갈수록 심해지는 보안 위협, 우리의 주적은… [신무경의 Let IT Go]

전수홍 파이어아이 지사장 인터뷰
해커들, 코로나19 애도 기간 끝내고 금전-정보 탈취 목적으로 전방위 공격
발신인 불명 이메일, 문자 열지 말아야

지난달 16일 서울 강남구 파이어아이 본사에서 전수홍 지사장(사진)을 만났다. 전 지사장은 2012년 11월 파이어아이의 한국 오피스 첫 직원으로 시작, 올해로 9년째 지사의 수장을 맡고 있다. 인터뷰 요청은 전 지사장이 먼저 해왔다. 신종 코로나바이러스 감염증(코로나19) 여파로 재택근무가 늘어나고 회사 컴퓨터가 아닌 개인 컴퓨터를 이용하게 되면서 보안 위협은 증가하게 됐다. 해커들의 공격도 증가했다는 이야기가 많이 들려왔던 터여서 묻고 싶은 게 많았다.

―전 세계에 보안업체가 많은데 파이어아이는 어떤 부문에 강점이 있나요.

보안업계에서 흔히 쓰는 단어인 백신과 방화벽은 우리가 감기 예방을 위해 맞는 백신과 같습니다. 기존에 알려진 공격, 증거 자료를 기반으로 동일한 공격을 찾아내 막는 것이죠. 이를 시그니처 방식의 보안 기술이라고 합니다.

이 같은 방식은 새로운 유형의 공격은 대처하기가 어렵습니다. 통상 보안 위협은 이메일 첨부파일을 통해 이루어지는데요. 가상 환경 속에서 이메일을 열어보고 이상이 없는지 여부를 판단하는 것을 샌드박스 방식의 보안 기술이라 칭합니다. 파이어아이는 샌드박스라는 보안 체계를 세계 최초로 만들어냈다고 보시면 될 것입니다.

―한국에서는 얼마나 많은 고객사들을 보유하고 있나요.

국내 100대 기업 중 90% 이상을 고객으로 확보하고 있습니다. 샌드박스 기술 자체를 도입하기 위해서는 높은 성능의 하드웨어와 기술이 필요하거든요. 그래서 대기업 위주로 수요가 많습니다. 최근에는 보안 위협이 전방위적으로 확산되면서 스몰비즈니스 쪽으로 확산되고 있기는 합니다.

전 지사장은 갖고 있던 갤럭시탭에 TV를 연결해 화면에 파워포인트(PPT)를 띄우며 “안보와 마찬가지로 보안에 있어서도 우리의 주적은 북한”이라며 “주적에 대한 정보와 대비책이 반드시 필요하다”고 강조했다. 파워포인트 화면에는 한반도를 중심으로 한 지도가 띄워졌다. 북쪽으로는 빨간색, 남쪽으로는 파란색이 눈에 들어왔다. 예비군 훈련도 아니고 갑자기 안보교육이라니. 전 지사장의 요지는 새로운 유형의 보안 공격에 대비하기 위해서는 공격 상대방이 누군지 정확히 알고 있어야 한다는 것이었다. 최근에는 북한뿐만 아니라 한국을 노리는 공격루트가 다양해지고 있다는 경고도 덧붙였다.

―무슨 PPT인가요?

보안 관련 외부 강의를 나갈 때 만들어둔 자료인데요. 해킹은 금전적인 목적을 하는 그룹이 있고, 국가가 스폰서하는 첩보 활동을 하는 그룹으로 나뉩니다. 그런데 한국은 이 두 가지 목적에 다 해당하는 나라죠.

세계 3대 해킹그룹인 북한과 중국, 러시아와 마주하고 있는데요. 통상 중국과 러시아가 북에 사이버 기술을 전수해주면서 ‘좋은 무기를 줬으니 실적을 내라’는 식으로 주문합니다. 북한은 한국과 같은 언어를 쓰기 때문에 공격의 효율성이 높죠. 외교적인 분쟁도 피할 수 있고요.

그런데 지난해 이루어졌던 북미 협상처럼 양국간 화해모드가 조성되면 중국이나 러시아가 북한을 믿기 어려워지게 됩니다. 독자적인 노선과 자국의 이익을 위해서 새로운 결정을 내릴 수 있다고 생각하는 거죠. 중국, 러시아 입장에서는 북한이 주는 정보만을 믿기 어렵게 돼 한국으로 직접 들어오게 됩니다.

우리나라는 북한을 주적으로 삼고 있어서 북한에 관련한 보안 관련 정보를 많이 갖고 있습니다. 반면 중국이나 러시아로부터의 공격에 대해서는 공격과 경험이 적어 대처가 어렵습니다. 그리고 과거와 달리 더 많은 해킹그룹이 첩보 활동보다는 금전적인 목적을 위해 움직이고 있습니다. 전 세계적으로 돈이 될만한 국가는 공격을 하고 있는 것이죠.

