월간 국방과 기술
러시아-우크라이나 전쟁 사례를 통한 해킹 메일 대응능력 향상방안 연구
작성자 : 전혜영 외 2명(210.223.xxx.xxx)
입력 2022-08-04 14:06:18
  • 조회수 6745
  • 댓글 1
  • 추천 0 print
러시아-우크라이나 전쟁 사례를 통한 해킹 메일 대응능력 향상방안 연구


전혜영 육군사이버작전센터 사이버훈련평가계획장교
최성재 육군사이버작전센터 사이버훈련대장
노정민 육군사이버작전센터 조사분석대장






21세기 전쟁의 전초전, 사이버 공격

지난 2022년 2월 24일 새벽, 러시아군이 우크라이나의 수도 ‘키이우’에 미사일을 발사하면서 ‘러시아-우크라이나 전쟁’은 시작되었다. 하지만 전쟁이 시작되기 전에 이미 사이버 공격은 감행되고 있었다. 1월 13일에 러시아는 우크라이나의 정부 기관과 정보기술(IT) 기업 등을 대상으로 시스템 파괴형 악성코드를 유포했고 1월 14일에는 외교부, 재무부, 국가 응급 서비스 등 70여 개 웹사이트를 대상으로 디도스(DDoS) 및 화면 변조 공격을 감행하였다. 또한 전면전 하루 전에도 우크라이나의 대다수 정부·군·금융기관 전산시스템을 마비시키기 위한 디도스 공격과 시스템 파괴형 악성코드 유포 등을 감행하기도 했다.



[그림 1] 우크라이나 해킹 상황


실제로 해커들은 우크라이나 정부 시스템을 대상으로 사이버 공격에 성공했고 “너희들의 개인정보는 모두 유출됐다”, “최악을 내다보고 두려워하라” 등의 메시지를 던지며 협박을 통한 심리전도 진행하였다.
우크라이나 정부 시스템이 순식간에 마비되고 전자 여권, 백신 증명서를 비롯한 국민의 개인정보가 유출됐다는 메시지는 국민을 공포에 밀어 넣기 충분했다. 이렇게 21세기 전쟁의 전초전은 사이버 공격으로부터 시작된다는 것을 알 수 있었다. 그렇다면 사이버 공격에는 어떤 것들이 있을까?


다양한 사이버 공격

사이버 공격에는 다양한 공격 기법이 있지만, 가장 대표적인 것이 악성코드(Malicious Code)를 이용한 공격과 서비스를 정상적으로 이용하지 못하게 하는 공격으로 구분하여 볼 수 있다. 먼저, 악성코드를 이용한 대표적 공격으로는 랜섬웨어, 피싱, 파밍 등이 있다.
랜섬웨어(Ransomware)는 감염된 컴퓨터의 데이터를 암호화하여 사용할 수 없는 상태로 만들고 복호화를 위한 대가로 금전을 요구한다.
피싱(Phishing)은 메일로 가짜 사이트 링크를 전송하여 개인정보를 유출하고 금전적 피해를 주는 공격이다. 이와 유사한 방법으로는 파밍(Pharming)이 있는데 도메인 네임 시스템(DNS : Domain Name System) 서버를 조작하여 사용자가 정상 사이트의 주소를 입력하더라도 유사하게 제작된 가짜 웹사이트로 접속하게 하여 개인정보 등 중요한 정보를 유출하는 공격이다. 주로 유명 포털이나 특정 은행의 홈페이지 등을 가짜로 제작한다.
서비스 거부(DoS : Denial of Service) 공격은 비정상적인 대량의 트래픽으로 시스템이나 네트워크 과부하를 유발하여 시스템 자원과 네트워크 대역폭을 고갈시켜 시스템을 무력화하는 공격 방법이다. 이와 유사한 분산 서비스 거부 공격(DDoS attack : Distributed Denial of Service attack)은 감염된 다수의 좀비 PC를 통해 분산적으로 동시에 서비스 거부 공격을 실행한다.



[그림 2] Email Threat Reporting


이 밖에도 송·수신자 간 네트워크 통신에 중간자(공격자)가 끼어들어 통신을 조작하는 중간자 공격(MITM : Man In The Middle attack)과 구조화된 질의 언어(SQL : Structured Query Language) 서버에 악성코드를 삽입하는 SQL 인젝션, 네트워크 취약점을 이용한 제로데이 공격(zero-day attack) 등이 있다.
이러한 다양한 기법으로 해커들은 어떻게 공격을 성공시킬까?


