총성 없는 전쟁, 사이버전의 심화
출판업 근간을 흔든 알라딘 e북 해킹 사건 파장
해킹으로 돈 맛 본 북한, 이에 따른 사이버 위협과 각국의 제재
사이버 보안 기업들의 쾌속질주, 6개 기업 상장 ‘성공’
[보안뉴스 박은주 기자] 다사다난했던 2023년 한 해가 저물어 간다. 사이버 공간은 일상생활과 비즈니스, 국가 시스템을 운영하는 터전으로 공고해졌다. 이에 따라 사이버 보안은 생존 문제로 부상했다. 한 해 동안 벌어진 사이버 보안 사건은 우리 생활에 큰 영향을 끼치고, 교훈을 남겼다.
[이미지=gettyimagesbank]
총성 없는 전쟁, 사이버전
2023년에는 전쟁으로 지구촌 곳곳이 들끓었다. 이미 2022년 발발한 러시아-우크라이나 전쟁으로 수많은 목숨이 희생되고, 에너지난·곡물 위기가 발생해 세계 경제가 휘청였다. 전장은 지상·해상·공중을 가리지 않았고, 사이버 공간까지 확산됐다. 러-우 전쟁은 사이버전의 중요성을 실감하는 계기가 됐다.
지난 10월 발발한 이스라엘-팔레스타인(하마스) 전쟁에서도 사이버전이 발생, 현대 전쟁에서 사이버전은 불가피하다는 것을 증명했다. 이글루코퍼레이션이 발표한 ‘우크라이나·러시아 전쟁으로 보는 사이버전 동향 및 대응방안’ 보고서에 따르면 사이버전은 기존 전통적 전쟁과 달리 빠르고, 비교적 저렴하며 시공간의 제약이 없는 등의 특징을 가지고 있다.
양국은 공격 대상으로 공공기관·통신사·은행 등을 노렸고, 서비스 장애 혹은 개인정보 수집과 심리전을 목적으로 진행했다. 또한, 현대의 사이버전은 전쟁을 치르는 국가뿐만 아니라 해당 세력을 옹호하는 해커집단이 적극 참여한다는 특징이 있다. 러-우 전쟁과 마찬가지로 이-팔 전쟁에도 핵티비스트들이 활동했다. 직접 참전하거나, 해킹 도구 혹은 노하우를 서비스 형식으로 지원하기도 했다.
핵티비스트는 주로 ‘디도스(DDoS)’를 무기로 삼는다. 글로벌 보안기업 클라우드 플레어의 분석 결과 하마스의 공습이 있었던 10월 7일, 이스라엘과 팔레스타인을 표적 삼은 12억 6,000만건의 디도스 공격이 발생했다. 이는 초당 110만건의 막대한 규모다. 사이버전의 타깃이 되는 통신·유틸리티·은행·교통·의료 분야의 네트워크는 현대 세계를 지지하는 기반이 된다. 해당 네트워크의 보안을 유지해야 우리 삶의 신체적·사회적·정신적·경제적 안녕이 보장된다는 의미다. 이에 보안전문가들은 모든 하드웨어 및 소프트웨어 개발에서 ‘보안을 고려한 설계’를 원칙으로 삼아야 한다고 목소리를 높였다.
[이미지=gettyimagesbank]
출판업의 근간을 흔든, 알라딘 e북 해킹
지난 5월 <보안뉴스>는 인터넷서점 알라딘 e북(e-Book) 100만건 유출 정황이 있다는 내용을 단독 보도했다. e북을 유출했다고 주장하는 해커가 텔레그램을 통해 샘플 몇 건씩을 공개한 사실이 온라인 커뮤니티를 통해 알려진 것이 핵심이다.
이후 알라딘은 ‘전자책 상품 유출 안내’ 공지를 올리고 유출 사실을 공식 확인했다. 최우경 알라딘 대표는 공지문을 통해 “천번 만번의 사과 말씀에 앞서 저희는 불법 파일의 무단 배포 등 2차 피해를 막기 위해 할 수 있는 일을 모두 하겠다”라고 밝혔다. 출판문화 발전의 구심체인 대한출판문화협회에서는 ‘알라딘 e북 유출 관련 대한출판문화협회 성명서’를 발표하고, 사태의 조기 수습과 디지털 콘텐츠 업계의 보안 점검 촉구에 나섰다.
사건이 벌어지고 약 4개월이 지난 9월 주범 A씨와 공범 2명이 경찰청 사이버수사대에 검거됐다. 피의자는 16세 고등학생 A씨와 B씨(29세), C씨(25세) 총 세 명이었다. 이들은 텔레그램을 통해 알게 됐으며, A씨의 지시에 따라 B씨와 C씨는 자금 세탁 및 현금 수거를 맡았다. 경찰에 따르면 A씨는 범행을 위해 알라딘 정보통신망의 취약점을 이용해 전자책 72만여 권의 불법 복제와 변조 방지 기술(DRM : Digital Rights Management)을 해제할 수 있는 복호화 키를 무단 취득했다.
그는 평소 DRM 해제 방법에 관심을 두던 중 피해 업체의 보안상 허점을 발견했고, 직접 제작한 전자책 암호 자동해제 프로그램을 사용했다. 범행 과정에서 △인터넷 메신저를 이용한 협박 △공갈 금액으로 가상자산을 요구했으며 △인터넷 이용 시 가상사설망(VPN)을 이용해 IP 주소를 세탁하는 등 추적에 있어 난이도 높은 수단만을 사용하는 치밀함을 보였다.
A씨의 범행은 처음이 아니다. 2022년 11월, 이와 유사한 방법으로 타 인터넷서점의 정보통신망에서 약 143만권의 복호화키를 무단 취득했다. 또한 올해 7월 유명 입시학원 2곳의 강의 동영상 약 700개의 DRM을 복호화 키로 해제해 유포한 사실이 드러나기도 했다. 해당 입시학원을 협박하며 비트코인 5BTC(당시 시세 기준 약 1억 8,000만원)를 요구한 혐의도 받고 있다. 피의자 A씨가 인터넷서점 2개사, 입시학원 2곳 등 4개 피해 업체로부터 무단 취득한 전자책과 강의 동영상은 판매단가를 기준으로 했을 때 전체 합계가 약 203억원에 달한다.