한국은 작은 나라지만 하이테크가 집중되어 있는 나라입니다. 반도체, 자동차 등 훔칠 건 많은데 보안은 상대적으로 취약하죠. 공격이 많아질 수밖에 없는 것입니다. 과거에는 3개 국가에 대해서 대비를 하면 됐다면 이제는 전 세계로 전선이 확장된 겁니다. 이런 상황에서 사전 대처를 위한 정보 수집, 보안에 관한 정보, 인텔리전스를 얻는 것이 중요해졌습니다.

―인텔리전스는 어떻게 수집하나요.

여러 경로가 있습니다. 지능형 지속공격(APT) 센서 장비가 전 세계에 4억 개 가량 깔려 있습니다. 파이어아이는 침해사고조사를 전 세계에서 가장 많이 하는데요. 전 세계 300여 명의 리서처가 최근 해킹에 활용되는 기업과 툴 등을 체크합니다. 이렇듯 APT 장비를 통해 보안 트렌드를 볼 수 있습니다. 시장에 있는 정보를 구매하기도 하고요.

―최근의 보안 위협은 어떤 양상을 띠고 있나요.

북한이 중국을 위장하고, 중국이 북한을 위장하는 아리까리(알쏭달쏭)한 공격들이 더 활발히 일어날 것으로 보입니다. 한국 정부도 2018년부터 중국으로 추정되는 해킹에 대응하는 투자 활동을 활발히 하고 있습니다. 확실한 것은 과거처럼 방송국, 은행을 마비시켜 사회 혼란을 부추긴다기보다는 대부분 금전적인 목적으로 공격을 하고 있다는 것입니다.

최근의 공격 유형을 더 언급한다면 이렇습니다. 반도체 회사들은 보안이 잘 갖춰져 있어서 공격이 힘들거든요. 그래서 이 반도체 회사와 관련된 물류 회사의 보안을 뚫어 기밀을 캐냅니다. 이를테면 반도체 회사의 신제품 출시 시점을 알고 싶다고 하죠. 그래서 이 반도체를 운송하는 물류업체를 해킹했더니 12월 25일 물량이 예약돼 있는 것을 확인하는 식이죠. 이렇듯 서플라이체인(공급망)으로 우회적으로 정보를 얻는 경우가 많아졌습니다.

―최근 알만한 기업들 중 보안 위협을 당해 피해를 본 케이스가 있나요.

랜섬웨어 공격은 충분히 많을 텐데 외부로 잘 안 알려지는 것 같습니다. 안타까운 점은 보안의 특성상 이슈가 발생해도 문제를 덮는다는 겁니다. 기본적으로 나와 관계가 없는 사람이 보낸 이메일은 해킹 의도를 가지고 보내올 가능성을 염두에 둘 필요가 있습니다. 특히 첨부파일은 더더욱 그러합니다. 문자로 링크를 많이 받는데요. 그것을 통해 해킹을 많이 합니다. 해커들이 인터넷주소(URL)를 악성에서 정상으로 바꿔놓으면서 발견하기 어렵게 만들기도 하죠.

―코로나19를 악용한 해킹 위협도 많아지는 것 같아요.

코로나19 초창기에 해킹 공격이 많아졌던 게 사실입니다. 다만 이익을 편취하는 행위는 잘 하지 않았어요. 사이버 세상에도 상도의가 있어요. 사람이 죽는 거죠. 2014년 세월호 사건이 있었을 때도 3개월 간 사이버 애도 기간이 있었어요. 그러다가 월드컵 때 보안 공격이 크게 증가했죠. 코로나19 상황 속에서는 해커들이 금전적 이익을 취하기보다는 정보를 많이 수집하는데 집중했을 겁니다. 이제는 코로나19 애도기간은 지난 거 같아요. 코로나19 확산 이후 경제 상황이 안 좋아지다 보니 랜섬웨어가 기승을 하고 있는데요. 기업도, 개인도 주의를 기울여야만 하는 때입니다. 모르는 사람이 보내는 이메일은 안 열어보는 게 답입니다.

인터뷰를 마친 뒤 얼마 안 있어 북 소행으로 추정되는 해커가 한국을 포함한 미국, 영국의 백신 개발 회사를 공격했다는 외신 보도가 나오기도 했다. 최근에는 같은 서버를 쓰고 있는 북 추정 해커들이 현대자동차그룹 계열사 사내 인트라망과 똑같이 만든 피싱 사이트를 개설했다가 폐쇄하기도 했다. 해커들의 코로나19 애도기간은 정말 끝난 듯 보인다.

신무경 기자 yes@donga.com