[디지털데일리 이종현기자] 해킹의 경우 그 흔적을 찾기가 어렵다. 공격자의 IP 주소를 토대로 추적할 수도 있지만 IP 주소는 손쉽게 조작할 수 있다. 국내에서 보안사고가 발생할 경우 단정적 표현 대신 “북한으로 ‘추정’된다”는 식의 유보적 표현을 쓰는 이유다.

추적이 어렵지만 불가능한 것은 아니다. 해킹에 사용되는 악성코드의 특징을 비롯해 유입 경로, 공격이 이뤄진 시간, 유출된 데이터를 판매하는 흔적, 공격 대상자와의 연관성 등 여러 정보를 취합해 범죄자를 추적하는 전문가들이 있다. 이런 활동을 펼치는 기업 중 이름을 떨친 곳이 미국 사이버보안 기업 맨디언트(Mandiant)다.

맨디언트 코리아 오진석 상무는 <디지털데일리>와의 인터뷰에서 “맨디언트 전문가들의 활동을 보면 첩보영화를 방불케 한다. 해커를 추적하기 위해 떠오르는 모든 수단을 다 쓴다고 보면 된다. 해커들의 비밀 대화방에 몰래 잠입하는 것은 기본이다. 해커의 공격을 일부러 방치해뒀다가 이를 역추적한 사례도 있다”고 말했다.

◆파이어아이와 결별한 맨디언트··· 기본으로 돌아왔다

맨디언트는 2004년 설립, 사이버위협인텔리전스(CTI, Cyber Threat Intelligence)와 보안 컨설팅 등을 제공해온 보안기업이다. 2013년 네트워크·이메일 보안 솔루션으로 인지도가 높은 파이어아이에 인수됐으나 올해 분사, 다시 맨디언트라는 기업명으로 활동을 시작했다.

맨디언트가 이름을 떨친 것은 해킹그룹에 대한 지속적인 추적 활동 덕분이다. 맨디언트는 지속적인 해킹 공격을 수행하는 해킹그룹에 번호를 붙여 추적하는 보고서를 발행하고 있다.

가령 복수의 보안 사건 중 유사성을 보이는 것들을 묶고, 누구인지는 모르겠지만 일련의 공격 활동을 펼치는 그룹이 발견될 때 이를 ‘UNC’라고 번호 붙인다. 거기서 추적을 지속하다 보면 여러 UNC가 하나로 합쳐지거나 삭제되곤 한다. 갖가지 조각을 맞춰 공격자의 윤곽이 드러나서 ‘이건 북한이다’라고 말할 수 있는 정도가 되면 ‘APT’로 재분류하는 방식이다.

맨디언트가 공개한 최초의 APT1 보고서는 중국이다. 맨디언트는 발표되기 전 7년 동안 최소 141개 조직에서 수백 테라바이트(TB)의 데이터를 훔쳐낸 해당 조직의 배후로 중국 인민해방군의 총참모부 3부 2국(군부대 번호 61398부대)로 특정했다. APT1은 맨디언트의 발표 이후 활동을 중단했다.

보안업계에서는 공격 배후를 특정하는 것이 해커에 대한 효과적인 압박 전략이 될 수 있다고 말한다. 공격자가 누구인지 특정하고, 그에 대한 근거가 확립된다면 그때부터는 사법의 영역이다. 반대로 누구인지 특정하지 못한다면 의심스럽더라도 잡지 못한다.

맨디언트가 추적하는 해킹그룹은 중국, 러시아, 이란, 북한 등이다. 주로 미국과 마찰을 빚고 있는 국가들이 대부분이다.

오 상무는 “설립자가 군 장교 출신이다. 활동 특성상 조직원들도 미국 국무성, 국방성, FBI 등 기관 출신들이 많다. 이들이 서로 네트워크를 형성하고 추적하다 보니 상대적으로 미국을 대상으로 악의적인 활동을 하는 상대를 추적하는 경우가 많다”고 전했다.

◆“글로벌 위협 인사이트 얻으려면 맨디언트”

해킹그룹을 추적하는 것은 비단 맨디언트 만의 활동은 아니다. 해커를 추적하는 것이 공격 차단 및 방어 성공률을 높이는 데 일조하는 만큼 다수의 사이버보안 기업이 유사한 활동을 펼치고 있다. 국내의 경우 북한 위협 활동을 지속해서 추적하는 이스트시큐리티가 대표적이다.

