▲ 드론 관련 기업 및 기관ㆍ협회 대상 사이버보안 설명회(3.13~14)[출처=국가정보원]국가정보원(원장 조태용)에 따르면 2025년 3월13~14일 이틀간 인천광역시 항공안전기술원에서 국토교통부와 합동으로 관련기업 및 기관·협회 등을 대상으로 사이버보안 설명회를 개최했다.북한 등 국제·국가배후 해킹조직의 국내 드론 개발업체에 대한 해킹공격 시도가 증가하고 있음을 확인했기 때문이다.이에 국정원은 이와 같은 북한 등 국제·국가 배후조직 해킹에 대한 드론 개발업체들의 자체 대응력 제고 및 피해 예방을 위해 사이버보안체계를 구축할 것을 권고했다.해커들은 업무관계자로 위장하여 피싱메일을 발송하거나 드론 개발업체가 주로 사용하는 기업메일·문서중앙화시스템 등 정보기술(IT) 솔루션의 보안취약점을 통해 기업 사내 전산망에 침투하여 드론 개발기술을 절취하려 했다.해킹시도가 핵심기술 유출 등 직접적인 피해로 이어지지는 않았으나 기업별 자체 사이버보안체계 구축 필요성이 부각됐다.2024년 12월 방위사업청·국가보안기술연구소 등과 함께 드론 개발업체 대상 사이버보안 관리 실태를 합동 점검했다. 보안시스템 미비·관리부실 등 다수의 보안취약점이 존재하는 것을 확인했다.설명회에서 국정원은 실태 점검을 통해 확인한 취약요인을 공유하고 보안대책을 제시하는 한편 기업들이 자체적으로 보안체계를 구축할 수 있도록 ‘사이버보안 관리 매뉴얼’을 제작·배포했다.매뉴얼에는 보안규정 마련·방화벽 도입 방법 등 기본적인 내용부터 취약점 점검·보안 설정 방법 등 실천수칙 및 보안점검 체크리스트 등이 포함돼 있다.김지훈 한국무인기시스템협회장은 “사이버보안 체계 구축에 필수적인 내용들을 매뉴얼에서 확인할 수 있었다”며 “이를 적극적으로 활용하면 해킹으로부터 안전한 보안 환경을 마련할 수 있을 것이다”고 기대감을 표명했다.국정원 관계자는 “드론은 국가 주력 산업인 방산·우주 분야와 깊은 연관이 있어 개발업체가 해킹을 당할 경우 국가적으로 큰 손실이 발생할 우려가 크다. 유관기관과 함께 보안대책을 지속적으로 지원해나갈 것이다”고 강조했다.

▲ LG CNS 홈페이지디지털 트랜스포메이션(DX) 전문기업 LG CNS(대표이사 현신균)에 따르면 2024년 9월26일(목요일) ‘보안 취약점 심층분석 보고서’를 웨비나에서 공개하기로 결정했다.LG CNS는 웨비나를 통해 ‘보안 취약점 심층분석 보고서’를 상세 소개하고 AD 보안 강화 전략을 수립하는 방법에 대해 논의할 예정이다. 웨비나 참여 신청은 9월2일부터 받고 있으며 보고서는 26일부터 다운로드 받을 수 있다.보고서에서 LG CNS ‘퍼플랩(Purple Lab)’은 글로벌 위협 인텔리전스(Threat Intelligence, TI) 빅데이터를 참고한 10개 대표 액티브 디렉터리(Active Directory, AD) 공격 기법에 대해 분류했다. 위협 인텔리전스란 사이버 위협에 대응할 수 있도록 정보를 수집·분석·활용하는 과정을 말한다.LG CNS 퍼플랩은 해킹 공격에 대한 심층 분석과 방어 전략을 통합해 보안 수준을 1단계 높이기 위한 목적으로 2024년 신설됐다. 퍼플랩은 기존의 레드팀과 블루팀 멤버들로 구성돼 있다.레드팀은 시스템을 모의 해킹하고 공격하는 역할을 수행하며 스마트 보안관제센터를 365일 24시간 운영하는 블루팀은 방어조를 담당한다.LG CNS는 2팀으로 나눠 레드팀(Red Team)은 공격, 블루팀(Blue Team)은 방어 등 모의 훈련을 진행했다. 10개의 AD 공격 기법 시나리오와 시나리오별 보안 대응책을 보고서에 담았다.특히 이번 보고서에서 많은 해커들이 공격 대상으로 삼는 AD 취약점에 대해 다뤘다. AD는 전 세계의 수많은 기업이 효율적으로 인프라와 구성원을 관리하기 위해 사용하고 있는 서비스다.