경찰은 피의자 A씨가 개인용 컴퓨터와 클라우드에 보관 중이던 본건 전자책 ‘복호화 키’를 전량 회수했으며, 공갈 당시 유포된 전자책 5,000권과 강의 동영상 약 700개 이외에는 추가 유포된 자료는 없는 것으로 파악했다. 피의자들은 해킹 실력을 과시하고 싶었다는 게 범죄의 이유라고 밝혔지만, 실제는 금전을 취하기 위해 범행을 벌인 것으로 추정된다.
사건을 수사한 이지용 경찰청 국가수사본부 사이버수사국 경감은 이번 사건의 핵심을 ‘암호화된 문서의 복호화 키 유출’이라고 했다. 이 경감은 “전자문서를 암호화하더라도 복호화 키를 저장하는 서버가 외부에 노출돼 발생한 취약점”이라고 밝혔다. 전자책 서비스 기업 대부분은 보안보다 전자책을 읽기 쉽게 하는 ‘가용성’을 우선순위로 두고 있다는 지적이다. 그는 “이번 사건을 계기로 전자책 업계에서는 보관 중인 전자문서에 접근하는 인증절차, 외부 접근절차를 더욱 강화할 필요가 있다”고 제언했다.
본지는 유례없는 전자책 해킹 사고에 국내 전자책 플랫폼 상위 5대(예스24, 리디, 밀리의서재, 북큐브, 교보문고)의 대응현황을 알아봤다. ‘예스24’는 주기적으로 DRM 프로세스와 로직을 강화하고 있으며, △관리적 △논리적 △기술적 등 3중 체계로 전자책 데이터를 관리하고 있다고 설명했다. 특히 전자책 업계와 오프라인 서점을 통틀어 가장 많은 정보보호 인력을 확보하고 있다고 밝혔다. 예스24 담당자는 “전자책 업계 최초 ISMP-P 인증을 받았고, 전체적인 보안 서비스 체계를 지속해서 관리하고 있다”고 말했다.
‘리디(RIDI)’는 DRM 기술을 선제 도입하고 서비스 안정성 강화를 위해 내부 시스템 접근 권한 강화, 취약점·인프라 진단을 위한 모의해킹 등 보안 프로세스를 구축해 상시 운영하고 있다고 밝혔다. 리디 관계자는 “리디 내부에는 정보보안팀을 별도로 운영, 정보보호최고책임자(CISO), 정보보호관리자, 정보보호담당자 등 내부 전담인력을 통해 보안관리 시스템을 고도화하고 있다”는 입장을 밝혔다.
‘밀리의서재’는 월정액 도서 서비스를 제공하며, 약 12만권의 전자책을 읽을 수 있는 플랫폼이다. 밀리의서재 측 관계자는 “내부 콘텐츠가 유출되지 않도록 상시 모니터링 등 보안 강화에 만전을 다하고 있다”고 말했다. 이어 “특히, DRM 전문 솔루션 도입으로 저작물이 유출되지 않도록 최선을 다하고 있으며, 실시간 모니터링 체계도 강화하고 있다”고 설명했다.
‘북큐브네트웍스’의 북큐브(BookCube) 서비스는 웹 소설 편당 100원을 결제하면, 웹 소설을 읽을 수 있는 플랫폼으로 ‘편당 100원’이라는 업계 표준 비즈니스 모델 기반을 구축하는 데 일조했다. 다만, 북큐브네트웍스 관계자는 “알라딘 해킹 사건에 대해 우려하고 있으며, 자체적으로 보안을 강화하고 있다”면서도 “보안인력 현황이나 보안 프로세스 등에 대한 세부적인 내용을 언급하기는 힘들다”고 말했다.
‘교보문고’의 전자책 서비스는 단편 결제 구독 시스템인 ‘eBook’과 함께 eBook 월정액 서비스 브랜드 ‘sam’이 있다. 교보문고 관계자는 “문서 기반 DRM 솔루션을 채택해 전자책 보안을 강화하고, e북 데이터를 보관 중인 서버를 해킹해 콘텐츠가 유출되는 것에 대비해 2·3중으로 인프라 및 소프트웨어 보안을 강화하고 있다”고 밝히며 “이번 사태의 심각성을 잘 인지하고 있으며, 이에 따라 외부 공격에 대한 모니터링을 지속하고, 방어를 더욱 강화하는 방향으로 보안정책을 추진하고 있다”고 덧붙였다.
[이미지=gettyimagesbank]
해킹으로 돈맛 본 북한, 이에 따른 사이버 위협과 각국의 제재 현황
북한은 국가 주도로 한국을 비롯한 세계 각국에 사이버 공격을 감행한다. 구글클라우드 사이버보안 자회사 맨디언트가 올해 3월 발표한 보고서에 따르면 북한의 대남·해외 공작업무 총괄 지휘기구인 정찰총국 산하에 ‘김수키’, ‘라자루스’, ‘템프허밋’, ‘안다리엘’ 등의 해킹그룹이 활동하고 있으며 서로 기술을 공유하는 것으로 확인됐다. 해킹그룹의 활동으로 첩보를 수집하고, 비트코인 등 가상자산을 탈취한다.
빼앗은 돈은 북한의 스파이 활동 지원금으로 사용되거나 대륙간탄도미사일(ICBM)이나 수중 핵 어뢰 등 국가의 안보를 위협하는 무기로 만들어진다. 해킹이 국가안보 위협을 초래하고 있다는 것이다. 북한 해커조직의 공격은 SSH, VPN, RDP 등 네트워크 접근 권한이나 내부 인프라의 취약점을 찾아 침투하는 것으로부터 시작한다. 그 시작은 메일 한 통일 수 있다.
지난 3월 ‘협의이혼의사확인신청서’라는 명칭의 워드파일로 위장한 악성코드가 유포됐다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 의해 발견된 악성코드는 ‘Quasar RAT’로 북한의 김수키 해커조직의 소행으로 추정된다. 주로 피싱 또는 스팸 메일이나 크랙 프로그램을 통해 퍼지던 악성코드가 매크로가 포함된 워드 파일 모습으로 변화한 것이다. 해당 파일은 ‘신청의 취지로 이혼 의사가 확인됐으니, 확인을 구합니다’라는 상세한 문구와 함께 확인기일, 담당자 서명란 등이 세세하게 적혀 있었다.
