"특정 랜섬웨어 공격 그룹이 체포되고 없어졌다고 해서 위험이 사라진 것은 아니다. 랜섬웨어, 데이터 탈취 공격은 RaaS(서비스형 랜섬웨어) 등 다양한 형태로 보다 광범위하게 퍼져 있는 상태다. 최근에는 프롬프트록(PromptLock)과 같은 인공지능(AI) 기반 랜섬웨어도 발견돼 이전보다 대응이 더욱 어려워지고 있다"
라온시큐어 화이트햇센터의 수장인 윤원석 라온시큐어 부사장은 4일 지디넷코리아와의 인터뷰에서 이같이 진단했다. 윤 부사장은 최근 굵직한 해킹 사태가 벌어진 가운데 공격자들이 다변화되고 공격 방식도 정교해짐에 따라 실제 해킹 가능성을 점검하고 해킹 발생을 예방하는 것이 무엇보다 중요해지고 있다고 강조했다.
실제로 2019년 최초 식별된 이후 세계 최대 랜섬웨어 그룹으로 커졌던 '록빗'(LockBit)이 영국 국가범죄청(NCA)를 비롯한 10여개국의 수사기관의 공조 끝에 검거되면서 자취를 감추게 됐다. 체포 이후 나흘만에 다시 부활했던 록빗이었으나, 검거됐던 이력 때문에 랜섬웨어 시장에서 영향력을 잃은 지 오래다. 지난해부터 록빗은 새로운 버전인 4.0을 출시하며 입지를 회복하고자 했으나 신뢰도를 회복하기는 역부족이었다.
세계 최대 랜섬웨어 그룹의 검거에도 클롭(Clop), 킬린(Qilin) 등 공격 그룹의 활동이 활발해지면서 랜섬웨어 위협은 여전히 이어지고 있는 상황이다. 특히 킬린의 경우 최근 웰컴금융그룹에 대한 랜섬웨어 공격을 주장하는 등 국내 기업에도 공격 시도를 서슴지 않고 있다.
이와 관련해 윤 부사장은 "록빗의 검거 이후 랜섬웨어 공격이 오히려 더 다양화되고 산업화되고 있다. 국제 공조 수사가 더욱 절실해지는 상황"이라며 "RaaS 그룹 등 랜섬웨어 공격을 서비스 형식으로 제공하고 있는 공격 원점이 식별되면 이에 대한 역공격 및 인프라 폐쇄와 같은 적극적인 수사 과정을 고려해야 할 시기가 왔다고 보여진다"고 역설했다.
기존의 사후적인 수사와 검거 방식을 넘어서 확실한 공격 진원지나 불법적인 공격자임이 확인되는 데에 역공격을 가하는 등 적극적인 대응 방식이 필요하다는 것이다. 잇단 보안 사고가 발생하고 랜섬웨어 피해가 급증하고 있는 만큼 검거에 속도를 올려야 한다는 의미로 해석된다.
실제로 한국인터넷진흥원(KISA)에 따르면 최근 침해사고 건수가 전년 동기 대비 15% 늘었고, 침해사고 유형별로 보면 절반 이상이 랜섬웨어 등 서버 해킹 형식으로 공격이 진행됐다.
랜섬웨어 그룹뿐 아니라 유출·탈취한 데이터를 다크웹이나 불법적인 해킹 포럼을 통해 거래하는 '정보 암시장'에서도 변화가 감지되고 있다. 가장 인기 있던 해킹 포럼 '브리치포럼(BreachForums)'이 최근 FBI에 의해 체포돼 사이트 폐쇄 및 도메인 압류 등의 조치가 이뤄졌다.
그러나 브리치포럼 폐쇄 이후에도 다크포럼스(DarkForums) 등 불법적인 해킹 포럼이 여전히 주목받고 있다. 다크포럼스는 2022년 등장해 1만5000여명의 회원과 5만건이 넘는 탈취 데이터 및 공격 코드 등을 판매하는 게시글을 업로드하고 있다.
윤 부사장은 "브리치포럼의 폐쇄 이후에도 다크포럼이 브리치포럼의 대안으로 부상하는 등 탈취한 정보를 사고팔려는 시도는 여전히 계속되고 있다"면서 "불법적인 해킹 포럼이나 거래 채널에 대해서도 지속적인 수사와 검거가 필요하다. 불법이라고 확인이 될 때에는 디스럽션(공격 원점 폐쇄)할 수 있는 체계를 마련하면 효과적으로 불법적인 정보 거래를 줄일 수 있을 거라 생각된다"고 강조했다.
