네트워크 외부의 위협으로부터 할 수 있는 것

데이터 도난이나 스파이 활동 또는 협박, 독일에서 지금까지 네트워크 외부에서격을 받지 않은 기업이 없다고 해도 과언이 아니다. 이 글은 우리 회사가 예방을 위해 무엇을 해야 하는지 그리고 사이버 범죄에 노출되었다면 어떻게 대응해야 하는지 확인할 수 있다.

Dr. 크리스토프 파젤(Christoph Fasel) 저널리즘 및 홍보학 교수 및 MM Maschinenmarkt 프리랜서 기자

핵심 내용

  • 경쟁업체에 비해 기술적으로 앞서 있는 중소기업이라면 사이버 범죄자들이 좋아하는 타깃이 될 수 있다.
  • 사이버 공격을 받은 업체 대부분은 잘 모르거나, 너무 늦게 알게 되는 경우가 많다.
  • 소셜 미디어도 사이버 공격의 통로가 될 수 있다. 하지만 대부분의 경영자들이 이 사실에 부주의하다.
  • 사이버 공격은 두 가지 유형으로 구분된다. 대량 살포되는 맬웨어와 개인별 접근을 통한 공격이다.

레이저 절단기의 빔이 설계된 강판의 커브와 나선을 따라 빠르게 잘라낸다. 자동화된 기술의 환상적인 산업 현장 모습이다. 그러다 갑자기 레이저 헤드가 덜컹거리더니 작업 영역 위로 올라가고 레이저 빔이 빛을 잃어간다. 뚜렷한 이유 없이 왼쪽 오른쪽으로 몇 번 움직이다가 레이저 헤드와 함께 가이드 암이 강판 위로 내려앉는다. 그리고 움직임을 멈추더니 기계가 차단되고 더 이상 켜지지 않는다. 일차 분석 결과 사이버 공격을 당한 것으로 나타났다. 네트워크 외부로부터 공격을 받은 것이다.

사이버 범죄 모두에게 해당된다

전 세계가 오늘날처럼 네트워크로 연결된 유례가 없었다. 이처럼 네트워크 안에서 데이터를 가로챌 수 있는 기회가 많았던 적도 없었다. 독일 BSI(연방정보기술안전청)는 지난해부터 이러한 현상이 비약적으로 늘어난 것을 확인하였다. 산업체에 대한 사이버 공격이 없이 지나간 날이 거의 없었으며, 대기업은 물론 중소기업도 공격을 받은 것으로 나타났다. 통신 회사만 하더라도 수백만 개의 공격과 동시에 싸워야 하는 날들이 늘고 있다.

2019년 10월 13일 독일 남서부 슈바벤의 안전의 대명사라 할 수 있는 Pilz가 사이버 공격을 받았다. 그날 이 업체의 IT는 하루 종일 먹통이 되었다. 이메일을 보낼 수도 받을 수도 없었으며, 주문을 처리할 수도 상품을 배송하거나 청구서를 작성할 수도 없었다. 이제 세계 어느 곳이든 통신 네트워크를 포함하여 모든 서버 작업장이나 PC 작업장은 공격의 대상이 될 수 있다. Pilz는 만일에 대비하여 모든 컴퓨터 시스템을 네트워크에서 분리하여, 사내 네트워크로의 접근을 봉쇄하고, 웹사이트도 부분적으로만 작동하게 하였다.

“여러분 회사의 IT가 공격을 당하느냐 그렇지 않느냐가 문제가 아니라, 해커가 언제 공격을 당할지, 얼마나 집요할지 그리고 어떤 방어선을 유지해야 할 지 의문입니다.” 하이코 슈뵈벨, TÜ-IT 이사

중소기업도 이러한 경험을 할 수 있다. “여러분 회사의 IT가 공격을 당하느냐 그렇지 않으냐의 문제가 아니라, 언제 공격을 당할지, 해커가 얼마나 집요할지 그리고 방어선을 잘 유지할 수 있을 자기가 문제입니다.”(하이코 슈뵈벨) 튀빙엔의 컨설팅 회사인 TÜ-IT의 이사인 하이코 슈뵈벨은 중소기업 데이터 보안 전문이다. “수치가 가파르게 상승하고 있습니다.”(슈테펜 침머만) 슈테펜 침머만은 VDMA 기계 엔지니어링 협회 보안 전문가이다. 슈테펜 침머만의 경험은 하이코 슈뵈벨의 언급에 강력하게 동의를 표했다. “누구나 공격을 받을 수 있습니다!”

