Home > 전체기사

[bnTV] 메타버스의 다크웹, 다크버스는 무엇?? 제로데이 아닌 원데이 공격도 위험하다!

  |  입력 : 2022-09-26 18:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
패치가 발표됐지만, 아직 패치하지 않은 기업 타깃의 OneDay 공격 피해 커져
비트코인 가치 하락으로 사이버 범죄 감소? 오히려 공격횟수와 타깃 더욱 확대
메타버스의 다크웹인 다크버스, 떠오르는 보안위협...각계 전문가들의 연구 필요



■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 16화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사

□ 권준 국장 이제 아침저녁으로 시원한 바람이 부는 것 같습니다. 가을이 오고 있는 것 같은데 다크웹과 사이버상은 아직까지도 뜨거운 이슈들이 많은 것 같아요. 특히, 지난 8월은 광복절도 있었고 그 다음에 을지연습 기간에 한미연합훈련이 있잖아요. 한미연합훈련 같은 경우에는 북한이 되게 신경을 많이 쓰기도 하고요. 예민하게 반응하기도 하고 특히 정보 수집을 위해서 사이버 공격도 활발하게 진행하는 것으로 알고 있는데요. 올해 북한 추정 해커 조직들의 움직임은 좀 어땠을까요?

[최근 북한 해커 조직들의 움직임]
■ 곽경주 이사 우선 전반적으로 ‘김수키’ 그룹이라든가 ‘라자루스’라든가 ‘안다리엘’이라든가 이런 북한 쪽 (해킹)그룹들은 계속 활동하는 양상이 보이고요. 랜섬웨어를 이용한 공격도 많이 보이고 있는 상황이고요. 이들도 랜섬웨어를 이용하지 않을 이유가 없죠. 국가급 배후 그룹이라고 해서 이용하지 않을 이유는 없고요. 그리고 ‘스피어피싱’이라고 해서 특정 타깃에다가 이메일을 보내서 공격하는 그런 것들 대상이 이제 정부 고위 관료들이라든가 방위사업에 관련된 민간인, 그리고 연구원들 대상으로 한 공격은 언제나 활발하게 발생 중이고요. 최근에 계속 그런 생각이 드는데요. 민관군, 그리고 경찰까지 다양한 분야의 협력이 더욱 중요해지는 시기가 아닌가 하는 생각이 듭니다.

▲[곽경주의 다크웹 인사이드] 16화 시작 화면[이미지=보안뉴스]


[제로데이 아닌 원데이 사이버 공격 위협]
□ 권준 국장 또 얼마 전에 국내 기업 20여 곳의 외부에 노출된 취약한 서버 때문에 (해커들이) 이것을 경로로 해서 랜섬웨어를 감염시킨 사례도 발생했더라고요. 해당 공격의 경우는 오픈소스를 사용해서 외부에서 접근 가능한 서버를 통해 공격한 것으로 알고 있는데요. 해당 사건의 공격 침투 유형하고 피해사례 등에 대해 좀 더 구체적으로 설명을 해주실 수 있으실까요?

■ 곽경주 이사 그러니까 이러한 공격 유형이 이번에 새롭게 발견되거나 신박한 방법이라기보다는 기존에 계속 일어났었던 일이거든요. 최초 침투를 할 때 기존에 알려진 공격이나 취약점 이런 것을 이제 저희는 ‘Oneday’라고 하는데요. 기존에 알려져 있지 않았고 패치가 현재 없는 그런 공격을 ‘Zeroday’ 취약점이라고 하고요.

이러한 ‘Oneday’ 취약점처럼, 패치가 있지만 패치를 하지 않은 기업들을 대상으로 하는 공격을 최초 침투에 이용하는 것은 기존에도 많이 있었어요. 예를 들어서 지난해 글로벌 보안기업의 VPN 취약점을 이용한 공격을 ‘록빗(LockBit)’이라고 전 세계적으로 악명이 높은 랜섬웨어 그룹에서 계속 이용하고 있거든요. 지금 국내에도 마찬가지로 해당 취약점을 이용해서 계속 공격을 하는데, 이게 패치가 되지 않은 기업들이 아직도 많아요.

이런 취약점들이 패치가 되지 않으면 계속 이런 공격이 있을 거예요. 그래서 말씀하신 공격도 이런 최초 침투에는 이런 공격이 이용되는데요. 여기서 또 한 가지 중요한 것은 ‘깃허브(Github)’라고 하는 소스코드 같은 것을 올리는 공간이 있는데요. 이런 취약점들이 공개됐을 때 취약점에 대해서 테스트를 해보거나 하는 것을 ‘Proof of Concept’라고 해서 POC라고 하는데 그런 POC 코드가 Github에 공개되는 경우가 많이 있거든요. 보안 분야 Researcher(연구원)들이 그런 코드를 공개하는 것인데, 취약점이 나왔을 때 Github에 그런 코드가 공개됐을 경우에는 기업들이 조금 발 빠르게 대처해야 됩니다. 제 경험상 제가 금융 쪽에도 있었지만 이런 POC 코드가 외부나 Github에 공개된 경우에 거의 하루 안에 공격이 시작되거든요.

