What’s next in cybersecurity

2023년 사이버 보안의 미래

해킹은 해마다 증가하고 있다. 전문가들은 랜섬웨어의 원천을 완전히 차단하려는 활동에서 한걸음 물러섰다. 그러나 나쁜 소식만 있는 것은 아니다. 랜섬웨어를 막기 위한 정부들 간의 협력 활동이 강화되고 있기 때문이다.

사이버 보안(cybersecurity)의 세계에서 항상 확실한 한 가지는 ‘계속해서 더 많은 해킹이 일어난다’는 것이다. 올해 업계가 사이버 보안을 위해서 지출하는 금액은 전 세계적으로 약 1,500억 달러에 이를 것으로 보인다. 그렇더라도 해킹의 증가는 피할 수 없고, 해커들을 실제로 막을 수는 없다. 

지난 1 년 동안 우크라이나를 겨냥한 러시아 정부의 해킹, 병원과 학교뿐 아니라 정부기관들을 노린 랜섬웨어(ransomware) 공격의 증가, 끝없는 암호화폐 해킹이 있었다. 그리고 마이크로소프트, 엔비디아(Nvidia), GTA(Grand Theft Auto)를 제작한 락스타 게임즈(Rockstar Games) 등 유명 IT 기업들을 겨냥한 해킹 사건들도 발생했다. 락스타게임즈 해킹 사건의 범인은 한 소년으로 밝혀졌다.

MIT 테크놀로지 리뷰와 인터뷰를 진행한 사이버 보안 전문가들에 따르면 모든 유형의 해킹은 내년에도, 가까운 미래에도 계속될 것으로 보인다. 해킹과 관련해서 다음 해에 우리가 목격할 것으로 예상되는 내용을 정리해봤다.

러시아는 우크라이나에 대한 온라인 작전을 계속할 것이다

다른 뉴스에서와 마찬가지로 사이버 보안 분야에서도 우크라이나는 올해 큰 부분을 차지했다. 사이버 보안 업계는 전쟁으로 궁지에 몰린 우크라이나로 관심을 돌렸고 러시아 정부 단체들은 우크라이나에 몇 차례 해킹 공격을 가했다. 이러한 초기 공격 중 하나는 우크라이나의 민간인과 군대가 사용하고 있었던 미국의 위성통신 회사 비아샛(Viasat)을 강타했다. 우크라이나 사이버 보안국 국장 빅토르 조라(Victor Zhora)는 이 해킹 공격이 “전쟁 초기에 통신 부분에서 매우 큰 손실을 초래했다”고 표현했다.

이 외에도 데이터를 파괴하도록 설계된 와이퍼(wiper) 악성코드를 이용하여 우크라이나를 겨냥한 해킹 공격도 무려 여섯 번이나 벌어졌다. 이 해킹 공격들은 전쟁 행위가 아닌 군사작전을 지원하기 위한 목적이었다. 밀라노 공과대학교(Politecnico di Milano)의 컴퓨터공학부 부교수 스테파노 자네로(Stefano Zanero)는 “우크라이나를 겨냥한 해킹은 ‘사이버 전쟁’이라는 말이 매우 오해를 불러일으키는 표현이며 일반적인 의미의 사이버 전쟁은 실제로 일어나지 않을 것임을 보여준다”고 말하기도 했다.

산업용 사이버 보안 업체 드라고스(Dragos)의 연구원이자 미 공군 출신의 레슬리 카하트(Lesley Carhart)에 따르면 이러한 공격은 ’사이버’가 전쟁의 일부분이며 이것이 현재에도, 앞으로도 계속해서 전쟁에서 중요한 역할을 담당할 수 있다는 것을 보여준다.

전자프런티어재단(EFF)의 사이버 보안 책임자 에바 갤퍼린(Eva Galperin)은 “사람들이 흔히 사이버 전쟁이라고 말하는 거의 모든 것들이 실제로는 ‘사이버 스파이 행위’에 해당한다고 나는 설명하고는 했다”며 “그렇지만 지난 몇 년 동안에는 그 설명이 적용되지 않는 상황이 점차 늘어났다”고 밝혔다.

이번 전쟁에서 초기에는 러시아의 해킹 공격이 물리적인 피해로 직결될 것이라는 예측이 있었다. 그러나 상황은 그렇게 전개되지 않았다.

‘사이버’ 분야의 해킹이 러시아- 우크라이나 전쟁에서 엄청나게 큰 역할을 하지 못한 이유에 대해 카하트는 “이번 분쟁에서 우리는 러시아가 제대로 준비가 되어 있지 않으며 좋은 계획을 가지고 있지도 않다는 것을 목격했다. 따라서 러시아가 사이버 영역에서도 준비가 부족한 것은 그다지 놀라운 일이 아니다”라고 지적했다.