해당 파일을 실행하면 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도한다. 버튼을 누르면 ‘협의이혼의사확인신청서’ 양식을 보여주며 정상 파일인 것처럼 보이지만 백그라운드에서는 ‘AutoOpen()’ 함수에 의해 워드 파일에 포함된 매크로가 자동 실행되는 방식이다. 이 밖에도 경찰청을 사칭한 메일을 보내거나, ‘사례비 지급’ 내용으로 Microsoft OneNote 첨부 파일을 통해 악성코드를 유포하기도 했다.
블록체인 분석기업 체이널리시스가 발표한 ‘2023 가상자산 범죄 보고서’에 따르면 2022년에 발생한 가상자산 해킹 피해액이 38억달러(약 4조 9,400억원)를 기록하며 사상 최대 피해액을 경신했다. 그 가운데 라자루스 등 북한과 연계된 해커들이 17억달러(약 2조 1,000억원) 상당의 가상자산을 탈취한 것으로 드러났다. 이는 전체 피해액의 44.7%에 달하는 수치다. 북한이 가상자산 시장의 안정을 해치고 있는 수준이다. 또한, 전 세계에 수천 명의 고숙련된 IT 노동자를 파견해 가상자산 관련 프로젝트를 수행하고 있는 것으로 파악됐다.
우리나라와 미국은 북한의 사이버 위협에 대응하기 위해 힘을 모았다. 지난 2월 국가정보원(이하 국정원)이 미국 국가안보국(NSA)·연방수사국(FBI) 등 정보기관과 합동으로 북한의 사이버공격 위협 실태를 알리고 이를 예방하기 위한 ‘보안 권고문’을 발표했다. 한·미 합동 사이버 보안 권고문에 따르면, 북한 및 북한 연계 해킹조직은 위장 도메인·계정을 만든 뒤 가상 사설망(VPN) 등을 이용해 해킹 대상 기관의 네트워크를 공격하고 있다. 이후 악성코드를 활용해 시스템을 파괴·변조·암호화하고, 정상화를 조건으로 암호화폐 등 가상자산을 요구하는 공격이 확인됐다.
국정원은 이러한 북한의 랜섬웨어 공격을 사전에 탐지·차단할 수 있도록 관련 IP 주소·파일명 등 ‘침해지표’(IOC)를 공개했다. 또한, 사이버공격 예방과 피해 경감을 위한 백업·점검 방법 등 기술적 조치 방안을 제시하며 북한 사이버공격에 대한 각별한 주의 및 대응을 당부했다.
더불어 우리 정부는 첫 사이버 분야 대북 독자 제재에 나서며 북한의 핵·미사일 개발 자금을 조달하는 개인 4명과 기관 7개를 독자 제재 대상으로 지정했다. 북한의 주요 핵·미사일 개발 자금원 중 하나인 불법 사이버 활동에 대응하기 위한 구체적인 조치다. 개인 제재 대상은 박진혁, 조명래, 송림, 오충성 등이며, 기관은 조선엑스포합영회사, 라자루스 그룹(Lazarus Group), 블로노로프(Bluenoroff), 안다리엘(Andariel), 기술정찰국, 110호 연구소, 지휘자동화대학(미림대학) 등이다.
지난 10월에는 한·미 정부가 함께 ‘북한 IT 인력 주의보’를 내리기도 했다. 국내외 기업·개인이 국적과 신분을 위장한 북한 IT 인력을 고용하거나 이들의 활동을 돕지 않도록 주의를 강화할 것을 권고했다.
[이미지=gettyimagesbank]
개인정보 보호법 전면 개정
2023년 3월 14일, 새로운 개인정보 보호법(이하 보호법)이 공포됐다. 세계적인 디지털 대전환 추세에 따라 신기술·신사업 등 데이터 경제 견인, 국민 개인정보 신뢰 사회 구현, 국제 표준에 맞는 개인정보 규범 선도 등을 위해 필요한 내용이 담겼다. 개정된 보호법은 △정보주체의 권리 보장 강화 △글로벌 규제와의 정합성 확보 △디지털 중심 법체계 정비 △개인정보 보호 생태계 조성 등 4가지로 요약할 수 있다.
전면 개정된 보호법은 9월 15일을 기점으로 본격 시행됐으며, 그중 국제 표준에 맞게 반영된 국내 과징금 제도 변화로 기업의 CPO, CISO, 개인정보보호 담당자들의 이목이 쏠렸다. 법안에 따르면 ‘과징금 부과 기준’은 GDPR 등 국제 표준에 맞춰 ‘전체 매출액’의 3%로 산정하는 방식으로 개정됐다. 다만, 책임의 범위를 벗어난 과도한 과징금 산정을 예방하기 위한 목적이라는 단서가 붙었다. 기업이 직접 소명한 자료를 바탕으로 개인정보보호위원회(이하 개인정보위)의 심사를 거친 위반행위와 관련되지 않은 매출액을 전체 매출액에서 제외하는 것이다.
기존 법안에서는 개인정보위가 직접 산정하는 기준의 ‘위반행위 관련 매출액’으로 산정됐다. 이 과정에서 기업과의 갈등으로 소송에 휘말리는 등 과징금 부과에 어려움이 따랐다. 법안 개정으로 이러한 어려움을 해소하게 됐다는 평가다. 만일 기업에서 위반행위와 관련 없는 매출액을 소명하지 않는다면 기업의 전체 매출액의 3%를 부과해야 한다.
과징금은 기준액수 산정기준에 따라 1차 조정, 2차 조정, 부과 과징금 결정을 순차적으로 책정한다. 1차에서는 위반행위의 기간 및 횟수, 위반행위로 인해 취득한 이익의 규모, 개인정보처리자의 업무 형태 및 규모를 고려해 산정된다. 기준금액의 90% 범위에서 개인정보위가 고시하는 기준에 따라 금액을 높이거나 낮출 수 있다. 2차 조정에서는 과징금 기준금액 산정 및 1차 조정 단계에서 고려된 사항을 제외하고 개인정보위와 협조 등 위반행위를 시정하기 위한 조치 여부 등을 종합적으로 고려한다.
