이 해킹은 문자나 이메일, 카카오톡 등으로 접근해 악성코드를 심는 방식의 지능형지속위협(APT)으로 추정된다.

태영호 전 공사의 해킹 사실을 알아낸 보안업체는 이스트시큐리티 시큐리티대응센터(ESRC)다. 문종현 이스트시큐리티 ESRC 센터장이 해커 조직의 서버를 역추적하던 과정에서 그들의 정보 수집 서버에서 태 전 공사의 데이터로 추정되는 정보를 발견한 것이다. 발견 당시 당사자에게 해당 내용을 알렸다.

물론 해킹의 배후가 북한이라는 뚜렷한 증거는 발견되지 않았다. 의심만 될 뿐이다. 사실 전세계에 존재하는 해킹 기술에 '북한의 수법'이라는 게 별도로 존재하지는 않는다.

태 전 공사를 해킹한 주체로 의심되는 북한 배후 조직으로는 지난 수년간 ‘금성121’이 거론돼왔다. 이 조직은 대북 관련 단체를 대상으로 ‘스피어 피싱’ 공격을 해온 것으로 추정해왔다.

'스피어 피싱' 은 특정 개인·기업을 겨냥한 APT 공격의 일종이다. 그런데 중요한 것은 이 '스피어 피싱'이 대단히 복잡하거나 고도의 기술력이 요구되는 해킹 공격이 아니라는 점이다.

'북한의 배후'라는 추정과 함께 정치적 선입견이 과몰입되다보니 마치 엄청난 해킹 기술처럼 과대 포장되고 엉뚱하게 정쟁의 재료로 활용되기도 한다.

단순한 공격이기에 오히려 당하기 쉽다는 게 보안 전문가의 지적이다. 예를들어 탈북민에게 통일부로 사칭해 메일을 보내거나, 채용 시즌의 기업에게 입사지원서로 가장하는 등의 방식을 취한다. 최근 사회적 혼란을 야기하는 ‘코로나바이러스감염증-19(코로나19)’의 정보를 가장한 이메일, 문자를 보내고 그 안에 악성코드를 담는 형태 사회공학적 기법을 활용하는 것과 같은 방식이다.

공격 방법은 간단하다. 공격 대상의 이메일을 알면 이메일 APT 공격을, 전화번호를 알면 문자 APT 공격을, 카카오톡 등 메신저를 통해 APT 공격을 할 수도 있다.

문자 메시지 속 인터넷주소(URL)를 누르고 동의를 하거나, 이메일 속 첨부파일을 다운받는 것만으로 악성코드에 감염될 수 있다. 이 경우 자신도 모르는 사이 모든 정보가 외부에 유출될 수도, 다른 디바이스로 감염을 전파하는 매개체가 될 수도 있다. 특히 요즘처럼 사물인터넷(IoT)이 활성화된 ‘초연결 사회’에서는 주의가 필요하다. 스마트폰에서 공유기로, 공유기에서 다른 IoT 기기나 PC로 확산될 수 있기 때문이다.

만약 알려진 공격이라면 백신, 방화벽 등 기존 보안체계로 탐지·차단할 수 있다. 다만 알려지지 않은 ‘제로데이 공격’이라면 기존 보안체계를 우회해 대응하기 어렵다.

이런 위협에 대응하기 위해 보안업계는 ‘아무것도 신뢰하지 않는다’는 ‘제로 트러스트’ 모델로의 전환을 서두르고 있다. 잠재 보안 위협을 탐지해 제거하는 ‘위협 헌팅’ 등이 그 예다.

위협 헌팅은 ‘의심스러운 행위’를 찾고 이를 추적해 인지되지 않았던 위협을 찾아내는 기술이다. APT 공격처럼 정상도구를 악용하거나 알려지지 않은 공격기법을 활용해 기존 보안체계를 무너뜨리는 공격을 막는 데 유효해 주목받고 있는 기술 분야다. 국내 보안 스타트업 ‘쏘마’ 등이 위협 헌팅 기술을 연구개발하고 있다.

보안업계 전문가는 “APT 공격은 사람의 심리적 허점을 노리기 때문에 근본적인 차단은 불가능하다”며 “APT 공격에 대한 가장 효과적인 방어 수단은 이용자 개개인이 사이버 보안의식을 갖고 주의하는 것이다. 출처가 불분명한 URL이나 첨부파일은 열어보지 않도록 주의해야 한다”고 당부했다.

알고보면 개인 보안생활 수칙의 습관화가 중요하고 그것만 잘해도 피해를 줄일 수 있다. 코로나19의 공포를 극복하는 1단계가 개인 위생 수칙을 제대로 지키는 것처럼 말이다 .

<이종현 기자>bell@ddaily.co.kr.