2020.01.13

칼럼 | 미국-이란 갈등의 여파··· '윈도우 PC가 위험하다'

Preston Gralla | Computerworld
이란 군부의 실세인 거셈 솔레이마니 사령관이 미군의 공습으로 암살당했다. 이란은 이와 관련해 피의 복수를 하겠다고 선언했다. 만약 이란이 보복으로 사이버 공격을 감행한다면 (그럴 가능성이 매우 높다) 그 공격 벡터는 늘 그렇듯 윈도우일 가능성이 높다. 

이란이 사이버 공격에 나선다면 개인 PC와 회사 PC 모두 표적이 될 것이다. 왜 이런 일이 발생하는 것인지 그리고 어떻게 하면 이란의 사이버 공격을 조심할 수 있는지 알아본다.
 
ⓒGetty Images

미국-이란 간 사이버전의 오랜 역사
향후 발생할 수 있는 사이버 공격을 이해하려면 과거를 돌아봐야 한다. 미국과 이란은 10년 넘게 저수준 사이버전을 치러왔다. 가끔은 고수준 사이버 공격이 일어나기도 했다.

예를 들면 스턱스넷(Stuxnet) 바이러스는 최악의 사이버 공격 중 하나로 꼽힌다. 이는 2009년 이란의 핵 시설을 겨냥한 미국과 이스라엘의 공격이었다. 스턱스넷은 윈도우 OS의 제로데이 취약점을 이용해 컴퓨터를 감염시켰다. 감염된 소프트웨어가 수천 개의 원심분리기에 고속 회전 명령을 내렸다. 그 결과 가동 능력이 감소하고, 원심분리기가 파괴됐다.

스턱스넷 사건은 이란의 핵 시설에 막대한 피해를 입혔다. 대이란 경제제재로 이끌어낸 2015년 핵 협상에 스턱스넷 공격 또한 한 원인으로 작용한 것 아니겠냐고 많은 사람들은 보았다. 그러나 미국은 경제 제재 완화라는 협상 조건을 더 이상 지키지 않고 있다.

스턱스넷에 대한 보복으로 2012년 이란은 미국 금융기관을 공격했다. 윈도우 취약성을 악용해 뉴욕 증권거래소, JP 모건체이스 등 45개 이상의 미국 금융기관을 겨냥했다. 또한 뉴욕시의 댐 통제 시스템에 침투하는가 하면, 샌즈 그룹 회장 셸든 애덜슨의 카지노 서버도 해킹했다. 미국이 이란에 핵 공격을 해야 한다고 주장했던 그는 친공화당 인물로 손꼽힌다. 

그동안 이란의 공격은 위험성이 낮았고, 항상 윈도우가 연관되었다. 일례로 이란의 미국 금융기관 공격은 도스(DoS) 공격이었다. 이는 좀비 PC들로 구성된 봇넷을 이용한다. 애틀란타 시를 마비시켰던 랜섬웨어 공격의 배후에도 이란이 지목됐다. 스피어피싱에 속은 시 공무원들이 윈도우 기반 랜섬웨어를 다운로드하는 바람에 큰 피해를 입었다.

사이버 공격을 준비 중인 이란
솔레이마니가 살해되기 전부터 이란이 사이버공격 인프라를 확충해 왔다는 증거가 포착됐다. 2019년 6월 이란이 호르무즈 해협에서 유조선을 공격하고, 미국이 이에 대응해 이란의 드론을 격추하면서 양국간의 긴장이 고조되는 가운데 이 사실이 드러났다. 당시 미국 외교안보 전문지 포린 폴리시는 "미국과 이란의 대립이 격렬해지면서 이란의 정보원들이 미국을 겨냥한 디지털 공격을 준비 중이다"라고 보도했다. 

보안회사 레코디드퓨쳐에 따르면 이란은 자국과 연계된 C&C 도메인을 1,200 개 이상 등록했다고 한다. 이들 도메인 중 700개 이상이 감염된 컴퓨터와 이미 통신 중이었다.

전문가들은 이란이 이러한 악성 도메인과 윈도우 맬웨어를 활용해 보복에 나설 것으로 예상하고 있다. 사이버대비연구소(CRI) 총괄 책임자 키어스텐 토트는 CNN과의 인터뷰에서 "이란이 현지에서 보복을 시도할 것이 틀림없다. 미국 본토에서의 보복 방안도 검토할 것이다. 그중 사이버 공격이 가장 유력하다"라고 전했다.

미국 국토안보부는 이란의 사이버 공격 가능성이 높다고 보고, 테러위협경고시스템(NTAS)을 발령했다. 이번 경보는 "이란은 강력한 사이버 프로그램을 유지하고 있으며 미국에 대한 사이버공격을 실행할 수 있다. 이란은 미국의 중요 인프라에 일시적 지장을 초래할 공격 능력이 있다"라고 경고하고 있다. 
 