오는 2024년 3월에는 개인정보 전송요구권, 자동화된 결정에 대한 정보주체 권리 등 내용을 담은 개인정보보호법 2차 후속 시행령이 추진될 예정이다.
[이미지=gettyimagesbank]
보안 기업들의 힘찬 도약, 2023년 사이버보안 상장기업
지난 2022년 SK쉴더스가 상장을 철회한 후 기업공개(IPO) 시장이 냉각기에 돌입했다는 우려가 이어졌다. 하지만 이러한 걱정이 무색하게 2023년에는 사이버 보안기업 6곳이 상장에 성공했다. 이는 코로나19 팬데믹이 가속한 디지털 전환과 정부의 정보보안 산업 30조원 규모 확장 발표, 신기술 개발 등의 결과로 예상된다.
지난 2월 15일 사이버 위협 인텔리전스(CTI : Cyber Threat Intelligence) 전문기업 ‘샌즈랩’이 사이버보안 업계 최초의 기술특례상장을 이뤄냈다. 샌즈랩은 공모가 1만 500원으로 시작해 첫날 2만 4,900원으로 장을 마감했다. 2004년 설립된 샌즈랩은 케이사인의 자회사로 CTI를 수집하고 분석하는 ‘멀웨어즈닷컴’을 운영하고 있다. 최근 멀웨어닷컴은 인공지능, 빅데이터 기반 기술로 새롭게 재설계한 위협 인텔리전스 전문 서비스인 ‘CTX’로 탈바꿈했다. 김기홍 대표는 연세대 학생 벤처 창업가 출신으로 직원의 80%를 개발자와 엔지니어로 구성할 정도로 원천기술 확보와 신기술 연구에 적극 투자한 것으로 알려졌다.
5월 19일에는 B2B SECaaS 전문기업 ‘모니터랩’이 상장했다. 기관투자자 대상 수요예측에서 1715.41대 1이라는 경쟁률로 공모가 9,800원이 결정됐다. 모니터랩은 국내 클라우드 기반 보안 구독형 서비스(SeCaas) ‘아이온클라우드(AIONCLOUD)’를 성공적으로 론칭해 운영하고 있다. 기존 전통적인 방식의 국내 웹방화벽 분야에서 상당한 점유율을 가진 모니터랩의 기술을 클라우드 환경에 적용할 수 있도록 연구·개발한 것이다. 모니터랩은 지난 10월 조달청 지정 ‘2023년 3분기 해외 조달시장 진출 유망기업 G-PASS기업’으로 지정되기도 했다.
6월 29일 상장한 클라우드 보안 및 생체전자서명 전문기업 ‘시큐센’도 상장 첫날, 공모가 3배로 마감하면서 관심을 받았다. 시큐센은 2011년 설립해 서비스와 기술 컨설팅 사업 및 시스템 구축 전문업체로서 금융을 중심으로 한 디지털 채널 서비스 및 플랫폼을 구축했다. 더불어 차세대 시스템 구축과 ITO 서비스, 그리고 다양한 영역의 보안 컨설팅(Consulting) 및 SI(System Integration) 서비스를 제공하고 있다.
사이버 보안 전문기업 ‘시큐레터’는 2023년 8월 24일 기술특례상장에 성공했다. 2015년 설립한 시큐레터는 시스템을 역으로 분석해 파일을 입력-처리-출력하는 과정에서 취약한 부분을 진단·차단하는 리버스 엔지니어링 기술(Reverse Engineering) 자동화와 파일 취약점 제거 후 원본과 동일한 형태로 재구성하는 콘텐츠 무해화 기술(CDR : Content Disarm and Reconstruction)을 적용한 ‘MARS’ 플랫폼으로 시장에서 인정받고 있다. 지난 10월 22일 사우디아라비아 리야드에서 현지 IT 컨설팅 및 솔루션 전문기업 SLNEE IT(SLNEE Information Technology)와 글로벌 사업 확대를 위한 MOU 체결 소식을 밝혔다.
10월 4일에는 ICT 융합보안 기업 ‘한싹’이 상장했다. 지난 8월 상장예비심사 통과 후, 클라우드 및 인공지능(AI) 보안 선도기업으로서 기술력과 미래 가치를 인정받으며 희망공모가 밴드 상단을 초과한 1만 2,500원으로 공모가를 확정했다. 한싹은 1992년 설립 이후 △망간자료전송 솔루션 △패스워드 관리 △시스템접근제어 △통합보안관제 등의 사업을 진행하고 있다. 최근에는 클라우드와 AI 보안분야로 신규사업 투자를 확대하면서 정보통신기술(ICT) 융합 환경에 최적화된 보안 소프트웨어(SW) 기업으로 성장하고 있다. 한싹은 앞으로 클라우드와 AI시대에 더욱 민첩하게 대응하기 위해 기존 솔루션을 클라우드로 전환 및 고도화할 계획을 밝혔다. 더불어 구독형 보안서비스(SECaaS) 형태의 신제품으로 해외 진출에 힘쓸 전망이다.
11월 3일에는 데이터베이스 보안 전문기업 ‘신시웨이’가 아이비케이에스 제17호 기업 인수 목적 주식회사(IBKS17호스팩)와 합병을 마치고 코스닥 시장에 이름을 올렸다. 2005년 설립된 신시웨이는 DB 접근제어, DB 암호화 등 주로 DB 보안 제품을 개발·공급하고 있으며, DB 암호화 제품과 관련해 업계 최초로 CC 인증을 획득했다. 개인정보와 민감정보를 저장·활용하는 일반 기업, 금융사, 공공기관이 신시웨이 제품을 사용하고 있다. 신시웨이는 상장을 통한 직접 자금 증대로 재무구조를 개선하고, 향후 신제품 개발과 제품 고도화 등의 기술개발 재원을 확보할 계획이라고 밝혔다.
