Offcanvas

CSO / HR / 라이프 / 보안 / 분쟁|갈등

‘공갈·협박·사칭’까지… 보안연구원이 전하는 살벌한 경험담

2022.06.24 Andrada Fiscutean  |  CSO
사이버 범죄자를 비롯해 정부의 지원을 받는 해커 조직을 수사하는 일은 많은 위험을 감수해야 하는 직무다. 일부 보안 연구자들은 신변을 보호하려 거주지의 보안까지 신경 쓸 만큼 일상에서도 위협에 시달린다. 
 
ⓒGetty Images Bank

사이버 공격이 점점 더 교묘해지고 다양해지는 추세다. 이처럼 위험한 디지털 세상을 안전하게 지키고자 매일 악전고투하고 있는 집단이 있다. 바로 사이버 보안 연구원들이다. 

이들은 때때로 신변의 위협을 받는다. 이 분야에 오래 종사한 사람이라면 누구나 어떤 정보 보안 전문가가 협박받았다는 이야기를 우연히 접했거나 직접 경험한 적이 있을 것이다.

가족을 이유로 익명을 요구한 한 보안 전문가는 "몇몇 사이버 범죄 수사자는 지난 몇 년 동안 살해 협박을 받았다"라고 밝혔다. (연결어) 일부는 잠적했거나 다른 직업으로 전향했다. 이들은 자식이 "부모님이 보안 연구원이라서 항상 조심하면서 살아야 해"라고 말하는 것을 들으면서까지 이 일을 하고 싶지 않다며 심정을 털어놓았다고 그는 전했다.   

정보 보안 트위터와 컨퍼런스에서 연구원들은 이런 사건을 공유하고, 스스로를 보호하는 방법에 대해 이야기하곤 한다. 그들은 경찰이나 FBI에 연락하는 것은 거의 도움이 되지 않는다고 말했다. 시타델 잠금 툴스(Citadel Lock Tools)의 보안 전문가 매트 스미스는 "연방 사법기관이 도움을 줄 수 있다고, 현지 경찰서에 연락하라고 말하고 싶지만 내가 경험한 바로는 아무런 효과가 없다"라고 말했다. 그는 "한 사건의 용의자를 체포하는 것만 해도 수개월이 걸린다. 사실상 아예 잡히지 않는 경우가 수두룩하다"라고 하소연했다. 

몇몇 연구원은 이러한 위협을 명예의 표시로 삼는다. 또한 자신의 신변을 보호하기 위해 온갖 방법을 동원한다. 디지털 발자국을 최소화하고, 소셜 미디어를 통해 접근하는 사람의 배경 조사를 실시한다. 또한 이메일 대신 편지를 사용하며, 온라인에서 가족과 연관될 수 있는 어떤 것도 게시하지 않는다.  

최근에는 랜섬웨어 공격이 급증하고 러시아·중국·북한·나토 간의 지정학적 긴장이 고조되면서, 적어도 일부 정보 보안 전문가가 더 큰 위협에 처할 지경에 이르렀다. 피싱 공격 방지 솔루션 업체 코펜스의 수석 고문 로니 토카조프스키는 "위험도가 더 악화됐다고 단정 짓기는 이르지만, 더 나아지지 않은 것은 확실하다”라고 말했다.
노골적으로 활보하는 랜섬웨어 조직
요즘 사이버 범죄 집단은 매우 성공적인 한 해를 보내고 있다고 자축하고 있을 것이다. 랜섬웨어 피해 건수가 사상 최대를 기록했고, 탈취한 금액의 평균액수가 90만 달러를 넘어섰다. 더구나 러시아가 우크라이나를 침공하고 서방 국가가 제재를 가하기 시작하자, 사이버 공격을 억제하려는 미국과 러시아의 미약한 공조마저도 끊어진 듯하다. 러시아 신문 코메르산트(Kommersant) 는 ‘리빌(REVIL)’ 해킹 그룹의 멤버로 활동한 혐의를 받은 용의자들에 대한 소송이 ‘막다른 골목에 이른 상태’라고 보도했다. 