전문가들에 따르면 우크라이나는 조라가 이끄는 사이버보안국의 주도로 몇 년 동안 사이버 방어에 힘써왔고 전쟁이 시작된 이후 국제사회의 지원을 받았다. 마지막으로 러시아와 우크라이나의 사이버 분쟁에서 흥미로운 부분은 ‘IT Army’라고 알려진 국제적인 사이버 연합의 부상이었다. 이들은 몇 차례의 의미 있는 해킹에서 성공을 거두었다. 미래 전쟁에서는 ‘핵티비스트(hacktivist: 해커(hacker)와 행동가(activist)의 합성어)’도 중요한 역할을 할 수 있음을 보여줬다.

랜섬웨어가 다시 기승을 부린다

올해에는 일반 기업, 병원, 학교 외에도 코스타리카, 몬테네그로, 알바니아의 정부 기관이 모두 랜섬웨어 공격으로 피해를 입었다. 코스타리카 정부는 랜섬웨어 공격을 받은 이후에 처음으로 국가 비상사태를 선포했다. 알바니아에서는 파괴적인 사이버 공격 이후에 국가에서 이란 외교관들을 추방했다. 사이버 공격을 이유로 외교관을 추방한 일은 사이버 보안 역사상 처음 벌어진 사건이었다.

사이버 보안 업체 레코디드 퓨처(Recorded Future)에서 랜섬웨어 연구에 집중하고 있는 연구원 앨런 리스카(Allan Liska)에 따르면 랜섬웨어 공격 건수는 2022년에 사상 최대치를 기록했으며 이 추세는 다음 해에도 이어질 전망이다.

리스카는 “랜섬웨어는 정보 도용이나 다른 악성코드처럼 단순히 기술적인 문제가 아니다. 랜섬웨어는 현실 세계와 연결되어 있고 지정학적인 영향을 미친다”고 말했다. 과거에는 예를 들어 워너크라이(WannaCry)라는 이름의 북한 랜섬웨어가 영국 국가 의료시스템(NHS)에 심각한 혼란을 초래했고, 전 세계적으로 약 23만 대의 컴퓨터에 피해를 끼치기도 했다.

다행스럽게도 나쁜 뉴스들만 있는 것은 아니다. 리스카에 따르면 랜섬웨어 범죄조직들이 해킹 툴을 빌려주고 댓가를 받는 ‘서비스형 랜섬웨어(ransomware-as-a-service)’ 모델이 사라지고 있는 징후가 관찰된다. 리스카는 “범죄조직의 규모가 너무 커지면 언제나 나쁜 일이 일어나기 때문”이라고 말했다.

예컨대, 랜섬웨어를 퍼뜨리는 레빌(REvil)과 다크사이드(DarkSide), 블랙매터(BlackMatter)는 정부들에 의해 공격을 받았다. 러시아의 악명 높은 랜섬웨어 범죄집단 콘티(Conti)가 공개적으로 러시아를 돕겠다고 밝히자 이에 경악한 우크라이나 IT 전문가는 조직 내부의 대화를 폭로했다. 그 이후 콘티는 내부적 결속이 흐트러지기 시작했다. 락빗(LockBit)도 코드 유출로 인하여 곤욕을 치렀다.

리스카는 “우리는 많은 관련 집단들이 거대한 랜섬웨어 집단의 일부가 되는 것을 거부하는 상황을 목격하고 있다”며 “그들은 정부의 눈에 뜨이지  되지 않고 원하는 사이버 범죄를 저지르기를 원하기 때문”이라고 설명했다.

레드카나리아(Red Canary)의 정보국장 케이티 니켈스(Katie Nickels)는 “적들은 미국 정부나 다른 국제 협력 기관들의 주목을 받는 특정 이름 아래 같이 묶이고 싶지 않다는 점을 깨닫기 시작했다”고 말했다.

또한 리스카나 엠시소프트(Emsisoft)에서 랜섬웨어를 전문으로 다루는 사이버 보안 전문가 브렛 캘로우(Brett Callow)는 정부들 간 국제 공조를 비롯한 법 집행 조치가 올해에는 더 자주, 더 효과적으로 이루어졌고 이는 정부들이 랜섬웨어를 효과적으로 제거하기 시작했음을 의미한다고 강조했다.

