We couldn't find a match for given <KEYWORD>, please try again.

사이버 스파이 활동이란?

사이버 스파이 활동은 경쟁 기업이나 정부 기관에 비해 우위를 확보하기 위해 분류된 중요 데이터 또는 지적 재산을 훔치는 사이버 공격의 한 형태입니다.

사이버 스파이 활동의 정의

Merriam-Webster에 따르면 스파이 활동은 "스파이를 이용하거나 스파이를 탐색하여 특히 외국 정부나 경쟁 기업의 계획과 활동에 대한 정보를 확보하는 행위"입니다.

이를 사이버 환경에 적용하면 스파이는 경제적, 정치적, 군사적 이익을 위해 사이버 전쟁을 이용하는 전 세계의 악의적인 해커 부대입니다. 의도적으로 모집되어 높은 평가를 받는 사이버 범죄자들은 정부 인프라부터 금융 시스템 또는 유틸리티 리소스에 이르기까지 모든 것을 차단할 수 있는 기술적 노하우를 보유하고 있습니다. 정치 선거 결과에 영향을 미치거나 국제 행사에서 심각한 혼란이 유발하거나 기업의 성패를 좌우하기도 합니다.

이러한 공격자 중 상당수는 네트워크나 시스템에 은밀히 침투하여 수년 동안 탐지되지 않은 상태로 유지하기 위해 APT(지능형 지속 공격)를 공격 방식으로 사용합니다.

미래 예측: 2022년 7가지 사이버 보안 예측

랜섬웨어 중단 및 사이버 범죄 에코시스템 해체

전 세계적인 사이버 스파이 활동 – 새로운 차원의 전쟁

사이버 스파이 활동에 대한 헤드라인은 공격 국가든 공격 피해자든 상관없이 대개 중국, 러시아, 북한, 미국에 집중되어 있습니다. 그러나 영국의 정부통신본부(Government Code and Cipher School, GCCS)에서는 34개국에 충분한 재원이 마련된 심각한 사이버 스파이 활동 팀이 있는 것으로 추정합니다.

이러한 국가 기반의 위협 행위자 팀은 군 및 정보 기관 해킹 클러스터를 구성하는 컴퓨터 프로그래머, 엔지니어, 과학자로 이루어져 있습니다. 이러한 팀은 기술을 빠르게 발전시키는 데 도움이 되는 엄청난 규모의 재정적 지원을 받고 있고 기술 리소스도 무제한 보유하고 있습니다.

첩보 활동을 하는 전진 전직 FBI 요원이자 Carbon Black의 국가 안보 전문가인 Eric O’Neill은 스파이 활동에 대해 매우 잘 알고 있습니다. 해킹, 스파이 활동의 새로운 얼굴(Hacking is the New Face of Espionage)이라는 제목의 기사에서 그는 "현대의 전쟁은 비밀 접선장소와 복면이 아닌 키보드와 소프트웨어를 사용해 싸운다"고 말합니다. 그는 계속해서 사이버 전쟁은 현재 전 세계적으로 벌어지고 있어서 어느 때보다 보안에 대한 부담이 커지고 있다고 설명합니다. 뿐만 아니라 O’Neill은 "아직까지 위협을 심각하게 받아들이지 않는 조직이 너무 많다"고 지적합니다.

그는 또한 "침해당한 경우 더 이상 이를 방어하고 대응하는 것만으로는 충분하지 않습니다. 사이버 스파이 활동 환경에서 공격자를 상대할 때 '악성 행위자' 접근 방식을 취하는 것은 한 걸음 더 도약하는 계기가 될 것입니다."라고 덧붙입니다.

Industry Pulse: 가장 악질적이라는 명성을 얻고 있는 국가 기반의 공격 집단

그렇다면 사이버 스파이 활동의 대가들은 최근 어떤 작업을 하고 있었을까요? 지난 몇 년간 반복적으로 헤드라인을 장식해 온 국가 기반의 공격 집단은 다음과 같습니다.

북한
북한은 핵 프로그램 개발 자금을 마련하기 위해 활동하는 6,000명 이상의 해커 부대가 있는 것으로 알려져 있습니다. 최근 북한의 소행으로 추정되는 공격에는 한국, 일본, 베트남, 중동을 겨냥한 APT37이 있습니다. 이 공격은 지난 5년여 동안 활동해 온 유명한 해킹 집단인 라자루스(Lazarus)가 주도한 것으로 알려져 있습니다. 이 집단은 2014년 수천만 달러의 순수익을 올린 소니 픽처스(Sony Pictures) 공격 등의 용의자로 지목되었으며, 2016년 8,100만 달러 규모의 방글라데시 은행 사이버 범죄에도 책임이 있을 수 있습니다. 또한 2017년 광범위하게 발생한 WannaCry 공격으로 인해 전 세계 기업과 은행, 병원에 수십억 달러의 피해를 입혔다는 비난을 받았습니다.

베트남
베트남에는 사이버 스파이 활동 집단인 OceanLoters가 있습니다. 이 집단이 APT32 및 APT-C-00 공격의 배후에 있을 수 있습니다. 이러한 위협은 베트남, 필리핀, 라오스, 캄보디아의 기업과 정부 조직을 겨냥해 왔으며 베트남의 제조, 소비재, 서비스 업계에 관심이 있는 외국 기업을 집중적으로 공략합니다.