사이버 공격의 91%가 해킹 메일로 시작

국제 사이버 보안업체인 ‘파이어아이’의 조사에 따르면 “사이버 공격의 91%가 이메일로부터 시작한다”라고 발표하였다.
국내의 금융 부문에서 사이버 보안 강화에 대한 정보보호 활동을 하는 연구기관인 ‘금융보안연구원’의 통계에서도 사이버 공격의 75%가 이메일을 통해 악성코드가 유입되며 사이버 공격의 주 통로로 활용되고 있다고 하였다.
이처럼 대부분의 사이버 공격은 이메일을 매개체로 하고 있어 ‘해킹은 이메일을 타고 온다’라고 해도 과언이 아니다.
이메일은 미국의 컴퓨터 프로그래머 ‘레이 톰린슨(Ray Tomlinson)’이 1971년에 미 국방부 아르파넷(ARPANET) 프로젝트에 참여하여 최초 개발하였다. 이후, 1989년에 월드와이드웹(WWW)으로 본격적인 인터넷망이 구축되고 1990년대 후반부터 ‘무료 이메일 서비스’가 등장하면서 이메일 이용은 폭증하기 시작했다.
이러한 이메일은 현대사회에서 중요한 통신수단으로 자리 잡은 지 오래다. 특히 최근 2년간 ‘코로나19 상황’으로 재택 근무가 증가하면서 이메일은 빼놓을 수 없는 소통의 수단이 되었고 이에 해커들은 직원과 기업의 업무 통로를 지능적이고 지속적으로 ‘해킹 메일 공격’을 시도하고 있다. 이렇게 이메일 사용의 증가와 함께 해킹 메일로 인한 피해도 날마다 급증하고 있다. 이메일은 해커가 특별한 방해 없이 공격 대상과 직접 접촉할 수 있는 가장 쉬운 수단이기 때문이다.
이에, 해킹 메일로 인한 국내·외 주요 공격 사례를 통해 ‘해킹 메일 대응의 중요성’을 깨닫고 실질적인 대응 훈련을 통한 사이버 위협의 대응능력 향상방안에 관해 기술하고자 한다.


국내·외 주요 해킹 메일 공격 사례

국외사례1. 우크라이나-러시아 전쟁에서의 사이버 공격

2022년 2월 24일. 러시아가 우크라이나 개전 전인, 1월부터 시작된 사이버전은, 어쩌면 1~2년 혹은 5~10년 전부터 사이버 공격을 감행중이었을지도 모른다. 실제로 밝혀진 사례로는, 러시아 해커가 우크라이나 정부 기관을 대상으로 시스템 파괴형 악성코드를 유포하고 우크라이나와 친밀한 서방국가를 대상으로 피싱 메일을 유포하였다.
이어서 우크라이나 기업들과 에너지, 항만청을 대상으로 정보탈취형 악성코드를 유포하고, 정부 기관과 은행을 대상으로 DDoS 공격을 감행하였으며, 군인들을 대상으로 전쟁 임박 심리전 문자를 유포하였다. 이후, 실제 전쟁을 선포하고, 국제 해커조직들이 각국에 협력하여 양국은, 대규모 DDoS 공격, 전기자동차 충전소, 인공위성 해킹 등이 감행되었다. 지금도 랜섬웨어를 포함한 해킹 메일은 지속 시도중이다.


국외사례2. 미 최대 송유관 마비

2021년 5월에 발생한 사건으로 미국 최대 송유관 업체인 ‘콜로니얼 파이프라인’을 마비시킨 사이버 공격 사례이다. 이 해킹은 국가 핵심 기반시설에 대한 공격 중 역사상 최악의 사례로 여겨진다.
콜로니얼 파이프라인은 미국 동부로 가는 연료의 절반을 책임지고 있어 가동 중단으로 인해 유가 상승까지 이어졌다.
현대 석유 산업은 상당 부분 디지털화되어 수백 km 길이의 송유관 속 디젤과 휘발유 및 제트 연료의 흐름을 관리하고 제어하는데 압력 센서와 온도조절 장치, 밸브, 펌프 등이 사용된다.
콜로니얼 파이프라인은 송유관 내부를 이동하며 이상 현상을 검사하는 최첨단 로봇 ‘스마트 피그(Smart Pig)’까지 갖추고 있고 이와 같은 운영기술(OT)은 모두 중앙 시스템에 연결되어 있다. 글로벌 보안회사 체크포인트(CheckPoint)의 사이버 전문가 잭 니콜스는 “현대식 송유관 운영에 필요한 모든 장치는 사람에 의한 물리적 제어가 아니라 컴퓨터에 의해 제어된다”며 “이런 장치가 회사 네트워크에 연결돼 있을 때 네트워크를 겨냥한 사이버 공격이 생기면 송유관 역시 악의적인 공격에 노출될 수밖에 없다”고 설명했다.
일반적으로 운영기술 시스템은 철저한 보안 체계를 갖추고 있어 직접적인 공격은 드물다. 따라서 해커들이 다른 경로로 컴퓨터 시스템에 접근했을 가능성이 크다고 사이버 전문가들은 판단하였다. 잭 니콜스는 “지금까지 본 가장 큰 공격 사례 중 일부는 이메일로부터 시작됐다”라고 말했으며, “직원이 속아서 악성 프로그램을 다운로드했을 수 있다”라고 하였다.