미국 사이버 보안 회사 러코어더드 퓨처(Recorded Future)의 정보 분석가인 앨런 리스커는 "이러한 랜섬웨어 그룹 대다수가 죄책감을 느끼지 않고 활보하고 있다"라고 말했다. 그는 "이들이 어떤 악행을 저지르든 러시아를 떠나지 않는 한 처벌받지 않는다. 러시아 정부의 뒷줄에 힘입어 더 대담하고 뻔뻔하게 사이버 세계를 휩쓸고 다닐 수 있다”라고 설명했다. 

리스커의 말대로 이러한 뒷줄 덕분에 사이버 공격조직이 수년간 보안 전문가 집단에 "아주 악랄한”일을 범할 수 있게 됐다. 그는 개인적으로 어떠한 직접적 위협도 받지 않았지만, 정보 보안 전문가가 위협자와 개인적인 차원에서 접촉한 사건에 대해 들은 적이 있다고 이야기했다. 리스커는 "한 사례에서는 랜섬웨어 그룹이 연구원의 아이를 협박한 것으로 안다"라고 전했다.

심지어 어떤 사이버 범죄자가 몇몇 보안 전문가의 거주지를 캐내어 모든 가족 구성원에 대한 정보를 수집한 적도 있었다. 그들은 비밀 포럼에 이런 개인 정보를 게시했고, 커뮤니티 안에 있는 다른 사람을 끌어들여 이들의 개인 정보까지 노렸다. 

리스커는 위협 조직이 몇 년 전보다 더 서로 협력하고 정보를 공유하는 경향이 보인다고 전했다.  "어떤 위협 조직은 ‘정보 갈취용 웹사이트’를 가지고 있다. 피해자에 대한 정보를 게시할 수 있을 뿐만 아니라 그들의 생각을 마음껏 뱉어낼 수 있는 곳이다"라고 그는 설명했다.
 
콘티 그룹은 코스타리카 정부 기관에서 672GB에 달하는 데이터를 탈취했고, 이 중 97%를 유출한 것으로 알려졌다. ⓒBleepingComputer

심지어 최근 몇 달 동안 사이버 범죄자 집단이 더욱 공격적인 태세로 전환하며 보안 연구원의 안전에 미칠 잠재적인 영향이 두드러지기 시작했다. 한 가지 예가 콘티(Conti) 그룹이다. 콘티 그룹은 코스타리카에 있는 수십 개의 단체를 겨냥했고, 결국 로드리고 차베스 대통령이 국가 비상사태를 선포하는 사태까지 이르렀다. 그들은 정부 타도를 외쳤으며 이는 랜섬웨어 단체로서는 매우 이례적인 행보였다.  

하버드 케네디 스쿨 벨퍼 센터(Belfer Center)의 사이버 프로젝트 책임자인 로렌 자비에렉은 "이런 이례적인 공격은 랜섬웨어 활동의 새로운 확장을 상징한다"라고 진단했다. 그는 "만약 그들이 나라 전체를 인질로 잡고 처벌을 피해 몸값을 갈취할 수 있다는 것을 알게 된다면, 사이버 범죄가 판을 칠 수 있는 환경이 갖춰질지도 모른다”라고 예측했다. 

리스커는 이러한 사건이 랜섬웨어 그룹과 정부의 지원을 받는 위협자 사이의 경계가 더 모호해지고 있다는 것을 증명한다고 주장했다. 하지만 여전히 정부 지원 위협자의 지략이 더 뛰어나다. 보안 연구원을 공략할 때도 마찬가지다. 그리고 위협 방식도 더 미묘하다. 예를 들어, 학회에 다녀온 보안 전문가의 방에 몰래 들어가거나, 조사를 중단하라고 암묵적으로 압박하는 작은 ‘선물’을 보낸 사례가 있다. 

