키워드로 살펴보는 2022 보안 사고: ②국가 안보, 금융 분야

지난 1편에서는 2022년 사이버 보안을 정리하는 4가지 키워드 중 랜섬웨어와 인공지능에 대한 공격 패러다임과 역기능의 대응 방안을 소개했다. 이번 글에서는 남은 두 가지 키워드인 국가 안보와 금융 분야에 대해 살펴보고자 한다. 

2022년 국가 안보 및 금융 분야 보안사고

1) 국가 안보 보안 이슈: 러시아-우크라이나 사태

2022년 2월에 발발한 러시아-우크라이나 사태는 물리적 충돌에 사이버 공격을 결합한 최초의 하이브리드 전쟁으로 평가된다. 정치적∙경제적 이해관계에 따라, 러시아와 우크라이나의 지지세력과 반대세력이 결집하면서 새로운 글로벌 패권 경쟁을 맞이했다. 서방국가들은 경제제재와 군사지원을 통해 우크라이나를 지지하고 있으며, 러시아 역시 에너지 자원 무기화 정책 가속화를 통해 공급망 축소 및 글로벌 경기둔화를 초래하며 장기화 국면을 맞이하고 있다.

러시아-우크라이나 사태로 사이버 공격 효과도 함께 증명되고 있다. 러시아는 물리적 충돌 발생 1년 전부터 우크라이나의 주요 국가기반 시설 및 공공기관과 민간기업을 대상으로 접근 권한 탈취 및 정보 절취를 통해 시스템 파괴를 유발하는 사이버 공격을 감행했다. 또한 물리적 충돌 전후 과정에서 선전전을 이용한 심리전을 동원하여 공격 효과를 극대화하고 있다.

러시아와 우크라이나의 군사적 긴장감이 최고조에 달하던 2022년 초부터 시스템 파괴형 악성코드인 와이퍼(Wiper) 악성코드가 본격적으로 사용됐다. 위스퍼게이트(WhipserGate)나 허메틱와이퍼(HermeticWiper)등 이름도 생소한 와이퍼 악성코드들을 이용해, 마스터 부트 레코드(MBR)를 삭제하거나 MFT 암호화 등 시스템 파괴행위를 수행했다. 이는 랜섬웨어로 위장해 비트코인을 요구하지만, 실제 복호화 기능은 존재하지 않아 시스템 파괴 목적의 공격용 악성코드라고 할 수 있다.

2017년 우크라이나 정부기관에서 의무적으로 사용되던 회계 프로그램인 메독(MeDoc)의 업데이트 서버를 통해 유포되었던 낫페트야(NotPetya) 악성코드와 유사점을 보이면서, 마이크로소프트에서는 러시아 해킹 그룹으로 분류하고 DEV-0586으로 명명하여 공격 이력을 추적하고 있다.

러시아-우크라이나 사태에서 사용된 사이버 공격은 데이터 및 시스템 파괴, 정보 절취 및 권한 탈취, 여론 및 심리전 활용의 3가지로 분류된다.

데이터 및 시스템 파괴 공격 방식의 주요 목적은 정부기관이나 군사기관 등을 포함한 주요 국가기반 시설 파괴 및 네트워크 불능이다. 마이크로소프트의 ‘우크라이나 특별 보고서(Special Report: Ukraine)’에서는 우크라이나 국가 인프라에 유포된 시스템 파괴형 악성코드가 총 37차례라고 밝혔다. 한 주차 별로 최소 2~3건의 신규 악성코드가 사용된 것이다. 물리적 충돌이 발생한 첫 주에는 폭스블레이드(FoxBlade), 이삭와이퍼(IsaacWiper), 데저트블레이드(DesertBlade), 시큐어딜리트(SecureDelete)등의 악성코드로 무려 22건의 사이버 공격을 수행했으며, 현재까지도 사이버 공격을 지속하고 있다.