[박은주 기자(boan5@boannews.com)]
출판업 근간을 흔든 알라딘 e북 해킹 사건 파장
해킹으로 돈 맛 본 북한, 이에 따른 사이버 위협과 각국의 제재
사이버 보안 기업들의 쾌속질주, 6개 기업 상장 ‘성공’
[보안뉴스 박은주 기자] 다사다난했던 2023년 한 해가 저물어 간다. 사이버 공간은 일상생활과 비즈니스, 국가 시스템을 운영하는 터전으로 공고해졌다. 이에 따라 사이버 보안은 생존 문제로 부상했다. 한 해 동안 벌어진 사이버 보안 사건은 우리 생활에 큰 영향을 끼치고, 교훈을 남겼다.
[이미지=gettyimagesbank]
총성 없는 전쟁, 사이버전
2023년에는 전쟁으로 지구촌 곳곳이 들끓었다. 이미 2022년 발발한 러시아-우크라이나 전쟁으로 수많은 목숨이 희생되고, 에너지난·곡물 위기가 발생해 세계 경제가 휘청였다. 전장은 지상·해상·공중을 가리지 않았고, 사이버 공간까지 확산됐다. 러-우 전쟁은 사이버전의 중요성을 실감하는 계기가 됐다.
지난 10월 발발한 이스라엘-팔레스타인(하마스) 전쟁에서도 사이버전이 발생, 현대 전쟁에서 사이버전은 불가피하다는 것을 증명했다. 이글루코퍼레이션이 발표한 ‘우크라이나·러시아 전쟁으로 보는 사이버전 동향 및 대응방안’ 보고서에 따르면 사이버전은 기존 전통적 전쟁과 달리 빠르고, 비교적 저렴하며 시공간의 제약이 없는 등의 특징을 가지고 있다.
양국은 공격 대상으로 공공기관·통신사·은행 등을 노렸고, 서비스 장애 혹은 개인정보 수집과 심리전을 목적으로 진행했다. 또한, 현대의 사이버전은 전쟁을 치르는 국가뿐만 아니라 해당 세력을 옹호하는 해커집단이 적극 참여한다는 특징이 있다. 러-우 전쟁과 마찬가지로 이-팔 전쟁에도 핵티비스트들이 활동했다. 직접 참전하거나, 해킹 도구 혹은 노하우를 서비스 형식으로 지원하기도 했다.
핵티비스트는 주로 ‘디도스(DDoS)’를 무기로 삼는다. 글로벌 보안기업 클라우드 플레어의 분석 결과 하마스의 공습이 있었던 10월 7일, 이스라엘과 팔레스타인을 표적 삼은 12억 6,000만건의 디도스 공격이 발생했다. 이는 초당 110만건의 막대한 규모다. 사이버전의 타깃이 되는 통신·유틸리티·은행·교통·의료 분야의 네트워크는 현대 세계를 지지하는 기반이 된다. 해당 네트워크의 보안을 유지해야 우리 삶의 신체적·사회적·정신적·경제적 안녕이 보장된다는 의미다. 이에 보안전문가들은 모든 하드웨어 및 소프트웨어 개발에서 ‘보안을 고려한 설계’를 원칙으로 삼아야 한다고 목소리를 높였다.
[이미지=gettyimagesbank]
출판업의 근간을 흔든, 알라딘 e북 해킹
지난 5월 <보안뉴스>는 인터넷서점 알라딘 e북(e-Book) 100만건 유출 정황이 있다는 내용을 단독 보도했다. e북을 유출했다고 주장하는 해커가 텔레그램을 통해 샘플 몇 건씩을 공개한 사실이 온라인 커뮤니티를 통해 알려진 것이 핵심이다.
이후 알라딘은 ‘전자책 상품 유출 안내’ 공지를 올리고 유출 사실을 공식 확인했다. 최우경 알라딘 대표는 공지문을 통해 “천번 만번의 사과 말씀에 앞서 저희는 불법 파일의 무단 배포 등 2차 피해를 막기 위해 할 수 있는 일을 모두 하겠다”라고 밝혔다. 출판문화 발전의 구심체인 대한출판문화협회에서는 ‘알라딘 e북 유출 관련 대한출판문화협회 성명서’를 발표하고, 사태의 조기 수습과 디지털 콘텐츠 업계의 보안 점검 촉구에 나섰다.
사건이 벌어지고 약 4개월이 지난 9월 주범 A씨와 공범 2명이 경찰청 사이버수사대에 검거됐다. 피의자는 16세 고등학생 A씨와 B씨(29세), C씨(25세) 총 세 명이었다. 이들은 텔레그램을 통해 알게 됐으며, A씨의 지시에 따라 B씨와 C씨는 자금 세탁 및 현금 수거를 맡았다. 경찰에 따르면 A씨는 범행을 위해 알라딘 정보통신망의 취약점을 이용해 전자책 72만여 권의 불법 복제와 변조 방지 기술(DRM : Digital Rights Management)을 해제할 수 있는 복호화 키를 무단 취득했다.
그는 평소 DRM 해제 방법에 관심을 두던 중 피해 업체의 보안상 허점을 발견했고, 직접 제작한 전자책 암호 자동해제 프로그램을 사용했다. 범행 과정에서 △인터넷 메신저를 이용한 협박 △공갈 금액으로 가상자산을 요구했으며 △인터넷 이용 시 가상사설망(VPN)을 이용해 IP 주소를 세탁하는 등 추적에 있어 난이도 높은 수단만을 사용하는 치밀함을 보였다.
A씨의 범행은 처음이 아니다. 2022년 11월, 이와 유사한 방법으로 타 인터넷서점의 정보통신망에서 약 143만권의 복호화키를 무단 취득했다. 또한 올해 7월 유명 입시학원 2곳의 강의 동영상 약 700개의 DRM을 복호화 키로 해제해 유포한 사실이 드러나기도 했다. 해당 입시학원을 협박하며 비트코인 5BTC(당시 시세 기준 약 1억 8,000만원)를 요구한 혐의도 받고 있다. 피의자 A씨가 인터넷서점 2개사, 입시학원 2곳 등 4개 피해 업체로부터 무단 취득한 전자책과 강의 동영상은 판매단가를 기준으로 했을 때 전체 합계가 약 203억원에 달한다.
