[인터뷰] 김재기 S2W 탈론 센터장 "광복절 연휴, 해킹·보안 위협 주의해야"

다크웹·보안위협 분석하는 S2W 탈론팀
높아지는 보안 위협…2024 상반기 35% 증가
랜섬웨어, RaaS로 산업화…생성형 AI 활용

▲13일 김재기 S2W 탈론팀 센터장이 성남시 판교 S2W 본사에서 이투데이와 인터뷰를 하고 있다. (사진제공=S2W)

"대기업에서는 요즘 보안을 잘하고 있지만, 협력 업체에서 문제가 발생할 수 있다. 실제로 나비효과가 된 케이스도 많다. 결국, 인식이 확산이 돼야 하는데, 중소기업에서는 보안 분야에 투자하기 어렵다 보니 갈 길이 먼 상태이다"

AI 및 보안 전문 데이터 인텔리전스 기업 S2W 탈론팀 김재기 팀장은 13일 이투데이와의 인터뷰에서 "해킹 피해를 입고 소 잃고 외양간 고치는 케이스를 너무 많이 봤다"면서 보안 투자에 대한 필요성을 이렇게 강조했다.

김 센터장이 이끄는 S2W 위협 인텔리전스 센터 '탈론'은 보안 전문가로 구성된 사이버 위협 분석 그룹이다. △딥·다크웹을 분석하는 위협탐지팀, △악성 코드 분석을 하는 위협분석팀, △취약점에 대해서 연구하는 오펜시브연구팀, △탐지 및 분석 과정에서 필요한 자동화를 담당하는 인텔옵스팀이 있다. 탈론팀은 인터폴 등 글로벌 수사기관과 랜섬웨어 검거와 관련된 협업 경험이 있으며, 경찰청, 한국인터넷진흥원(KISA), 금융보안원 등 한국 공공기관과도 함께 협력하고 있다.

최근 사회 곳곳 전방위적으로 사이버 보안 위협이 높아지고 있다. 과학기술정보통신부에 따르면 올해 상반기 침해 사고 신고 건수는 899건으로 지난해 같은 기간보다 약 35% 증가했다. 김재기 센터장은 "실제 보안 위협이 높아지고 있고, 보안 의식이 높아지면서 신고 건수도 늘고 있는 것 같다"고 분석했다.

올해 상반기 침해 사고 유형 중 가장 많은 유형은 '서버 해킹'(504건)이다. 전년 상반기 대비 58% 증가했다. 중소기업 등 상대적으로 보안 관리가 부족한 기업을 대상으로 홈페이지 웹 취약점을 악용했다. 이런 취약점 해킹은 추적이 어려운 다크웹과 연결된 경우가 많다. 다크웹 상에서 특정 계정 정보 등 보안 취약점 정보가 거래된다. 모 회사에 접근할 수 있는 계정 정보를 판다면서 경매가 이뤄지기도 한다. 일종의 지하 거래 생태계다.

김 센터장은 "해커 입장에서 제로데이(알려지지 않은 취약점)를 이용해 정공법으로 해킹하는 것보다 다크웹에서 거래되는 정보로 해킹하는 게 가성비가 좋다. 정보 가치가 몇 백불 안 하기 때문"이라고 설명했다.

김 센터장은 "랜섬웨어를 보통 단순 악성 코드라고 생각을 하지만, 이제는 서비스형 랜섬웨어(RaaS)로 진화했다. 랜섬웨어를 비즈니스 모델화해서 사업을 하고 있다. 운영 주체와 협력사, 파트너사, 모의 해킹 수행, 데이터 브로커들이 모여 하나의 생태계를 구성했다"고 설명했다.

범행 자체가 분업화되어 있다 보니, 범죄 수익인 가상자산을 추적하다 보면 협력사와 파트사가 특정 비율로 수익을 나누는 형태도 발견된다. 그는 "옛날 조직폭력배 계보처럼 (해커) 임원급 한명 소탕된다고 해서 끝나지 않는다"면서 "랜섬웨어 자체에 대한 분석 이런 유저간의 관계·데이터분석 보면 계보가 나온다. 랜섬웨어 하나하나 단건으로 분석하면 선제적인 대응을 하기가 좀 어렵기 때문에 다크웹상에서 인텔리전스 분석이 중요하다"라고 말했다.

김 센터장은 "최근 다크웹에서 일어나는 사이버 범죄 근거지가 텔레그램 채널로 이동을 많이 이동하고 있다"면서 "저희 회사도 원래는 다크웹, 딥웹 영역만 수집했었는데 최근에는 제품을 텔레그램으로 확장하고 있다"고 말했다.

최근 사이버 보안 위협의 또 다른 트렌드는 '생성형 AI 활용'이다. 김 셈터장은 "오픈 AI 발표에 따르면 북한 김수키 같은 경우 공격을 효율화하기 위해서 사회공학적으로 현혹시키는 문자를 작성하는데 챗 GPT를 활용한다. 기업의 사내 AI도 기존의 운영 됐던 서버와 다르게 빠르게 구축하다보면 취약점이 생기고 일종의 공격 대상이 되기도 한다"고 말했다.

무심코 사용한 오픈소스 코드도 해커의 타겟이 될 수 있다. 오픈소스란 특별한 제한 없이 공개된 소프트웨어 프로그램을 개발하는 과정에 필요한 소스 코드나 설계도를 말한다. 김 센터장은 "오픈 소스는 일종의 공급망 이슈와 맞물린다, 커피로 치면 커피 원두 원산지와 어떤 우유를 쓰는지 공개하는 것"이라면서 "오픈 소스를 사용할 경우 어떤 오픈소스와 버전을 사용했는지 명시해야 취약점이 발생할 때 바로 대응할 수 있다"고 말했다.

김 센터장은 "공격자들이 쉬거나 느슨한 타이밍에 공격하는 경우가 많다"면서 "6월 25일에 실제 오퍼레이션이 있었던 적이 있고 (광복절 같은) 국경일에 특히 공공 쪽에서는 날을 세우는 것 같다. 보안 쪽으로 일종의 취약한 시기인 것 같다"며 주의를 당부했다.