글로벌 보안 전문가가 한국의 암호화폐거래소에 사이버 범죄자들이 몰려들고 있다고 진단했다. 이미 거래소에 집중된 암호화폐를 탈취하려는 공격이 빈번하게 발생했고, 앞으로 거래소 업종의 IT인프라를 겨냥한 해킹 기법도 연구될 것이라고 내다봤다.
존 클레이 트렌드마이크로 글로벌위협커뮤니케이션 디렉터는 최근 인터뷰자리에서 "한국에서 암호화폐 거래가 활발하다보니 그 거래소가 올해 상반기까지 지속적인 공격 표적이 되고 있다"며 "암호화폐거래소처럼 돈이 집중되는 곳에 범죄자들이 몰릴 수밖에 없다"고 말했다.
그는 트렌드마이크로에서 위협 관련 조사와 보고서 개발 업무를 맡고 있는 사이버보안 전문가다. 위협인텔리전스 데이터와 '제로데이이니셔티브(ZDI)' 버그바운티 제보 내용을 바탕으로 세계 전반의 사이버위협 동향을 분석하고 대중에 그 핵심을 전파하는 역할을 맡고 있다.
클레이 디렉터같은 세계 전반의 위협동향을 살피는 보안전문가가 한국에서 성업 중인 암호화폐거래소의 보안 문제를 언급한 점이 눈길을 끈다. 그는 암호화폐거래소의 보안 외에도 글로벌 위협 동향, 빅데이터 보안, 사이버보안 강화를 위한 민간 협력과 사법공조 등을 강조했다.
다음은 클레이 디렉터와의 1문1답이다.
■ "머신러닝-AI 기술로 효과적인 보안인텔리전스 업무 가능"
-직함의 '위협커뮤니케이션'이란 어떤 업무인가
"트렌드마이크로가 만드는 위협인텔리전스 관련 발행물 제작을 돕고 발행하는 일이다. 보고서일 수도 있고, 블로그 포스팅일 수도 있고, 글로벌 행사에서의 발표일 수도 있고, 기자들과의 인터뷰일 수도 있다.
ZDI의 활동도 알리고 있다. 시스템, 운영체제, 애플리케이션 취약점을 발견하는 버그바운티 프로그램이다. ZDI가 트렌드마이크로에 속해 있긴 하지만, 외부 보안연구자들이 독립적으로 활동할 수 있도록 운영되고 있다."
-업무상 중점을 두고 있다는 '빅데이터 보안'이란 무엇인가
"위협이 확산되는 즉시 탐지하는 '제로아워(0-hour)' 능력이 필요하다. 그러자면 위협의 구체적인 특징을 우리가 잘 알고 있어야 한다.
역사적으로 그와 유사한 위협에 관한 정보를 갖고 있으면 도움이 된다. 머신러닝 기술을 이용해 그 위협 행위를 이해하고, 그와 유사한 위협을 더 잘 탐지하게 해준다. 신종이라 해도 과거대비 유사한 위협을 더 잘 파악케 해줄 수 있다.
트렌드마이크로는 30년간 사이버보안 분야 사업을 해오면서 막대한 인텔리전스 정보를 축적했다. 이런 데이터로 머신러닝과 인공지능(AI)을 제대로 작동하게 할 수 있다. 과거보다 더 효과적인 데이터 분석이 가능하다."
-올해 글로벌 사이버위협 동향을 들려 달라
"최대 위협은 암호화폐를 둘러싼 공격이었다. 악성 채굴 탐지 건수가 작년 상반기 약 7만5천건에서 올상반기 78만7천건으로 늘었다. 일부 해커는 암호화폐 채굴에서 더 나아가 암호화폐 거래소 해킹공격을 감행했다. 지난 1년간 지하세계 해커들의 포럼에서 '어떻게 암호화폐를 취득할까' 이런 대화가 많이 오갔다. 올해 1월 NEM코인 5억달러치가 탈취됐다. 인도 해커들이 4월에 330만달러치 비트코인을 훔쳤다.
다음 가는 위협은 랜섬웨어다. 올상반기 랜섬웨어 탐지수는 38만건으로 지난해 하반기 37만건에서 3%정도만 늘었다. 같은기간 탐지된 신규 랜섬웨어 패밀리는 159종에서 118종으로 줄었다. 공격이 시들해진 건 아니다. 사이버 범죄자들이 갠드크랩, 블랙하트, 사이낵, 블랙루비같은 새 랜섬웨어 패밀리가 출현하며 발전된 접근 방식을 보여주고 있다.
홈라우터(가정용 인터넷공유기)로 형성된 홈네트워크에 많은 위협이 발생했다. 데스크톱과 노트북 PC가 우선 공격 대상이고, 이들이 감염되면 나머지 네트워크 기기를 공격하는 역할을 한다. 스마트TV, 태블릿, 스마트폰, IP카메라, 네트워크스토리지(NAS), DVR까지 피해자가 된다. 상반기 최대 규모는 VPN필터 공격이었다. 2016년초부터 활동이 최고조에 달해 54개국 50만대 이상의 네트워크와 기기를 감염시켰다.
수년간 비즈니스이메일컴프로마이즈(BEC) 공격도 꾸준히 확산하고 있다. 공격 시도는 지난해 하반기 6천500여건에서 올상반기 6천800여건으로 증가했고, FBI가 발표한 BEC 누적 손실액은 125억달러에 달한다.
ZDI에 버그를 제보한 보안연구자들은 감시제어데이터수집(SCADA) 시스템과 산업설비제어장치 동작을 모니터에 띄워주는 HMI 소프트웨어에서 많은 취약점을 찾아냈다. 작년 상반기 102건이었는데 올상반기 202건으로 2배 추세다."
