[보안리더] 문종현 지니언스 이사 "APT 공격 8할은 북한…은밀하고 정교"
"대형 플랫폼, 통신사 등 대형 해킹 사건의 공격 원점이 중국발 이슈인 것으로 현재 많이 정리된 상태입니다. 이에 많은 사람들이 중국의 해킹 공격이 굉장히 많다고 인식될 수 있는데, 사실 국가 배후 지능형 지속 공격(APT) 활동의 8할은 북한의 소행입니다" 문종현 지니언스 이사는 29일 지디넷코리아와 만나 국가 배후 해킹 세력, 특히 북한 해킹 세력의 위협에 대해 설명했다. 문 이사는 20년 이상 국내에서 발생한 국가 배후 연계 APT 활동 분석에 집중해왔다. 그는 "초창기 국가 배후 단위 공격은 보여주기식 노골적인 공격이 많았다. 공격 성공을 증명하기 위함이었다"면서 "최근에는 물밑에서 아주 조용하고 은밀하게 공격을 시도하고 있다. 이에 대국민적으로는 해킹 공격이 겉으로 드러나지 않으니 피해가 체감되지 않는 것처럼 느껴지는데 사실은 그렇지 않다"고 강조했다. 이어 "실제로 한국 외교·안보·대북 분야를 겨냥한 정교한 스피어피싱과 사회공학 기법이 여전히 위협적인 '김수키(Kimsuky)', 가상자산 탈취, 공급망형 공격을 통한 막대한 자금 조달 능력을 보여주는 '라자루스(Lazarus) 그룹이 대표적인 예"라고 짚었다. 문 이사 설명에 따르면 이런 APT 공격자들은 고위험 취약점을 악용하거나 피싱 등 사용자가 직접 악성 행위를 수행하게 만드는 기법을 활용하는 것으로 나타났다. 초기 침투는 더 빨라지고 탐지 우회를 위해 사용자를 기만하는 '취약점 악용과 사회공학의 결합'이 더 강해졌다. 이 외에도 소셜네트워크서비스(SNS)를 이용한 개인화된 초기 접근도 많아지고 있어 각별한 주의가 필요해 보인다. 北, 언제부터 한국을 공격?...2000년초부터 철저히 준비 2009년 7월 7일 대한민국 정부를 상대로 한 사상 초유의 사이버 테러 사건이 발생했다. 이른바 '7·7 디도스 사태'로 불리는 사건이다. 정부기관은 물론 은행, 포털 등 주요 인터넷 사이트가 분산서비스거부(DDoS, 디도스) 공격으로 마비가 된 것이다. 공격 진원지로 포착된 곳은 북한. 문 이사는 북한이 2000년대 초부터 한국을 상대로 사이버 공격을 철저히 준비해왔고, 7·7 디도스 사태를 기점으로 사이버 공격을 본격화하기 시작했다고 설명했다. 그는 "청와대부터 국방부, 국가정보원, 은행, 포털 사이트들이 초토화되는 한국 사이버 보안 역사상 유일무이한 사건이 발생했다"며 "김정은 북한 국무위원장이 세간에 모습을 드러낸 시점과 동시에 북한에 '정찰총국'이 있다는 것이 알려졌다. 공격이 본격화된 시점은 2009년이지만 그 이전부터 북한은 한국에 대한 사이버 공격을 철저히 준비해왔다"고 역설했다. 2001년 8월 특별한 경험...북한 해커가 "바이러스 샘플 달라" 요청 1990년대 후반부터 2000년대 초반까지 '정품 소프트웨어'라는 개념이 없다고 여겨질 정도로 불법 복제, 바이러스가 여러 컴퓨터에 퍼져 있을 시기였다. 그는 이 때부터 서울 용산 전자상가에서 컴퓨터 바이러스라는 용어를 처음 접하고, 관심을 갖기 시작했다. 문 이사는 "바이러스를 누가, 어떤 목적을 갖고 만들었을까 하는 생각이 강하게 들었다. 