[손재권의 실리콘밸리 투데이] 2021 ‘랜섬웨어’ 해킹 기승

솔라윈즈, 콜로니얼 파이프라인 그리고 JBS 이 세 회사는 일반 대중에는 알려지지 않았지만 각 업계에서는 중요한 업무를 하는 숨은 강자이자 필수 인프라 기업이다.

솔라윈즈는 네트워크 모니터링 소프트웨어를 제공한다. 네트워크 모니터링은 필수이기 때문에 전 세계 30만개 넘는 고객사가 있으며 포천500대 기업 중 400개 기업이 쓸 정도로 ‘필수 인프라’ 기업으로 꼽힌다. 미 국무부와 상무부 등 주요 연방정부 기관에서도 사용한다.

콜로니얼 파이프라인은 미국 최대 규모의 정유 ‘송유관’ 기업. 이 회사는 텍사스주 걸프만에서 동부의 뉴저지주까지 8850㎞ 규모의 송유관을 보유하고 있으며 하루 250만 배럴 상당의 휘발유, 디젤유와 항공유 등을 수송한다.

JBS는 세계 최대 육류 가공업체. 브라질 상파울루에 본사를 두고 있으며 이 회사의 미국 소고기 시장 점유율은 23% 수준에 달한다.

이처럼 산업이 다른 솔라윈즈, 콜로니얼 파이프라인, JBS의 공통점은 무엇일까? 올해 초대형 ‘해킹 사고’를 당하면서 대중에 알려진 회사들이다. 콜로니얼 파이프라인은 랜섬웨어 해킹을 당하고 다급한 나머지 해커들에게 비트코인을 지불하기도 했다.

이제 국가나 각 기업에 해킹은 새로운 일상(뉴노멀)이 됐을 정도로 새롭지 않은 일이 됐다.

더이상 해킹 사고를 일회성 ‘보안사고’나 ‘잊고 싶은 기억’으로 치부할 수 없는 수준이 됐다. 어떤 기업이나 정부 조직이든 해킹 공격에서 자유로울 수 없게 된 2021년의 해킹엔 몇 가지 중요한 시사점이 있다.

●코로나 팬데믹 닥치자 국가 인프라 집중 공격

그동안 해커 조직은 페이스북, 마이크로소프트 등 잘 알려진 테크, 인터넷 기업이나 은행, 금융 기관을 노렸다. 테크, 인터넷 기업들은 최대 수억 명에 달하는 이용자 데이터가 있어서 이용자 데이터를 인질 삼아 협상할 수 있었다. 은행이나 금융 기관은 그 자체로 ‘돈’이 되기 때문에 해커 집단의 핵심 타깃이 됐다.

하지만 이들 기업의 보안 수준이 높아지고 코로나 팬데믹이 닥치자 해커 집단은 ‘먹거리’를 생산하거나 국가 인프라 기업을 집중적으로 노리고 있다. 인프라를 인질로 삼고 돈을 노리거나 인프라 공격을 통해 해당 국가의 숨통을 끊는 그야말로 ‘사이버 공격’을 감행하는 것이다.

국가, 산업의 인프라 기업들은 대부분 대규모 공장 시설이나 설비를 가지고 있지만 ‘사이버 시스템’을 구축하는 데는 투자를 게을리해 기존 테크 기업이나 은행보다 공격이 쉬운 면이 있었다.

이 상황이 중요한 이유는 인프라, 공급망에 대한 공격은 ‘개별 기업’이 피해를 입을 뿐 아니라 경제 전반에 악영향을 미치기 때문이다.

실제 세계 최대 육가공 업체 JBS는 해커 집단의 공격으로 회사가 문을 닫고 공장이 멈춰 전 세계 육류 공급까지 차질을 빚게 됐다. JBS가 워낙 생산량이 많아서 하루만 멈춰도 육류 공급이 큰 폭으로 줄어들기 때문이다. 특히 백신의 빠른 보급으로 미국의 각 식당들이 본격적인 영업을 재개하고 여름휴가 시즌에 야외 바비큐 수요가 늘어나 JBS는 공장가동률이 100%에 근접하고 있던 상황에서 해킹 공격을 받아서 피해가 컸다.

공급망을 공격한 영향은 ‘경제’에도 파장을 미쳤다. 시장에서는 JBS 해킹 여파가 2주가 지속되면 소고기 도소매 가격이 20% 정도 오를 수 있고 다른 식자재 가격도 꿈틀거리게 할 수 있다고 분석하고 있다.

지난달 해킹 공격을 받은 콜로니얼 파이프라인도 미 동부 원유의 45% 정도를 공급하는데 해커들의 공격을 받는 기간에 유가가 6개월 만에 가장 높은 수준으로 치솟기도 했다.

미국 일부 지역과 기업에서는 콜로니얼 파이프라인 사태가 끝날 기미가 보이지 않고 항공유 연료 부족 현상이 벌어지자 사재기가 벌어지기도 했다. 다급해진 콜로니얼 파이프라인은 결국 해커들에게 49억 7000여만원(440만 달러)의 비트코인을 내주고 사건을 마무리해야 했다.

아일랜드에서는 국가 ‘헬스케어’를 담당하는 아일랜드 보건서비스(HSE)가 랜섬웨어 공격을 당하기도 했다.

