[파이낸셜뉴스] 지난해 아시아태평양 지역 국가들이 북미·유럽에 비해 더 많은 사이버 공격을 받은 것으로 나타났다. 피해 규모에 비해 이를 해결할 전문 인력도 부족한 상황이라 인공지능(AI) 등 기술을 적극 활용해야 한다는 조언이 나왔다.  마크 존스턴 구글 클라우드 아태 지역 보안·네트워킹·협업 부문 총괄은 22일 화상으로 진행된 사이버보안 체크업 세션에서 "사이버 보안 영역에서 AI는 가치 있는 도구로 활용될 것"이라며 이 같이 강조했다.  구글에 따르면 지난해 전 세계 사이버 공격 중 31%는 아태지역에서 발생했다. 유럽(28%), 북미(25%)에 비해 상대적으로 아태지역의 피해 비율이 높은 것이다. 사이버 공격이 발생했을 때 이를 인지하는 데 걸리는 시간도 아시아 지역이 평균 33일로, 전 세계 평균인 16일 보다 긴 것으로 집계됐다.   마크 존스턴 총괄은 "인재 부족도 문제"라면서 "아태지역은 사이버 보안 분야에서 부족한 인력이 216만명에 달한다. 라틴아메리카와 미국이 각 50만명, 유럽이 30만명 부족한 것에 비춰보면 최대한 빨리 대응하는 것이 필요하다"고 말했다.  이 같은 상황에서 마크 존스턴 총괄은 보안을 기본값으로 가지는 '시큐어 바이 디폴트' 원칙이 중요하다고 지적했다. 그러기 위해선 AI 등 기술을 적극 활용하는 것도 필요하다. 구글은 일찌감치 해킹 시도가 일어나는 것을 파악하고 탐지하기 위해 머신러닝(기계학습)과 AI를 활용해왔다. 지메일에서는 1분당 1000만개, 하루에 150억개의 스팸메일이 이용자의 메일함에 들어가기도 전에 차단된다. 크롬 안에서는 '세이프 브라우징'이 활용되고 있는데, 이는 불법적인 웹사이트에 대한 차단 작업을 진행한다. 최근 튜닝 작업을 통해 크롬에서의 유해 사이트 공격 차단율은 2.5배 높아졌고 프라이버시 보호 정도는 25% 개선됐다는 설명이다.   마크 존스턴 총괄은 "머신러닝, AI는 보안 위협에 대한 탐지를 가속화시킨다"며 "노동집약적인 작업들을 대체할 수 있기 때문에 업무 부담도 많이 줄어든다"고 설명했다.  최근엔 생성형 AI의 역할도 중요해졌다. 생성형 AI에 보안 위험 요인을 학습시켜 빠르게 대처할 수 있도록 하는 것이다. 구글이 만든 보안 특화 거대언어모델(LLM) sec.PaLM도 적극 활용될 전망이다. 마크 존스턴 총괄은 "전문 능력이나 경험을 생산형 AI에게 훈련 및 학습시키면 사이버 공격에 대해 더 잘 이해할 수 있을 것"이라고 했다.  soup@fnnews.com 임수빈 기자

[파이낸셜뉴스]   한덕수 국무총리는 20일 "올해 처음으로 실시한 북핵 대응훈련을 더욱 발전시키고, 드론·사이버공격 등으로 인한 국가중요시설에 대한 방호대책도 획기적으로 개선해달라"고 지시했다.  한 총리는 이날 정부서울청사에서 을지연습 사후강평회의 모두발언에서 "국민 참여 훈련도 지속적으로 실시하고, 국민행동요령 안내와 소통 노력도 강화해달라"며 이같이 말했다. 이번 회의는 지난 8월 21일부터 나흘간 실시된 을지연습에 대한 주요 성과와 향후 발전방안을 모색하기 위해 마련됐다. 한 총리는 북한에 대해 도발은 지속되고 핵·미사일 위협은 날로 고도화될 뿐 아니라 사이버전, 심리전 등 도발의 양상도 지능화, 다양화되고 있다고 했다.  한 총리는 "이번 연습은 고도화된 북한의 핵·미사일 위협과 사이버 공격, 드론 테러 등 다양한 도발 양상을 반영한 시나리오를 적용하고 범정부 차원의 전시 전환 절차를 숙달함으로써 국가총력전 수행능력을 강화하는 데 중점을 뒀다"면서 "6년 만에 전 국민이 참여하는 공습대비 민방위 훈련을 실시했다"라고 말했다. 그러면서 "정부 연습과 한·미 군사연습을 연계함으로써 한·미 연합 방위 태세를 확고히 한 점은 큰 의미가 있었다고 생각한다"고 덧붙였다. 한 총리는 행정안전부를 비롯한 각 부처와 지자체에 내년에는 보다 발전된 연습이 실시될 수 있도록 노력해달라고 당부했다. spring@fnnews.com 이보미 기자