바이러스를 만드는 의도가 궁금해서 바이러스 제작자가 누군지 찾아내는 일에 관심을 갖기 시작했다"며 "인터넷이 이제 막 생기기 시작할 무렵, 바이러스 제작자들을 찾아다니다가 해외 바이러스 제작·유포자들만의 포럼을 찾았다. 지금의 다크웹 불법 포럼 정도로 이해하면 된다"고 말했다. 그는 "이 포럼에서 활동하는 사람들은 전부 체코, 불가리아 등 국가의 어린 아이들이었다. 아이들이 컴퓨터를 독학해 나쁜 프로그램을 만들 수 있다는 사실을 알아채고 컴퓨터 바이러스를 공유하는 공간을 만든 것"이라며 "저는 이 포럼에서 만드는 정보를 훔쳐서 한국 보안 업체에 공유하는 일을 하기 시작했다. 당연히 무보수였고, 바이러스가 퍼지기 전에 보안 기업들이 미리 조치할 수 있도록 도왔다"고 밝혔다. 이후 그는 주도적으로 바이러스 정보를 공유하는 커뮤니티를 만들기 시작했다. 재능 기부 일환으로 바이러스를 분석한 내용을 공유했는데, 회원이 7만명까지 늘었다. 이 커뮤니티에서 문 이사는 2001년 8월 8일 특별한 경험을 했다. 메신저를 통해 자신이 북한 사람이라고 소개하는 사람이 말을 걸어온 것이다. 문 이사가 갖고 있는 바이러스 샘플을 받을 수 없겠냐는 요청을 했다. 그는 "당시 북한에 대한 인식은 인터넷도 연결되지 않았을 거라는 인식이 강했다. 그런데 북한 사람이 바이러스 샘플을 달라고 하니 북한에서 한국을 공격하기 위해 바이러스 정보를 요구한다고 직감했다"며 "이후 2009년 7·7 디도스 사태가 터진 것을 보면, 수년 전부터 북한은 사이버 공격을 준비하고 있었다는 말이 된다"고 말했다. "오픈 소스 인텔리전스도 많이 분석…결과는 EDR에 연계" 문 이사는 지니언스시큐리티센터의 센터장을 맡고 있다. 문 이사는 "지니언스시큐리티센터는 악성코드 분석 및 위협 데이터 연구뿐 아니라 20년 이상 쌓아 올린 국가 배후 세력의 공격 인텔리전스 등 최신 사이버 위협과 악성 파일을 심층적으로 조사한다"며 "아울러 이를 고객이 실제로 활용할 수 있는 대응 인텔리전스로 전환하는 조직"이라고 소개했다. 지니언스시큐리티 센터는 단순히 정보만 수집하는 것이 아니라 ▲CTI(사이버 위협 인텔리전스) 분석 보고서 작성 ▲위협 헌팅 ▲TTPs(사이버 위협 행위자가 공격을 수행하는 데 사용하는 전술, 기술, 절차) 분석 ▲침해지표 정리 ▲위협 귀속(Threat Attribution, 공격자 속성 추적) ▲대응 가이드 제공 ▲'지니안 EDR' 및 '지니안 MDR' 고도화 등의 역할을 수행하고 있다. 문 이사는 "지니언스시큐리티센터의 강점은 오픈 소스 인텔리전스(OSINT)를 많이 수집하는 것뿐 아니라 국내 고객 환경에서 실제 대응 가능한 인텔리전스로 전환하는 데 있다"며 "특히 '휴민트(Humint, 휴먼 인텔리전스)' 기반의 실시간 위협 첩보 수집, 국가배후 연계 위협 등의 인텔리전스도 고객사에 제공하고 있다"고 말했다. 그는 "또한 국내 산업군에 맞는 사회공학 시나리오 분석에서 현장성이 높고 교차 캠페인 상관분석과 TTP 관점 해석을 통해 왜 해당 인텔리전스가 중요한지, 어디를 방어해야 하는지를 연결한다"며 "이 분석 결과가 EDR(엔드포인트 탐지 및 대응), MDR(관리형 탐지 및 대응) 탐지 정책과 대응 시나리오로 이어진다는 점도 실질적인 차별점"이라고 소개했다. 