"프랙발 해킹, 자산식별·ASM 미비가 원인"
미국 해킹 잡지 '프랙(Phrack)'에서 중국 혹은 북한 세력으로 추정되는 공격자가 지속적으로 한국 정부와 기업을 공격한 사실이 최근 밝혀졌다. 또 올해들어 금융권, 이동통신사도 해킹 공격에 속수무책으로 당했다. 이런 해킹은 국내 기관 및 기업들이 자산식별, 공격 표면 관리(ASM) 활동이 미비해 생했다는 전문가 진단이 나왔다. 보안에 지속적인 투자를 해온 기업도 해킹 공격을 방어하기 쉽지 않은 만큼 기업이 해킹 공격을 당했을 때, 과도한 지적이나 망신주기보다는 해킹 현장에서 취득한 정보들을 공유해 집단적으로 대응할 수 있도록 해야 한다는 제언도 제기됐다. 김휘강 고려대 정보보호대학원 교수는 6일 개최된 '2025 한국사이버안보학회 학술대회'에서 기조연설에 나서 프랙에서 제기된 한국 정부의 APT(지능형 지속 공격) 공격에 대한 상세한 분석과 시사점을 제시했다. 앞서 프랙은 중국 혹은 북한의 지원을 받는 것으로 추정되는 공격 세력이 한국 정부와 기업을 대상으로 APT 공격을 이어왔다는 내용을 중심으로 한 'APT Down: The North Korea Files'라는 보고서를 발표한 바 있다. 김 교수는 "APT Down 보고서가 큰 충격을 준 만큼 이를 국내 CTI(사이버 위협 인텔리전스) 역량 강화 필요 계기로 삼아야 한다"며 "최근 침해사고 유형을 보면 비인가된 자산 식별 실패, 방치된 채로 운영되는 정보자산을 통해 초기 침투가 이뤄졌다. 공격 표면 상에 SSL VPN, Salesforce 등 알려진 취약점을 갖는 자산들이 노출돼 침투를 허용하는 경우가 많았던 만큼 최근 잇단 해킹 사태는 자산식별, ASM 활동 미비에 원인이 있다"고 분석했다. 자산 식별과 ASM 활동이 미흡하면서 취약점 식별 및 제거 활동에 실패했고 공격자의 침투를 허용하는 경우가 많았다는 것이다. 그는 "APT 내용에 따르면 해커가 정부 내부망까지 침투했던 상황으로 심각성은 역대 최고 수준이라 할 수 있다"며 "약 2년에 걸친 장기간 공격이었던 점, 시스템·네트워크 레벨의 해킹 외에도 국내 유명 포털 및 메신저 서비스 계정들에 대한 피싱 시도 등 전방위적 공격이 이뤄졌던 점으로 보아 그 심각성은 더 커진다"고 우려했다. 김 교수는 이어 "해커는 시스템 침투를 통해 다양한 크리덴셜(인증서, 비밀번호 등)을 확보해둔 상태로, 보다 위협적인 공격 시나리오로 손쉽게 확장될 수 있다"고 경고했다. 그럼에도 김 교수는 해킹 사건 발생 시 신고 및 정보공유 회피 가능성이 있는 만큼 이를 예방하기 위해 해킹 사건이 벌어지면 과도한 지적, 엄벌을 따지기보다 적극적인 정보 공유를 통해 사태를 해결하는 것이 우선이라고 밝혔다. 그는 "해킹당한 사실을 공개하고 피해를 예방할 수 있도록 해킹 현장(crime scene)에서 취득한 아티팩트들을 공유해 협업하고 집단적 대응이 촉진될 수 있도록 해야 한다"며 "우리나라 보안 향상을 위한 인식 제고가 필요하고, 보안 수준 향상을 위해 협업체계의 점검이 필요한 시점이다. 고도화된 탐지기술 확보 및 국가지원 해킹그룹들에 대한 사이버위협정보 확보에 투자해야 한다"고 강조했다. 김 교수는 구체적으로 보안강화에 지속적인 투자를 많이 해온 기업도 방어가 쉽지 않은 만큼 자산 식별, 지속적이고 정기적인 ASM, CTI를 함께 적용해 능동적으로 대응해야 한다고 주문했다.
