사이버 공격

사이버 공격은 대상에 따라 개인·기업·정부기관·국가 기반 시설까지 광범위하게 겨냥한다. 공격자는 악성코드, 피싱, 랜섬웨어, 분산 서비스 거부(DDoS) 등 다양한 기법을 활용하며, 정교한 공격일수록 여러 기법을 복합적으로 사용한다.^[2] 디지털 전환의 가속화와 사물인터넷(IoT) 기기의 확산으로 잠재적 공격 표면이 크게 늘어났다.

사이버 공격은 단순한 범죄 행위를 넘어 국가 안보 문제로 부상했다. 중국, 러시아, 이란, 북한 등 국가 지원 행위자(APT 그룹)들이 정보 수집, 경제적 이득, 인프라 교란을 목표로 조직적인 사이버 공격을 수행한다는 사실이 각국 사이버보안 기관에 의해 공식 확인됐다.^[3] 이로 인해 국가 차원의 방어 전략과 국제 협력 필요성이 높아졌다.

사이버 공격의 기원은 1980년대로 거슬러 올라간다. 당시 초기 컴퓨터 바이러스와 웜이 등장했으며, 이들은 주로 개인 컴퓨터와 소규모 네트워크를 표적으로 삼았다. 1999년 멜리사 바이러스는 이메일을 통해 빠르게 전파되며 수억 달러의 피해를 야기했고, 2000년대 초반 I LOVE YOU 웜은 전 세계적으로 급속히 확산되며 대규모 서비스 마비를 일으켰다.^[4]

2000년대 들어 공격은 더욱 정교해졌다. 대규모 DDoS 공격, 대용량 데이터 유출, 표적형 피싱이 기업과 정부기관을 위협하기 시작했다. 2010년에는 이란 핵시설을 겨냥한 스턱스넷(Stuxnet) 웜이 발견되면서 사이버 무기가 물리적 인프라까지 파괴할 수 있다는 사실이 처음으로 입증됐다. 2010년대 이후에는 랜섬웨어가 급증하고 공급망 공격이 본격화됐으며, 2017년 워너크라이(WannaCry) 랜섬웨어 공격은 150여 개국에서 수십만 대의 컴퓨터를 감염시켰다.^[4]

사이버 공격은 기술 방식과 목적에 따라 다양한 유형으로 분류된다.^[5] 악성코드(Malware)는 컴퓨터 시스템에 무단 접근하거나 데이터를 훔치고 시스템을 손상시키는 악성 소프트웨어의 총칭이다. 바이러스, 웜, 트로이 목마, 스파이웨어 등이 포함되며, 이메일 첨부파일·손상된 웹사이트·소프트웨어 다운로드 등 다양한 경로로 전파된다. 설치 이후에는 데이터 도용, 시스템 하이재킹, 장치 무력화 같은 악의적인 작업을 수행한다.

랜섬웨어는 피해자의 파일이나 시스템을 암호화한 뒤 복호화 키의 대가로 금전을 요구하는 공격이다. 2021년 미국 콜로니얼 파이프라인 공격에서는 랜섬웨어로 인해 동부 해안 연료 공급이 수일간 중단됐고, 공격자에게 수백만 달러의 몸값이 지불됐다. 이 사건은 에너지 안보와 사이버 공격이 직결됨을 보여준다.

피싱(Phishing)은 합법적인 기관을 사칭해 사용자로부터 비밀번호, 신용카드 번호, 개인정보를 탈취하는 사회공학적 공격이다. 특정 개인을 정밀하게 겨냥하는 스피어 피싱, 고위 임원을 표적으로 하는 웨일링(Whaling) 등 여러 변형이 존재하며, 인공지능의 발전으로 더욱 정교한 사칭이 가능해졌다. 분산 서비스 거부(DDoS) 공격은 봇넷 등 대규모 자원을 동원해 표적 서버나 네트워크에 과도한 트래픽을 쏟아부어 정상적인 서비스를 마비시킨다. 정부기관, 금융기관, 언론사 등이 주요 표적이 된다.

지능형 지속 위협(APT)은 국가 지원 행위자나 고도로 조직된 집단이 장기간에 걸쳐 은밀하게 네트워크에 침투해 정보를 수집하거나 기반 시설을 교란하는 공격이다. 중국, 러시아, 이란, 북한이 대표적인 APT 수행 주체로 지목된다.^[3] 공급망 공격은 표적 조직을 직접 공격하는 대신 소프트웨어 공급자나 서비스 계약자 같은 신뢰 관계에 있는 제3자를 침해해 최종 대상에 접근하는 방식으로, 2020년 솔라윈즈(SolarWinds) 사건이 대표적이다.