경찰은 피의자 A씨가 개인용 컴퓨터와 클라우드에 보관 중이던 본건 전자책 ‘복호화 키’를 전량 회수했으며, 공갈 당시 유포된 전자책 5,000권과 강의 동영상 약 700개 이외에는 추가 유포된 자료는 없는 것으로 파악했다. 피의자들은 해킹 실력을 과시하고 싶었다는 게 범죄의 이유라고 밝혔지만, 실제는 금전을 취하기 위해 범행을 벌인 것으로 추정된다.
사건을 수사한 이지용 경찰청 국가수사본부 사이버수사국 경감은 이번 사건의 핵심을 ‘암호화된 문서의 복호화 키 유출’이라고 했다. 이 경감은 “전자문서를 암호화하더라도 복호화 키를 저장하는 서버가 외부에 노출돼 발생한 취약점”이라고 밝혔다. 전자책 서비스 기업 대부분은 보안보다 전자책을 읽기 쉽게 하는 ‘가용성’을 우선순위로 두고 있다는 지적이다. 그는 “이번 사건을 계기로 전자책 업계에서는 보관 중인 전자문서에 접근하는 인증절차, 외부 접근절차를 더욱 강화할 필요가 있다”고 제언했다.
본지는 유례없는 전자책 해킹 사고에 국내 전자책 플랫폼 상위 5대(예스24, 리디, 밀리의서재, 북큐브, 교보문고)의 대응현황을 알아봤다. ‘예스24’는 주기적으로 DRM 프로세스와 로직을 강화하고 있으며, △관리적 △논리적 △기술적 등 3중 체계로 전자책 데이터를 관리하고 있다고 설명했다. 특히 전자책 업계와 오프라인 서점을 통틀어 가장 많은 정보보호 인력을 확보하고 있다고 밝혔다. 예스24 담당자는 “전자책 업계 최초 ISMP-P 인증을 받았고, 전체적인 보안 서비스 체계를 지속해서 관리하고 있다”고 말했다.
‘리디(RIDI)’는 DRM 기술을 선제 도입하고 서비스 안정성 강화를 위해 내부 시스템 접근 권한 강화, 취약점·인프라 진단을 위한 모의해킹 등 보안 프로세스를 구축해 상시 운영하고 있다고 밝혔다. 리디 관계자는 “리디 내부에는 정보보안팀을 별도로 운영, 정보보호최고책임자(CISO), 정보보호관리자, 정보보호담당자 등 내부 전담인력을 통해 보안관리 시스템을 고도화하고 있다”는 입장을 밝혔다.
‘밀리의서재’는 월정액 도서 서비스를 제공하며, 약 12만권의 전자책을 읽을 수 있는 플랫폼이다. 밀리의서재 측 관계자는 “내부 콘텐츠가 유출되지 않도록 상시 모니터링 등 보안 강화에 만전을 다하고 있다”고 말했다. 이어 “특히, DRM 전문 솔루션 도입으로 저작물이 유출되지 않도록 최선을 다하고 있으며, 실시간 모니터링 체계도 강화하고 있다”고 설명했다.
‘북큐브네트웍스’의 북큐브(BookCube) 서비스는 웹 소설 편당 100원을 결제하면, 웹 소설을 읽을 수 있는 플랫폼으로 ‘편당 100원’이라는 업계 표준 비즈니스 모델 기반을 구축하는 데 일조했다. 다만, 북큐브네트웍스 관계자는 “알라딘 해킹 사건에 대해 우려하고 있으며, 자체적으로 보안을 강화하고 있다”면서도 “보안인력 현황이나 보안 프로세스 등에 대한 세부적인 내용을 언급하기는 힘들다”고 말했다.
‘교보문고’의 전자책 서비스는 단편 결제 구독 시스템인 ‘eBook’과 함께 eBook 월정액 서비스 브랜드 ‘sam’이 있다. 교보문고 관계자는 “문서 기반 DRM 솔루션을 채택해 전자책 보안을 강화하고, e북 데이터를 보관 중인 서버를 해킹해 콘텐츠가 유출되는 것에 대비해 2·3중으로 인프라 및 소프트웨어 보안을 강화하고 있다”고 밝히며 “이번 사태의 심각성을 잘 인지하고 있으며, 이에 따라 외부 공격에 대한 모니터링을 지속하고, 방어를 더욱 강화하는 방향으로 보안정책을 추진하고 있다”고 덧붙였다.
[이미지=gettyimagesbank]
해킹으로 돈맛 본 북한, 이에 따른 사이버 위협과 각국의 제재 현황
북한은 국가 주도로 한국을 비롯한 세계 각국에 사이버 공격을 감행한다. 구글클라우드 사이버보안 자회사 맨디언트가 올해 3월 발표한 보고서에 따르면 북한의 대남·해외 공작업무 총괄 지휘기구인 정찰총국 산하에 ‘김수키’, ‘라자루스’, ‘템프허밋’, ‘안다리엘’ 등의 해킹그룹이 활동하고 있으며 서로 기술을 공유하는 것으로 확인됐다. 해킹그룹의 활동으로 첩보를 수집하고, 비트코인 등 가상자산을 탈취한다.
빼앗은 돈은 북한의 스파이 활동 지원금으로 사용되거나 대륙간탄도미사일(ICBM)이나 수중 핵 어뢰 등 국가의 안보를 위협하는 무기로 만들어진다. 해킹이 국가안보 위협을 초래하고 있다는 것이다. 북한 해커조직의 공격은 SSH, VPN, RDP 등 네트워크 접근 권한이나 내부 인프라의 취약점을 찾아 침투하는 것으로부터 시작한다. 그 시작은 메일 한 통일 수 있다.
지난 3월 ‘협의이혼의사확인신청서’라는 명칭의 워드파일로 위장한 악성코드가 유포됐다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 의해 발견된 악성코드는 ‘Quasar RAT’로 북한의 김수키 해커조직의 소행으로 추정된다. 주로 피싱 또는 스팸 메일이나 크랙 프로그램을 통해 퍼지던 악성코드가 매크로가 포함된 워드 파일 모습으로 변화한 것이다. 해당 파일은 ‘신청의 취지로 이혼 의사가 확인됐으니, 확인을 구합니다’라는 상세한 문구와 함께 확인기일, 담당자 서명란 등이 세세하게 적혀 있었다.