그는 "휴민트는 '나만의 첩보원'이라고 보면 된다. OSINT도 물론 중요하지만 휴민트는 사람이기 때문에 지니언스만의 차별점이자 경쟁력이 된다"며 "사람 대 사람의 신뢰 관계가 기반이 되는 것이 휴민트이기 때문에, 복제나 유출이 불가능하다. 지니언스 고객사들은 휴민트가 제공한 인텔리전스를 우선적으로 제공하고 있다"고 설명했다. 이어 문 이사는 "지니언스시큐리티센터가 발간하는 위협 보고서 역시 휴민트발 인텔리전스가 99.9%"라며 "이런 차별점이 있기 때문에 지니언스시큐리티센터의 위협 인텔리전스 영문판 보고서는 해외에서도 많은 조회수를 얻고 있다"고 밝혔다. "공격자들, 보안 영역 넘나들어 단일 보안 솔루션으론 한계" 여전히 많은 기업들이 APT 그룹, 랜섬웨어 등 위협 행위자들의 공격에 무분별하게 노출돼 있는 상태다. 문 이사는 가장 효과적인 대응책으로 예방 중심의 보안에서 탐지·대응 중심의 보안으로의 사고 전환이 필요하다고 강조했다. 그는 "패치와 MFA(다단계 인증), 이메일 보안, 권한 최소화는 기본이고, 실제로는 EDR·MDR 기반의 행위 탐지, 침해 이후 측면 이동 차단, 중요 자산 분리, 백업 보호, 위협 헌팅 등 체계를 갖춰야 한다"며 "특히 최근 공격은 이메일, 모바일, 협업도구, 클라우드, 엔드포인트, 서버를 넘나들기 때문에 단일 보안 솔루션만으로는 한계가 있다"고 진단했다. 문 이사는 이 외에도 보안에 훈련된 사용자가 가시성 있는 엔드포인트를 기반으로 빠른 대응 프로세스를 갖추는 것이 필수라고 강조했다. 아울러 지니언스시큐리티센터를 실전형 인텔리전스 조직으로 키워 나가겠다고 다짐했다. 문 이사는 "고객이 실제 위협에 더 빨리 대응하도록 돕는 실전형 인텔리전스 조직이 되는 것을 지향한다"고 밝혔다. 그는 이어 "개인적으로는 한국에서 발생하는 고도화된 APT 공격을 가장 먼저, 가장 깊이 있게 포착하고 그것을 고객 보호화 제품 혁신으로 연결하는 선순환 구조를 더 강하게 만드는 것이 목표"라며 "위협 행위자는 계속 진화하지만 방어도 충분히 진화할 수 있다는 점을 현장에서 증명하는 조직을 만들고 싶다. 국가 사이버 안보의 중요성을 많은 분들이 공감할 수 있는 보안 문화도 정착시켜 나갈 것"이라고 다짐했다. 문 이사는 1977년 출생, 가천대 전기전자공학부를 마쳤다. 1996년 부터 악성코드 분석을 독학으로 시작해 2001년부터 국가 배후 위협을 추적해 왔다. 지니언스시큐리티센터장 이전에는 이스트시큐리티에서 시큐리티대응센터 이사를 역임한 바 있다. 2014년 12월 한국수력원자력을 노린 북한발 해킹 공격을 조기에 발견해 신속한 민관협력에 대한 공로를 인정받아 정보보호유공 국무총리표창도 수상했다. 2019년에는 북한 휴먼 인텔리전스 연구 공로를 인정받아 홍콩에서 열린 아시아태평양 정보보호 ISLA 공로자로 선정됐다. 이 외에도 북한 사이버 위협 대응 공로와 정보보호 산업 발전 기여로 과학기술정보통신부 장관 표창을 수상했다.