■ "한국 위협대응 어려운 문제…암호화폐거래소 위협 심각"
-글로벌 사이버위협 지형에서 한국이 놓인 상황은 어떤가
"정치적인 상황에 대해 구체적으로 언급하진 않겠다. 다만 한국은 아주 독특한 환경에 놓여 있다고 본다. 적국이 물리적으로 아주 가까이 있고, 그들이 한국의 금융 시스템과 주요 기반시설을 교란할 기회를 노리고 있다.
특히 첨단화된 표적형 공격 기법을 동원해 탐지하기 어렵다는 문제가 있다. 이는 심각한 문제를 일으킬 것 같다. 한국에서 어떤 조직이건 네트워크를 보호하는 건 어려운 문제일 거라 본다."
-한국의 암호화폐 관련 위협이 어떻다고 보나
"채굴 공격을 행하는 범죄자도 많지만, 한국에 암호화폐 거래가 활발하다보니 거래소가 정기적으로 표적이 되고 있다. 최근 암호화폐 가치가 주춤하고 있지만 거래소에서 작년 2분기와 올해 1분기에 많은 보안 문제가 발생했다. 한국에선 이 업종에 공격이 심한 듯하다."
-암호화폐거래소 해킹을 연구하고 시도하는 범죄자들이 많을 거라 보나
"그렇다. 돈이 있는 곳에 범죄가 따라오기 마련이니까. 범죄자는 네트워크에 침입해 비즈니스 프로세스를 감시하다가, 정보를 탈취하고, 침해할 방법을 모색하고, 침해하고, 경제적 이익을 얻으려는 것이다.
암호화폐거래소의 보안표준도 사이버보안업체들이 관심 갖는 주제 가운데 하나다. 특정 산업군에 속한 기업이나 조직은 유사한 형태의 공격을 받는 경우가 많기 때문이다."
-한국의 사이버위협 환경에 어떤 도움을 줄 수 있나
"트렌드마이크로는 지난 30년간 사이버보안 업계에서 일하면서 경험을 쌓고 기존 기술을 꾸준히 개선하고 신기술을 개발해 새로운 위협을 탐지해 왔다. 현재와 미래의 고객을 보호하고 지원할 수 있는 능력과 700여건의 사이버보안 관련 특허를 보유하고 있다.
또 어린이들을 교육시키고 그 가족들에게 어떻게하면 훌륭한 디지털시민이 될 수 있을지 알리고 있다. 아이들이 성장하면서 어떻게 기술을 적절하고 효과적이며 안전하게 사용할지 알게 하는 것이 중요하다."
■ "사이버범죄엔 국경이 없다"…민관협력, 기술업계 정보공유 강조
-사이버위협 문제를 해소하려면 어떻게 해야 하나
"사이버범죄를 줄이려면 결국 범죄자를 감옥에 보내 더 이상 활동하지 못하게 만들어야 한다. 그걸 위해 우리는 사법 당국과 협력하고 있다. 위협인텔리전스 기반 정보를 제공해, 사법 당국에서 범죄를 수사할 수 있도록 돕고 있다.
사법 당국은 이 정보를 활용해 사이버 공격자의 혐의를 포착한 사건을 추적해 체포하고, 기소하고, 감옥에 보내 활동하지 못하게 한다.
우리가 당면한 새로운 화두가 사이버범죄 관련 법 집행이다. 많은 지역에서 사이버범죄를 다루는 법을 제대로 집행하지 못하거나, 모든 상황에 대응할만큼 충분한 제도를 갖추지 못하고 있다.
예를 들어 어떤 사이버 범죄를 저지른 해커를 체포했다고 가정할 때, 그가 체포된 나라, 현지 시민을 대상으로 공격을 한 것이 아닌 경우가 있다. 그럼 체포된 해커는 바로 풀려나거나, 실형을 살더라도 그 형기가 짧다.
하지만 사이버범죄는 지구적인 문제다. 국가도 국경도 없다. 각국이 이런 문제에 충분히 대응하지 못하다보니 사이버 범죄자를 체포하고 감옥에 보내는 일에 어려움이 있다."
-정보공유 형태의 '민관' 협력이라면 시스코시스템즈, 팔로알토네트웍스처럼 한국인터넷진흥원(KISA)과 맺을 수도 있을 것 같은데
"내 담당 분야가 아니라 직접 답할 수는 없다. 한국 지역 담당자에게 그런 협약을 맺을 가능성이 있을지 문의하는 게 적절하다."
-사이버보안 업체간 연합인 '사이버위협얼라이언스'에 참여하지 않는 이유는 뭔가
"우리는 사이버위협얼라이언스(CTA, Cyber Threat Alliance)가 아닌 '사이버보안기술협정(CTA, Cybersecurity Tech Accord)'에 참여하고 있다. 우리가 그 창립멤버 중 하나다. 이 협정에는 보안분야를 넘어 업계선도적인 여러 기업들이 참여하고 있다.
관련기사
- "상반기 암호화폐 채굴 악성코드 탐지 전년대비 10배"2018.09.10
- "컨테이너 이미지 보안 구멍, 배포 전에 메워야"2018.09.10
- 금감원 사칭 암호화폐 거래소 APT 공격 발생2018.09.10
- "북한 배후 해커그룹 안다리엘, 잠재 공격 대상 확대"2018.09.10
사이버보안은 단순히 사이버보안업계 이상의 광범위한 사안이다. 관련 문제를 개선하려면 모든 산업과 형태의 조직이 정보를 공유해야 한다.
사이버위협얼라이언스는 (협력 범위가) 우리가 원하는만큼 포괄적이지 않다. 향후 사이버위협얼라이언스에도 가입할 수 있지만 당장은 그럴 뜻이 없고, 사이버보안기술협정에 집중하려 한다."