최신 보안 뉴스

보안 및 IT 분야의 최신 뉴스를 정확하고 신속하게 전해드립니다.

사이버 범죄자들에게도 공급망 공격은 치명적으로 작용한다

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

사이버 범죄는 대형 산업이다. 그 규모가 얼마나 큰지 이 산업에 관여하고 있는 사람의 수를 어림잡는 것조차 불가능하다. 정식 단체의 이름을 내걸고 활동하는 조직도 있는가 하면, 프로젝트별로 즉흥적으로 뭉쳐 힘을 합쳤다고 다시 흩어지는 경우도 있다.

 

 


 

 

뭉쳤다 흩어지기는 개개인 단위의 활동으로 이뤄지기도 하지만, 여느 산업에서도 그렇듯, 공급망이 통째로 관여되는 경우도 부지기수다. 공급망 공격이 최근 유행하고 있는데, 이는 우리가 현대에 이르기까지 구성해 온 공급망이 그만큼 중요하고 필요불가결의 요소이기 때문에 가능하다. 그런데 사이버 범죄자들에게 있어서도 이 ‘공급망’이라는 건 꽤나 중요한 요소다. 왜 우리만 당해야 하는가? 그들의 공급망에 우리도 위협을 가할 수 있어야 한다.

 

사이버 범죄, 점점 조직적으로 변해가다

대부분의 사이버 범죄자들은 ‘돈을 벌기 위해’ 범법 행위를 저지른다. 그렇기 때문에 대부분의 사이버 범죄가 중요한 시스템을 먹통으로 만든 후 돈을 요구하는 형태나 민감한 정보를 훔쳐 다크웹에 되파는 모양새를 띈다. 말 그대로 ‘돈’이 이들에게 있어 알파와 오메가다. 2020년 하반기 동안 랜섬웨어 공격이 7배나 증가한 데에는 이유가 있다. 돈이 잘 벌린다는 것이 바로 그것이다.

 

이러한 돈 벌기 행위가 얼마나 인기가 높은지, 사이버 범죄자들은 이제 절반 이상이 ‘조직 단위’로 움직인다. 그러므로 효과와 효율 양 측면에서 개개인이 따로 움직이는 것보다 높은 성적을 낸다. 오래된 영화에서 보는 것처럼 천재 한 명이 외로운 늑대처럼 움직이며 기업들에 상처를 내기에 우리는 너무나 단단하고, 따라서 공격자들에게도 동료가 필요하다. 이들 조직에는 CEO도 있고, 콜센터도 있고, CFO도 있으며, 기술자들과 법 자문도 존재한다. 양지에서 활동하는 기업들과 흡사하다.

 

이렇게 조직적으로 움직이기 때문에 범죄 조직들 간에도 인프라가 형성되기 시작했다. 보안 기술이 좋아지면 좋아질수록 이들의 기술력도 고차원적으로 진화하고, 그에 따라 인프라도 복잡하게 얽히고 꼬인다. 예를 들어 특정 보안 기술이나 솔루션을 잘 뚫어내는 기술자 한두 명을 스카웃하는 것이 예전 범죄 조직의 활동 내역이었다면, 이제는 아예 서비스형 사이버범죄(Cybercrime-as-a-Service, CaaS)라는 생태계를 만들어 ‘범죄의 프랜차이즈화’를 꾀한다. 그러면서 공격의 효율을 높이고, 사법 기관의 추적을 쉽게 따돌리기도 한다.

 

사이버 범죄자들의 공급망

공격자들이 ‘공급망’ 단위로 움직이기 시작했으니, 우리도 공급망 단위로 방어해야 한다. 베일에 가려진 천재와의 1:1 두뇌 대결의 로망은 이제 존재하지 않는다. 사이버 범죄자들도 힘을 합쳐 보안 기술에 대응하고 맞선다. 이러한 ‘조직력’에는 제일 먼저 개발자 혹은 공급자가 존재한다. 멀웨어나 익스플로잇을 만들어 개발하는 능력을 가진 자들이다. 이들은 자신의 창작물을 팔거나 대여한다. 이를 받은 ‘고객들’은 일정 양의 돈을 지불함으로써 공급자의 기술력을 빌려와 공격에 사용한다. 고객, 파트너, 동업자, 리셀러 등 여러 형태로 관계가 맺어진다.

 

만든 자와 구매하는 자 사이에는 각종 유통업자들이 존재한다. 그러면서 파생하는 복잡한 돈 문제를 대신 정리해 주는 자들도 나타나기 시작했다. 특히 범죄자들은 ‘돈 세탁’을 거쳐야만 현금을 손에 쥘 수 있기 때문에 유능한 세탁 전문가들이 사이버 범죄에 관여하기 시작했다. 그러면서 겸사겸사 세탁에 관여한 모든 ‘직원들’에게 지불되는 월급도 관리했다.