[그림 3] 미 최대 송유관 마비 상황


미국 연방수사국(FBI)은 이 사건의 배후로 러시아에 있는 것으로 추정되는 신생 랜섬웨어 조직 ‘다크사이드(DarkSide)’를 지목했고, ‘다크사이드’는 다크넷에 해킹에 대한 사과문을 게재하며 배후를 시인했다. 콜로니얼 파이프라인을 직접 논하진 않았지만 ‘오늘의 뉴스’를 언급하며 “우리의 목표는 돈을 버는 것이지 사회적 문제를 일으키려는 게 아니다”라고 밝혔다. 그러면서 “오늘부터 파트너들이 암호화할 기업들이 사회적 문제를 일으키지 않을 만한 기업들인지를 확인할 것”이라고 밝혔다.


국외사례3. 우크라이나 대규모 정전사태

2015년과 2016년에 발생한 사건으로 해커가 우크라이나 전기공급회사에 ‘블랙에너지3’라는 악성코드가 포함된 해킹 메일을 보내 변전소 차단기 작동과 복구지원 장비를 무력화하였다. 또한 전기 공급망을 통제하는 공격을 감행하고 우크라이나 정부에 정치적인 압박을 하였다.
우크라이나 정전사태는 사이버 공격으로 대규모 정전이 발생한 첫 번째 사례였다.



[그림 4] 불이 꺼진 키예프 도시 전경


알려진 바에 따르면, 해커는 공격이 개시되기 약 6개월 전 우크라이나 전기 공급 회사의 임직원에게 스피어 피싱(Spear Phishing : 불특정 다수가 아닌 특정한 공격 목표를 대상으로 한 피싱 공격) 이메일을 발송했다.
이메일을 받은 직원의 일부가 첨부된 ‘블랙에너지3’ 악성 코드를 실행시켜 자신의 회사 시스템에 악성코드가 침투하는 것을 의도치 않게 도왔다.
해커는 ‘블랙에너지3’을 통해 원격으로 해당 기업에 대한 정찰을 시작했다. 그리고 그들은 우크라이나 전기 회사의 변전소 운영자들이 원격으로 컨트롤센터에 접속할 때 사용하는 VPNs(Virtual Private Networks : 통상 보안을 이유로 특정 단체들이 내부인들만 사용할 수 있도록 구축하는 가상 사설망)에 관한 비밀 정보 획득과 그들의 시스템 운영방식을 철저히 조사했다.
2015년 12월 23일 해커는 불법으로 탈취한 권한과 정보를 활용하여, 원격으로 배전용 변전소의 차단기를 작동시켜 대규모 정전을 일으켰다. 그들의 공격은 여기서 멈추지 않았다. 전기 회사의 신속한 전력 복구를 방해하기 위해 지역의 콜센터에 도스(DoS) 공격을 실시하였고, 도스 공격이 만들어 낸 수많은 가짜 전화 때문에 콜센터 직원들은 정전 지역의 정확한 위치와 규모를 파악하지 못했다.
이에 일반 시민들은 콜센터를 통해 현재 상황을 안내받지도 못했다. 즉, 공격을 받은 지역 거주민은 겨울철 전기 공급 차단으로 전기와 난방을 사용하지 못했을 뿐만 아니라 정보의 부재로 더 큰 공포감에 휩싸였다. 한편, 해커는 일부 변전소 컨트롤 센터의 복구지원 장비들의 작업 속도를 지연시키기도 했다. 또한 킬디스크(KillDisk)라는 악성코드를 통해 침투한 컴퓨터와 시스템에 저장된 파일들을 삭제하고, 컴퓨터와 시스템의 재가동을 불가능하게 했다. 물론, 해커가 침투한 흔적 역시 삭제하였다.
당시 우크라이나 대통령은 전력망에 사이버 공격이 발생한 후, 자국 내 변전소에 6,500여 회의 해킹 시도가 발생했었다고 밝히고 이러한 공격을 단순한 테러 행위가 아닌 러시아에 의한 사이버 전쟁으로 규정했다. 즉, 사이버 공격은 한 국가가 정치적 목적 달성을 위해 사이버 수단을 활용해 타 국가의 국가기반시설을 기습적으로 무력화시키는 전쟁 행위이자 앞으로의 전쟁 양상을 잘 보여 주는 사례라 볼 수 있겠다.