韓 보안 1.2세대 윤원석 부사장…레드팀 구축 어려운 기업 돕는 솔루션
윤 부사장은 1997년 우리나라에 보안컨설팅이라는 용어가 처음 만들어진 때부터 LG, SK 등 대기업을 비롯해 과학기술정보통신부, 사법부 등 공공기관의 보안컨설팅 분야에 헌신했다. 2018년 라온시큐어 내 화이트햇센터 지휘봉을 잡았고, 실전 기반의 '프리미엄 모의해킹', 주요 정보통신 기반시설 취약점 분석평가 등의 업무를 총괄하고 있다.
윤 부사장은 "우리나라 보안의 1.2세대 정도 되는 인물이라고 소개할 수 있을 것 같다"며 "라온시큐어는 주요 정보통신기반시설 취약점 분석 평가를 할 수 있는 국가가 지정한 정보보호 전문 서비스 기업 28곳 중 하나다. 이 중에서도 보안 컨설팅과 실전모의침투서비스를 모두 할 수 있는 곳은 우리가 거의 유일하다"고 강조했다.
전 세계 기업을 노린 랜섬웨어 공격과 성행하는 정보 뒷거래는 우리 사회 안전망을 지금도 위협하고 있는 현실이다. 이에 공격자의 관점에서 침투 시나리오를 짜고 기업 및 기관이 해커보다 먼저 대응할 수 있도록 돕는 '레드팀'의 역할이 부각되고 있다.
이와 관련해 윤 부사장은 "최근 랜섬웨어, APT 공격 등 직접적인 해킹을 통한 사이버 침해 사고가 증가하면서 선제적인 보안 강화를 위해 레드팀의 수요가 높아지는 것은 사실"이라면서도 "하지만 기업들이 직접 화이트해커를 채용해 레드팀을 구성하기에는 국내 화이트해커 인력풀이 부족하다. 또 초기 구축 비용이 만만치 않기 때문에 비용상의 문제도 발생한다"고 지적했다.
실제로 중소기업의 경우 레드팀은 커녕 정보보호 인력을 두고 있는 곳조차 찾아보기 힘들다. 이에 대기업 대비 보안 역량이 떨어지기 때문에 공격자들의 타깃이 되기 십상이다. 한 푼이라도 야껴야하는 중소기업의 입장에서는 자금 여력이 부족하기 때문에 현실적으로 정보보호에 투자하기 쉽지 않은 상황이다.
그러나 이같은 중소기업이 공격자에 의해 뚫리게 되면 핵심 기술 유출, 개인정보 유출 등 피해는 겉잡을 수 없이 커진다. 또 대기업과 협력 관계를 맺고 있는 경우에는 협력 중소기업이 대기업으로 침투하는 '통로' 역할을 할 때도 빈번하다.
윤 부사장은 "이에 라온시큐어는 모의침투 전문가 집단인 화이트햇센터 조직을 확대해 직접 레드팀을 갖추기 어려운 주요 기업들에 대한 실전형 모의침투 서비스를 제공하고 있다"면서 "기업들이 부담 없이 보안 체계를 강화할 수 있도록 저비용·고효율의 보안 환경을 제공하는 것이 필수적인 상황인데, 화이트햇센터는 세계 최고 수준의 화이트 해커들을 30여명 규모로 확보하고 있는 만큼 레드팀의 역할을 아웃소싱하는 방식도 적극 고려해야 한다"고 말했다.
"지난해에는 비용상 어려움으로 보안 강화 의지가 있음에도 어려움을 겪고 있는 기업들을 위해 모의해킹 서비스들 중 필요한 상품을 골라 원하는 기간과 횟수를 정해 월 단위로 구독할 수 있는 '구독형 모의해킹 서비스'인 '라온 PTaaS(Penetration Testing as a Service)'를 제공하고 있으며, 현실적인 대안이 될 수 있다"고 소개했다.
"보안 투자 늘리려면 '당근과 채찍' 필요…버그바운티 제도도 개선해야"
고도화되는 위협에도 국내 정보보호 투자는 세계 기준에는 여전히 미치지 못하고 있는 현실이다. 이에 국내 정보보호 산업이 나아가야 할 방향에 대해 물었다.
윤 부사장은 "정보보호 투자 공시 제도를 확대하고, 얼마나 정보보호에 투자하고 있는지 스스로 알릴 수 있는 기회를 확대하는 방법이 투자를 늘리는 유도책이 될 수 있겠다"면서 "안전한 서비스를 지속 유지할 때에는 이에 대한 상도 필요하겠지만, 보안 사고가 발생했을 때에는 해외 사례처럼 강력한 처벌을 통해 보안 수준을 높이는 '당근과 채찍'이 병행돼야 한다"고 강조했다.