사이버 공격은 에너지, 수도, 의료, 금융 등 국가 기반 시설을 특히 위협한다. 에너지 정책 및 공급망 관리 체계가 디지털화될수록 사이버 공격으로 인한 실물 피해 가능성도 커진다. 2021년 미국 콜로니얼 파이프라인 사건, 2022년 러시아-우크라이나 전쟁 중 전력망을 겨냥한 사이버 공격은 에너지 인프라 보안의 취약성을 국제사회에 각인시켰다.^[4]

2020년 솔라윈즈(SolarWinds) 공급망 공격에서는 IT 관리 소프트웨어의 업데이트 메커니즘이 악용돼 미국 정부기관 수십 곳이 동시에 침해됐다. 이 사건은 공급망 전체의 보안 수준이 가장 취약한 연결고리에 의해 결정된다는 사실을 확인시켰다. 산업제어시스템(ICS)과 SCADA 시스템을 겨냥한 공격도 증가하는 추세로, 이들 시스템이 침해되면 물리적 시설의 오작동이나 파괴로 이어질 수 있다.^[4]

사이버 공격에 대한 방어는 기술적 조치와 조직적 대응을 병행해야 한다. 미국 사이버보안 및 인프라보안국(CISA)은 알려진 취약점에 대한 신속한 패치 적용, 네트워크 모니터링 강화, 다단계 인증(MFA) 적용, 로깅 및 이상 탐지 시스템 구축을 핵심 방어 조치로 권고한다.^[1] 조직은 최소 권한 원칙을 적용해 계정 침해 시 피해 확산을 막고, 정기적인 보안 훈련을 통해 임직원의 피싱 대응 능력을 향상시켜야 한다.

국제적으로는 각국 사이버보안 기관 간의 위협 정보 공유와 공동 대응 체계가 강화되고 있다. CISA는 미국 FBI, 영국 NCSC, 호주 ASD 등 동맹국 기관들과 협력해 APT 그룹의 전술·기법·절차(TTPs)에 관한 공동 권고문을 발표한다.^[3] 유럽연합은 NIS2 지침을 통해 회원국의 사이버보안 의무를 강화했으며, 유엔 차원에서도 국가 사이버 활동에 대한 국제 규범 논의가 진행 중이다.

한국은 사이버 공격의 주요 표적 중 하나다. 한국인터넷진흥원(KISA)에 따르면 2024년 사이버 침해사고 신고 건수는 1,887건으로 전년 대비 약 48% 증가했다. 공격 유형별로는 서버 해킹이 가장 많았고, DDoS, 악성코드 감염, 랜섬웨어 순이었으며, 피해 기업의 94%가 중소기업으로 나타났다.^[6]

북한과 연계된 APT 그룹은 한국 정부기관, 방산업체, 암호화폐 거래소 등을 지속적으로 표적으로 삼는다. 2014년 한국수력원자력 해킹 사건에서는 원전 도면이 유출됐고, 2016년에는 국방부 인트라넷이 침해됐다. 한국 정부는 국가사이버안보센터(NCSC)와 KISA를 중심으로 사이버 위협 대응 체계를 운영하며, 사이버안보기본법 제정 등 법적·제도적 기반 강화에도 노력하고 있다.

• 에너지 안보
• 에너지 정책
• 에너지 시스템 및 공급망
• 악성코드
• 랜섬웨어
• 피싱
• 사이버보안

^[1] Malware, Phishing, and Ransomware, Cybersecurity and Infrastructure Security Agency (CISA), Wwww.cisa.gov(새 탭에서 열림)

^[2] 사이버 공격이란?, Microsoft Security, Wwww.microsoft.com(새 탭에서 열림)

^[3] Nation-State Threats, Cybersecurity and Infrastructure Security Agency (CISA), Wwww.cisa.gov(새 탭에서 열림)

^[4] Significant Cyber Incidents, Center for Strategic and International Studies (CSIS), Wwww.csis.org(새 탭에서 열림)

^[5] 가장 일반적인 15가지 사이버 공격 유형, Trend Micro, Wwww.trendmicro.com(새 탭에서 열림)

^[6] 사이버 침해사고 피해 전년 대비 약 48% 증가, 한국인터넷진흥원 (KISA), Wwww.kisa.or.kr(새 탭에서 열림)