[파이낸셜뉴스] 해양수산부는 오는 6일 부산 롯데호텔에서 '제2차 해사 사이버안전 전문가 포럼'을 개최한다고 5일 밝혔다. 최근 자율운항선박 개발, 정보통신기술 발달로 선박과 육상 간 정보 통신망·시스템이 급격히 발전하고 있다. 이에 따라 대규모 인명·재산 피해가 발생하는 선박 대상 사이버 공격 위험에 대한 예방·대응을 강화해야 한다는 지적이 나온다. 해수부는 국가정보원과 함께 산업계, 학계, 관계기관 등의 전문가가 참여하는 토론의 장을 마련했다. 이번 포럼은 ‘첨단 해양모빌리티 시대, 미래 사이버안전 확보방안’이라는 주제로 해사 사이버안전 정책 현황과 방향성, 첨단 해사산업의 사이버안전 확립을 위한 기술 개발, 해사 사이버안전 전문가 양성과 체계 확립의 방향성 등에 대한 발표와 토론이 진행될 예정이다. 조승환 해수부 장관은 "이번 포럼에서 논의된 사항이 정책에 반영되도록 충분히 검토하고 논의할 예정"이라며 "앞으로도 해사 사이버안전과 관련된 논의의 장이 지속하도록 지원해 나가겠다"고 말했다. honestly82@fnnews.com 김현철 기자

[파이낸셜뉴스] 지난 2월부터 한미연합연습 전투모의실에 파견된 국내 워게임(War Game) 운용업체 직원들을 대상으로 발송된 악성 전자우편 사건을 수사한 결과, 북 해킹조직의 소행으로 밝혀졌다.  20일 경찰청 국가수사본부 안보수사국에 따르면 이번 사건은 미군 수사기관이 해킹 공격을 인지한 후 경찰과 정보공유를 통해 피해 사실을 확인했다. 경기남부경찰청이 미군 수사기관과 공조해 추적 수사 및 피해 보호조치를 진행했다. 수사 결과, 북 해킹조직은 지난해 4월부터 국내 워게임 운용업체를 해킹하기 위해 악성 전자우편 공격을 지속했다. 지난 1월경에는 해당 업체 소속 행정직원의 전자우편 계정을 탈취하고 업체 컴퓨터에 악성코드를 설치하는 데 성공한 것으로 밝혀졌다. 이후 원격접속을 통해 피해업체의 업무 진행 상황과 전자우편 송수신 내용을 실시간으로 확인하고, 업체 전 직원의 신상정보를 탈취한 것으로 확인됐다. 북 해킹조직은 탈취한 자료를 활용해 올해 2월부터 연말정산 시기에 맞춰 ‘원천징수영수증’으로 위장된 악성 전자우편을 한미연합연습 전투모의실에 파견된 피해업체 직원들을 대상으로 발송했다. 이를 수신한 직원들이 미 국방 전산망에서 악성 첨부 문서를 실행하려 했으나, 보안시스템에 의해 악성코드가 차단돼 군 관련 정보는 탈취되지 않은 것으로 확인됐다. 다만, 일부 직원들이 해당 전자우편을 외부 계정으로 재전송해 열람하는 과정에서 개인용 컴퓨터가 악성코드에 감염된 것으로 밝혀졌다. 경찰청과 미군 수사기관은 공격 사용된 아이피(IP)가 과거 ‘한국수력원자력 해킹 사건(2014년)’에서 확인된 아이피(IP) 대역과 일치하며, 탈취한 자료를 자동으로 전송하는 기능이 포함된 악성코드가 사용된 사실을 확인했다. 경찰 등은 △경유지 구축 방법 등 기존 공격과 유사성 △북한식 어휘‘념두(염두)’△한미연합연습 시기에 맞춰 공격한 점 등을 종합 판단한 결과, 이번 사건을 북 해킹조직 일명‘김수키(Kimsuky)’소행으로 판단했다. 경찰청과 미군 수사기관은 합동으로 피해업체의 공용 및 개인용 컴퓨터에 대해 악성코드 감염 여부를 점검하는 등 보호조치를 완료했고, 추가 피해 예방을 위해 한미연합연습에 참여하는 근무자를 대상으로 보안교육을 실시했다. 한편, 한미연합 군사연습인‘을지 자유의 방패(UFS)’(8월 21일~31일)를 한 달여 앞둔 지난 7월, 미 육군 인사처를 사칭한 전자우편이 주한미군 한국인 근무자들에게 발송된 사실을 추가 확인하고, 경기남부경찰청(안보수사과)이 미군 수사기관과 공조수사를 계속 진행하고 있다. 경찰청은 "한미 간 유기적인 협업과 선제 조치로 주한미군의 자료유출을 예방한 사례"라면서 "앞으로도 국가안보에 위협이 되는 북한의 사이버 공격에 적극적으로 대응해나갈 계획이다"고 밝혔다.  beruf@fnnews.com 이진혁 기자