정부 지원 위협 조직은 또한 다른 개개인에게 온라인 서비스에서 (예:링크드인, 트위터, 텔레그램, 키베이스, 디스코드, 이메일 등의 채널)에서 보안 전문가를 공략하는 일을 맡긴다. 이들은 컨설팅 일자리나 보안 연구 협조 같은 공식적인 요청을 빌미 삼아 보안 전문가에게 접근한다.  
 
ⓒGoogle

2021년 1월 구글 위협분석그룹(Google Threat Analysis Group)은 북한 해커들이 사이버보안 블로거 행세를 하며 보안 전문가에게 비주얼 스튜디오 프로젝트를 보낸 사실을 밝혀냈다. 위협분석그룹의 리더 아담 와이드먼은 회사 공식 블로그에 "비주얼 스튜디오 프로젝트 내에 비주얼 스튜디오 빌드 이벤트(Visual Studio Build Events)를 통해 실행되는 추가 DLL이 있을 것"이라고 말하며 "DLL은 행위자가 제어하는 C2 도메인과 즉시 통신을 시작하는 사용자 지정 악성 프로그램이다"라고 설명했다. 와이드먼과 다른 팀원은 차후에 북한 해커들이 보낸 링크를 들어가 몇몇 연구원이 위험에 처했다는 것도 발견했다.

"공격 대상이 되지 않으려면, 일반적인 웹 브라우징을 할 때는 별도의 컴퓨터 혹은 가상 머신을 사용하여 연구하는 것이 좋다. 또한 연구 커뮤니티의 다른 사람과 소통하며 제3자가 전송하는 파일을 받거나 개인적인 보안 연구를 할 때도 마찬가지다"라고 와이드먼은 제안했다. 
 
ⓒGoogle

이 사건은 거기서 끝나지 않았다. 2021년 11월, 구글은 북한 해커들이 삼성의 채용자로 위장하여 해킹을 시도한 사실을 알아냈다고 밝혔다. 실제 직무 내용이 담긴 PDF에서 북한의 해커들이 심은 백도어 트로이 목마(Trojan horse) 악성코드가 발견됐다. 

버그 사냥꾼, 법적인 협박까지 받다
위협은 국가 후원 단체나 랜섬웨어 조직을 조사하는 정보 보안 전문가에 국한되지 않는다. 버그 헌터(bug hunter) 및 하드웨어 보안 전문가도 표적이 될 수 있으며, 때로는 보안 업무를 맡긴 회사가 뒤통수를 칠 수도 있다. 자물쇠 기술자 매트 스미스가 이러한 경험담을 들려줬다. 그는 “처음으로 혼자 자물쇠 사업을 하기 시작했을 때, 위협 조직이 나에 대해서 알게 됐다"라며 "나를 찾아 고소하려고 했고, 내 IP 주소를 탈취하고자 온라인 포럼에 소환장을 보내겠다고 협박하기까지 했다"라고 회상했다. 

그러나 이게 끝이 아니었다. 두 번째 위협은 훨씬 더 심각했다. 신변의 위협을 받은 것이다. 스미스는 "애블로이 프로텍 II(Abloy Protec II) 자물쇠를 작업하고 있었는데, 그 조직의 미국인 딜러 중 한 명이 그가 가장 안전하다고 믿었던 자물쇠의 잠금이 해제될 수 있다는 사실에 매우 화가 났다”라고 전했다. "그러자 그는 제가 어떻게 자물쇠를 푸는지 그에게 말해달라고 요구하며 욕설적 담긴 이메일을 보냈다. 그는 "내가 원하는 답을 주지 않자 ‘돈이 얼마나 들든 상관없이 나를 ‘정리’해버리겠다며 협박했다”라고 스미스는 말했다.  

