- [인터뷰] 카스퍼스키랩 글로벌위협정보분석팀(GReAT) 유리 나메스트니코프 책임연구원

# 한 은행 ATM 기기 앞에 모자를 눌러쓴 사람이 스마트폰으로 메시지를 보내고 있다. 잠시 서성이더니 ATM 기기 앞으로 간다. 갑자기 ATM 기기에서 돈이 나온다. 이내 그는 돈을 주머니에 찔러 넣고 유유히 사라진다.

미국, 일본, 러시아, 우크라이나 등 여러 국가의 은행 ATM 기기에서 발생한 일이다. 이해하기 힘든 이같은 범행장면이 CCTV에 찍혔다. 이같은 범죄는 전세계에서 100여건이나 일어났다. 이 사람은 어떻게 돈을 인출했을까? 바로 악성코드를 이용한 사이버공격으로 가능했던 일이었다.

지난 2월 카스퍼스키랩은 인터폴, 유로폴, 영국 국립첨단범죄수사국(NHTCU) 등과 공조해 ‘카바낙(Carbanak)’이라는 해킹그룹이 10억달러에 달하는 돈을 훔쳤다는 사실을 밝혔다.

이 해킹그룹은 악성코드를 이용해 은행, 전자결제시스템, 금융기관 등을 대상으로 공격을 시도했고, 전세계 30개국 이상이 피해를 입은 것으로 나타났다. 이 해킹그룹은 일반 사용자가 아니라 은행 자체를 공격 대상으로 삼았다.

카스퍼스키랩 글로벌위협정보분석팀(GReAT)의 유리 나메스트니코프(Yury Namestnikov) 책임연구원은 7일 방한해 기자와 만나 이같은 지능형지속위협(APT) 공격 사례를 소개하면서 사이버공격이 더욱 지능적이고 정교한 수법으로 다양한 산업을 대상으로 벌어지고 있다고 강조했다.

그는 이외에도 “은행을 해킹해 돈을 빼갔지만 범죄자들이 DB를 조작해 해당은행은 전혀 인지하지 못했던 사례도 있다”고 말하면서 “APT 공격은 너무나 지능적이어서 탐지하기 어렵고 제거하기도 힘들며, 위협요인을 없애더라도 다시 공격해 들어올 위험성이 크다”고 지적했다.

APT 공격을 수행하는 목적에 관해서는 “공격 대상 기업의 사업 계획과 예산, 아이디어, 프로젝트 등 중요정보, 정부기관의 기밀정보를 비롯해 이후 2~3차 공격을 쉽게 성공할 수 있도록 보안 정책이나 재해복구 절차, 디지털인증서 등을 획득하기도 한다”고 소개하며 “궁극적인 목적은 돈과 파워(Power, 권한)”라고 덧붙였다.

이같은 공격을 막기 위한 첫 걸음은 바로 취약점관리에 있다는 것이 그가 강조하는 얘기다.

나메스트니코프 책임연구원은 “사이버범죄자들은 사이버공격 무기로 취약점을 사용한다. ‘제로데이’, ‘원데이(1-day)’뿐만 아니라 오래 전에 알려진 취약점을 이용한 ‘올데이(Olday)’ 취약점까지 이용해 패치하지 않은 기업을 대상으로 APT 공격을 감행한다”고 말했다.

‘제로데이’ 취약점은 새로운 취약점으로 취약점이 발견된 소프트웨어 등의 패치가 아직 발표되지 않은 상태를 말한다. ‘원데이’ 취약점은 특정 취약점이 발견돼 기업이 패치를 발표했지만, 공격자들이 해당 기업이 발표한 취약점 정보를 악용(리버스엔지니어링)해 아직까지 패치하지 않은 기업을 대상으로 공격을 수행할 경우를 말한다.

나메스트니코프 책임연구원은 “앞으로는 국가간 사이버공격이 더욱 활발해질 것”이라며 “산업기반시설(ICS)과 더불어 스마트시티, 커넥티드카, ATM·POS기기를 비롯한 IoT 환경이 새로운 공격 대상이 될 것”이라고 경고했다.

국가가 지원하는 사이버공격이 많이 발생한다는 의미는 국가간 사이버전이 한층 거세질 것이란 의미다.

국가가 지원하는 사이버공격의 특징으로 그는 “막강한 경제적 뒷받침을 기반으로 고난이도 기술을 사용한다. 알려지지 않은 제로데이 위협을 사용하고 고도화된 암호화 기술을 이용해 악성코드를 만든다. 또 코딩 수준이 아주 높다. 공격대상이 어디냐에 따라 국가지원 공격 여부를 확인할 수 있다”고 소개했다.

IoT 환경 위협과 관련해서는 “"IoT는 스마트카, 스마트TV, 커넥티드카 등으로 광범위하며, 아직은 개념검증(PoC) 차원에서 초보적인 연구가 이뤄지고 있다”며 “현재는 가정용 라우터나 DNS 모뎀을 해킹하는 것이 가장 흔한 공격”이라고 설명했다.

나메스트니코프 책임연구원은 다만 “기기 제조사들은 취약점을 발견해 알려주더라도 다음 제품 출시 때 보완하겠다고 하는 등 이를 심각하게 받아들이지 않는 상황”이라며 “아직까지는 안전성보다는 제품을 보다 빠르고 싸게 만드는데 주력하고 있다”고 지적했다.

이같은 지능적인 사이버위협에 대응해 중요 자산을 보호하기 위한 방법으로 그는 “사용자 보안교육을 실시해야 하며, 프로세스와 시스템을 수립하고 적절한 보안기술을 적용해야 한다”고 당부했다.

<이유지 기자>yjlee@ddaily.co.kr