오 상무는 “맨디언트의 위협인텔리전스가 항상 최고라고 할 수는 없다. 각 국가별로 고유의 특색이 있다. 우리나라로 치면 북한발 공격이 대부분인데, 한국으로만 영역을 한정한다면 국내 기업이 장점을 발휘할 수 있다. 하지만 글로벌로 시각을 돌린다면 맨디언트가 앞선다고 자신한다”고 말했다.

맨디언트가 국내 보안 사정에 어둡다고 할 수는 없다. 북한은 한국뿐만 아니라 미국을 대상으로도 활발히 해킹 활동을 펼치는 중인 만큼, 맨디언트도 북한의 해킹 활동은 예의주시하고 있다. ‘금성121’로 활동한 APT37, ‘라자루스’로 불리는 해킹그룹에 대한 APT38 등이 대표적이다.

또 안티바이러스나 방화벽, 침입방지시스템(IPS) 등 제품에 기반한 공격자 추적과는 성격이 다르다고도 강조했다.

그는 “보안 이벤트를 중심으로 데이터를 축적하는 제품 기반 기업들의 위협인텔리전스와 맨디언트의 위협인텔리전스는 성격이 다소 다르다. 고객들을 만나다 보면 ‘데이터가 얼마나 쌓여있냐’ 하는 질문을 하시곤 하는데, 그럴 때면 바이러스 토탈과 같은 기업 제품을 이용하시라고 권하고 필요하면 그때 다시 우리와 얘기하자고 한다”고 전했다.

◆이제는 OT가 위험하다

과거 해킹 공격 대부분은 정보기술(IT)을 겨냥했다. 하지만 최근에는 공장과 같은 산업시설이 해커들의 먹잇감이 되고 있다. 미국 동부에서 사용되는 연료 45%를 책임지는 송유관 업체 콜로니얼 파이프라인과 전 세계 최대 정육회사 JBS의 해킹이 대표적인 예다.

오 상무는 “산업시설을 제어하는 운영기술(OT)은 폐쇄망이니까 안전하다는 인식이 많다. 그런데 요즘 산업 현장을 가보면 IT 사무실과 같다. 다루는 대상이 OT일 뿐, 사용하는 기술은 IT이고, 이 말은 IT의 위협이 OT에도 그대로 적용될 수 있다는 것”이라고 밝혔다.

또 그는 “OT 공격의 주요 희생양은 아시아가 될 거라고 본다. 한국도 위험하다. 외국은 사고가 발생하면 이를 보고하는 의무가 주어지고, 스스로 공표하는 문화가 형성돼 있다. 그런데 아시아권에서는 공격을 숨기려 한다. 가령 랜섬웨어 공격을 받았을 경우 돈을 주고 신고는 하지 않는 거다. 이런 특성이 랜섬웨어 조직들에게는 무척 유리하게 작용한다”고 부연했다.

맨디언트는 최근 IT 업계를 흔들고 있는 아파치 스프트웨어 재단의 오픈소스 프로그램 log4j 취약점 관련해서도 공격을 추적 중이다. 중국과 이란 공격자들이 log4j 취약점을 이용해 여러 공격을 수행하고 있다고 경고했다. 특히 이를 악용한 이란 공격자의 경우 금전적 이득보다는 조직 붕괴가 목적인 랜섬웨어 공격에 주로 참여해왔다는 것이 맨디언트의 분석이다.

다만 한국 시장의 경우 맨디언트와 같은 위협인텔리전스 도입이 활발하지는 않다고 평가되고 있다. 서비스보다는 제품에 대한 선호도가 높은 상황이다. 이에 대해 오 상무는 “사실 한국 시장이 작다고는 할 수 없다. 아직 서비스 문화가 자리 잡지 않았음에도 불구하고 위협인텔리전스에 대한 니즈는 상당하다. 글로벌에서 활약하는 기업들이 많기 때문으로 풀이된다”고 전했다.

그는 “보안이라는 영역의 특성상 어느 하나의 기업이 모두 커버할 수는 없다. 다른 보안기업 제품 안 써도 된다고도 말 안 한다. 맨디언트는 어느 정도 보안을 구축한 기업들이 더 나은, 효과적인 보안 정책을 꾸려나갈 수 있도록 돕는 역할을 한다. 파이어아이와 분사하며 벤더에 대한 제약도 없어졌다. 사이버보안에 대해 함께 고민하는 파트너가 됐으면 한다”고 피력했다.