해커들은 중소기업, 그중에서도 경쟁업체에 비해 기술적으로 우위에 있는 전문 업체에게 눈독을 들인다. 이들을 엿보는 것이 많은 해커들의 일상이다. 독일 기업 전체 가운데 37%는 지난 12개월 동안 적어도 한 번 이상 비즈니스 데이터를 도둑맞은 적이 있었다. 이는 글로벌 데이터 보호 인덱스(Global Data Protection Index) 조사에서 사실로 드러났다. Bitkom 협회는 사이버 해킹을 통한 독립 기업들에게 발생한 손해가 연간 1억 유로(원화 일천삼백억 원)를 넘을 것으로 추산하였다. 이미 오래전부터 독일의 “made in Germany”라는 기술 지식이 해커들의 타깃이 되어 왔다.

VDMA 전문가 슈테펜 침머만은 이 같은 사태에 면역 체계를 예로 들어 사이버 최전선에서 벌어지는 보이지 않는 전쟁으로 다음과 같이 비유하였다. “나는 매일 바이러스의 공격을 받습니다. 나의 면역 체계는 새로운 공격에 끊임없이 노출되고, 지금까지 본 적 없는 새로운 공격에 노출됩니다. 우리가 이를 이겨낼 수 있을지, 우리가 운동을 하든, 사우나를 하든, 잠을 자든, 방법에 상관없이 얼마나 빠르게 회복하느냐에 달려 있습니다. 우리의 컨디션을 잘 관리하고 유지해야 이러한 공격에 대항할 수 있습니다.”

공격은 사전에 계획된 것이다

사이버 공격을 당하더라도 대부분 너무 늦게 알거나 모르고 지나가는 경우가 많다. 무언가 증상이 나타난다면 이는 이미 공격을 받아 손실이 나타나는 현상일 것이다. 손실은 대략 다음 세 가지로 구분할 수 있다.

해커들은 목적을 위해 컴퓨팅 성능과 하드웨어 및 소프트웨어를 사용한다. 해당 기업은 공격으로 인해 가동이 중지되고, IT로 제어되는 기계의 성능이 저하되어 작업이 중단될 수 있다.

해커들은 회사 기밀을 훔쳐 간다. 피해 기업은 결과적으로 경쟁 우위가 사라지거나 잃을 수 있다. 몇몇 사례가 나타났듯이 회사 전체가 위험에 빠뜨리거나 문을 닫을 수 있다.

데이터와 하드웨어 또는 소프트웨어 차단하고, 볼모로 잡은 데이터와 이러한 소프트웨어나 하드웨어를 풀어주는 대가로 금품을 요구한다. 이는 전통적인 수법이지만 경찰은 그런 범죄에 거의 도움이 되지 않는다. 공격한 서버가 케이맨 제도(카리브 해에 있는 영국령으로 조세 피난처)에 있는 경우, 수사가 교착 상태에 빠질 수 있다.

대부분 의도한 공격의 동기는 기업의 노하우와 혁신을 손에 넣는 것이다. “기업 기밀을 갖고 있는 직원을 스카우트하는 것은 옆에 있는 경쟁업체일 수도 있고, 국가적 지원을 받는 극동의 사이버 해커일 수 있습니다. 조직적 범죄에는 국경이 없습니다.”(슈테펜 침머만) 해커들은 활동을 장기간 계획하고 자신에게 도움이 되는 정보를 오랫동안 수집한다. 따라서 목적이 있는 공격은 정보 수집에서 시작된다고 할 수 있다. “이들에게 Linkedin이나 Xing 같은 네트워크가 도움이 될 수 있어 조심해야 합니다.” 슈테펜 침머만은 SNS를 날카롭게 꼬집었다. “이러한 사실을 잘 모르는 대부분 기업인들은 이야기하는 것을 너무 좋아합니다.” 해커들은 여기에서 얻는 정보로 시스템에 접근할 수 있도록 자신만의 스토리를 구성합니다. 이렇게 기업의 시스템에 트로이의 목마를 심는 것은 어렵지 않아 보인다.

러시안 룰렛

이런 경우를 한 제조 기업의 한 사례에서 확인할 수 있다. 사이버 범죄자가 경영진의 Outlook을 해킹하여 이메일을 몰래 훔쳐보고, PDF 청구서에서 계좌 데이터를 조작하였다 해당 임원은 아무것도 모른 채, 장비 대금 450,000 유로(원화로 6억 원)를 조작된 계좌로 이체하였다. 물론 이 계좌는 실제 한 난민 협회의 계좌였지만 이 계좌도 범죄자들이 해킹하여 자신들의 통제권 아래 있었다. 대금이 실제로 이체되었고 이 돈은 몇 분 후에 러시아로 넘어갔으며, 거기에서 완전히 사라져 버렸다. 장부 오류를 발견하였을 때는 돈의 행방을 찾을 수가 없었다. 러시아 당국에 공조를 요청을 하였지만 지금까지 아무런 답변을 받지 못했다.