해커들의 무자비한 인프라 공격으로 이제는 어떤 국가도, 기업도 해킹에 안전하지 않다는 인식이 퍼지게 됐다. 또 앞으로 해커 집단은 원자력, 전기, 수도, 농업 등의 공급망을 마비시키며 영향력을 과시할 가능성이 높다.

●해커 집단 ‘빅 비즈니스’ 된 랜섬웨어 공격

최근 해커 집단은 ‘랜섬웨어’ 방식을 해킹 수단으로 이용하고 있다. 랜섬웨어가 최대 사이버 위협이 된 것이다. 랜섬웨어는 몸값(ransom)과 소프트웨어(software)의 합성어로 컴퓨터 시스템을 잠그거나 데이터를 암호화해서 사용할 수 없도록 만든 다음 사용하고 싶다면 돈을 내라고 요구하는 해킹 방식이다.

랜섬웨어 공격은 각 임직원의 이메일에 첨부파일을 통해 침투하기도 하고 웹페이지 접속을 통해 들어오기도 한다. 확인되지 않은 프로그램이나 파일을 내려받기하는 과정에서도 퍼진다.

새로운 해킹 기법은 수익성 있는 산업으로 인식되면서 또 다른 ‘글로벌 팬데믹’ 수준이 됐다는 평가를 받고 있다. 인프라를 마비시킨 후 비트코인 등 암호화폐로 몸값을 받기 때문에 추적이 불가능해져 이 방식이 더욱 기승을 부리는 것이다.

악시오스는 2020년 랜섬웨어 공격으로 인한 암호화폐 지불 금액이 약 3억 5000만 달러로 전년도의 3배에 달한다고 분석했다.

랜섬웨어 공격은 기술과 비즈니스 모델도 진화 중이다. 사이버 보안 기업 파이어아이에 따르면 최근엔 해킹 기업이 ‘서비스형 랜섬웨어’(Ransomware as a Service) 방식으로 진화했다.

‘서비스형 랜섬웨어’는 맞춤형 악성코드를 제작하는 집단과 이를 배포하는 집단이 협업하는 방식으로 랜섬웨어 비용을 크게 낮춘 것이 특징이다. 한 집단은 원하는 타깃을 정해서 랜섬웨어 위협을 가하고 또 다른 집단은 중요 파일을 암호화해서 피해자에게 몸값을 받는다. 해킹에 성공하면 이익을 나눈다. 이처럼 비용을 낮춰 효율적으로 공격함으로써 큰 이득을 취할 수 있으며 비트코인으로 대가를 받아 추적도 힘든 ‘알짜 비즈니스’가 된 것이다.

미국 정부는 이같이 특정 국가를 노린 랜섬웨어 공격의 배후에 ‘러시아 정부’가 있다고 보고 있다. 특히 250개 이상의 미 연방 기관 및 기업에 침투한 솔라윈즈 해킹 사태는 미국 소프트웨어 공급망의 ‘신뢰’를 타격했으며, 러시아 최고 정보기관 중 하나인 SVR의 소행이라고 바이든 행정부가 공식 발표한 바 있다.

바이든 정부는 솔라윈즈 해킹 사태에 대한 보복으로 러시아 일부 단체와 인물들을 제재하고 외교관 10명을 추방했다.

콜로니얼 파이프라인도 다크사이드라는 랜섬웨어 운영 회사가 작업한 것으로 이 회사도 러시아에 기반을 두고 있다. JBS 공격도 아직은 공식적으로는 밝혀지지 않았으나 러시아가 배후에 있을 가능성이 높다고 점쳐지고 있다.

러시아 정부는 미국의 이 같은 주장을 모두 부인했다. 겉으로는 ‘민간기업’의 소행인 것처럼 보였기 때문이다. 국가 기관이 직접 해킹에 나서지 않지만, 기업 활동처럼 포장하는 이유는 정부의 직접적 개입이 없는 것처럼 보이면서도 해킹 ‘비즈니스’를 키우려는 목적이 있다. 국가 기관은 ‘해킹’ 자체가 목적이라고 한다면 기업형 해커 집단은 해킹으로 얻은 정보로 2, 3차 비즈니스를 할 수 있다.

●美 등 특정 국가 해킹… 안보, 핵심 어젠다로

이제 해킹 공격은 ‘국가 안보’의 핵심 과제가 됐다. 실제 오는 16일 스위스 제네바에서 열리는 미국과 러시아 정상회담에서 주요 어젠다로 다뤄질 예정이다.

그렇다면 이 같은 공격에 대비하는 방법은 없을까?

랜섬웨어 팬데믹에 가장 효과적인 ‘백신’은 정부 기관이나 기업, 개인의 일상적 보안 의식을 높이는 수밖에 없다. 해커 집단은 ‘목표’가 정해지면 1~2년간 해당 기업을 연구하고 해킹을 시도한다. 솔라윈즈도 2019년부터 해킹 시도가 있었다고 밝힌 바 있다. 해커 집단은 솔라윈즈 해킹을 2년에 걸친 ‘노력’ 끝에 해낸 것이다. 기업이나 개인들은 허용되지 않은 첨부파일을 내려받아서는 안 된다.

또 비즈니스 모델이 되는 것을 막기 위해 비트코인 등 암호화폐 경로를 차단해서 랜섬웨어 수익을 줄여야 한다는 주장이 나온다. 비트코인 자체는 추적하기 힘들지만, 비트코인을 현금화하는 과정에서 자본의 이동을 추적한다면 단속이 아예 불가능한 것은 아니기 때문이다.

더밀크 대표