스미스가 받은 이메일 중 일부는 특히 더 끔찍했다. 그는 "그 미국 딜러가 화상 통화에서 내 얼굴을 캡처한 화면과 내 거주지를 추측하여 근처 거리의 구글 어스 사진을 보냈다”라며 “그 사진에 나온 거리는 정확하지는 않았지만 무서울만큼 내 집과 가까웠다”라고 회상했다. 스미스는 그 사람에게 답장하지 않았고 이메일 주소를 바꿨다.

동시에 버그 헌터들은 위협을 스스로 극복하는 방법도 익혀야 한다. 사이버 보안 업체 위드시큐어의 주요 기술 및 사이버 위협 연구원 톰 반드 비엘은 "처음에는 비록 불쾌하지라도, 이 업계에서 오래 일할수록 이런 위협에 익숙해진다”라고 말했다. 그는 이 분야에서 일하는 것이 자신을 "더 조심스러운" 사람으로 만들었으며, "더 큰 문제를 찾아내고, 대상 그룹을 고려해서 어떤 언어를 사용해야 하는지", 그리고 자신이 거래하는 회사에 따라 기대치를 조정하는 방법을 배우는 데 도움이 되었다고 전했다.  

위협 단체가 고소하겠다고 협박하면 버그 헌터는 쉽게 겁먹을 수 있다.  이를 해소하는 한 가지 방법은 상세 보고서를 작성하는 것이다. 취약점의 영향에 대해 보고할 때 연구자는 기술적 위험을 우선적으로 조명해야 한다. 그런 다음 이를 비즈니스 리스크와 연관 짓고 영항을 받는 사내 인물이 누가 될지 분석하고, 이러한 과정에서 어떠한 법도 어기지 않았다는 것을 명증해야 한다고 반드 비엘은 조언했다. 

"무엇보다도, 감지한 보안 위협에 대처할 수 있는 여러 방법과 권고안을 제시하는 것이 중요하다"라고 그는 설명했다. "보안 백서를 대충 마무리하거나 '보안 위협 대응 필요'라는 결론의 보고서를 만드는 것은 누구나 한다. 또한 소셜 미디어에서 분노에 호소하기도 쉽다. 그러나 피해를 본 회사와 함께, 어떻게 지금 당장 입은 타격을 완화할지에 대해 생각해야 한다. 그런 다음 차후에 이런 위협을 방지할 수 있는 더 장기적인 해결책을 고민하는 것이 현명한 대응 방법이다”라고 충고했다. 

보안 연구팀을 보호할 수 있는 전략은  
이렇듯 사이버 보안 분야에서 종사하는 사람은 각종 위험을 감수해야 한다. 코펜스의 토카조프스키는 "희생은 피할 수 없는(nature of the beast:피할 수 없는 어떤 것의 특성이라고 뜻의 관용어구라고 합니다) 이 업종의 본질"이라고 말했다. 일부 보안 전문가는 가족을 보호하는 것과 자신의 이름을 걸고 연구를 하는 것 사이에서 끝없는 갈등에 시달린다. 테러조직 추적과 같은 민감한 업무를 하는 회사들이 보안 보고서에 연구원의 이름을 기재하지 않을 때가 있을 만큼 이 일에는 큰 대가가 따른다. 

보안 연구원들은 서로 같이 배우고 분투하며 끊임없이 보호 수단을 강화하려 한다. 하지만 안타깝게도 현실적으로 그들이 할 수 있는 일은 많지 않다. 하버드 케네디 스쿨의 자비에렉은 "범죄를 신고하려면 경찰이나 FBI에 가는 것 외에는 별다른 수단이 없어 보안 연구자의 고충이 클 것이다”라고 말했다. “다행이도 사이버 범죄 피해자를 돕기 위해 "사이버 범죄 지원 네트워크(Cybercrime Support Network)와 같은 단체들이 마련되어있다. 이런 단체가 미국 전역의 피해자를 돕도록 제도적인 지원을 받을 수 있다면 활동에 박차를 가할 수 있을 것"이라고 그는 덧붙였다. 

