하도록 유도하는 파밍 형태로 이어졌다. 그 이후에는 보이스피싱으로 악성앱 설치를 유도하는 결합 형태도 확인됐으며, 사용자의 악성앱 설치를 유도하기 위한 스미싱 문구도 특수 시즌 활용, 기관사칭, 관혼상제, 사회적 이슈, 불안감 조성 등 사람들의 호기심을 자극하는 사회공학적 기법과 유출된 개인정보를 조합하는 등 다양한 형태로 빠르게 진화했다.
이러한 전자금융사기수법은 피싱, 파밍, 보이스피싱, 스미싱, 메모리해킹 등 PC·모바일을 가리지 않고 매우 다양해졌다. 특히, 2013년 6월과 9월에 발견된 온라인 게임핵 악성코드(온라임 게임계정 탈취 기능)에서 기존에 없었던 국내 인터넷 뱅킹 사이트에 대한 정보유출 기능이 확인되면서 큰 충격을 안겼다. 해당 악성코드에서 사용한 각 은행 사이트별 ‘메모리 해킹을 통한 보안모듈 무력화’ 및 ‘이체정보 변조’의 기능은 기존의 뱅킹 악성코드에서 볼 수 없었던 새로운 기법으로, 진화하고 있는 인터넷 뱅킹 악성코드의 트렌드를 대변했다.
‘메모리 해킹을 통한 보안모듈 무력화’ 기능을 갖춘 악성코드는 사용자가 금융거래를 위해 금융기관 사이트 방문 시 보안을 위해 자동으로 구동되는 키보드 보안 솔루션, 공인인증서 등 보안 모듈의 메모리를 해킹(수정)해 정상 작동 과정에서 정보를 유출했다. 해당 악성코드의 최초 발견 이후 무력화를 시도하는 보안 모듈도 지속해서 추가됐으며, 보안 모듈 업데이트마다 악성코드도 변경되는 치밀함을 보였다.
2013년 9월에 발견된 ‘이체정보 변조’ 악성코드는 기존 메모리 해킹(수정) 방식에, 인터넷 뱅킹 거래 시에 공격자가 원하는 특정 은행 계좌번호와 이체금액으로 변경하는 기능이 더해졌다. 즉, 사용자가 인터넷 뱅킹을 시작할 때만 동작해 금융정보 유출을 하는 것은 물론이고, 사용자가 특정 은행에서 금전을 이체할 때 (1)받는 사람의 계좌번호를 공격자의 계좌번호로 몰래 바꾸고 (2)사용자의 계좌 잔액을 파악(공격자가 설정한 기준금액에 맞거나 더 많을 시)한 후 이체하는 금액도 사용자 몰래 수정까지 가능해 피해가 더욱 컸다.
개인정보보호법·정보통신망법 개정 등 법 강화와 인증제 도입
정보보호 및 개인정보보호 관련 법령도 2013년 개정됐다. 개인정보보호법은 주민번호 수집 법정주의, 과징금·징계 권고 제도 등의 내용이 2013년 8월 6일 개정돼 2014년 8월 7일부터 시행됐다. 이에 따라 ‘주민번호 수집 법정주의’로 원칙적으로 주민번호 처리가 금지되고, 예외적 처리만 허용되는 것으로 개정됐다. 또한, 기 보유 주민번호 중 법령상 근거가 없는 경우에는 법 시행 후 2년 이내 파기해야 하는 것으로 바뀌었다. 과징금 제도가 신설되면서 주민번호 유출 시 과징금(5억원 이하)이 부과되고 CEO 등에 대한 징계권고도 신설됐다.
2013년 들어 개인정보보호법 시행 2년이 경과하면서 개인정보처리자의 자율적인 개인정보보호조치 이행 유도를 위해 11월 28일부터 개인정보보호 인증제(PIPL)가 본격 시행됐다. 또한, 정보통신망법 개정에 따른 정보보호관리체계(ISMS) 인증 의무화가 2013년 2월 18일부터 시행됐다. ISMS 인증 의무 대상자는 정보통신망 서비스를 제공하는 사업자(ISP), 집적정보통신시설 사업자(IDC), 정보통신서비스 제공자 중 정보통신 부문 연매출 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일평균 이용수 100만명이 넘는 사업자로, 기한 내에 인증을 획득하지 않으면 1,000만원의 과태료를 부과 받을 수 있도록 했다.