비용적인 차원에서 벗어나 보안 강화를 위해 선제적으로 보안 취약점을 찾아내고 대응 및 조치한 기업이나 기관에 대해서는 상이나 혜택이 강화돼야 한다고도 주문했다. 이같은 취약점을 선제적으로 찾아내는 방식에는 '버그바운티'(취약점 신고 포상제) 제도의 도입이 효과적인데, 이런 제도를 강화해야 한다는 것이다.
그는 "국내 버그바운티 제도의 포상금은 글로벌 빅테크 기업에 비하면 현저히 낮은 수준이다. 취약점을 찾아줘도 다크웹에서 찾은 취약점을 판매하는 것보다 낮은 금액을 포상금으로 지급하고 있는데 어느 화이트해커가 발벗고 나서 취약점을 찾으려 하겠는가"라며 "또 취약점을 찾아줘도 취약점으로 인정하지 않으려는 경향이 있는데, 이런 인식들이 빠르게 개선돼야 보안 강화의 속도를 높일 수 있겠다"고 역설했다.
그는 "화이트햇센터의 경우 어떤 기업의 모의침투나 침투테스트 과정에서 치명적인 취약점을 찾아내고 실제 해킹에 성공했을 때에는 '성공보수'라는 것을 지급한다. 당연한 원리이지만, 추가적인 보상을 지급하는 방식으로 업무를 진행하다 보니 더 적극적으로 업무에 임하게 된다"며 "또 중요한 점은 취약점을 찾아낸 해커와 보수를 지급하는 기업 간의 신뢰 체계도 확실히 잡혀 있어야 한다. 라온시큐어의 해커들은 전문 서비스 기업으로서 과기정통부에 등재된 인물이기 때문에 신뢰도가 높은 편이다. 이런 신뢰를 기반으로 찾아낸 취약점에 대해서는 확실한 보수가 뒤따르면 오히려 능력 있는 화이트 해커를 육성하는 채널이 될 수 있을 것"이라고 당부했다.
"보안 업무, 사회 안전망 구축에 기여한다는 보람"
향후 윤 부사장은 라온시큐어 화이트햇센터가 제공하고 있는 보안 컨설팅, 프리미엄 모의해킹 등 분야에서 나아가 올해 초 출시한 구독형 모의해킹 서비스인 ‘라온 PTaaS’를 본격 성장시켜 나갈 계획이다.
윤 부사장은 "직접 레드팀을 운영하기 어려운 사업자들을 대상으로 한 프리미엄 모의해킹 서비스를 지속 확대해 나가는 한편, 제로데이 취약점(아직 알려지지 않은 취약점) 등 새로운 취약점 연구 사업도 적극 확장해 나가려고 한다"며 "최근에는 AI를 기반으로 한 해킹 이슈들이 많이 생겨나고 있는데, AI 기반 해킹 가능성에 대한 점검과 더불어 클라우드, 블록체인 등 신기술 취약점 점검 사업도 적극 확대해 나갈 것"이라고 밝혔다.
그는 "개인적으로는 라온시큐어를 통해 우리나라가 조금이라도 안전한 사이버 세상을 구축하는 데 조금이라도 기여하는 것이 포부이자 목표"라며 "직원들 역시 이 사회의 안정과 신뢰에 기여했다는 성취감을 느낄 수 있도록 하겠다"고 강조했다.
◆ 윤원석 윤원석 라온시큐어 부사장(화이트햇센터장)은.....
- 1968년생.
- 1997년 연세대학교 경영학과
- 1993년 동국대학교 국제정보대학원(국제정보보호학과)
- 2024년 라온메타 메타데미사업본부장
- 2023년 정보보호산업발전 유공 과학기술정보통신부 장관 표창 (개인)
- 2018년 라온시큐어 화이트햇센터장
- 2016년~2018년 티모넷 신사업 담당 사업부장 상무
- 2010년~2015년 싸이버원 컨설팅본부장 상무
- 2004년~2010년 인포섹 컨설팅본부장 이사
- 2001년~2004년 인젠 보안컨설팅팀장
관련기사
- [보안리더] 김창오 PM "AI보안, 한국이 세계 리더십 가질 수 있어"2025.06.23
- [보안리더] 금보원 김현민 팀장 "보안강국?...정책·기술·사람 3박자 맞아야"2025.06.22
- [보안리더] 이창복 토스 CPO "한국, 개인정보보호 선진국"2025.05.19
- [보안 리더] 이별 CIS 대표 "국제 자격증 18개 ···OSCE3 국내 첫 획득"2025.08.25
- 2000년~2001년 사이버패트롤 보안컨설팅팀장
- 1996년~2000년 LG CNS Entrue Consulting Partners