한국인터넷진흥원(KISA)은 아·태침해사고대응팀협의회(APCERT)와 함께 대규모 피해로 이어질 수 있는 공급망 공격에 대한 국가 침해사고대응팀(CERT)의 사고대응 절차 및 대응력을 점검하기 위한 국제 공동 모의훈련에 참여했다고 17일 밝혔다.  소프트웨어 공급망의 공격 위험성을 알린 솔라윈즈 사태를 비롯해 IT 관리 솔루션 업체 카세야, VoIP 솔루션 기업 3CX 등 공급망 공격은 전 세계적으로 꾸준히 발생하고 있다. 이에 APCERT는 '디지털 공급망 취약점 대응'을 주제로 올해 모의훈련을 실시했다. 이를 통해 APCERT는 위협행위자가 소프트웨어 공급망의 취약점을 파고들어 정보를 유출하고 이를 빌미로 기업을 협박하는 상황에서 국가 CERT의 역할 및 대응 역량을 점검했다. KISA 최광희 사이버침해대응본부장은 “공급망은 한 번 공격자에게 침투 당하면 대규모 피해가 발생한다”며 “이번 모의훈련 참여를 기반으로 공급망 공격 사고 발생에 대한 역량을 강화하고 평상시 우리나라 기업의 안전한 소프트웨어 개발 지원을 위해 더욱 노력하겠다”고 말했다. solidkjy@fnnews.com 구자윤 기자

과학기술정보통신부는 다음달부터 소속·산하기관을 대상으로 사이버공격 긴급차단제를 확대 시행한다고 1일 밝혔다. 사이버공격 긴급차단제는 정부출연연구기관 등 정부 부처 소속·산하 기관을 표적으로 한 사이버 공격을 사이버안전센터에서 선제적으로 차단하고 공격 정보를 신속 통보하는 제도를 말한다.  기관 보안 담당자가 상주하지 않는 휴일이나 심야 같은 업무 이외 시간에도 민간 전문가 협조를 받아 사이버 위협 정보에 신속하게 대응할 수 있다는 것이 과기정통부 측 설명이다. 과기정통부는 2019년부터 국립전파연구원 등 3개 기관을 대상으로 사이버공격 긴급차단제 운영을 시작해 제도 효율성을 확인하고 전면 확대를 대비해 11개 기관에 대해서는 시범운영을 진행했다. 1단계로 54개 소속·산하기관은 6월까지 긴급차단제 도입을 위한 사전점검 및 시험운용 등을 거친 후 7월부터 시행할 계획이며, 2단계로 8개 기관은 기관별 관리체계 마련 및 보안사항 검토 등 사전 준비 절차를 거쳐 향후 시행시기를 결정해 진행할 계획이다. 과기정통부 류광준 기획조정실장은 “지능화·고도화 되는 사이버보안 환경에는 신속하고 유기적으로 대응하는 것이 무엇보다 중요하다”며 “소속·산하기관과 소통·협력을 강화하고 정보시스템 취약점 점검 및 개선, 사이버공격 모의훈련 실시 등을 통해 전체 기관의 사이버 공격 대응 역량을 지속적으로 강화해 나가겠다”고 말했다. solidkjy@fnnews.com 구자윤 기자

