지난해 11월 초 텔레그램 채널에서 활동하는 친러시아 성향의 해킹 그룹이 국방부·환경부·법원 등 다수의 국내 정부기관·공공기관 홈페이지를 대상으로 대대적인 디도스(DDoS) 공격을 시도했다.
필자가 속한 S2W가 사건 발생 약 일주일 전에 공개한 보고서를 통해 한국의 우크라이나 지원을 빌미 삼은 동일 그룹의 국내 금융권 공격 사례를 분석한 바 있는데, 공교롭게도 앞서 언급한 사태와 시점이 맞물리며 많은 관심을 받았던 기억이 있다.
국내는 물론 미국·일본·싱가포르 등 글로벌 12개국의 기업·기관에 제공된 사이버 위협 결산 보고서를 준비하며, 지난 한 해 동안 발생한 주요 위협의 유형과 사례를 되짚어보는 시간을 가졌다. 이 과정에서 앞서 언급한 그룹 외에도 지난 수년간 예의주시해 온 국가 배후 지능형지속위협(APT) 그룹의 공격이 보다 정교하고 고도화된 방식으로 진화하며 국제 안보를 날카롭게 위협하고 있음을 실감할 수 있었다.
APT 그룹은 특정 국가나 정부의 지원 하에 정보 수집과 시스템 파괴, 금전적 이익 편취 등을 목표로 표적에 지속적인 공격을 가하는 집단으로, 그 파급력에 따라 정치적·사회적 혼란을 야기하기도 한다.
APT 그룹의 최근 행태에서 드러나는 주목할 만한 특징은 실제 공격을 준비하는 과정에서 생성형 인공지능(AI)이나 거대언어모델(LLM)을 악용하고 있다는 점이다. 지난해 2월 북한·중국·러시아 등을 배후에 둔 APT 그룹이 정보 수집과 코드 디버깅(Debugging), 피싱 콘텐츠 작성 등에 오픈AI의 '챗GPT'를 활용한 사례가 대표적이다.
공급망의 약한 고리 역시 지속적인 공격 대상이 되고 있다. 지난해 5~6월엔 국내 모 광고대행사의 서비스업체가 제공하는 광고 팝업 프로세스에 의한 공급망 공격이 발생했다. 해당 프로세스엔 당시 알려지지 않았던(제로데이) 취약점(CVE-2024-38178)이 존재했는데, 북한 배후 'APT37(ScarCruft)'이 이를 사전에 파악하고 실제 공격까지 수행한 것이다.
이처럼 교묘하지만 큰 위협으로 다가오고 있는 APT 그룹의 공격에 대응해 최적의 안보 전략을 구축하기 위해선, 공급망 보안을 내재화하고 민-관-군 간 위협 정보 공유 체계를 강화하는 것이 필수적이다. 또 공격자들의 활동이 더욱 은밀해지고 있는 만큼, 딥다크웹과 텔레그램 등 각종 히든 채널에 대한 모니터링 시스템을 구축하고 양질의 사이버 위협 인텔리전스(CTI)를 내재화하는 것도 중요하다.
필자가 몸담은 기업 역시 온톨로지(Ontology) 기반 지식그래프 기술로 악성코드 및 취약점과 위협 행위자 간 연관성을 정밀 분석하고, 그 결과를 체계적으로 정리해 국내외 고객들에게 신속히 전달하고 있다.
앞선 사례들을 통해 확인할 수 있듯이, 국가 배후 APT 그룹이 가하는 작금의 공격 행위는 일부만이 이따금 겪곤 하는 불운한 해프닝으로 치부할 수 있는 단계를 넘어섰다. 급격한 기술 발전의 속도만큼이나 APT 그룹의 범죄 수법도 나날이 지능화되고 있으며, 홈페이지 접속 차질에 그치곤 했던 시민 불편 역시 총체적인 시스템 마비와 민감 정보 유출 등 국가안보 차원의 극심한 피해로 확산할 수 있음을 재삼 숙고해야 한다는 뜻이다.
을사년 새해는 모든 조직이 사이버 안보 실태를 철저하게 점검하고 견고하게 재정비하는 한 해가 되길 희망한다.
김재기 S2W 위협인텔리전스센터 총괄이사 jack2@s2w.inc
![[10년 전 그날] '이슬람 풍자만평' 프랑스 주간지에 총격](https://www.jeonmae.co.kr/news/photo/202501/1109054_812434_3148.jpg)