중국
중국의 유명한 공격 집단에는 템프페리스콥(TEMP.Periscope) 혹은 레비아탄(Leviathan)이 있습니다. 이 집단은 최근 남중국해 및 세계에서 가장 붐비는 일부 무역로와 연결된 엔지니어링 분야와 해양 분야의 미국 기업을 표적으로 삼아 공격을 확대해 왔습니다. 중국의 또 다른 위협 행위자 집단인 APT10은 2009년 초에 시작된 캠페인의 배후로 지목되었습니다. 잠재적으로 역사상 가장 오래 지속된 사이버 보안 위협 중 하나인 APT10은 최근 일부 일본 기업을 비롯한 다양한 국가의 여러 산업 분야를 대상으로 관리형 서비스 공급업체를 통해 기업을 공격하여 대량의 데이터를 훔쳤으며 그 피해 규모는 확인이 불가능합니다.

또 다른 잠재적 국가 기반 공격은 미국 정부에 다시 연결될 수 있는 Slingshot APT입니다. Slingshot APT는 미국의 CIA에 연결된 그레이 램버트(Gray Lumbert) 또는 롱혼(Longhorn)으로 알려진 위협 행위자와 유사합니다. 이 캠페인은 6년 넘게 활성 상태였고 정교한 회피와 은밀한 전술을 통해 중동과 아프리카를 표적으로 삼았으며 이를 통해 행위자는 대량의 중요 데이터를 성공적으로 유출할 수 있었습니다.

라자루스(Lazarus)가 2016년에 발생한 방글라데시 은행의 8,100만 달러 규모 사이버 강도 사건을 저질렀을 수 있습니다.

해결책: 전직 스파이의 사이버 스파이 헌팅 조언

위 기사에서 Eric O’Neill은 최선의 방어는 공격이라고 시사합니다. 다음은 Eric이 사이버 스파이 활동에 대응하기 위해 Eric이 권장하는 몇 가지 단계는 다음과 같습니다.

  • 위협이 어디서 발생하는지 이해하십시오. 사이버 범죄가 처음 등장했을 때 처음에는 자신의 개인적인 목적을 이루기 위해 활동하는 독립적인 범죄자들이 있었습니다. Eric에 따르면 그런 시대는 끝났고 국가 기반의 공격 집단은 디지털 전쟁과 사이버 스파이 활동의 잠재적 이점을 깨닫기 시작했습니다.
  • 동기를 발견하십시오. 원인을 이해하면 동기를 발견할 가능성이 훨씬 높아집니다. 국가 기반 행위자가 공격하는 이유는 스스로 활동하는 사람들의 이유와 완전히 다를 수 있습니다. 이러한 이유는 경쟁 우위를 확보하는 것부터 시스템이나 위치를 중단하는 것에 이르기까지 다양합니다. 공격의 동기를 파악하면 공격 방법에 대해 많은 것을 알 수 있으며, 반대의 경우도 마찬가지입니다. 따라서 방법을 알고 있다면 표적에 대한 이해도가 높아져 표적에 침투하는 데 사용될 가능성이 높은 방법을 더 잘 파악할 수 있습니다.
  • 해커처럼 생각하십시오. 동기를 찾을 때 해커처럼 생각하는 것이 기업에서 해커를 더 빨리 잡는 데 도움이 될 수 있습니다. 범죄자를 잡는 일은 우연히 일어나지 않으며, 해커처럼 생각하면 해커의 움직임을 더 명확하고 빠르게 파악할 수 있습니다. 이렇게 파악한 내용은 침해가 발생한 후 뿐만 아니라 애초에 침해로부터 기업을 보호하는 데도 반드시 활용해야 합니다. 보안 팀은 해커의 사고 방식을 이해할 수 있게 되면 자체적인 취약점을 적극적으로 찾아낼 수 있으며 진입하는 데 어떤 전술을 사용할 수 있는지, 이러한 방법으로 어떤 데이터에 액세스할 수 있는지 등을 파악할 수 있습니다.
  • 해커의 기술을 파악하십시오. 해커가 사용할 수 있는 잠재적 기술에 대한 지식을 보유하면 사이버 범죄자에 맞설 때 귀중한 무기가 될 수 있습니다. 거의 지속적인 정보 수집이 성공의 핵심입니다. Eric은 최대한 많은 외부 센서를 보유하고 정보를 공유하는 커뮤니티에 참여할 것을 권장합니다.
  • 사전 예방적 접근 방식을 활용하십시오. 보안에 대한 사전 예방적 접근 방식을 개발하는 것이 가장 효과적인 보호 방법인 경우가 많습니다. "최선의 방어는 공격"이라는 말이 실제로 통한다고 Eric은 밝혔습니다. 공격자에 맞서 싸우면 공격자의 추적을 막을 수 있고 기업은 공격을 원천적으로 침해를 방지할 수 있습니다. 더욱 정교한 방법이 사용되고 공격이 증가함에 따라, 강력한 힘을 갖는 것이 매우 중요합니다. Eric이 말했듯이, "지금이야말로 악성 행위자처럼 생각하고 반격할 기회입니다."

관련 솔루션 및 제품

VMware Carbon Black Endpoint

필요에 따라 조정되는 클라우드 네이티브 엔드포인트 보안

VMware Carbon Black Cloud

필요에 따라 조정되는 지능형 엔드포인트 및 워크로드 보호 기능을 통해 보안 혁신