그래서 이런 것들은 좀 유념을 해야 하고요. 또 하나는 제가 최근에 모 컨퍼런스에서 발표를 할 때 사이버 범죄의 생태계에 대해 얘기를 한 적이 있는데요. 사이버 범죄가 조금 더 빠르게 발생하고 급증하는 데는 ‘Enabler’라는 존재가 굉장히 큰 역할을 하거든요. 이러한 Enabler들은 인프라를 제공하기도 하고, 공격도구들을 제공하기도 하며, 취약점 같은 것을 제공하기도 하는데요. 지금 다크웹 포럼이나 딥웹 포럼 그 다음에 텔레그램(Telegram) 이런 곳들에서 굉장히 활발하게 공유가 일어나고 있고 거래를 하고 있어요. 그래서 이에 대해서도 각별한 주의가 필요할 것 같습니다.

[마약 카르텔과 다크웹]
□ 권준 국장 최근에 다크웹 시장을 보다보면 마약 범죄 카르텔과 연관성을 주장하고 있는 그런 다크웹 시장도 많더라고요. 최근에 저도 ‘수리남’이라는 넷플릭스 시리즈를 봤는데요. 이런 마약(세계) 거대하잖아요, 엄청나게 잔인하기도 하고요. 이런 사람들이 이제 다크웹 영역으로 들어오면서 정말 더 위험해지는 것은 아닌가 이런 걱정들이 많이 하게 되거든요. 이런 현상에 대해서는 어떻게 보시나요?

■ 곽경주 이사 카르텔이 당연히 다크웹에 들어올 것이라고 생각하고요. 왜냐하면 저희 예전에 얘기했던 미국 드라마 ‘STARTUP’에서도 마이애미에서 활동하는 아이티 출신 갱단들이 전통적으로 오프라인에서 마약을 거래하던 것에서 다크웹에서 활동하는 것을 볼 수 있었거든요. 추적도 어렵고, 오프라인에서 그런 것을 거래하면 잡힐 염려가 있으니까 이제 다크웹에서 활동하는 것이 당연한 일 같은데요. 그런데 최근에 발생하는 디크웹에 특정 카르텔의 이름을 걸고 사이트를 만든다든가 하는 것이 진짜 다크웹에 해당 카르텔이 스스로 자기네들을 밝힌 것일까 하는 것은 사실 저는 조금 의문이고요. 굳이 본인들 이름 걸고 할 필요가 있나 라는 생각이거든요. 점조직처럼 운영하는 것이 더 효율적이지 않을까 그런 생각도 들었습니다.

[비트코인 하락으로 사이버 범죄 감소!?]
□ 권준 국장 최근에 경제가 나빠지면서 비트코인을 비롯해서 암호화폐 가치도 많이 떨어졌잖아요. 그런데 이 부분하고 사이버 범죄하고 연관이 많이 되잖아요. 사이버 범죄자들이 암호화폐로 돈을 받기 때문에요. 그래서 암호화폐 가치가 떨어지면서 범죄자들의 수입도 줄었고 이런 조사가 나오기도 했거든요. (다크웹) 시장에서 보시기에 그런 것들의 연관성을 느끼실 수 있나요?

■ 곽경주 이사 연관성이 있는 것 같고요. 최근에 블록체인 추적 기술 쪽을 선도하고 있는 미국 기업이 하나 있어요, ‘체이널리시스(Chainalysis)’에서 얼마 전에 발표한 내용을 보면 확실히 비트코인 가치의 하락이 랜섬웨어처럼 자금 생태계 자체가 비트코인에 의존적인 범죄들이 줄어들고 있는 것으로 보인다고 하는데요. 실제로 그럴 것 같기도 하고요. 다만, 전체적인 사이버 범죄가 감소했다는 것은 아닙니다. 사이버 범죄는 계속 어느 정도 유지를 할 것이고, 외려 더 증가하고 있는 추세니까요.

□ 권준 국장 오히려 범죄마다 수익률은 좀 낮아지더라도 수익이 낮아지기 때문에 더욱 막...