[파이낸셜뉴스] 임종득 국가안보실 제2차장은 3일 한국전력거래소를 방문해 전력망 사이버공격 대응태세를 현장 점검하고, 유관 기관 회의를 통해 지난달 12일 안보실장 주재 회의에서 도출된 현안 관련 추진 현황에 대해 논의했다.  현장 점검 과정에서 임 차장은 송배전 기반시설이 공격받을 경우 정전사태가 발생할 수 있기에 피해를 예방하기 위한 선제적 조치와 유사시 신속 복구할 수 있는 준비태세를 갖추는데 최선의 노력을 기울여 달라고 언급했다. 이어서 개최된 회의에는 에너지 관련 기관인 산업통상자원부, 한국전력공사, 한국전력거래소, 한국수력원자력, 한국남부발전, 한국가스공사, 한국지역난방공사와 유관 기관인 국가정보원과 과학기술정보통신부, 검찰청, 경찰청 등이 참석했다. 이번 회의에서는 지난 4월 회의 개최시 논의된 사이버와 물리적 공격 관련 에너지 기반시설 보호 강화 방안의 이행 상황을 점검했다. 또한 안보실 지원과 부처 간 협업이 필요한 부분은 없는지도 중점 논의했다. 임 차장은 지난달 26일 한미 정상회담에서 한미동맹을 사이버공간까지 확장하기로 선언함과 동시에 전략적 사이버안보 협력 프레임워크를 공동으로 발표했는데, 이는 한미동맹 발전의 또 다른 전기가 마련된 큰 성과임을 강조했다. 특히 협력 프레임워크에 포함된 기반시설 보호는 양국의 핵심 관심 의제였음을 재확인하고, 국가경제의 생명선인 에너지 기반시설이 사이버공격으로부터 안전하게 보호될 수 있도록 철저한 대비가 필요하다고 역설했다. 국가안보실은 향후에도 국민생활, 국가경제와 직결되는 주요 기반시설 보호를 위해 범정부 차원의 점검 활동을 강화해 나갈 계획이다. syj@fnnews.com 서영준 기자

[파이낸셜뉴스] 해양수산부는 선박 사이버안전을 강화하기 위해 정부와 해운선사 역할 등을 규정한 '해사 사이버안전 관리지침'(고시)을 제정해 21일부터 시행한다고 밝혔다. 최근 선박이 사이버 공격을 받는 사례 등이 증가하자 국제해사기구(IMO)는 안전관리체제(ISM)에 사이버안전을 포함하도록 권고한 바 있다. 미국은 출·입항하는 모든 선박을 대상으로 사이버안전 관리체계 수립·이행 여부 점검을 의무화하고 있다. 이번 고시는 선박을 대상으로 벌어질 수 있는 사이버 공격으로부터 안전을 확보하기 위한 정부의 역할과 해운선사가 사이버안전 관리체계를 구축할 때 고려해야 하는 사항을 권고 성격으로 규정했다. 이에 따라 사이버 공격·위협으로 선박 운항 장애 등 해양 사고가 발생하거나 발생할 우려가 있는 경우 해운선사는 바로 해수부에 상황을 통보해야 한다. 해수부는 관련 부서·기관에 이를 전파하고 사고 대응, 복구 지원, 사고 원인 조사 등을 실시해야 한다. 해수부는 이달 말 해운선사 등 업체·단체 관계자를 대상으로 서울과 부산에서 권역별 설명회를 개최한다.  오는 10월까지 '해사 사이버안전 종합대책'을 수립해 시행할 예정이다. honestly82@fnnews.com 김현철 기자

북한이 인터넷 뱅킹에 사용되는 금융보안인증 소프트웨어의 보안 취약점을 악용, PC를 해킹하거나 악성코드를 유포하는 등 해킹 공격을 벌이다가 경찰에 적발됐다. 국내 61개 기관이 피해를 당했으며 이 중에 언론사 8곳도 포함된 것으로 밝혀졌다. 경찰은 18일 국내 금융보안인증서 업체의 소프트웨어 취약점을 악용, 국가·공공기관 및 방산·바이오업체 등 국내외 주요기관 61곳의 PC 207대를 해킹한 사실을 확인했다고 밝혔다. 언론사 8곳도 포함된것으로 알려졌다. 해킹에 악용된 소프트웨어 이니세이프는 전자금융 및 공공 부문 인증서 관련 프로그램이다. KT의 금융보안 계열사 이니텍이 제공중인 소프트웨어로 국내외에서 1000만대 이상의 기관·업체·개인 PC에 설치돼 있는 것으로 추정된다. 경찰에 따르면 지난해 10월말 첩보로 해당 사실을 인지해 국정원, 한국인터넷진흥원(KISA) 등과 함께 수사에 착수했다. 경찰 관계자는 "이번 사건의 공격자로 북한 정찰총국이 배후인 라자루스 조직의 소행으로 보인다"며 "보안 소프트웨어의 취약점을 악용하는 방식과 해킹 인프라 구축 방법 등이 기존 방식과 일치한다"고 말했다. 북한은 지난 2021년 4월 이니세이프를 해킹해 소프트웨어의 취약점을 찾아내고, 공격에 활용할 웹 서버와 명령·제어 경유지 등을 장기간 치밀하게 준비했다. 이번 사건에서 북한은 업데이트되지 않은 취약 버전의 이니세이프가 설치된 컴퓨터가 특정 언론사 사이트에 접속할 경우 자동으로 악성코드가 설치되는 일명 '워터홀링' 방식을 이용했다. 북한은 사전에 8개 언론사를 해킹해 악성코드를 유포할 기반을 마련했다. 경찰청은 북한의 해킹 수법이 고도화되고 있는 만큼, 추가 피해 예방을 위해 'INISAFE CrossWeb EX V3 3.3.2.40' 이하 버전을 최신 버전으로 업데이트해 줄 것을 당부했다. 지난 14일 기준 취약점에 악용된 금융보안인증 프로그램 업데이트 비율은 80% 수준이다. 경찰청 관계자는 "북한의 해킹 수법이 날로 고도화되고 있다"며 "국내 1000만대 이상의 컴퓨터에 설치된 금융보안인증 프로그램의 취약점을 활용해 대규모 사이버 공격을 준비했을 가능성도 배제할 수 없지만 관계기관 합동대응을 통해 이를 사전에 차단했다"고 말했다. 이어 "이번 사건에서 확인된 해외 공격·피해지에 대한 국제 공조수사를 진행하겠다"며 "추가 피해 사례 및 유사 해킹 시도 가능성에 대한 수사를 계속 이어 나갈 계획"이라고 말했다. beruf@fnnews.com 이진혁 기자

