[현장] "핵티비즘, 공격 양상 달라져...수익화 나서"
정치적, 사회적 메시지를 전달하기 위해 컴퓨터 시스템을 해킹하는 '핵티비즘(Hacktivism)'을 주장하는 공격자들이 '핵티비즘'은 명분일 뿐, 이면에 악의적 해킹 공격을 통한 수익성 확보에 열을 올리고 있다는 분석이 나왔다. 김재기 S2W 위협인텔리전스센터장은 10일 코엑스에서 열린 '사이버 서밋 코리아(Cyber Summit Korea, CSK 2025)'에서 이같은 내용을 골자로 한 '시위에서 수익으로: 이념을 가장한 사이버 범죄, 핵티비즘'에 대해 발표했다. 핵티비즘은 '해킹(Hacking)'과 '액티비즘(Activism: 행동주의)'를 합친 말이다. 정치적 또는 사회적 메시지를 전달하기 위해 사이버 공격을 가하는 행위를 말한다. 핵티비즘 공격자들은 정부 기관이나 기업을 대상으로 한 공격을 통해 자신들의 정치적 메시지를 전달하는 것으로 알려졌다. 잘 알려진 핵티비즘 공격 그룹으로는 '어나니머스(Anonymous)' 등이 있다. 기존 핵티비즘 그룹들은 정부나 기업의 시스템에 디도스(서비스 거부 공격·DDoS) 공격을 가하거나 디페이스(웹페이지 위·변조) 공격을 통해 자신들의 정치적 메시지를 전달하는 데 그쳤다. 그러나 김 센터장 발표에 따르면 최근 핵티비즘 공격 그룹의 공격 양상이 달라지는 것으로 확인됐다. 예컨대 한 기관을 핵티비즘 공격 그룹이 디도스 공격을 시행했을 때, 공격에 성공했다는 증빙을 텔레그램 채널에서 소개하며, 자신들의 특정 서비스를 홍보하는 등의 형식으로 변질된 것이다. 김 센터장은 "핵티비즘 공격자들이 자신들이 주장하는 바를 정보기관이나 정부가 들어주기를 원하며 디도스 등 공격을 가하는 것 같지만, 그 이면을 보면 수익화 활동이라고 할 수 있는 자신들의 서비스형 디도스를 홍보하는 사례가 확인됐다"면서 "디지털 환경에서의 정치적 저항이라고 한다면 굳이 이런 서비스를 홍보할 필요가 없는데, 자신들의 공격 사례를 홍보하고 실질적인 수익화에 나섰다고 볼 수 있다"고 설명했다. 김 센터장은 이날 'DaaS(DDoS as a Service)'라는 서비스형 디도스에 대한 개념도 제시했다. 디도스 공격을 수행한 서비스를 판매하고 있기 때문에 결국 과거에 행동주의적 해킹과는 거리가 멀다는 것이다. 김 센터장은 "서비스형 랜섬웨어(RaaS), 탈취한 데이터나 시스템 접근 권한 등을 판매하고 있는 불법적인 해킹 포럼처럼 핵티비즘 공격자들이 서비스를 판매하는 형식으로 점점 사이버 범죄화 되고 있다"며 "이런 데이터를 구매하려는 이들 역시 제2의 범죄자가 되고 있다"고 강조했다. 그는 이어 "핵티비즘의 형식을 빌려 사회적 혼란을 야기시킨 다음, 언론 등을 통해 자신들의 공격 사실이 알려지고 나면 이같은 내용도 텔레그램 등 채널을 통해 공유하고 홍보에 열을 올리고 있다"고 부연했다. 이같은 핵티비즘을 표방한 사이버 공격자로부터 대응하기 위해서는 공격 표면 및 공격 행위자의 전략을 파악하는 것이 중요하다고 김 센터장은 강조했다. 구체적으로 ▲L(애플리케이션 계층)7 디도스를 보호할 수 있는 웹 애플리케이션 방화벽(WAF) 구축 ▲물리보안 장비에 대한 접근제어 강화 ▲상시 로그·트래픽 모니터링 체계 구축 등의 기술적인 대응 방안이 필요하다고 짚었다. 아울러 정책적·조직적 차원에서 대응할 수 있는 방안으로는 ▲유효한 공격 여부에 대한 판단 및 권고 ▲서비스형 공격 도구에 대한 차단 및 법 집행기관에 협력 ▲국제 공조를 통한 공격 서비스 인프라 단속 및 정보 공유 등이 필요하다고 강조했다.
