표적공격에 당한 IT 강국? 이를 피할 수 있는 방법은?
<스카이락 투나잇(Skylark Tonight)>이라는 TV쇼가 있고 데이브 스카이락이라는 사람이 MC를 맡아 진행하고 있다. 연예인들의 지극히 사적인 내용과 가십을 다루는 프로그램이다. 이 프로그램을 연출하는 프로듀서 아론 래퍼포트가 어느 날 북한의 독재자이자 지도자인 김정은이 자신들의 프로그램을 좋아한다는 사실을 인지하고선 인터뷰를 위해 중국의 접경 제대로 들어가게 된다. <스카이락 투나잇>이 김정은을 인터뷰한다는 소문이 CIA의 귀에도 들어가게 되는데 이때 CIA 요원이 제작진과 만나 김정은 암살을 제안한다. 손에 패치 하나를 붙이고 악수를 하게 되면 12시간 이내에 사망할 수 있다는 설명을 듣고 북한으로 떠나게 된다.
위 내용은 영화 <디 인터뷰>의 플롯이다. 이 작품은 아론 래퍼포트를 연기한 세스 로건이 연출했다. 데이브 스카이락은 배우 제임스 프랭코가 연기했다.
2014년 당시 소니픽쳐스는 베일에 싸인 집단으로부터 해킹을 당한 바 있다. 미개봉 영화는 물론이고 대외비로 다룬 기밀, 이름만 들으면 알만한 유명 작품에 대한 지극히 사적인 경영진들의 이메일 내용까지 유출되기도 했단다. 영화 <디 인터뷰>에 대한 보복이라거나 단순 훼방이라는 차원에서 북한이 조직을 꾸려 해킹했다거나 북한이 특정할 수 없는 검은 조직에 의뢰한 것이 아니냐는 추측이 있기도 했다. 해킹 조직은 이 작품을 상영하게 되면 9.11 테러와 같은 일이 벌어질지 모른다며 협박하기에 이르렀고 결국 영화 개봉을 전격 취소하게 된다. 이를 두고 '2014년 미국 소니픽쳐스 해킹사건'이라 한다. 이와 더불어 2016년 있었던 방글라데시 중앙은행 해킹사건, 2017년 워너크라이 랜섬웨어 사건 등 라자루스(Lazarus)라 불리는 북한 해킹 조직의 소행이라고 특정했다. 소니픽쳐스 사건의 경우도 미국 법무부에서 북한의 소행으로 확정 짓기도 했었다.
#디인터뷰
What is Lazarus?
라자루스는 북한과 연계될 가능성이 매우 짙은 사이버 해킹 집단으로 특정 지역에만 국한하지 않고 활동한다. 미국에서는 대략 10여 년 전에 조직된 것으로 보고 있다. 위에서 언급한 소니픽쳐스 해킹사건 이후로 방글라데시 중앙은행에서 무려 8천100만 달러를 해킹하기도 했고 30만 대가 넘는 전 세계 국가의 컴퓨터에 워너크라이(Wanna Cry) 랜섬웨어 공격도 감행했다. '워너크라이'는 사용자의 중요 파일을 암호화하는데 이를 풀어주는 대신 금전을 요구한다. 마이크로소프트의 윈도우 OS의 취약한 부분을 집요하게 파고들어 파일을 암호화 한 뒤 이를 복구해 주는 조건으로 비트코인을 요구하기도 했단다. 이 역시 기존 라자루스의 해킹 공격과 유사하다는 걸 이유로 다시 한번 북한을 지목하기도 했다. 이후 MS는 보안패치를 긴급 배포하기도 했다.
영문 사전에서 'Lazarus'는 실패를 극복하고 있는 누군가를 의미하기도 한다. 성경 말씀에서는 예수의 제자 '나사로'가 등장하기도 하는데 Lazarus(혹은 Lazaros)라고 쓴다.
최근 라자루스는 인터넷뱅킹에서 쓰이는 금융보안인증 SW의 취약한 부분을 해킹해 악성코드를 퍼뜨리기도 했다. 보안인증 프로그램이 설치된 PC가 특정 언론사 웹사이트에 접속하게 되면 자동으로 악성코드가 설치되는 방법을 활용했다. 이 같은 수법을 통해 국내 언론사 8곳, 의료기관 4곳, 방산 관련 3곳, 민간기업기관만 40여 곳 등 61개나 되는 기관의 PC 207대를 해킹한 바 있다. KT의 금융 보안 계열사 이니텍이 제공하고 있는 '이니세이프'라는 보안인증 프로그램으로 국내에서만 1천만 명 이상 사용자가 활용하는 프로그램이라고 한다. 그러니까 무려 1천만 대가 이번 공격에 당했을 수도 있다는 이야기다. 해당 소프트웨어 업데이트를 배포하여 더 이상의 피해가 없도록 막고 있지만 또다시 예상하지 못한 해킹 수법이 나오지 않을까 걱정이 되는 것도 사실이다.