사이버 전쟁은 정보전이다. 물리적 전투력을 극대화하기 위해서는 적군의 무기체계, 국방 시스템 무력화, 의사결정자 권한 탈취 등을 통해 전쟁의 우위를 점할 수 있다. 정보 절취 및 권한 탈취가 가능한 인포스틸러 악성코드가 자주 사용되는 이유라고 볼 수 있다.

외부에서 직접 접근이 불가능한 폐쇄망이나 내부망에 접근하기 위해 고스트라이터(Ghostwriter), 그림플랜트(GRIMPLANT), 그래프스틸(GraphSTEEL) 악성코드로 원격제어용 백도어를 설치하거나 사용자 시스템 정보나 브라우저 자격 증명을 탈취하여 시스템 접근을 시도한다.

물리적 공간의 무력충돌을 의미하는 키네틱(kinetic)과 반대되는 개념인 비키네틱(Non-kinetic)은 데이터 탈취나 시스템 파괴 같은 직접적인 사이버 공격만 포함하는 것은 아니다. 인간의 행동 메커니즘에 영향을 끼칠 수 있는 심리적인 불안감 조성, 공포심 유발 등도 사이버 공격 범주에 포함된다. 방송, 통신, 신문 등 언론매체를 공격하여 정치적 선동, 프로파간다, 여론조작, 가짜 뉴스 등을 통해 왜곡된 정보 전달하고, 여론을 조작하여 악성 정보의 무기화를 수행한다.

한편 우리나라도 사이버 공격의 안전지대는 아니다. 라자루스, 김수키, 안다리엘, 스카크러프트 등 북한발 사이버 공격이 꾸준히 발생하고 있다. 경찰청 국가수사본부에서는 2022년 4월 대통령직인수위원회 출입 기자 사칭 악성메일, 태영호 국회의원실 비서 사칭 악성메일 등 2013년부터 활동한 북한 해킹 그룹의 공격 정황을 발표하며, 국내 사이버 보안 강화를 당부했다.

이처럼 총성 없는 사이버 전쟁은 현재진행형이다. 러시아-우크라이나 사태처럼 물리적 전쟁에 비견할 위력을 보이며, 이제 사이버 보안을 넘어 국가 안보까지 위협하는 새로운 요소로 평가되고 있다.

2) 금융 분야 보안 이슈: 가상화폐 이슈

가상화폐 사용이 점차 확산되면서, 가상화폐를 노리는 사이버 공격도 증가하고 있다. 가상화폐는 디지털 환경에서 분산 원장 기술(DLT)와 암호화, 블록체인 등을 이용해 재화로서의 가치 획득 및 은닉성을 제공하며, 다양한 산업분야로 생태계가 확장되기 때문이다. 2022년에는 가상화폐 거래 플랫폼인 가상화폐 거래소를 포함하여, 탈중앙화 금융, 스테이블코인, NFT, 블록체인 브리지 등 디지털 자산 전반의 사이버 공격이 두드러졌다.

가상화폐 거래소는 분산 원장 기술과 블록체인을 기반으로 발전한 알트코인, 비트코인, 스테이블코인 등을 거래할 수 있는 플랫폼이다. 가상화폐 거래소 공격은 주로 거래소 임직원이나 사용자를 대상으로 한다. 임직원을 대상으로 스피어 피싱을 통해 내부망에 접근하여, 거래소에서 보유 중인 지갑을 탈취하거나 중요 정보를 유출한다. 이외에도 정상적인 가상화폐 거래소를 그대로 복제하여, 가상화폐 거래소 사용자의 정보 탈취나 악성코드를 유포한다.

트랜잭션 처리량이나 속도 한계 등 분산 원장이나 블록체인의 기술적 한계를 보완하기 위해 스마트 컨트랙트나 블록체인 및 사이드 체인 브리지 사용이 증가했다. 블록체인 및 사이드 체인 브리지의 경우, 서로 다른 블록체인 네트워크 간의 디지털 자산을 교환하는 환경적인 특성 때문에 네트워크 간의 속도 차이, 호환성 등에 기반한 스마트 컨트랙트 취약점이나 구조적인 문제는 해킹 공격의 트리거가 될 수 있다.