직원을 보호하고자 이러한 노력을 기울이려는 기업은 내부 보안 관행을 지속해서 최신 상태로 유지해야 한다. 또한 직원이 공격의 표적이 되는 상황을 대처할 수 있는 절차를 마련하여 최악의 시나리오를 대비하는 것이 바람직하다. 
이런 절차를 만들 때는 각 내부 팀이 수행하는 작업에 맞게 여러 위협의 종류를 고려하는 것이 중요하다. 각 팀이 해야 할 일과 하지 말아야 할 일, 그리고 위급 연락망 등의 내용이 담긴 체크리스트를 갖춰야 한다. 마지막으로 이러한 절차는 수시로 개정되어야 하며, 가능할 때마다 테스트해보는 것이 좋다. 

거주지와 사무실의 보안까지 챙겨야 
따라서 정보 보안 전문가는 디지털 보안 및 장비에 대해 해박한 편이다. 일부는 더 나아가 어떤 개인 정보도 온라인에 공유하지 않는다. 스미스와 같은 다른 사람은 소셜 미디어 프로필에 가짜 정보만 올린다. "집과 가족을 보호하기 위해 적절한 예방 조치를 취하고 있는지 확인할 필요가 있다"라고 리스커는 당부했다. 

집의 문을 견고하게 해놓는 것도 중요하다. 누군가 집안으로 침입하는 것을 막기 위해 바닥이나 둥근 모서리에 틈이 없는 튼튼한 프레임을 가지고 있어야 한다. "문의 부분 중 경첩이 가장 취약하기 때문에 내부 경첩이 있는 것이 가장 좋다"라고 스미스는 추천했다.

스미스는 이어 "집과 사무실에는 CCTV를 설치해야 한다”라며 "해커가CCTV의 무선 신호를 방해하거나 단말기에 인증 확인 패킷을 던지면 작동을 멈출 수 있기 때문에 무선이 아닌 유선으로 연결된 CCTV가 더 안전하다”라고 설명했다. "경보 시스템도 마찬가지다. 항상 유선으로 연결되어 있어야 한다. 많은 경보 업체의 솔루션이 사각지대를 남기 때문에 경보센서가 유선으로 제대로 설치되어 있어야 한다”라고 강조했다. 

여기에 더해 그는 CCTV와 경보 시스템을 연결하는 배선은 외부에서 접근할 수 없도록 설치되어야 한다고 전했다. 또한 CCTV 녹화 박스가 모든 녹화 영상을 클라우드에 백업하는 것도 중요하다고 강조했다. 스미스는 "CCTV에 한 명 이상의 사람이 접근하게 해 사건 발생 시 여러 명이 확인하게 하면 좋다”라고 말했다. 그에 따르면 가장 이상적인 보안 시스템은 정기적으로 연결을 확인하고 통신 장애를 감시할 시 바로 경보를 발령한다. 

이 밖에도 신경 쓰면 도움이 될만한 고려 사항은 보안 조명이다. 보안 조명은 무조건 센서로 구동되어야 한다. 
보안 연구자가 거주지의 안전을 확보하기 위해 얼마나 많은 대비책을 세워야 하는지는 업무의 강도와 감당할 수 있는 위험의 수준에 달려 있다. "모든 보안 연구자는 자신의 받을 수 있는 위협을 가늠하고 이에 따라 적절한 예방 조치를 취해야 한다"라고 리스커는 조언했다. 

그렇지만 여전히 개인 차원에서 세울 수 있는 보안 대책은 한정적이다. 정보 보안 전문가들이 안심하고 일할 수 있도록 뒷받침하는 여러 기관의 지원이 더 필요하다/절실하다. "정부가 보안 전문가를 보호하고자 물심양면으로 지원 중이며 위협으로부터 회복하도록 돌보고 있다는 확신을 보여줘야 한다”라고 자비에렉은 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.