또한, 금융권에서는 전자금융감독규정을 통해 망분리 의무화와 금융회사 정의가 명확해졌다. 전자금융감독규정의 경우에는 2013년 12월 3일 정보보호최고책임자의 지정대상 규정(제6조의2), 보안규정 위반에 따른 내부 처벌근거 마련 의무화(제8조의2), 금융전산 망분리 의무화(제15조) 임직원에 대한 정보보호 교육계획 수립·시행(제19조의2), 취약점 분석·평가 관련 주기·내용 등 규정(제37조의2), 침해사고대응기관 및 업무범위 지정(제37조의4) 관련 내용이 일부 개정돼 시행됐다.
2013년 정보보호 분야 매출, 1조 6,167억 6,100만원
한국정보보호산업협회(KISIA) 조사에 따르면 2013년 정보보호산업 총 매출은 7조 1,454억 4,400만원으로 2012년 대비 14.5% 증가한 것으로 나타났다. 이 가운데 정보보안 분야 매출은 2012년 1조 5,775억 8,700만원에서 2013년 1조 6,167억 6,100만원으로 2.5% 증가했다. 정보보안 분야의 중분류별 매출을 살펴보면, 정보보안 제품은 네트워크보안, 콘텐츠/정보유출 방지보안, 시스템 보안 분야 순으로 매출 비중이 높았으며, 정보보안 서비스는 보안관제, 보안컨설팅, 유지보수 서비스 분야의 매출 비중이 높은 것으로 조사됐다.
정보보호업계의 동향을 살펴보면 2013년에는 국내 정보보호업체가 해외업체를 인수하는가 하면, 보안이슈로 인해 국내 통신사가 보안시장에 진출하는 등 타 분야 기업에서도 보안에 많은 관심을 보였던 한해였다. 한글과컴퓨터는 모바일 프린팅 분야의 글로벌 선두기업인 영국의 ‘소프트웨어 이미징(Software Imaging)’사의 지분 100%를 인수하는 계약을 체결했다. 이니텍은 신사업의 일환으로 효율적인 물류 IT 플랫폼 확립을 위한 전자인수증 시스템 구축 및 운영사업에 진출하기도 했다. 전자인수증 시스템 사업은 KT와 공동으로 추진하는 사업으로 이니텍은 KT와 운영사업자 계약을 체결하며, ‘olleh biz 전자인수증’ 서비스를 위한 시스템 운영 업무를 맡았다. 또한, 에스지앤은 어울림정보기술의 SSL VPN 제품인 ‘SECUREWORKS TRUIN’을 인수했고, SGA는 계열사인 SGA 시스템즈를 통해 유큐브의 교육사업 부문을 인수했다.
정보보호 분야, 산학간 업무협력 움직임 ‘활발’
또한, 2013년은 정보보호업체 간 업무협력은 물론 업체와 대학교간의 산학협력 프로젝트도 활발했던 한해였다. 일례로 윈스테크넷(현 윈스)의 경우 경기대 융합보안학과와 산학연 공동 프로젝트 개발 및 정보보안 우수인력 양성 등에 관한 산학협력 양해각서를 체결했으며, 호원대학교 사이버수사경찰학부와는 정보보안 우수인력 양성 등에 관한 산학협력 양해각서를, 케이엘넷과는 물류 정보보안 시장 진입을 위한 정보보호사업 공동 마케팅 및 상호 협력을 위한 양해각서 체결을, 한국폴리텍대학교(아산캠퍼스), 한국복지대학교와도 각각 정보보안 우수인력 양성 등에 관한 산학협력 양해각서를 체결하고 학생들을 위한 실습 장비를 기증했다.
개인정보보호 위해 가장 많이 도입한 솔루션은 ‘DB암호화’
개인정보보호법 본격 시행 2년째를 맞은 2013년은 각 기업이나 기관에서는 법 준수와 개인정보보호를 위해 여러 가지의 개인정보보호 솔루션을 도입해 운영하고 있는 것으로 조사됐다. 특히, 최근 기업과 기관 등에서 크고 작은 개인정보유출 사고가 잇달아 발생하면서 개인정보보호에 대한 고민과 관심이 점점 높아지고 있는 상황에서 가장 많이 도입한 개인정보보호 솔루션은 ‘DB암호화’인 것으로 나타났다.
이는 본지가 중앙정부·지자체·공공기관·금융기관 보안책임자 및 보안담당자 1,535명을 대상으로 진행한 설문조사 결과에 따른 것으로, 각 기업과 기관에서 개인정보보호를 위해 도입·운영하고 있는 보안 솔루션으로 ‘DB암호화’가 전체 응답자 중 총 764명(49.8%)이 대답했다. 특히, 지난 2011년 수천만 명의 고객 개인정보 DB가 외부로 유출되는 보안사고가 잇따라 터지면서 이를 막기 위한 DB암호화 솔루션에 대한 관심이 높아졌고 특히 개인정보보호법에 시행에 따라 DB암호화가 의무화되면서 DB암호화 솔루션 도입이 기존 공공과 은행권 중심에서 금융권 전반을 비롯해 최근엔 대기업까지 확산되고 있기 때문인 것으로 분석됐다.