해당 파일을 실행하면 ‘콘텐츠 사용’ 버튼을 클릭하도록 유도한다. 버튼을 누르면 ‘협의이혼의사확인신청서’ 양식을 보여주며 정상 파일인 것처럼 보이지만 백그라운드에서는 ‘AutoOpen()’ 함수에 의해 워드 파일에 포함된 매크로가 자동 실행되는 방식이다. 이 밖에도 경찰청을 사칭한 메일을 보내거나, ‘사례비 지급’ 내용으로 Microsoft OneNote 첨부 파일을 통해 악성코드를 유포하기도 했다.
블록체인 분석기업 체이널리시스가 발표한 ‘2023 가상자산 범죄 보고서’에 따르면 2022년에 발생한 가상자산 해킹 피해액이 38억달러(약 4조 9,400억원)를 기록하며 사상 최대 피해액을 경신했다. 그 가운데 라자루스 등 북한과 연계된 해커들이 17억달러(약 2조 1,000억원) 상당의 가상자산을 탈취한 것으로 드러났다. 이는 전체 피해액의 44.7%에 달하는 수치다. 북한이 가상자산 시장의 안정을 해치고 있는 수준이다. 또한, 전 세계에 수천 명의 고숙련된 IT 노동자를 파견해 가상자산 관련 프로젝트를 수행하고 있는 것으로 파악됐다.
우리나라와 미국은 북한의 사이버 위협에 대응하기 위해 힘을 모았다. 지난 2월 국가정보원(이하 국정원)이 미국 국가안보국(NSA)·연방수사국(FBI) 등 정보기관과 합동으로 북한의 사이버공격 위협 실태를 알리고 이를 예방하기 위한 ‘보안 권고문’을 발표했다. 한·미 합동 사이버 보안 권고문에 따르면, 북한 및 북한 연계 해킹조직은 위장 도메인·계정을 만든 뒤 가상 사설망(VPN) 등을 이용해 해킹 대상 기관의 네트워크를 공격하고 있다. 이후 악성코드를 활용해 시스템을 파괴·변조·암호화하고, 정상화를 조건으로 암호화폐 등 가상자산을 요구하는 공격이 확인됐다.
국정원은 이러한 북한의 랜섬웨어 공격을 사전에 탐지·차단할 수 있도록 관련 IP 주소·파일명 등 ‘침해지표’(IOC)를 공개했다. 또한, 사이버공격 예방과 피해 경감을 위한 백업·점검 방법 등 기술적 조치 방안을 제시하며 북한 사이버공격에 대한 각별한 주의 및 대응을 당부했다.
더불어 우리 정부는 첫 사이버 분야 대북 독자 제재에 나서며 북한의 핵·미사일 개발 자금을 조달하는 개인 4명과 기관 7개를 독자 제재 대상으로 지정했다. 북한의 주요 핵·미사일 개발 자금원 중 하나인 불법 사이버 활동에 대응하기 위한 구체적인 조치다. 개인 제재 대상은 박진혁, 조명래, 송림, 오충성 등이며, 기관은 조선엑스포합영회사, 라자루스 그룹(Lazarus Group), 블로노로프(Bluenoroff), 안다리엘(Andariel), 기술정찰국, 110호 연구소, 지휘자동화대학(미림대학) 등이다.
지난 10월에는 한·미 정부가 함께 ‘북한 IT 인력 주의보’를 내리기도 했다. 국내외 기업·개인이 국적과 신분을 위장한 북한 IT 인력을 고용하거나 이들의 활동을 돕지 않도록 주의를 강화할 것을 권고했다.
[이미지=gettyimagesbank]
개인정보 보호법 전면 개정
2023년 3월 14일, 새로운 개인정보 보호법(이하 보호법)이 공포됐다. 세계적인 디지털 대전환 추세에 따라 신기술·신사업 등 데이터 경제 견인, 국민 개인정보 신뢰 사회 구현, 국제 표준에 맞는 개인정보 규범 선도 등을 위해 필요한 내용이 담겼다. 개정된 보호법은 △정보주체의 권리 보장 강화 △글로벌 규제와의 정합성 확보 △디지털 중심 법체계 정비 △개인정보 보호 생태계 조성 등 4가지로 요약할 수 있다.
전면 개정된 보호법은 9월 15일을 기점으로 본격 시행됐으며, 그중 국제 표준에 맞게 반영된 국내 과징금 제도 변화로 기업의 CPO, CISO, 개인정보보호 담당자들의 이목이 쏠렸다. 법안에 따르면 ‘과징금 부과 기준’은 GDPR 등 국제 표준에 맞춰 ‘전체 매출액’의 3%로 산정하는 방식으로 개정됐다. 다만, 책임의 범위를 벗어난 과도한 과징금 산정을 예방하기 위한 목적이라는 단서가 붙었다. 기업이 직접 소명한 자료를 바탕으로 개인정보보호위원회(이하 개인정보위)의 심사를 거친 위반행위와 관련되지 않은 매출액을 전체 매출액에서 제외하는 것이다.
기존 법안에서는 개인정보위가 직접 산정하는 기준의 ‘위반행위 관련 매출액’으로 산정됐다. 이 과정에서 기업과의 갈등으로 소송에 휘말리는 등 과징금 부과에 어려움이 따랐다. 법안 개정으로 이러한 어려움을 해소하게 됐다는 평가다. 만일 기업에서 위반행위와 관련 없는 매출액을 소명하지 않는다면 기업의 전체 매출액의 3%를 부과해야 한다.
과징금은 기준액수 산정기준에 따라 1차 조정, 2차 조정, 부과 과징금 결정을 순차적으로 책정한다. 1차에서는 위반행위의 기간 및 횟수, 위반행위로 인해 취득한 이익의 규모, 개인정보처리자의 업무 형태 및 규모를 고려해 산정된다. 기준금액의 90% 범위에서 개인정보위가 고시하는 기준에 따라 금액을 높이거나 낮출 수 있다. 2차 조정에서는 과징금 기준금액 산정 및 1차 조정 단계에서 고려된 사항을 제외하고 개인정보위와 협조 등 위반행위를 시정하기 위한 조치 여부 등을 종합적으로 고려한다.