기업들은 AD를 활용해 기업 내부 구성원들의 사용자 계정과 권한을 중앙에서 관리할 수 있다. 해커가 AD를 장악하게 되면 기업 구성원들의 계정을 도용해 내부 기밀 데이터를 손쉽게 탈취할 수 있다.또한 해커는 AD 정보로 기업의 여러 시스템에 침투해 바이러스를 심고 시스템을 중단시킬 수도 있다. 이처럼 AD 해킹 공격은 기업에 치명적인 피해를 입힐 수 있기 때문에 보안 중요도가 높다.LG CNS가 꼽은 주요 AD 공격 기법은 △커버로스팅(Kerberoasting) 공격 △디시싱크(DCSync) 공격 △모니커링크 취약점 공격 △패스더해시(Pass-the-Hash) 공격 △골든티켓(Golden Ticket) 공격 등 10개다.커버로스팅(Kerberoasting) 공격은 AD 네트워크에서 공유폴더, 데이터베이스 등의 서비스를 이용하기 위해 사용자가 발급받는 티켓(허가권)을 공격해 취약한 계정의 비밀번호를 획득하는 것이다.티켓은 사용자 계정의 비밀번호를 조합해 만들어진다. 이를 스마트폰 도난 상황에 비유하자면 A가 B의 스마트폰을 탈취해(커버로스 티켓 발급 요청) 스마트폰 잠금 해제를 시도하고(해커의 티켓 공격) 비밀번호를 알아내면 스마트폰 데이터에 접근(계정 권한으로 시스템 접근)하는 것과 같다.이 공격을 방어하기 위해서는 △대문자, 특수기호 등을 포함한 8자리 이상의 복잡한 비밀번호 사용 △최소한 90일마다 주기적인 비밀번호 변경 △비밀번호 취약점 지속 모니터링 등이 필요하다.디시싱크(DCSync) 공격은 해커가 도메인 컨트롤러(DC)와 동일한 권한을 갖고 있는 것처럼 행동해 도메인 컨트롤러 간 동기화 요청을 수행하고 기업의 민감 정보에 접근을 시도하는 것을 뜻한다.도메인 컨트롤러는 사용자 자격 증명 업데이트와 같은 변경 사항을 동기화하기 때문에 도메인 복제 권한을 갖고 있다. 이는 해커의 타깃이 되는 이유이기도 하다.해커가 디시싱크(DCSync) 공격을 하게 되면 도메인 컨트롤러로 가장해 기업의 민감 정보를 복제하고 모든 도메인 유저의 계정 정보를 획득하게 될 수 있다.도메인 컨트롤러는 윈도우 서버 도메인 안에서 보안 인증 요청(로그인, 이용 권한 확인 등)에 응답하는 서버를 말한다.보안 전문가들이 해커의 공격 흔적을 찾아 후속 공격을 방어하기 위해서는 △주체 계정 △개체 서버 △이벤트로그 속성까지 모두 검토해야 한다.일반적으로 해커들은 여러 개의 취약점을 동시에 공격한다. LG CNS는 보고서에서 해커들의 지능화된 AD 공격으로 발생할 수 있는 기업 내부 데이터 유출 위험성에 대해 경고하고 있다.복잡하고 동시다발적인 해커들의 AD 공격을 방어하기 위해서 기업들은 전문 보안 기업에게 컨설팅을 받고 모의 해킹 방어훈련도 주기적으로 해야 한다.퍼플랩 인력 대다수는 한국인터넷진흥원(KISA) ‘K쉴드’와 ‘SW보안약점진단원’, 한국정보기술연구원(KITRI) ‘베스트 오브 더 베스트(BOB)’ 등 보안 관련 정부기관의 인증을 받은 보안 정예전문가들이다.이들은 해킹랩(Hacking LAB)에서 모의 해킹 공격, 방어 훈련을 하면서 침투 예상 시나리오를 다양화하고 대비책을 만든다.해킹랩은 기업 고객의 서버/시스템/애플리케이션 등을 클라우드 환경에 유사하게 구축해 놓은 가상대결 공간을 의미한다.LG CNS는 웨비나를 통해 ‘보안 취약점 심층분석 보고서’를 상세 소개하고 AD 보안 강화 전략을 수립하는 방법에 대해 논의할 예정이다. 보고서는 9월26일부터 다운로드 받을 수 있다.LG CNS 보안/솔루션사업부장 배민 상무는 “해커들의 공격 대상이 내부망인 AD로 변화하는 추세”라며 “LG CNS는 ‘AD 보안 취약점 진단 컨설팅’ 및 ‘모의침투 테스트’ 서비스를 통해 기업 고객들에게 차별적인 사이버보안 전략을 제공하고 있다”고 강조했다.