그럼 어떻게 이런 공격을 막을 수 있을까? “그것은 상식에 관한 문제이며, 그만한 노력이 필요합니다.” 슈테펜 침머만은 자신의 견해를 밝혔다. 그의 의견은 이렇다. 보안을 위해 항상 매체를 분리해서 이용해야 하고, 두 파트너는 메일 이외에 전화나 팩스로 의사를 충분히 타진해야 한다. 하루 뒤에도 돈이 입금되지 않으면, 신속하게 장부를 다시 확인해야 한다. “이때 중요한 것은 다양한 채널을 활용하여 의사소통을 하는 것입니다. 정보와 변경 사항이 같은 경로로만 다니면 안 됩니다. 의사소통에 같은 경로만 사용하면 해커들이 자신들이 점령한 채널에서 정보를 얻게 되고, 이러한 정보를 바탕으로 또 다른 해킹을 시도할 수 있습니다.”(슈테판 침머만)

만일 범죄자들이 AI를 이용하여 가짜 신분을 만들고, 전화를 통해 모방한 음성과 가짜 계정으로 이메일을 통해 부하 직원에게 금융 거래를 지시한다면, 속을 수밖에 없습니다. 왜냐하면 독일 기업에서는 부하 직원이 상사의 신원에 의심을 품고 검사할 방법이 거의 없으며, 대부분의 부하 직원들은 이런 주문을 확인하기보다는 그냥 처리해 버리기 때문이다. 따라서 수백만 유로가 한순간에 허공으로 날아갈 수도 있다.

2018년 미국 기업에서 사이버 범죄로 인한 평균 손실은 2,737만 US 달러(원화로 338억 원)였다.

맬웨어 또는 타깃을 통한 공격

IT 보안 전문가들은 사이버 공격을 기본적으로 두 가지 유형으로 구분한다. 하나는 아무나 걸려라 하는 생각으로 IT 시스템에 맬웨어를 뿌리는 방법이다. 이러한 맬웨어도 보안 수단을 뚫기 위한 수단으로 인공 지능과 머신 러닝을 활용하여 발전하고 있다. 또 하나는 목표를 정한 공격인데, 개인적 반응을 이용해서 직접적으로 접근한다. “공격을 당하기 전에 어떻게 지킬 것인지, 사고가 난 이후에는 어떻게 방어할 것인지 결정해야 합니다.”(하이코 슈뵈벨) 사이버 전쟁은 무기가 공평하게 분배되어 있지 않다. “예전처럼 고지에서 상대를 내려다볼 수 있는 전쟁이 아닙니다. 오늘날은 누군가가 나를 쓰러뜨려도 그게 누구인지 전혀 알 수 없습니다.”(슈테판 침머만)

범죄자들이 사이버 보안을 무너뜨릴 수 있는 일련의 오류들이 있다.

먼저 “나한테는 아직 아무 일도 일어나지 않았어” 또는 “나는 아무것도 숨길 게 없어” 이런 안일한 생각이 이에 속한다.

“나는 바이러스 스캐너를 갖고 있지”라든가 “나는 방화벽이 완벽해”라는 보안에 대한 주관적인 자신감도 위험하다.

“운영 시스템은 절대 바꾸지 않는다”라는 안일한 태도. 무언가 “더욱 복잡해질 것”이라는 두려움에 업데이트를 하지 않는 것도 위험하다.

중고 장비, 예를 들어 CNC 기계, 원심 분리기, 전자식 측정 스테이션은 예를 들어 서비스팩 1을 탑재한 Windows XP와 같은 시스템은 이를 컴퓨터로 인식하지 않거나, IT 네트워크에 연결되어 있음에도 불구하고 눈여겨보지 않는다.

서버 캐비닛이 어디에 있는지 모르는 잊혀진 시스템 등

“조직적 범죄에는 국경이 없습니다.”(슈테펜 침머만) 해커들은 활동을 장기간 계획하고 자신에게 도움이 되는 정보를 오래 동안 수집한다. 따라서 목적이 있는 공격은 정보 수집에서 시작된다고 할 수 있다. “이들에게 Linkedin이나 Xing같은 네트워크가 도움이 될 수 있어 조심해야 합니다.” 슈테펜 침머만은 SNS를 날카롭게 꼬집었다.

하지만 결정적인 역할을 하는 것은 사람이라는 요소이다. 사실 많은 IT 전문가들은 사람을 결정적인 요소로 보고 있다. “오류 코드 50”이라는 말이 있다. 이는 컴퓨터 모니터 50cm 앞에 앉아 있는 모든 컴퓨터 사용자를 의미하는 말이다. 이는 VDMA 전문가 슈테판 침머만도 동의하는 바이다. “우리의 조사 결과에서도 제일 큰 위험 요소는 사람에 의한 오류입니다. 그게 제일 중요합니다!” 그런데 이 부분은 IT 기술로 완충하기가 어렵다. “직원을 한 번 교육하는 것으로 충분하지 않습니다. 보안은 IT 테마가 아니라 기업 경영의 문제입니다. 지식도 없고 민감성도 없다면, 조만간 사고가 발생할 수 있습니다.”