그러나 보안 전문가들은 미국의 중요 인프라가 대체로 잘 보호되고 있다고 말한다. 정부기관과 일부 기술 대기업도 마찬가지이다. 컬럼비아대학교 컴퓨터 과학 교수 스티븐 벨로빈은 "CIA와 같은 정부기관과 구글, 아마존 같은 기술 회사는 이란의 공격에 영향받지 않을 것"이라며, "단, 그 정도의 자체 보호 능력을 보유하지 못한 회사가 대부분이다"라고 CNN과의 인터뷰를 통해 지적했다.

2019년 여름 사이버보안 전문가 잭 도프먼도 비슷한 내용을 포브스지에 기고한 바 있다. 그는 "사이버 영역에서 이란의 미국에 대한 보복 시도는 탱크에 돌을 던지는 격임을 잘 알고 있지만, 상대적으로 보호가 약한 미국 기업 분야는 마음대로 공격할 수 있다"라고 말했다. 

이란은 사이버 공격을 통해 파괴보다는 혼란을 야기하는 정도로 만족할 가능성이 높다. 즉, 군사 및 중요 기반시설에 연계되어 있지 않아도 다양한 기업과 산업을 겨냥해 공격을 감행한다는 뜻이다.

이러한 공격은 모두 윈도우 기반일 것이다. 이는 일단 감염되면 마치 생명체처럼 회사는 물론 개인에게 무작위로 퍼져 나간다. 즉, 개인 컴퓨터도 공격당할 수 있다. 

또한 이란의 공격은 이미 익숙한 방식일 가능성이 높다. 이를테면 피싱과 스피어피싱을 활용하거나, 보안 허점이 있는 컴퓨터를 노리는 것이다. 그렇다면 사실 잘된 일이다. 사용자가 보안을 위한 기본적인 주의 사항들을 실천한다면 감염을 예방할 수 있기 때문이다. 

먼저 개인 컴퓨터와 컴퓨터에 설치된 소프트웨어가 모두 최신 보안 패치로 업데이트된 상태인지 확인해야 한다. 모르는 사람에게 받은 수상한 첨부 파일이나 링크는 실행하지 않아야 한다. 모든 서버와 웹사이트에 최신 보안 패치가 있는지도 점검해야 한다.

이처럼 꼼꼼히 대비한다면 설사 이란이 미국을 겨냥한 사이버 공격을 감행한다고 해도 여러분의 회사는 무사할 가능성이 높다. 

* Preston Gralla는 컴퓨터월드 외부 편집자이자 45권의 서적을 집필한 저술가다. ciokr@idg.co.kr



2020.01.13

칼럼 | 미국-이란 갈등의 여파··· '윈도우 PC가 위험하다'

Preston Gralla | Computerworld
이란 군부의 실세인 거셈 솔레이마니 사령관이 미군의 공습으로 암살당했다. 이란은 이와 관련해 피의 복수를 하겠다고 선언했다. 만약 이란이 보복으로 사이버 공격을 감행한다면 (그럴 가능성이 매우 높다) 그 공격 벡터는 늘 그렇듯 윈도우일 가능성이 높다. 

이란이 사이버 공격에 나선다면 개인 PC와 회사 PC 모두 표적이 될 것이다. 왜 이런 일이 발생하는 것인지 그리고 어떻게 하면 이란의 사이버 공격을 조심할 수 있는지 알아본다.
 
ⓒGetty Images

미국-이란 간 사이버전의 오랜 역사
향후 발생할 수 있는 사이버 공격을 이해하려면 과거를 돌아봐야 한다. 미국과 이란은 10년 넘게 저수준 사이버전을 치러왔다. 가끔은 고수준 사이버 공격이 일어나기도 했다.

예를 들면 스턱스넷(Stuxnet) 바이러스는 최악의 사이버 공격 중 하나로 꼽힌다. 이는 2009년 이란의 핵 시설을 겨냥한 미국과 이스라엘의 공격이었다. 스턱스넷은 윈도우 OS의 제로데이 취약점을 이용해 컴퓨터를 감염시켰다. 감염된 소프트웨어가 수천 개의 원심분리기에 고속 회전 명령을 내렸다. 그 결과 가동 능력이 감소하고, 원심분리기가 파괴됐다.

스턱스넷 사건은 이란의 핵 시설에 막대한 피해를 입혔다. 대이란 경제제재로 이끌어낸 2015년 핵 협상에 스턱스넷 공격 또한 한 원인으로 작용한 것 아니겠냐고 많은 사람들은 보았다. 그러나 미국은 경제 제재 완화라는 협상 조건을 더 이상 지키지 않고 있다.

스턱스넷에 대한 보복으로 2012년 이란은 미국 금융기관을 공격했다. 윈도우 취약성을 악용해 뉴욕 증권거래소, JP 모건체이스 등 45개 이상의 미국 금융기관을 겨냥했다. 또한 뉴욕시의 댐 통제 시스템에 침투하는가 하면, 샌즈 그룹 회장 셸든 애덜슨의 카지노 서버도 해킹했다. 미국이 이란에 핵 공격을 해야 한다고 주장했던 그는 친공화당 인물로 손꼽힌다. 