오는 2024년 3월에는 개인정보 전송요구권, 자동화된 결정에 대한 정보주체 권리 등 내용을 담은 개인정보보호법 2차 후속 시행령이 추진될 예정이다.
[이미지=gettyimagesbank]
보안 기업들의 힘찬 도약, 2023년 사이버보안 상장기업
지난 2022년 SK쉴더스가 상장을 철회한 후 기업공개(IPO) 시장이 냉각기에 돌입했다는 우려가 이어졌다. 하지만 이러한 걱정이 무색하게 2023년에는 사이버 보안기업 6곳이 상장에 성공했다. 이는 코로나19 팬데믹이 가속한 디지털 전환과 정부의 정보보안 산업 30조원 규모 확장 발표, 신기술 개발 등의 결과로 예상된다.
지난 2월 15일 사이버 위협 인텔리전스(CTI : Cyber Threat Intelligence) 전문기업 ‘샌즈랩’이 사이버보안 업계 최초의 기술특례상장을 이뤄냈다. 샌즈랩은 공모가 1만 500원으로 시작해 첫날 2만 4,900원으로 장을 마감했다. 2004년 설립된 샌즈랩은 케이사인의 자회사로 CTI를 수집하고 분석하는 ‘멀웨어즈닷컴’을 운영하고 있다. 최근 멀웨어닷컴은 인공지능, 빅데이터 기반 기술로 새롭게 재설계한 위협 인텔리전스 전문 서비스인 ‘CTX’로 탈바꿈했다. 김기홍 대표는 연세대 학생 벤처 창업가 출신으로 직원의 80%를 개발자와 엔지니어로 구성할 정도로 원천기술 확보와 신기술 연구에 적극 투자한 것으로 알려졌다.
5월 19일에는 B2B SECaaS 전문기업 ‘모니터랩’이 상장했다. 기관투자자 대상 수요예측에서 1715.41대 1이라는 경쟁률로 공모가 9,800원이 결정됐다. 모니터랩은 국내 클라우드 기반 보안 구독형 서비스(SeCaas) ‘아이온클라우드(AIONCLOUD)’를 성공적으로 론칭해 운영하고 있다. 기존 전통적인 방식의 국내 웹방화벽 분야에서 상당한 점유율을 가진 모니터랩의 기술을 클라우드 환경에 적용할 수 있도록 연구·개발한 것이다. 모니터랩은 지난 10월 조달청 지정 ‘2023년 3분기 해외 조달시장 진출 유망기업 G-PASS기업’으로 지정되기도 했다.
6월 29일 상장한 클라우드 보안 및 생체전자서명 전문기업 ‘시큐센’도 상장 첫날, 공모가 3배로 마감하면서 관심을 받았다. 시큐센은 2011년 설립해 서비스와 기술 컨설팅 사업 및 시스템 구축 전문업체로서 금융을 중심으로 한 디지털 채널 서비스 및 플랫폼을 구축했다. 더불어 차세대 시스템 구축과 ITO 서비스, 그리고 다양한 영역의 보안 컨설팅(Consulting) 및 SI(System Integration) 서비스를 제공하고 있다.
사이버 보안 전문기업 ‘시큐레터’는 2023년 8월 24일 기술특례상장에 성공했다. 2015년 설립한 시큐레터는 시스템을 역으로 분석해 파일을 입력-처리-출력하는 과정에서 취약한 부분을 진단·차단하는 리버스 엔지니어링 기술(Reverse Engineering) 자동화와 파일 취약점 제거 후 원본과 동일한 형태로 재구성하는 콘텐츠 무해화 기술(CDR : Content Disarm and Reconstruction)을 적용한 ‘MARS’ 플랫폼으로 시장에서 인정받고 있다. 지난 10월 22일 사우디아라비아 리야드에서 현지 IT 컨설팅 및 솔루션 전문기업 SLNEE IT(SLNEE Information Technology)와 글로벌 사업 확대를 위한 MOU 체결 소식을 밝혔다.
10월 4일에는 ICT 융합보안 기업 ‘한싹’이 상장했다. 지난 8월 상장예비심사 통과 후, 클라우드 및 인공지능(AI) 보안 선도기업으로서 기술력과 미래 가치를 인정받으며 희망공모가 밴드 상단을 초과한 1만 2,500원으로 공모가를 확정했다. 한싹은 1992년 설립 이후 △망간자료전송 솔루션 △패스워드 관리 △시스템접근제어 △통합보안관제 등의 사업을 진행하고 있다. 최근에는 클라우드와 AI 보안분야로 신규사업 투자를 확대하면서 정보통신기술(ICT) 융합 환경에 최적화된 보안 소프트웨어(SW) 기업으로 성장하고 있다. 한싹은 앞으로 클라우드와 AI시대에 더욱 민첩하게 대응하기 위해 기존 솔루션을 클라우드로 전환 및 고도화할 계획을 밝혔다. 더불어 구독형 보안서비스(SECaaS) 형태의 신제품으로 해외 진출에 힘쓸 전망이다.
11월 3일에는 데이터베이스 보안 전문기업 ‘신시웨이’가 아이비케이에스 제17호 기업 인수 목적 주식회사(IBKS17호스팩)와 합병을 마치고 코스닥 시장에 이름을 올렸다. 2005년 설립된 신시웨이는 DB 접근제어, DB 암호화 등 주로 DB 보안 제품을 개발·공급하고 있으며, DB 암호화 제품과 관련해 업계 최초로 CC 인증을 획득했다. 개인정보와 민감정보를 저장·활용하는 일반 기업, 금융사, 공공기관이 신시웨이 제품을 사용하고 있다. 신시웨이는 상장을 통한 직접 자금 증대로 재무구조를 개선하고, 향후 신제품 개발과 제품 고도화 등의 기술개발 재원을 확보할 계획이라고 밝혔다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 TH.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