보호할 수 있다. 그러나 관리해야 한다

그에 비해 희소식도 있다. 지금까지 알고 있는 보안 빈틈이나 보안 취약점에 대해 백신이 업데이트되어 이러한 틈을 메울 수 있게 되었다. 하지만 이는 신속하고 지속적으로 업데이트를 진행해야 한다. 또한 보안 개념을 강화하고 백업을 통해 예방해야 한다. 그렇다면 이를 통해 사이버 공격으로 인한 피해를 배제할 수 있을까? 이에 대해 IT 전문가인 슈테판 슈뵈벨은 “아니요”라고 화답한다. “스파이나 범죄 조직, 해커, 테러리스트 그리고 경쟁자들은 지속적으로 IT 시스템에 침투합니다.” 침투 방법은 기술적인 공격에서 공격 루트를 개척하기 위해 위조된 신분으로 사람을 속이는 것까지 다양하다. 시스템을 어떻게 보호해야 하는지는 재정적 관점이나 형법적 관점에 따라 다르다. 따라서 작은 규모의 회사도 IT 보안 개념을 개발하고 설정하여 지속적으로 점검해야 한다. 이렇게 시간과 비용이 들여 투자해야 피해가 발생하는 것을 막을 수 있다. 또한 IT 보안은 지속적으로 변한다는 조언을 깊이 새겨 들어야 한다. 조직 내부에 갇힌 시야로는 다가오는 위험을 보지 못할 수 있다. 이를 위해 외부 서비스 업체를 이용하는 것이 보다 합리적일 수 있다.

MM 체크리스트

사이버 보안을 위한 8가지 조언

TÜ-IT의 IT 전문가 하이코 슈뵈벨 & VDMA의 슈테펜 침머만

1. 전체 시스템을 최신 상태로 유지하고 소프트웨어를 항상 업데이트한다. 업데이트 작업을 미루는 경향이 있는데, 사고는 가장 취약한 부분에서 발생한다.

2. 방화벽과 바이러스 스캐너를 사용하고 광고를 차단한다. 이 경우도 프로그램 업데이트가 있는지 지속적으로 점검하고 바로 설치한다!

3. 모든 직원에게 교육한다. 알지 못하는 첨부파일은 열지 말고, 열어야 할 경우 네트워크에 연결되어 있지 않은 독립된 기기에서 열도록 한다.

4. 정기적으로 백업 데이터를 만들고 제대로 되었는지 확인한다. 또한 데이터는 항상 안전하게 보관한다!

5. 각 작업에 대해 리스크 분석을 실시하고 안전 개념을 수립한다. 기존 노하우에 따라 전문적인 지원을 보강한다!

6. 중요한 거래는 항상 매체를 분리하여 사용한다. 중요한 계약 정보(“계약금은 오늘 귀하 명의의 XXX 계좌로 송부됩니다. 늦어도 내일까지 팩스로 입금을 확인해 주세요!”)는 전화와 팩스로 확인한다.

7. 상사를 사칭하는 사람의 잘못된 지시가 담긴 가짜 전화나 가짜 이메일에 속지 않도록 상식을 발휘한다. 내용의 타당성을 점검하고 보안 프로세스로 알 수 없는 세부 사항 등을 확인한다!

8. 가장 중요한 제어 요소가 있는 폴더를 자신의 컴퓨터 아래에 압축해 둔다. 많은 맬웨어가 시스템을 조작하기 위해 프로그램의 위에서부터 아래쪽으로 순서대로 작업한다. 이렇게 하면 공격을 발견한 후에 빠르게 조치를 취할 수 있는 가능성이 높다.

MM TIP

공격을 당한 경우 독일의 대처 방법

사이버 공격의 피해자는 피해 사실을 경찰에 연락해야 한다. 중소기업들의 경우는 거의 독일연방 BSI(정보기술안전청)의 관할이 아니다. BSI의 주문은 시스템과 관련된 인프라를 보호하라는 정도이다. 기업들은 ZAC(사이버 범죄 중앙 사무소)의 도움을 받을 수 있으며, ZAC는 각 주마다 있다.

IT 시스템을 국제적으로 갖추어야 하는 글로벌 기업들의 경우, 전 세계적으로 활동하고 있는 Accenture, Deloitte, IBM, KPMG, PwC와 같은 IT 컨설팅 업체를 이용할 것을 권장한다.