국내사례1. 원전반대그룹, 한국수력원자력 대외비 문서 유출사건

2014년에 발생한 사건으로 ‘원전반대그룹’으로 자칭하는 해커는 한국수력원자력(한수원)의 직원 이메일을 통해 악성코드를 유포하여 자료를 탈취한 후 블로그와 트위터를 통하여 한수원의 내부 자료를 외부에 공개한 사건이다.
2014년 12월부터 2015년 3월까지 총 6회에 걸쳐 공개된 94개 파일에는 한수원 임직원 주소록, 전화번호부, 원전관련 도면 등 민감한 자료가 대거 포함되어 있었다.
자료유출은 악성코드에 의한 것이 아니라 협력업체 직원 등 한수원 관계자 이메일에 보관되어 있던 자료들이 유출된 것이라고 밝혔다.



[그림 5] 한국수력원자력 정보 유출·협박 흐름도


‘원전반대그룹’은 북한의 해커집단으로 확인되었으며, 이들이 사용한 ‘킴수키’라는 악성코드에 감염될 경우, 감염 PC에서 원격제어, 정보탈취, 스파이 행위(키로깅) 등이 가능하였다.


국내사례2. 인터파크, 직원 1명 계정으로 회원정보 2,665만건 유출

2016년 약 4일간 인터파크 홈페이지는 먹통이 되었는데 2,000만명이 넘는 고객 정보가 유출된 해킹 사건의 발단은 인터파크 직원 1명에 의한 것으로 확인되었다.



[그림 6] 인터파크 해킹방법


민관합동조사단이 조사한 결과, 북 정찰총국으로 판단되는 해커는 경영관리 직원인 A씨가 개인적으로 사용하는 국내 한 포털 메일의 ID와 PW를 우선 가로채고 A씨가 동생 등 가족과 이메일로 사진을 많이 주고받는다는 사실을 알아낸 해커는 가짜 이메일을 만들어 ‘우리 가족 사진으로 PC의 화면 보호기 화면을 만들었으니 열어봐라’라는 내용과 함께 여는 즉시 악성코드가 설치되는 압축파일을 전송했다.
A씨는 사무실에서 첨부 파일을 열어봤고, 이때 회사 PC에 침투한 악성코드는 인터파크 사내 전산망을 돌며 여러 PC를 추가 감염시켰다. 여러 날이 지난 후 해커는 고객 정보가 저장된 데이터베이스(DB) 서버를 관리하는 ‘개인정보 취급자 PC’ 제어권을 탈취해 개인정보를 유출했다. 또한 패스워드 관리 및 서버 접근통제 관리 등의 취약점을 악용해 인터파크 회원정보 2,665만 건이 보관된 파일을 16개로 분할하고 직원 PC를 경유해 외부로 유출하였다.


국내사례3. 무역회사 B사, 거래처 계좌 변경 메일에 7억여 원 송금

2018년에 발생한 사건으로 무역회사 B사는 수년간 거래해 오던 오스트리아 업체로부터 송금 거래 계좌가 폴란드 은행 계좌로 변경됐다는 메일을 받았고, B사는 별 의심 없이 3회에 걸쳐 한화로 약 7억여 원을 폴란드 계좌로 송금했다. 한 달 뒤 거래처로부터 아직도 송금액을 받지 못했다는 통보를 받기 전까지 해킹 메일 공격을 당했다는 사실 조차 파악하지 못했다.
뒤늦게 상황을 안 B사는 거래 은행인 국민은행에 송금한 금액에 대한 지급정치 요청을 했지만, 송금 금액은 이미 해커가 인출한 상태였고 경찰청 사이버 범죄 수사과에 신고를 했지만 경찰청으로부터 국내에는 수사권이 없어 수사가 어렵다는 답변을 받았다. 한국무역협회 측으로부터도 수출업체와 원만하게 합의하는 수밖에 없다하여 막대한 금전적 손실을 보았다.