그동안 이란의 공격은 위험성이 낮았고, 항상 윈도우가 연관되었다. 일례로 이란의 미국 금융기관 공격은 도스(DoS) 공격이었다. 이는 좀비 PC들로 구성된 봇넷을 이용한다. 애틀란타 시를 마비시켰던 랜섬웨어 공격의 배후에도 이란이 지목됐다. 스피어피싱에 속은 시 공무원들이 윈도우 기반 랜섬웨어를 다운로드하는 바람에 큰 피해를 입었다.

사이버 공격을 준비 중인 이란
솔레이마니가 살해되기 전부터 이란이 사이버공격 인프라를 확충해 왔다는 증거가 포착됐다. 2019년 6월 이란이 호르무즈 해협에서 유조선을 공격하고, 미국이 이에 대응해 이란의 드론을 격추하면서 양국간의 긴장이 고조되는 가운데 이 사실이 드러났다. 당시 미국 외교안보 전문지 포린 폴리시는 "미국과 이란의 대립이 격렬해지면서 이란의 정보원들이 미국을 겨냥한 디지털 공격을 준비 중이다"라고 보도했다. 

보안회사 레코디드퓨쳐에 따르면 이란은 자국과 연계된 C&C 도메인을 1,200 개 이상 등록했다고 한다. 이들 도메인 중 700개 이상이 감염된 컴퓨터와 이미 통신 중이었다.

전문가들은 이란이 이러한 악성 도메인과 윈도우 맬웨어를 활용해 보복에 나설 것으로 예상하고 있다. 사이버대비연구소(CRI) 총괄 책임자 키어스텐 토트는 CNN과의 인터뷰에서 "이란이 현지에서 보복을 시도할 것이 틀림없다. 미국 본토에서의 보복 방안도 검토할 것이다. 그중 사이버 공격이 가장 유력하다"라고 전했다.

미국 국토안보부는 이란의 사이버 공격 가능성이 높다고 보고, 테러위협경고시스템(NTAS)을 발령했다. 이번 경보는 "이란은 강력한 사이버 프로그램을 유지하고 있으며 미국에 대한 사이버공격을 실행할 수 있다. 이란은 미국의 중요 인프라에 일시적 지장을 초래할 공격 능력이 있다"라고 경고하고 있다. 
 
그러나 보안 전문가들은 미국의 중요 인프라가 대체로 잘 보호되고 있다고 말한다. 정부기관과 일부 기술 대기업도 마찬가지이다. 컬럼비아대학교 컴퓨터 과학 교수 스티븐 벨로빈은 "CIA와 같은 정부기관과 구글, 아마존 같은 기술 회사는 이란의 공격에 영향받지 않을 것"이라며, "단, 그 정도의 자체 보호 능력을 보유하지 못한 회사가 대부분이다"라고 CNN과의 인터뷰를 통해 지적했다.

2019년 여름 사이버보안 전문가 잭 도프먼도 비슷한 내용을 포브스지에 기고한 바 있다. 그는 "사이버 영역에서 이란의 미국에 대한 보복 시도는 탱크에 돌을 던지는 격임을 잘 알고 있지만, 상대적으로 보호가 약한 미국 기업 분야는 마음대로 공격할 수 있다"라고 말했다. 

이란은 사이버 공격을 통해 파괴보다는 혼란을 야기하는 정도로 만족할 가능성이 높다. 즉, 군사 및 중요 기반시설에 연계되어 있지 않아도 다양한 기업과 산업을 겨냥해 공격을 감행한다는 뜻이다.

이러한 공격은 모두 윈도우 기반일 것이다. 이는 일단 감염되면 마치 생명체처럼 회사는 물론 개인에게 무작위로 퍼져 나간다. 즉, 개인 컴퓨터도 공격당할 수 있다. 

또한 이란의 공격은 이미 익숙한 방식일 가능성이 높다. 이를테면 피싱과 스피어피싱을 활용하거나, 보안 허점이 있는 컴퓨터를 노리는 것이다. 그렇다면 사실 잘된 일이다. 사용자가 보안을 위한 기본적인 주의 사항들을 실천한다면 감염을 예방할 수 있기 때문이다. 

먼저 개인 컴퓨터와 컴퓨터에 설치된 소프트웨어가 모두 최신 보안 패치로 업데이트된 상태인지 확인해야 한다. 모르는 사람에게 받은 수상한 첨부 파일이나 링크는 실행하지 않아야 한다. 모든 서버와 웹사이트에 최신 보안 패치가 있는지도 점검해야 한다.

이처럼 꼼꼼히 대비한다면 설사 이란이 미국을 겨냥한 사이버 공격을 감행한다고 해도 여러분의 회사는 무사할 가능성이 높다. 

* Preston Gralla는 컴퓨터월드 외부 편집자이자 45권의 서적을 집필한 저술가다. ciokr@idg.co.kr

X