 

이런 조직들이 늘어나면서 사이버 범죄 시장에서도 경쟁이 심화되고 있다. 자연스럽게 다크웹과 SNS 비밀 채널에서의 홍보 활동을 전문으로 하는 자들도 조직들에서 필요로 하게 되었다. 재미있는 건 자금 세탁이나 자질구레한 홍보 활동에 관여하는 ‘말단 직원들’ 중 범죄 활동에 참여하고 있는 걸 모르는 사람이 많다는 것이다. 이들은 자신들이 어떤 회사에서 파트타임으로 근무하는 것으로 착각하고 있다.

 

범죄 공급망 파괴하기

이렇듯 회사처럼 운영되는 사이버 범죄 조직들의 ‘공급망’을 어떻게 해야 파괴할 수 있을까? 먼저는 그들이 우리의 공급망을 어떤 식으로 들쑤시는지를 배워둘 필요가 있다. 그들은 우리의 공급망을 아예 못 쓸 것으로 만들지는 않는다. 다만 계속해서 ‘복구’하게 강제한다. 강제로 껏다 켜게 만들고, 강제로 재구축하게 만들고, 강제로 다른 전략을 사용하게 만든다는 것이다. 그럼으로써 우리는 쓸데없는 곳에 자원을 소모하고, 느려지며, 지친다.

 

우리도 그렇게 해야 한다. 모든 공격 인프라 파괴 시도가 주요 악당들의 체포로 이어질 수만은 없다. 다만 계속해서 그들이 재시작하고, 전략을 변경하고, 새 기술을 익히게 만들어 ‘공격 한 번 성공시키기 힘들다’는 토로가 나오게 해야 한다.

 

그러려면 그들이 가장 아파하는 곳을 쳐야 한다. 여기에는 여러 가지가 있을 수 있다.

1) 공격 초기에서부터 일찌감치 공격 행위를 노출시킬 수 있게 해주는 계획과 전술을 만들어 활용한다. 이는 조직마다 천차만별이다.

2) 인공지능 기술을 활용해 본격적인 공격이 시작되기 전에 위협 요소들을 미리 탐지하고 방비한다.

3) 첩보를 많은 조직들과 공유함으로써 공격자들이 같은 방법을 재탕, 삼탕하지 못하게 한다.

 

한편 사법 기관들이 할 수 있는 일도 있다. 영업과 사업 운영의 측면에서 성가시게 만드는 방법에 집중한다면 범죄 조직들은 큰 손해를 늘 감수해야 한다. 민간 기업들과 손을 잡아 공격에 활용되는 C&C 서버를 압수한다든지, 거래와 판매가 이뤄지는 웹사이트를 재빨리 차단시키는 것이 효과적이다. 심지어 다크웹의 유명 시장에 각종 허위 콘텐츠를 도배함으로써 제대로 된 안정성 측면을 흔들 수도 있다.

 

자금줄을 추적하는 것도 좋은 방법이다. 각종 범죄 조직과 마약 사범들을 추적할 때도 자금의 경로를 파악하는 것으로 알려져 있다. 특정 계정을 동결시킨다든지 하는 식으로 끈질기게 사이버 범죄 조직을 괴롭히면, 이들도 쉽게 돈을 벌 수 없게 된다. 물론 이렇게 하려면 국제 공조와 외교적 절차가 필요할 수 있다.

 

이런 모든 전략들의 공통점은 홀로 실행할 수 없다는 것이다. 사이버 범죄자들이 최근 몇 년 동안 더 똑똑해진(혹은 더 흉악해진) 이유는 ‘협업’이다. 서로가 서로를 도와 부족한 부분을 메워주니 강력한 하나의 산업이 탄생하게 된 것이다. 그런 적을 상대로 우리가 아무리 잘났어도 혼자 싸울 수는 없다. 파트너십과 협업, 공조가 중요해지는 이유다. 우리는 정보와 노하우를 적극 공유함으로써 좀더 쉽게 공격자들의 돈 벌이를 방해할 수 있다.

 

형세역전을 위하여

이제 사이버 범죄는 수십억 달러 규모의 ‘성장 산업’이다. 그들의 성장 비결은 전부 우리에게서 나왔다. 그들은 우리처럼 조직을 구성하고, 우리처럼 활동함으로써 성장해 왔다. 지금도 그러고 있다. 그렇기 때문에 우리의 공급망이 치명적이듯, 그들의 공급망도 중요한 자원이 되고 있다. 이제 우리의 눈길을 이 ‘공급망’ 혹은 ‘산업 전체’라는 덩어리로 돌려야 한다. 그들이 얼마나 거대한지 느끼게 된다면, 협업과 공조를 하지 않을 수 없을 것이다.​ 

  • 보안뉴스 로고
  • 문가용 기자
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.