[그림 7] 외환 무역사기 관련 수취국가 현황


해킹 메일 대응훈련의 중요성

이처럼 국내·외 사례를 통해 알 수 있듯이 해킹 메일에 의한 공격은 개인의 차원을 넘어 에너지, 제조업, 정부, 방위산업 등 국가 주요 산업과 기반시설을 그 표적으로 하고 있어 심각한 피해를 일으키므로 그에 대한 대응이 무엇보다 중요하다. 이에 대한 대응 방책으로 민·관·군에서는 자체적으로 훈련을 시행하고 있으나, 군에서 시행하는 해킹 메일 대응훈련의 몇 가지 문제점에 관해 기술하고자 한다.
먼저, 정부에서는 2004년부터 매년 ‘사이버 위기대응 모의훈련’을 시행하고 있다.
사이버 위기대응 모의훈련이란 사이버 위기상황 발생 시 피해방지와 대응체계 강화를 위해 해킹 메일·디도스·홈 페이지 취약점을 점검하는 정기훈련이다. 민간기업을 대상으로 과학기술정보통신부가 주관하여 한국인터넷진흥원에서 매년 2~3회 시행하고 있으며 중앙행정기관, 지방자치단체와 공공기관을 대상으로는 ‘사이버안보 업무규정’에 명시하여 자체 훈련을 시행하고 있다.
정부에서는 훈련 시행 시, 최초에는 특정 분야 또는 특정 기업을 대상으로 훈련하였으나, 2020년부터는 보안 인식 확산과 훈련 참여 기회를 확대하기 위해 민간기업을 대상으로는 자율 참여 공모형으로 전환하여 시행하고 있다. 사이버 위기대응 모의훈련의 시작이 해킹 메일 대응 훈련이다.
최근에 시행한 2021년 후반기 훈련의 경우, 285개의 회사, 93,257명이라는 많은 인원이 참여하였으며 해마다 참여기업과 인원이 증가하여 사이버 위협에 대한 인식과 대응능력 향상을 위한 관심도가 높아지고 있음을 볼 수 있었다.



[그림 8] ’21년 후반기 사이버 위기대응 모의훈련 결과


훈련은 ‘프로그램 업데이트 안내’, ‘사내 코로나19 예방접종 대상자 안내’와 같이 최근 이슈나 내부 직원을 사칭하여 해킹 메일을 발송해 첨부파일을 클릭하여 악성코드를 설치하도록 유도하는 방식으로 진행하였다. 해킹 메일 열람률은 16.7%, 감염률은 5.4%로, ’21년 상반기(25.8%, 7.6%) 대비 각각 9.1%P, 2.2%P 감소하였고 훈련에 재참여기업의 감염률은 3.6%로 신규참여기업의 감염율 8.0%에 비교 시 45% 낮게 나타나 훈련이 거듭될수록 대응 능력이 향상됨을 볼 수 있었다.
여기서 눈여겨 볼 점은 신규 참여기업과 기존 참여기업의 메일 열람률에 차이를 보였다는 것이다.
이러한 결과를 토대로 해킹 메일을 열람한 비율과 열람한 동시에 첨부파일을 클릭해 감염한 비율 모두 기존에 참여했던 기업이 신규 참여기업보다 낮다는 사실을 확인할 수 있었다. 이에 따라 상·하반기에 진행하는 모의훈련이 효과가 있다는 사실을 알 수 있었다.
이처럼 해킹 메일에 의한 공격에 대해 대응하기 위해서는 사용자에 대한 ‘훈련참여율’을 높이고 반복적인 ‘숙달 훈련’ 시행 등이 중요하다.