#라자루스
라자루스가 던져놓은 해킹수법, 워터링 홀!
황량한 사막 가운데 물웅덩이가 있다. 사자 한 마리가 이곳에 숨어 먹잇감을 습격하기 위해 매복하고 있다. 이러한 형상을 빗대어 '워터링 홀(Watering Hole)'이라고 한다. 이제 이 용어는 IT 분야에서 쓰인다. 공격하고자 하는 대상자가 자주 방문하는 웹사이트에 악성코드를 심어 접속하기를 기다리는 해킹 수법 중 하나로 표적공격이라고도 한다. 무서운 것은 사전에 공격 대상에 대한 정보를 수집하고 주로 방문하는 웹사이트를 파악한다는 것이며 접속하는 모든 사용자에게 악성코드를 뿌리게 되므로 접속만 하더라도 감염될 수 있다는 것이다. 또한 100분의 1초 만에 악성코드가 심어지는 방식이라고 한다. 보통 정부 기관이나 특정 산업군에서 활용하는 웹사이트를 주로 선택하기도 했다던데 이 때문에 산업 스파이가 종종 활용한 해킹 수법이라는 말이 있다.
워터링 홀 해킹을 피하려면 최신 보안 패치를 통해 소프트웨어라던가 시스템을 최신 상태로 유지해야 한다. 이와 더불어 강력한 암호를 사용할 것을 권장하고 있다. 결국 내가 가진 비밀번호를 강력하게 설정하고 잘 관리하라는 것인데 접속하게 되는 웹사이트마다 각각 비밀번호를 다르게 설정하라고 하지만 이 같은 방법이 근본적으로 해킹을 피할 수 있는 방법이라고 하기엔 다소 무리가 있어 보인다.
#워터링홀
이를 피할 수 있는 방법은 있을까?
IT 강국이라 불리던 대한민국이 이렇게 뚫렸다. 기술이 발전을 거듭할수록 우리 삶의 질은 분명히 달라지겠지만 어딘가에서는 이를 악용하려는 움직임도 반드시 존재하는 것 같다. 북한을 포함한 해킹 조직들은 사이버 범죄를 통해 돈과 정보를 탈취한다. 2016년 방글라데시 중앙은행과 2017년 워너크라이 해킹 등 모두 돈과 연결되기도 했다. 이러한 자금은 스파이 활동을 적극 지원하기도 하고 나아가 무기 개발에 투입되기도 한단다. 해킹을 통해 얻은 개인 정보는 시스템 접근 권한으로 이용되기도 하고 자금 세탁에도 활용되기도 한다. 위에서 언급한 라자루스 이외에도 킴수키라 불리는 해킹 집단도 북한과 굉장히 밀접하다고 알려져 있다.
코로나 사태를 겪으면서 우리는 청결을 유지하기도 했다. 집에 들어오면 손부터 싹싹 씻기도 했고 소독제를 쓰기도 했으며 마스크를 필수적으로 착용해 왔다. 개인의 청결 상태를 유지하는 것도 습관이 되었으니 개인 보안도 스스로 유지하는 것도 생활화하는 것이 가장 좋은 방법이라 하겠다. 비밀번호를 바꾸는 일부터 의심이 가는 링크는 누르지 않는다던가 이러한 의심 링크를 학교나 회사 측과 공유해 대비할 수 있도록 하는 것도 올바른 방법이겠다. 물론 윈도우 운영 체제 차원에서의 철저한 보안 패치와 소프트웨어 업데이트는 필수적이다. 또한 수많은 사람들이 사용하는 프로그램에는 취약한 부분이 없는지 파악하는 것도 해킹 위협을 피할 수 있는 방법 중 하나가 되지 않을까 싶다. 전문가들도 심지어 챗GPT에서도 이처럼 익히 알고 있는 해법을 이야기 했다. 개인이든 기관이든 일단 수단과 방법을 가리지 않고 방어해야 더 큰 피해를 막을 수 있을지도 모르겠다. 범정부차원에서도 그저 뻔한 방법이 아닌 궁극적 해법을 마련해주기를!
<끝>