중국 ‘아이순’ 등 사이버보안업체, 사실상 정부의 ‘어용 해킹 단체’
러시아, 북한, 이란 등의 해커들, “세계 각국 정부와 해킹 계약”
일부 국가, 해킹 단체와 정식 계약 체별, “정보 수집 아웃소싱”
[애플경제 전윤미 기자] 국가가 후원하는 ‘어용 사이버 공격자’들은 최근 해당 정부 당국과의 관계 등에서 ‘전술적 변화’가 있는 것으로 파악되고 있다.
사이버보안업체 사이젝스(Cyjax)는 “아예 정부 기관의 하나이자 비선 조직으로 활동하는 경우가 많다”고 했다. 즉 ‘순수한’ 국가적 과업을 수행한다는 의미다. 실제로 최근 중국의 사이버 보안업체를 표방한 ‘아이순’(i-Soon)의 내부 문서가 유출됨으로써 이런 현상이 더욱 주목받고 있다. ‘아이순’은 겉으론 사이버 보안업체인척 하지만, 사실상 중국 정부가 후원하는 해킹 단체다.
이 단체는 아예 중국 정부의 한 산하조직으로 계약까지 체결하고, 해킹을 통해 대외정보 수집에 열을 올리는 것으로 밝혀졌다. 최근엔 우리나라의 외교문서나 인구 센서스 자료, LG유플러스 등 기업의 일급 기밀까지 ‘아이순’이 탈취해낸 것으로 알려져 충격을 주기도 했다.
‘아이순’처럼 중국에는 정부가 후원하거나, 아예 정보 거래 계약까지 맺고, 정부의 ‘앞잡이’ 내지 ‘하청업체’로서 정보 수집에 나서는 ‘허가된’ 해킹 조직이 여럿 있는 것으로 파악되고 있다.
중국 정부 후원 ‘아이순’, 한국 외교문서, 기업 기밀 등 빼돌려
중국 뿐 아니다. 이란에도 이같이 사이버보안업체로 위장한 어용 해킹 업체가 다수 있다. 또 러시아가 수단의 해커집단과 아웃소싱 계약을 맺고 정보 수집을 의뢰하는 것처럼 다른 지역이나 국가의 사이버공격 집단에게 ‘해킹 하청’을 주는 경우도 많다. 이미 중국, 러시아, 이란, 북한의 많은 해커들은 다른 여러 나라 정부와 이같은 아웃소싱 계약을 맺고 짭짤한 수익을 올리고 있는 것으로 알려졌다.
사이버보안업체 엑스트라홉(ExtraHop)의 한 관계자는 특히 북한을 지목했다. 그는 “북한은 해킹 인재를 아웃소싱하는 것으로 유명하다”고 했다. 즉 “이들 해커들은 VPN을 사용하여 침실(재택)에서 활동하는 경우가 많으며, 보상을 조건으로 특정 국가의 정부와 계약을 맺는 경우가 많다”고 전했다.
이처럼 사이버 범죄자들은 종전에 개인 차원 또는 사적으로 해킹을 벌이던 것과 달리, 점차 여러 국가의 정부가 후원하는 범죄 그룹에 합류하는 현상이 점차 일반화되고 있다. 일부 국가는 이들 해킹 단체가 정부를 대신해서 정보 수집 활동을 수행하는 것을 아예 공식화하기도 한다. 마치 공식적인 정보기관을 설치, 운영하는 것과 똑같은 인식을 갖고 있다.
그 결과 이들 사이버범죄 조직은 더 발전되고 체계적인 방식으로 해킹을 하는 한편, 최고 수준의 해커들을 끌어모으고 있다. 또 이들을 ‘고용’한 나라는 이들에 의한 사이버범죄가 발생할 때마다 “본국 정부는 이와는 전혀 무관하다”고 발뺌을 할 수 있다는 것도 장점이다.
최고 수준의 해커 고용, 최첨단 AI 기술 동원
사이버범죄의 주요 수법이자 가장 큰 위협이 되고 있는 것은 여전히 랜섬웨어다. 그러나 이들 어용 사이버공격자들은 다르다. 대체로 이들은 생성 AI 모델과 머신러닝(ML)과 같은 첨단 AI 기술을 해킹에 동원하고 있다.
생성AI나 머신러닝은 한층 신속하게 표적화된 공격을 강력히 퍼부울 수 있는 위력을 갖고 있다. 예를 들어, 중국 정부가 후원하는 ‘아이순’을 비롯한 해킹 단체들은 정적이나 적대국 공격 등 정치적 동기를 지닌 해킹에서 생성AI 이미지를 적극 활용하고 있다.
이들 범죄자들의 손에 의해 생성AI는 치명적인 무기로 돌변하는 것이다. 그래서 사이버공격을 방어하기 위한 정찰이나, 익스플로잇 식별 등 기존의 각종 탐지 방법을 회피할 수 있는 악성 코드을 개발, 침투하고 자동화할 수 있다. 큰 위협이 아닐 수 없다. 이에 마이크로소프트와 OpenAI는 “국가의 지원을 받는 어용 사이버 공격자들은 이미 생성 AI를 사용해 사이버 공격을 하는게 점차 일반화되고 있다”고 경고하기도 한다.
이에 보안 전문가들은 이런 공격을 방어 내지 예방하기 위해 취약성을 줄이는 등 철저한 대응이 필요하다고 주문한다.
역시 사이버보안업체인 아르미스(Armis)도 “사이버 공격자들은 공격 대상에 침투하기 위해 패치되지 않은 기본적인 취약점을 이용하는 경우가 많다”면서 “특히 DDoS 공격은 중요 인프라를 마비시키거나, 심각한 재정적 피해를 입힐 수 있는 능력 때문에 여전히 해커들 간에 인기가 높다”고 주의를 당부했다.
"적절한 패치, MFA 등 여느 때보다 중요"
전문가들은 그러나 “국가별로 어용 공격자들의 수법이나 환경은 다를 수 있지만, 정보를 보호하고 공격에 대응하기 위한 기본적인 원칙은 동일하다”고 각별한 보안 수칙을 강조하고 있다. 또 “비즈니스에 필요한 기본 수준의 보호 기능을 갖추는 것이 그 어느 때보다 중요하다”면서 “특히 적절한 패치나 다중 요소 인증(MFA)과 같은 조치는 공격에 대한 취약성을 줄이는 데 도움이 될 것”이라고 밝혔다.
또한 ‘심층 방어’와 엄격한 정책 및 절차 수립과 준수도 중요하다. ‘사이젝스’는 “민감한 데이터를 보호하는 것은 물론, 엔드포인트를 보호하고, 효과적인 내부 정책을 마련하며 잠재적인 인적 오류로부터 보호하기 위한 특정 프로세스가 필수”라며 “이를 통해 국가가 후원하는 어용 해커들의 공격과 그로 인한 위험을 완화할 수 있을 것”이라고 당부했다.