■ 곽경주 이사 더 많이

□ 권준 국장 더 많이 막... 무자비하게 무대뽀(?)로(웃음)

■ 곽경주 이사 그러니깐 이러한 범죄 감소가 일시적인 것인지 아니면 진짜 감소를 하고 있는 것인지 좀 긴 호흡으로 봐야할 것 같고요. 저도 현장에서 보게 되면 랜섬웨어나 이런 조직들이 Ransom을 요구할 때 금액 자체가 엄청 줄어들지는 않았어요. 그냥 기존처럼 감염시킨 서버 대수가 적으면 조금 적게 요구하고 좀 크게 피해를 받았다고 그러면 피해 금액을 좀 크게 요구하고... 그 회사의 매출이라든가 임직원 수라든가 이런 것들을 다 감안해서 Ransom을 요구하는 것 같거든요. 그래서 비트코인이 하락했다고 해서 범죄가 엄청나게 하락했다든가 그렇게 보이지는 않습니다.

[메터버스의 다크웹 : 다크버스]
□ 권준 국장 최근에 워낙 ‘메타버스’가 유행이잖아요. 그런데 사실 거기에 또 ‘다크버스’라고 하면서 메타버스 내에서의 다크웹 같은 그런 개념도 등장했다고 하더라고요. 다크버스 개념을 우리가 어떻게 봐야하고 해석해야 되는지 이사님께서 간단히 설명을 해주신다면요?

■ 곽경주 이사 다크웹에서는 스틸러(Stealer) 계정을 판다든가, 유출 계정을 판다든가, 기업 데이터를 판매한다든가 아니면 성폭력 이런 것들 관련된 사이트들이 있잖아요. 거기를 찾아 들어가는 것이 쉽지는 않죠. 다크웹에서도, 그 주소 자체를 그래서 모니터링이 어렵다라고 얘기하는 것인데요. 메타버스 세계는 더 어려울 것 같아요. 뭔가 특정한 주소가 명확하게 있다든가, 뭔가 특정한 주소가 명확하게 있다든가 그런 것이 아니고 목소리로 이루어지는 인증이라든가 물리적인 장소와의 결합을 해서 인증을 한다든가 해야 그 방을 정확하게 찾을 수 있고, 범죄자들 간의 은밀한 대화를 통해서 그 장소가 공개가 되는 것이기 때문에 수사기관이나 저희 같은 민간 회사들에서 범죄가 일어나는 곳을 특정 하는 것이 생각보다 쉽지 않을 것 같거든요.

그래서 이것이 “떠오르는 위협”이라고 저도 충분히 느끼고 있고 저희 회사(S2W)에서도 이런 부분들을 계속 연구를 하고 있거든요. 그리고 최근에 굳이 메타버스가 아니더라도 게임 같은 것을 (플레이)하다 보면 10대들이 그루밍(Grooming) 범죄나 이런 것들에 많이 노출이 되잖아요. 메타버스도 마찬가지로 가상의 세계이지만 인간끼리 교류를 하게 되고 관계를 맺게 되는데 그 속에서 이제 신뢰를 바탕으로 또 다른 범죄들이 많이 일어날 것 같고요. 이 부분에 대해서도 각계 전문가들이 머리를 맞대고 논의를 해봐야할 것 같습니다.

[최근 한 달간 다크웹 해커 조직 활동 및 통계]
□ 권준 국장 (최근) 다크웹에서 활동했던 조직들에 대한 얘기 좀 해주세요.

■ 곽경주 이사 랜섬웨어 그룹들은 차지하는 포지션이 항상 비슷합니다. 록빗(LockBit)이 점점 더 압도적인 활동을 보이고 있고요. 국내에서도 지금 감염 사례가 굉장히 많아요. (그동안) 개인을 타깃으로 한 공격 사례는 몇 번 봤었는데, 기업을 대상으로 하는 사례가 최근에 많이 늘어나고 있는 모습으로 보이고요. LockBit 말고도 ‘Globeimposter’라고 하는 랜섬웨어가 있어요. 우리나라에서 보고서화 되거나 한 적은 없는데요. 우리나라에서도 피해사례가 꽤 발견되는 것 같습니다. 추석 연휴 동안 제 지인의 회사가 감염되기도 했고요. 이렇듯 국내를 타깃하고 있는 이런 랜섬웨어에 대한 정보는 저희가 계속 모니터링을 해야 될 것 같습니다.

□ 권준 국장 (사이버 범죄) 관련해서 피해 국가라든가 피해 기업들 통계를 간단하게 소개해 주신다면요?

■ 곽경주 이사 피해 국가는 미국이 예전에는 50% 였는데데 지금은 70%로 올라갔고요. 그 다음에 영국, 독일, 캐나다, 프랑스 순으로 피해 국가가 나타나고 있습니다. 그리고 업권은 제조업권, 그리고 교통, 의료 분야 공격이 많습니다. 피해 기업 수도 줄어들지 않고 계속 늘어나고 있습니다.

□ 권준 국장 미국이 압도적으로 피해국가 1위를 차지하고 있네요. 곽 이사님, 앞으로도 우리나라 보안 강화 위해 계속 애써주시길 바랍니다. 오늘은 이상으로 마치겠습니다. 감사합니다.

■ 곽경주 이사 네, 감사합니다.
[권준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)