이에 큐빗 파이낸스, 웜홀 브리지, 하모니 호라이즌 브리지 등은 해킹으로 막대한 금전적 피해가 발생했으며, 국내에서도 탈중앙화 금융(DeFi) 클레이스왑이나 NFT 게임 액시 인피니티가 각각 22억 원, 7400억 원 규모의 금전적 피해를 입었다.

가상화폐 거래소와 같은 중앙화 거래소(CEX)는 보안 강화를 위해서 고객 신원확인(KYC)이나 자금세탁방지(AML) 등의 보호 조치를 한다. 이에 반해 탈중앙화 거래소(DEX)는 보안조치가 미흡한 경우가 많다. 가상화폐를 저장할 수 있는 지갑을 보유하고, 거래 조건만 부합된다면 거래가 성사되는 스마트 컨트랙트 구조이기 때문에 취약점이 아니더라도 구조적인 결함을 공격에 악용할 수 있다.

대표적인 공격 사례가 바로 플래시 론 공격이다. 플래시 론은 블록체인 1개가 생성되는 시간 내에 무담보로 대출과 상환이 이뤄지는 대출 서비스로, 대출받는 거래 트랜잭션이 생성되고 거래가 블록에 저장되기 전에 상환하게 된다. 탈중앙화 거래소(DEX) 환경은 거래 조건이 부합되면 거래가 수행되기 때문에, 공격자들은 블록체인의 생성과정에서 대출과 상환이 발생되는 찰나의 시간 속에서 구조적인 결함을 이용해 공격하는 것이다.

바이낸스 스마트 체인 기반의 팬케이크스왑 해킹사고는 플래시 론을 통해 대규모 대출을 발생시키고, 대출된 코인을 다른 코인으로 대규모 스왑시켜 가격 하락을 유도한 시세차익 유발 공격이다. 공격자는 악성코드 설치나 데이터 탈취 같은 공격 과정 없이도 금전적인 이득을 획득할 수 있기 때문에 유사한 해킹사고들은 계속 증가하고 있다.

NFT 대출을 받아 가상 자산이나 NFT 보유자에게 무상으로 보상을 지급하는 에어드롭(AirDrop) 이벤트 역시 플래시 론을 이용한 공격이다. 이외에도 플랫폼 내에서 의사결정 의결권을 행사할 수 있는 거버넌스 토큰을 대량으로 구매해 프로토콜 자금을 개인 지갑으로 유출하게 하고, 의사결정을 통과하는 등 플래시 론과 같은 유사 공격들은 증가하고 있다. 따라서 스마트 컨트랙트의 구조적인 보안 강화가 필요한 시점이다.

특히 이렇게 불법 탈취된 가상화폐는 자금 세탁을 통해 불법거래로 악용되는 경우가 많기 때문에, 스마트 컨트랙트에 대한 보호조치 마련 및 국제적인 사이버 범죄 대응을 통해 금전적 피해를 예방하는 것이 중요하다.

사이버 공격의 뉴트로 대응하기

최근 복고를 넘어 뉴트로 시대가 도래했듯이, 사이버 공격도 시대적 흐름과 기술 성숙도에 따라 공격 패러다임이 반복된다. 랜섬웨어, 인공지능, 국가 안보, 가상화폐는 2022년 사이버 보안을 설명하는 키워드지만, 단편적인 키워드의 열거가 아닌 2021년과 2023년을 연결하는 연결고리라고 볼 수 있다.

2022년에 발생한 보안 사고들이 모두 적절하게 보안 조치된 것은 아니다. 현재에도 2022년에 발생한 사건의 연장선에서 사이버 공격에 대응하기 위해 노력하고 있다. 앞으로 우리가 해야 하는 일은 2022년 보안 키워드를 토대로, 현실적인 사이버 보안 대응 방안을 수립하고 실천하는 것이다.

요즘IT의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.