군, 해킹 메일 대응훈련의 문제점

군에서는 ‘사이버보안 기관평가’에 명시하여 자체 훈련을 시행하고 있다. 군에서 시행하고 있는 ‘해킹 메일 대응훈련’은 여러 가지 문제점을 갖고 있는데 훈련 인원과 대상 체계, 훈련 방법 등에 관해 기술하고자 한다.
첫째, ‘훈련 인원’에 대한 선정이다.
현재 시행중인 해킹 메일 대응 훈련은 부대별 자체 시행중이며, 훈련 인원 편성 시, 부대(서)별 보직 인원의 비율을 고려하여 무작위로 편성을 한다. 훈련 결과에 대한 분석을, 훈련을 주관하는 부대(서)의 ‘사람’이 하다 보니 전체인원 중 소수 인원만 훈련에 참여할 수 있고 전 인원에 대한 훈련 참여는 제한적일 수밖에 없다.
또한 훈련은 제대별로 분기 1회 시행하여 분기당 1~3회 가량 시행되는데 주관하는 부대 간 일정은 상호조율을 하나 ‘훈련 인원 선정 결과’에 대해서는 공유하지 않아 훈련 대상 인원 중복편성의 문제점을 안고 있다.
가장 큰 문제점으로 보이는 것은 임원급(리더 그룹) 인원에 대한 훈련 인원 편성이다. 해커의 주요 공격 표적이 임원급 인원인 만큼 이들의 사이버 위협에 대한 대응능력은 높은 수준이 요구된다. 그러나 훈련 주관부대에서 임원급 인원에 대한 ‘훈련 인원 편성’의 부담을 안고 있어 편성이 다소 제한적이다. 해킹 메일 대응 훈련 간, 일부 부서에서는 훈련 주관부대의 인원에게 연락하여 ‘훈련 대상 인원 선정은 누가 하였는가?’, ‘편성한 이유가 무엇인가?’, ‘다음 훈련에는 편성하지 말 것’ 등을 노골적으로 표현하기도 한다.
둘째, ‘훈련 대상 체계’의 문제점이다.
훈련은 인터넷과 국방망 이메일 체계, 모바일 체계(2종) 등을 대상으로 시행한다. 모바일 체계의 경우에는 올해 처음, 대상 체계로 반영되기도 하였다. 하지만, 주로 국방망 이메일 체계 위주의 훈련을 진행하고 있다. 인터넷 이메일 체계와 모바일 체계는 사용자의 수가 적고, 자주 사용하지 않아 훈련 참여가 저조하기 때문이다. 게다가, 인터넷 이메일 체계의 경우, 사용자의 정보가 정기적으로 최신화되지 않아 훈련 후 결과 분석에 어려움이 있다.
해커가 군을 대상으로 사이버 공격을 시도한다면 어떻게 접근하겠는가라고 생각해 봤을 때, 시작은 인터넷을 통한 해킹 메일일 것이다. 앞서 말했듯이 해킹 메일 공격이 해커가 특별한 방해 없이 공격 대상과 직접 접촉할 수 있는 가장 쉬운 수단이기 때문이다. 그렇다면 대상 체계는 ‘국방망 이메일 체계’가 아닌 ‘인터넷 이메일 체계’로 외부에서 이미 공개된 군 인터넷 이메일 주소로 해킹 메일 공격을 시도할 것이다.
굳이 ‘국방망 이메일 체계’로 해킹 메일 공격을 시도한다면, 먼저, ‘인터넷-국방망의 연동 접점’을 통해 군 내부로 침투가 선행되어야 가능할 것이다. 하지만 어렵게 군 내부로 침투한 해커가 국방망 이메일 체계를 활용하여 사이버 공격을 감행한다는 것이 과연 현실적으로 효율적인가 하는 의문이 든다. 군 내부에 연결된 체계의 시스템 파괴나 마비, 지속적인 정보 탈취가 더 큰 영향력을 행사할 수 있을 것으로 추측된다.
셋째, 훈련 방법의 부분이다.
훈련은 ‘지침상’ 매 분기 셋째 주에 시행하게 되어 있으며, 주관부대별 훈련 대상부대와 훈련 대상 체계 등이 미리 정해져 있다. 하지만 실제 사이버 공격은 정해진 시간에 정해진 모습으로 발생하진 않는다.
넷째, 낮은 보안 인식의 수준이다.
해킹 메일 공격을 주의해야 하는 결정적인 이유는 보안의 최대 취약점이 될 수 있는 사람이 표적이기 때문이다. 사람은 누구나 실수를 할 수 있고, 순간의 판단 오류가 큰 규모의 보안사고까지 이어질 수 있다는 점에서 매우 위협적이다. 특히 이미 파일을 클릭하고 나서는 어떤 식으로도 돌이킬 수 없게 된다.
해킹 메일로 시작된 사고는 복구가 어렵고 예방이 최선의 대응책이기 때문이다. 하지만 훈련 간에 부대별로 해킹 메일 상황에 대해 전파하고 공유하여도 신고하지 않는 ‘인원’, 메일과 모바일 체계에 첨부된 악성 파일과 악성 링크를 실행하여 PC가 감염되어 ‘PC 잠금 상황’이 발생하거나 ‘모바일 화면 변조 상황’이 발생하여도 심각성을 느끼지 못하고 의례적으로 하는 훈련이라고 대수롭지 않게 여기는 경우가 많다.


해킹 메일 대응훈련의 개선방안

훈련 참여 인원 확대

첫째, 부대(서)별 보직 인원의 비율을 고려한 인원 편성으로 확대하는 것이다.
전·출입이 잦은 군의 특성상 개인당 연 1회의 훈련도 참여하지 못할 가능성이 있기 때문이다. 하지만, 전 인원에 대한 훈련을 시행한다는 것은 지금 현실과는 조금 동떨어진 이상일 수도 있다. 왜냐하면, 훈련을 주관하는 인원은 소수이며, 전 인원에 대한 훈련 결과를 분석하는 일이 만만치 않기 때문이다. 하지만, 이미 교육청, 은행, 경찰청 등은 별도의 보안업체를 통해 모의훈련을 시행하거나 ‘모의 훈련 시스템’, ‘모의훈련 솔루션’을 자체 도입하여 다수의 인원에게 훈련을 진행하고 있다.