최근 실리콘밸리의 빅테크 기업들이 내부고발로 몸살을 앓고 있다. 구글·아마존·메타 등에 이어 트위터도 내부고발이 발생했다.2022년 8월 미국 유력 언론인 워싱턴 포스트와 CNN은 트위터의 전 보안 책임자인 피터 자트코(Peiter Zatko)가 미국 증권거래위원회(SEC) 등 연방 기관에 트위터의 보안 문제를 고발했다고 보도했다. 내부고발 문서는 200페이지에 달할 정도로 방대한 양이다.지트코는 머지(Mudge)라는 별명으로 알려진 화이트 해커로 2020년 11월 트위터 보안책임자로 임명된 민물이다. 화이트 해커는 컴퓨터 시스템을 파괴하는 블랙 해커와 달리 보안 시스템의 취약점을 발견해 관리자에게 제보하는 일을 즐긴다.세계 최대 부호로 알려진 일론 머스크는 2022년 4월 US$ 430억 달러(약 52조9800억 원)에 트위터를 인수하겠다고 발표하며 가짜 계정에 대한 정보를 공개하라고 요구했다.우여곡절 끝에 머스크는 2022년 10월 인수 절차를 마쳤다. 협상 과정에서 지트코의 내부고발도 부정적인 영향을 미쳤지만 ‘찻잔 속의 미풍’에 그쳤다. 트위터의 내부고발을 분석해 보자.▲ 트위터의 내부고발 진행 내역 [출처=국가정보전략연구소(iNIS)]◇ 보안시스템 허술해 사용자 보호 미흡하며 내부고발 원인 제공내부고발자인 지트코는 2022년 1월 트위터를 떠한 후 동년 6월 공개적으로 회사 업무를 언급하거나 회사를 비하하지 않는 조건으로 700만달러를 받기로 합의했다.하지만 지트코가 합의를 파기하고 2022년 7월 미국 증권거래위원회(SEC)·연방거래위원회(FTC)·법무부 등에 내부고발을 단행한 이유는 공개되지 않았다.지트코의 내부고발 핵심은 트위터의 보안시스템이 허술하다는 것이다. 내부고발은 사용자 정보 접속권한 관리, 스팸 계정의 비율, 내부의 외국인 스파이, 서비스 중단 가능성 등으로 다양하다. 개별 사안에 대해 세부적으로 살펴보자.첫째, 모든 개발자가 사용자의 개인 정보에 접속할 수 있을 정도로 보안이 취약하다. 개발자는 개인 정보가 보관된 핵심 시스템인 운영 환경(Production Environment)에 접근이 허용된다. 문제는 누가 접속했는지, 접속해 어떤 작업을 실행했는지 기록이 남지 않는 것이다.FTC는 2010년 트위터가 사용자의 개인정보를 보호하려는 노력이 부족하다는 점을 지적했다. 당시에도 너무 많은 직원이 운영 환경에 접속할 수 있다는 우려가 제기됐다.트위터는 포괄적인 정보 보안 프로그램(Comprehensive Information Security Program)을 개발해 개인정보를 보호하겠다고 확언했지만 이행하지 않은 셈이다.둘째, 스팸 및 가짜 계정이 전체 사용자에서 차지하는 비율에 대한 논란이다. 트위터는 자동으로 스팸을 발송하는 소프트웨어인 봇(bot)으로 구동하는 계정이 전체의 5% 미만이라고 주장했다. 하지만 지트코는 트위터가 정확한 수치를 파악하지 않았으며 파악할 의지도 없다고 반박했다.머스크가 트위터를 인수하면서 요구한 사항 중 하나가 정확한 스팸계정의 수치였다. 스팸계정은 중복 트윗을 계속 올리거나 내용과 상관이 없는 키워드를 입력하는 등의 행위가 감지되는 계정을 말한다. 트위터는 1일 100만개 이상의 스팸계정을 삭제한다고 밝혔다.셋째, 내부에 외국 정보기관을 위해 일하는 스파이가 존재한다는 주장이다. 외국 정부는 트위터 계정을 활용해 반정부 활동을 자행하는 인사의 동향을 파악하기 위해 사용자 정보가 필요하다.특히 러시아·중국·사우디아라비아 등과 같은 권위주의 정부는 이러한 욕구가 강하며 정보에 대한 대가를 지급할 여력도 충분하다.