이어서 두 번째로 많이 도입한 보안 솔루션은 ‘PC개인정보보호’로 전체 응답자 중 691명(45.0%)이 답했다. 이는 지난 2011년 개인정보보호법 발효 이후 개인 및 고객정보 보호조치에 대한 필요성이 높아졌으며, 특히 기업이나 기관의 업무용 개인 PC안에 산재된 개인정보가 포함된 문서를 검색하고 암호화 또는 완전삭제 기능을 제공하는 PC개인정보보호 솔루션을 도입해 활용하고 있는 것으로 파악됐다.
▲2013년 개최된 정보보호산업인의 밤 행사 모습[사진=KISIA]
KISIA, 정보보호 유지관리 서비스 개선에 힘 모으다
협회는 2013년 2월 20일 회원사를 비롯해 유관기관 주요 인사 등 150여명이 참석한 가운데 정기총회를 개최했다. 2013년 KISIA는 ‘유지관리 서비스현황 및 개선 방안 연구’, ‘아시아 보안 커뮤니티 결성 및 이스라엘과 기술 교류회 개최’ 등을 통해 기업들의 국내사업 환경 개선과 해외진출 사업 지원에 주력했다.
특히, 업계의 숙원과제인 유지관리 대가 합리화 노력의 하나로 ‘정보보호 유지관리 서비스현황 및 개선 방안 연구’를 진행했다. 또한, 동남아 및 중동국가 유관기관과 협력 MOU 체결, 국내외 상담회 개최 등 교류활동을 통한 민간 차원의 글로벌 정보공유 및 협력 사업을 더욱 활성화시켰다.
[KISIA 역대 회장 인터뷰] 조규곤 제11대 회장(현 파수닷컴 대표)
“정보보호의 날·달 제정 매우 뜻 깊어”
▲조규곤 KISIA 제 11대 회장[사진=KISIA]
회장 재임기간 중 가장 큰 화두가 됐던 보안 이슈는 개인정보보호법이 2012년 3월 30일부터 본격적으로 시행됐는데, 법 제정으로 개인정보보호에 있어 패러다임이 바뀌는 시기였던 만큼 아무래도 가장 큰 화두가 됐던 것 같습니다.
제11대 회장 재임기간 중 정보보호 산업 발전을 위해 가장 중점적으로 추진했던 사업은 재임기간 중에 글로벌 시장 진출, 정보보안 유지관리 비용 현실화, 회원사들의 경쟁력 강화 등을 중점적으로 추진했습니다. 이들 모두 단시간 내에 성과가 뚜렷하게 나타나기는 어렵지만, 이전보다는 조금씩 나아졌으며, 지금도 계속해서 개선되어 가고 있는 중인 것 같습니다. 또한, 정부에서 2012년부터 매년 7월을 ‘정보보호의 달’, 7월 둘째 주 수요일을 ‘정보보호의 날’로 제정한 것이 가장 기억에 많이 남습니다. 임기 막바지에 국회 청문회에 참고인으로 참석한 것도 새로운 경험이었습니다.
회장 재임 당시에 가장 주목을 받았던 보안기술 및 솔루션과 그 이유는 개인정보보호법 시행에 따라 아무래도 개인정보보호 관련 솔루션이 가장 큰 주목을 받았으며, 모바일과 클라우드의 안전한 사용을 위한 정보보호 솔루션이 부상하기 시작했던 것 같습니다.
당시 공공기관이나 기업들의 보안인식 수준은 어땠고, 보안 솔루션 도입시 요구사항은 무엇이었나요 2013년 3월 국내 주요 은행과 방송사 전산망을 마비시켰던 일명 3.20 사이버테러, 2014년 1월 카드사 고객유출 사고 등으로 인해 서비스 제공업자들뿐만 아니라 국민들까지도 개인정보보호에 대한 의식이 매우 높아졌습니다. 이에 따라 그 당시 기관 및 기업 보안담당자들도 개인정보보호 솔루션과 모바일·클라우드 보안 솔루션 도입에 중점을 뒀습니다.
*해당 기사의 저작권은 한국정보보호산업협회(KISIA)에 있습니다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>