[그림 9] DTS-FM, 악성케일 모의훈련 솔루션


이러한 ‘모의훈련 시스템’ 또는 ‘모의훈련 솔루션’은 훈련 대상자 선정, 훈련 콘텐츠 기획, 훈련기간 설정, 훈련 메일 발송, 훈련 결과 수집과 보고서 자동 생성까지 제공한다.
또한 군에서의 동일한 형태의 악성코드가 포함된 첨부파일의 해킹 메일이 아니라 요즘 상황에 맞는 최신 악성 파일 형태로의 템플릿을 제공하고, 대응이 미흡한 인원에 대해서는 개별 훈련을 진행하기도 하며, 감염된 인원의 경우 주기적인 보안 인식 제고 훈련도 병행하여 시행하기도 한다.
둘째, 무작위 인원 선정에서 임원급(리더 그룹)의 인원들에 대한 인원 편성 비중을 증가해야 한다.
최근, 실제로 발생하는 사이버 위협은 ‘아무나’에게 무작위로 해킹 메일을 유포하기보다는 장기간의 정찰 활동을 통해 특정 대상자를 선정한 ‘피싱 메일 공격’을 감행하기 때문이다. 해커가 특정 대상자를 표적으로 삼는다면 과연 누구를 선정하겠는가? 당연히 고급 정보를 갖고 있는 임원급(리더 그룹) 인원을 선정하고 공격에 성공하면 그 영향력을 활용하여 추가 공격을 감행할 수 있다.


훈련 대상체계의 확대

훈련 대상체계를 국방망 이메일 체계의 중심에서 인터넷, 모바일, IoT 등의 영역으로 확대할 필요가 있다.
실제로 모바일체계에 대한 훈련은 2022년에 처음 시행되었다. 나날이 발전하고 있는 과학기술에 따라 군에서도 이런 모바일체계뿐만 아니라 IoT체계, 무선랜체계, VR·AR 체계, SNS 등 새로운 체계들이 날로 증가하고 있다. 따라서 새로운 영역에 대한 사이버 위협에 대한 대응훈련을 시행할 필요가 있다. 물론, 새로운 영역을 대상으로 훈련을 시행하기 위해서는 대상 체계의 훈련 방법에 관한 연구가 선행되어야 할 것이다.


다양한 시기와 방법으로 훈련 시행

첫째, 정해진 훈련기간에서 훈련 주관부서의 판단에 따라 불시에 훈련을 진행할 필요가 있다.
앞서 말했듯 사이버 공격이라는 것이 정해진 시기에 감행 되는 것이 아니라, 언제 어디서 시작되었는지 조사하기가 어렵고 실제로도 피해를 받은 사실조차 모르고 있을 수 있기 때문이다. 따라서 실전적인 대응을 위해서는 불시훈련을 통해 능력을 향상시켜야 한다.
둘째, 훈련 기간에 집중하여 선정한 다수의 인원에 대한 훈련에서 벗어나, 장기간에 걸친 소수의 인원에 대한 훈련으로 조정 시행할 필요가 있다.
왜냐하면, 현재 시행중인 훈련 방법은 2~3개 유형의 해킹 메일을 동시에 유포하는데, 감염된 인원들의 신고로 인해 ‘훈련용 해킹 메일’이라는 것을 오래 지나지 않아 알게 된다. 이에 대응한 부대별 사이버 조직은 유포되고 있는 해킹 메일의 유형, 제목 등을 ‘홈페이지 공지’, ‘유선’, ‘메모보고’ 등 다양한 방법으로 상황전파를 시행하는데 이를 통해 훈련대상 인원들은 본인이 수신한 메일이 해킹 메일임을 인지하게 된다. 하지만 앞서 말했듯 해커는 불특정 다수에게 해킹 메일을 유포하기보다는 특수한 목적을 갖고 소수의 인원에게 피싱 메일을 발송하여 공격을 감행하기 때문에 무작위로 유포된 해킹 메일로 인해 사이버 방어조직이 알게 되어 상황전파를 통해 자신이 해킹 공격을 받았다는 사실을 아는 경우는 매우 낮다. 또한 이렇게 무작위로 유포되는 다수의 해킹 메일은 민·관·군의 협력하에 개인이 메일을 수신하기 전에 이미 ‘메일 차단체계’로 차단하고 있다. 따라서 실전과 같은 훈련을 위해서는 훈련 기간을 별도로 선정하지 않고 장기간 불시에 소수의 인원을 대상으로 지속적으로 시행하고 사이버 조직의 도움 없이 스스로 해킹 메일을 판별할 수 있는 대응 능력을 향상시켜야겠다.
끝으로, 방어자가 아닌 공격자의 입장에서 훈련 방법을 고도할 필요가 있다.
‘훈련 인원의 확대’와 ‘훈련 대상체계의 확대’ 부분에서도 언급하였지만, 대상체계는 날로 증가하고 다양해진다. 하지만 현재, 훈련은 자체 개발한 악성코드에 의존하여 동일한 방법으로 ‘첨부파일’을 활용한 ‘해킹 메일 유포’만을 시행하고 있다.
‘모의 훈련 시스템’이나 ‘모의 훈련 솔루션’을 구매하여 훈련 콘텐츠를 다양하게 활용할 수도 있고 나아가 AI를 활용하면 훈련 대상의 개인별 특성을 분석하여 공격이 가능한 악성코드 제작, 공격 성공률이 높은 해킹 메일 유형, 발신자명 등을 선정하고 양적·시간적 제약 없이 반복적인 훈련을 시행할 수도 있을 것이다.