그러나 우크라이나 전쟁이 국제 공조를 더 어렵게 만들 수 있다. 올해 1월 러시아 정부는 레빌 조직원 14명을 체포하고 컴퓨터와 고급 승용차, 500만 달러 이상의 현금을 압수했다고 발표하면서 미국과 협력하고 있다고 밝혔다. 그러나 이러한 전례 없는 협력은 계속 이어지지 않았다. 러시아가 우크라이나를 침공한 순간 블라디미르 푸틴(Vladimir Putin) 정부와의 협력은 더는 있을 수 없는 일이 되었기 때문이다.

사이버 보안 업체 위드시큐어(WithSecure)의 최고기술책임자 크리스틴 베제라스코(Christine Bejerasco)는 “랜섬웨어의 원천을 차단하려는 활동에서 우리는 한걸음 물러섰다고 생각한다”고 밝혔다.

암호화폐 시장의 해킹은 앞으로도 그대로일 것이다

암호화폐는 랜섬웨어 피해자들로부터 해커들에게만 흘러 들어간 것이 아니었다. 2022년에 암호화폐는 암호화폐 프로젝트들과 웹3.0(Web3.0) 분야 기업들로부터 곧장 흘러나왔다. 암호화폐 해킹은 암호화폐가 만들어진 이후로 계속해서 벌어지고 있다. 2022년은 그런 암호화폐 해킹이 주류가 된 해였고, 블록체인 추적 업체 체이널리시스(Chainalysis)에 따르면 해커들은 올해 최소 30억 달러에 달하는 암호화폐를 훔쳐갔다. (또 다른 암호화폐 분석업체 엘립틱(Elliptic)은 올해 암호화폐 절도 금액이 27억 달러에 달할 것으로 추정했다.)

암호화폐 세계에서는 적어도 100팀 이상의 대규모 피해자가 있었다. 암호화폐 해킹 사건은 이제 거의 매일 일어나는 것처럼 보일 정도이며 이러한 해킹 사건을 추적하는 웹사이트와 트위터 계정도 있다. 아마도 암호화폐 해킹 사건 중 가장 큰 사건은 노마드(Nomad) 프로토콜에 대한 해킹이었을 것이다. 노마드 해킹 사건은 어떤 해커가 이 프로토콜의 취약점을 발견하고 암호화폐를 빼내면서 시작됐다. 이 해커의 거래는 공개되어 있었기 때문에 다른 해커들도 취약점을 눈치채고 첫 번째 해커의 행동을 모방하기 시작했고 이 사건은 결국 ‘역사상 최초의 탈중앙화 강도 사건’이 되었다. 불과 몇 주 전에는 해커들이 암호화폐 거래소 데리빗(Deribit)이 지갑을 보관하는 서버에 접속하여 2,800만 달러를 훔쳐 갔다.

암호화폐의 보안과 관련해서도 좋은 뉴스가 있다. 블록체인 보안업체 젤릭(Zellic)의 공동설립자 스티븐 통(Stephen Tong)은 “새로운 사이버 보안 전문가들이 일자리를 찾아서 암호화폐 산업으로 넘어올 것이며, 안전한 방식으로 일을 하는 데 필요한 인프라, 도구, 관행을 만들 것”이라고 말했다.

암호화폐 지갑 앱 젠고(ZenGo)의 최고기술책임자로 일하는 사이버 보안 베테랑 탈 베어리(Tal Be’ery)는 암호화폐와 블록체인에 특화된 사이버 보안 솔루션을 만들기 위한 재료들이 마련되어 있다며 “암호화폐의 미래는 더 안전해질 것”이라고 전망했다..

베어리는 “나는 우리가 2023년에는 약간의 진전을 보기 시작할 것으로 예상한다”며 “하지만 그때도 여전히 공격자들이 우위를 점하고 있을 것”이라고 우려했다.

올해 큰 성공을 거둔 해커 집단 중 하나는 랩서스(Lapsus$)였다. 이들은 다른 회사에 사용자 인증과 접속 관리 서비스를 제공하는 옥타(Okta) 같은 소프트웨어 공급망 제공업체를 목표로 삼았다. 이를 통해 해커들은 마이크로소프트, 엔비디아, 락스타게임즈 같은 유명한 기업에 침투할 수 있었다.

자네로는 “공격자들은 저항이 가장 적은 경로를 찾고 있고, 일부 인프라 공급업체가 그런 경로 중 하나”라고 지적하며 “사이버 보안 업체 같은 일부 공급자들은 여러 산업에 걸쳐서 많은 정보를 갖고 있기 때문에 공급망 공격은 현재에도 미래에도 계속될 것”이라고 강조했다.

니켈스는 “적들은 계속해서 상당한 영향을 미칠 수 있을 것이며 그런 일을 해내는 데 대단한 능력을 사용할 필요도 없을 것”이라고 우려했다.

미리보기 2회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.