트위터는 러시아 정부와 사용자 정보를 검열하는 방안을 협의한 사례가 있다. 이렇게 하면 러시아 사용자를 늘릴 수 있기 때문이다.또한 익명의 중국 법인으로부터 자금을 받았다는 주장도 제기됐다. 지난해 8월 전 트위터 직원이 사우디아라비아 정부에 사용자 정보를 넘겨 유죄 판결을 받았기 때문에 충분히 가능성이 높은 말이다.넷째, 서비스를 담당하는 서버의 보안 문제로 데이터센터가 다운돼 서비스가 중단될 위험이 높다. 현재 운용 중인 50만개 서버 중 절반 이상이 오래된 버전의 소프트웨어로 구동되고 있으며 데이터 암호화도 취약하기 때문이다. 일부 서버가 다운될 경우에 백업을 위한 복구 프로세스도 잘 지켜지지 않고 있다.2022년 7월14일 오전 8시50분까지 약 1시간 동안 미국과 유럽 사용자 일부의 서비스가 중단됐다. 인터페이스 일부가 나타났지만 내용은 표시되지 않는 상태가 지속됐다. 지난해 10월 우리나라 국민 대다수가 사용하는 카카오도 먹통으로 큰 혼란이 초래됐다. ◇ 불법 행위가 아니라면 형사 처벌 불가능지트코는 2022년 9월 미국 상원 법사위원회 청문회에 출석해 트위터의 각종 문제에 관해 증언했다. 메타 플랫폼의 내부고발자인 프랜시스 하우건은 미국뿐만 아니라 영국 의회에도 출석해 진실을 밝혔지만 지트코에 대한 영국의 관심은 없었다. 트위터의 내부고발이 주는 사회적 시사점은 다음과 같다.우선 내부 보안정책은 불법 행위가 아니므로 처벌이 불가능하다. 보안정책이 허술하다는 것을 증명하는 것도 쉽지 않은 일이다.현재 기술 수준에서 충분한 주의를 기울이고 있다고 주장하면 그만이다. 개발자가 개인 정보에 접근하는 것도 업무의 효율성을 위한 목적이며 부정 사용된 사례가 없다고 항변하면 비판하기 어려워진다.아무리 거대한 기업이라고 해도 100% 완벽한 보안시스템을 구축하는 것은 불가능하다. 해킹 가능성과 침입탐지 능력 등을 감안해 적정 수준의 보안 기능을 확보하면 충분하다. 기업은 이익을 내는 조직이므로 투입 비용 대비 효과성을 금과옥조로 여기기 때문이다.다음으로 스팸계정의 문제는 기업의 도덕성에 관련되지만 불법 행위라고 보기는 어렵다, 지트코도 튀위터가 가짜 계정을 정확하게 파악하면 기업 이미지가 훼손되고 가치가 떨어질 것이라고 주장했다. 가까 계정 자체가 전체 사용자의 숫자를 늘리고 서비스를 활성화하는데 일정 부분 도움이 되는 것도 부정하기 어렵다.트위터는 2022년 11월 과격단체로 광고 수입이 감소해 유료 계정을 도입하겠다고 발표했다. 기존에 유명 인사의 계정이 진짜로 확인되면 파란색 리본인 ‘블루 체크’를 달아줬지만 월 8달러짜리 구독 서비스에 가입하면 블루 체크를 허용했다. 하지만 유명인 사칭 계정 논란이 제기되며 서비스를 중단했다.마지막으로 외국 정보기관의 스파이 논란도 민간함 주제이긴 하지만 증명하기 어렵다. 정보기관의 활동은 은밀성과 부인 가능성을 기반으로 작동한다.지트코가 주장한 중국 법인도 정부와 연관성을 찾아낼 가능성은 낮다. 정상적인 기업으로 위장했을 확률이 높기 때문이다.흑색정보관(black officer)의 신분도 확인하기 어렵지만 중간에 다수 공작원(agent)이 정보활동에 개입하면 명령을 내린 주체를 찾을 수 없다.정보관은 정보기관에 근무하는 공무원이고 공작원은 다양한 계약에 따라 고용된 민간인을 말한다. 아무리 튀어난 해커라도 공작원의 신분까지 확인하지 못한다. - 계속 -▲ 민진규 국가정보전략연구소 소장 [출처=iNIS]*칼럼 내용 문의 : 민진규 국가정보전략연구소 소장(stmin@hotmail.com)