보안 인식 제고의 필요

해킹 메일 공격에 대한 피해를 최소화하기 위해서는 두 가지 요소가 향상되어야 한다.
첫째, 해킹 메일을 빠르게 식별하여 탐지 및 차단을 시행하고 실제 악성코드에 감염되었을 때 체계적인 대응을 통해 피해 확산을 방지하는 기술적 대응이다.
둘째, 해킹 메일의 열람과 첨부파일을 실행하지 않으며 의심되는 메일은 사이버 방어조직에 신고하는 등의 보안 인식 강화를 통한 인적 대응이다.
이처럼 해킹 메일에 대한 대응은 기술적 보안대책과 보안 인식이 고루 갖추어졌을 때 피해를 최소화할 수 있다.
하지만, 기술적 보안대책은 일반적으로 인터넷상에서 잘 알려진 악성코드에 대해서만 탐지하고 차단을 할 수 있고 패턴이 알려지지 않은 신규 바이러스에 대해서는 대처할 수 없는 단점을 가지고 있다. 따라서 사이버 공격에 대한 ‘사람’의 대응 능력이 중요한 것이다. 미국 다트머스 대학의 디지털 전략센터 소장인 에릭 존슨 교수도 “무언가를 해킹하는 것보다 사람을 속이기가 훨씬 쉬우며, ‘스피어 피싱’의 경우 메일 열람률이나 민감 정보 유출률이 높다”라고 하였다.
이에 따라 ‘사람’의 보안 인식 제고를 위해 사이버 방어조직에서는 정기적으로 ‘해킹 메일 대응훈련’을 시행하여 해킹 메일의 ‘열람률’, ‘감염률’, ‘신고율’을 분석하여 개인별·부대별 사이버 위협에 대한 대응 능력을 향상할 수 있도록 해야겠다.


맺는 말

지금까지 해킹 메일 공격 사례를 통한 해킹 메일 대응의 중요성과 해킹 메일 대응훈련의 문제점, 이를 개선하기 위한 방안에 대해 살펴보았다.
사이버 공격 시도는 하루에도 수백 수천만 건이 발생하고 있으며, 해킹 메일을 이용한 공격은 빠른 속도로 지능화되어 발전하고 있다. 제아무리 정보보호체계가 발전한다고 한들 탐지를 우회하는 기술도 같이 발전하여 부지불식간에 공격을 당하게 된다. 정보보호체계는 알려진 악성코드만 차단하고 알려지지 않은 악성코드의 탐지방안에 대해서는 현재까지 뚜렷한 대응방안이 없기 때문이다.
따라서 해킹 메일에 대한 보안 인식과 대응 능력을 키워 군 내 유입된 해킹 메일을 조기에 ‘채증’하고 악성코드 실행 시 발생하는 패킷의 특징을 분석하며 정보보호체계에 ‘탐지 및 차단정책’으로 적용해서 정보유출과 같은 피해를 최소화해야 한다.
단 한 건의 사이버 공격의 성공은, 개인에서부터, 개인이 속해 있는 조직, 조직이 속해 있는 나라, 그 나라와 관계된 나라까지 영향을 미칠 수 있음을 깨닫고 ‘보인 인식’과 ‘대응 능력’의 수준 향상에 만전을 기해야겠다.

대표 이미지

0.jpg
댓글 1
0 / 500
  • 필사즉생 (121.132.xxx.xxx)
    2022-08-04 17:21:29
    해킹메일이면 주로 악성 링크나 비실행파일 첨부를 통해서 공격을 하는 방식인데 이메일 관련 보안솔루션은 패턴매칭(Known) 방식 뿐만이 아니라 리버스엔지니어링(악성코드 분석을 자동화) 방식을 통해서 Unknown 악성코드도 방어할 수 있는 해킹메일차단솔루션도 있습니다.

    다른 접근방식으로는 격리(Remote Browser) 또는 CDR(콘텐츠무해화) 같은 제로 트러스트 방식도 있고...

    휴먼 취약점 패치를 위한 해킹메일대응훈련의 가장 큰 문제점은 국내 공공사이트의 경우 훈련을 형식적, 수박 겉핡기 식으로 한다는 점에 있다고 봅니다.

    위에서 하라고 시키니까... 지침에 있으니까... 평가에 반영되고 점수에 들어가니까... 하기는 하지만 경각심은 없는...
    어찌 보면 공무원으로 구성된 조직의 한계라고 봅니다.

    *개선책

    1. 훈련취지에 맞게 가급적 많은 인원을 대상으로 훈련 실시(담당자가 피곤)
    2. 악성행위자 및 미신고자에게는 상황에 따라 페널티 부여(반발 우려)
    0
1
1
Top