안랩이 주요 해킹그룹인 ‘킴수키(Kimsuky)'의 지난해 공격 방식을 분석한 ‘킴수키 그룹 2022년 동향 보고서’를 자사의 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP’에 공개했다고 24일 밝혔다.  이번 보고서에서 안랩은 다양한 경로로 유관 악성코드, C2 서버 등의 정보를 수집해 기존 킴수키 그룹이 수행한 것으로 알려진 공격 방식과 비교·대조하며 분석을 진행했다. 이를 바탕으로 작년 킴수키 그룹의 악성코드 유포 방식 및 공격 특징 등을 작성했다. 지난해 킴수키 그룹은 타깃이 된 개인, 조직 구성원을 속이기 위해 최적화된 스피어피싱 수법을 적극적으로 활용한 것으로 나타났다. '스피어피싱'이란 특정인이나 특정 조직을 표적으로 정교하게 제작된 메일 등을 보내 악성코드 감염이나 피싱사이트 접속을 유도하는 공격방식이다. 안랩이 수집한 다양한 유관 악성 문서와 파일을 분석한 결과 공격자는 타깃 조직 및 개인과 연관성이 높은 주제로 좌담회∙자문요청서∙연구 결과보고서 등을 위장한 악성문서를 제작해 악성코드 유포에 활용했다. 또한 문서나 이메일 등을 실제와 분간이 어려울 정도로 정교하게 제작한 것으로 미뤄볼 때 공격그룹은 타깃에 대한 치밀한 사전 조사를 수행한 것으로 추정된다. 킴수키 그룹은 공격에 활용하는 악성코드의 종류도 확대했다. 안랩이 수집한 유관 악성 URL 및 FTP(파일 전송 프로토콜) 서버를 분석한 결과 키로깅 악성코드인 '플라워파워(FlowerPower)'와 백도어 악성코드인 '애플시드(AppleSeed)' 외에도 웹브라우저 내 각종 정보를 유출하는 ‘인포스틸러’ 악성코드, 원격제어 악성코드인 ‘RAT(Remote Administration Tool)’도 추가로 발견됐다. 유명 SW의 취약점을 악용한 공격 시도도 포착됐다. 안랩은 킴수키 그룹이 사용한 것으로 보이는 FTP 서버에서 MS 오피스 관련 취약점인 ‘폴리나(Folina, CVE-2022-30190)’를 악용하는 악성코드를 발견했다. ‘폴리나’ 취약점은 지난해 6월에 패치가 배포됐으나 보안패치를 적용하지 않은 조직과 개인은 공격에 노출될 수 있다. 안랩 관계자는 “주요 해킹그룹인 킴수키 그룹은 명확한 타깃을 설정하고 이 타깃에 대해 고도화된 공격을 진행하는 것으로 나타났다”며 “킴수키 그룹은 앞으로도 다양한 방식으로 공격 수법을 변화시킬 것으로 보이기 때문에 조직과 개인은 최신 사이버 위협 정보를 습득하고 기본 보안수칙을 일상에서 실천해야 한다”고 말했다. solidkjy@fnnews.com 구자윤 기자