일본산업뉴스요약

사이버 공격 세계의 현실
표적을 좁혀 전문가가 전개 / 일본의 ‘가상화폐’가 공격 대상
ICPO 사이버수사 분석관 후쿠모리 다이키(福森 大喜) 씨

사이버 공격이 세계적으로 점점 심각해지고 있다. 금전 목적에서 정보 조작, 테러 공작까지 내용은 다양하다. 범죄의 프로 집단의 관여가 지적되는 등 수법도 교묘해지고 있다. 목적은 무엇일까? 전문조직 국제형사경찰기구(ICPO, 인터폴)를 방문해 사이버수사 분석관인 후쿠모리 씨에게 물었다.

Q: ICPO에서 사이버 수사 업무를 시작한 계기는 무엇인가?
A: 나는 원래 NEC그룹의 사이버디펜스연구소에 속해 있었다. 고객의 시스템에 해킹을 걸어 보안 상의 약점을 조사하거나 피해를 당한 고객을 방문해 유출된 정보나 원인을 조사했었다.

7년 정도 전에 ICPO에서도 업무를 하청받았다. 프랑스에 위치한 ICPO 본부를 방문, 안전성 확인을 위해 정보시스템에 직접 해킹 테스트를 해 봤다. 당시 ICPO IT부문의 부장은 경찰청 출신의 나카타니(中谷) 씨다. 나카타니 부장은 “이번 싱가포르에 사이버범죄 대책팀을 만든다. 함께 하지 않겠나?’라는 권유를 받은 것이 계기다. 국제적인 수사 협력도 하고 싶었기 때문에 결정했다.

Q: 처음에는 어떤 수사에 착수했나?
A: 우선 시행한 것은 특정 공격자에 의해 바이러스에 감염된 ‘봇넷’을 무너뜨리는 프로젝트다. ‘봇넷’이라는 것은 실행범이 명령을 내리면 수만 대의 컴퓨터가 일제히 표적을 공격하는 네트워크를 말한다. 우리들은 미연방수사국(FBI)이나 네덜란드 경찰 등과 협력해 그 네트워크를 일제히 공격했다. 나는 수백 개의 바이러스를 해석해 박멸해야 할 서버를 놓치지는 않았는지 확인했다.

Q: 그 결과는?
A: 박멸할 때까지는 잘 진행됐지만 범인은 특정할 수 없었다.

Q: 왜 특정하지 못했나?
A: 범인상은 어느 정도 드러났지만 한 나라가 수사에 비협조적이었다. 범인이 그 나라에 있다는 것은 알았지만 더 이상 진행할 수 없었다. ICPO는 수사 기관의 연계나 지원은 하지만 수사권은 없다. 마지막에는 그 나라의 판단에 맡기는 수밖에 없다.

Q: 수사는 어떻게 시작되나?
A: 우리들이나 전세계의 사이버 보안 회사가 정보를 제공한다. “이 사람이 멀웨이(악성 프로그램)를 만들고 있다”라는 이야기는 일상다반사다. 그것을 ICPO에 전달하고 필요하다면 해당 나라에 연락한다.

Q: 보통은 싱가포르에서 분석하는가?
A: 그렇다. 멀웨이를 받아서 해석, 영상 회의를 통해 해석 결과를 보고한다. 그러나 드물게 수사 현장에 가는 일도 있다. 2016년에 방글라데시의 중앙은행이 사이버 공격을 받은 사건이 있었다. 피해액이 약 8천만 달러에 달했다. 사무총장의 지시로 전면적으로 착수하게 되었다. 참가한 것은 FBI 수사관과 분석관 총 6명이다. 나는 중앙은행의 시스템을 이해하기 위해 매뉴얼을 반복해 정독했다. 그러는 동안 기호 배열의 의미를 알게 되었다. 거기서부터 분석을 진행한다.

Q: 결국 진상은 밝혀졌나?
A: 다양한 사이버 대책 기업이 보고서를 냈다. 북한의 소행은 아닌가라는 소문도 있었다. 그러나 아직은 알 수 없다. 나는 수사 중이라고밖에 말할 수 없다.

솔직히 방글라데시는 정말 무서웠다. 기관총을 든 경비원이 에워싼 서버룸에서 분석을 진행했다. 영화의 한 장면 같았다. 여행객이 자유롭게 밖을 걸어 다닐 수 있는 상태가 아니었다. 실제로 내가 출국하고 2~3주 후에 이슬람 과격파가 레스토랑을 습격한 테러 사건이 발생했다.

Q: 수사하는데 있어 어려운 점은?
A: ICPO에 수사권은 없기 때문에 마지막은 해당 국가에서 할 수밖에 없다. 때문에 각국을 방문해 사이버 관련 기술의 교육 활동을 실시하고 있다. 또한 북한이 연루되는 등 정치 관련 안건이 되면 정보를 제공하고 손을 뗀다. 도중에 흐지부지되는 안건도 많다. 그것이 안타깝다.

Q: 사이버 범죄의 최근 특징은 무언인가?
A: 4년 정도 전부터 증가한 비즈니스 메일 사기는 지금도 많다. 몸값을 요구하는 바이러스도 가상화폐와 연결돼 상당히 수사하기 어려운 상황이다. 또한 익명성이 높은 가상통화 ‘모네로’ 등도 나오고 있다. 배후에 누가 있는지 알기 어렵다. 또한 ‘다크웹’이라고 불리는 익명성이 높은 웹사이트가 범죄자 사이에서 확산되고 있는 것도 문제다. 최근에는 코인체크 등 가상통화거래소(교환사업자)가 여러 곳 공격을 받아 피해액도 수백억 엔에 달한다.

Q: 누가 노리고 있는가?
A: (수사를 실제로 지원하고 있어) 말할 수 없다. 그러나 확실한 것은 프로의 소행이다. 오랜 시간을 들여 타깃을 공격하고 있다.

Q: 일본에 대한 공격은?
A: 비즈니스 메일 사기는 지금도 발생하고 있다. 가상통화거래소가 많기 때문에 공격 대상이 되고 있다. 한편 산업 스파이는 잠잠하다. 어쩌면 이미 모든 것을 훔쳐서 빠져나갔을지도 모르겠다.

Q: 일본의 방위기술 수준은 어떻게 보는가?
A: 세계적으로 보면 상당히 발달한 수준이라고 생각한다. 네덜란드 등 선진적인 나라와 비교하면 뒤처져 있다. FBI나 네덜란드는 박멸할 수 없다고 한 다크웹도 돌파구를 찾아 파고들고 있다.

일본은 사고방식이 보수적일지도 모른다. 경찰을 예로 들어 말하면 과거에 사례가 있는 것만 수사한다든가, 체포하기 쉬운 안건만을 수사하는 식이다.

Q: 일본에서도 관계 부처의 종적 관계의 폐해로 내각부를 중심으로 사이버 관련 횡단 조직이 만들어졌다.
A: 밖에서 보면 간판만 바꿔 단 것처럼 보인다. 연계 상황 등은 바뀌지 않은 것 같다.

Q: 일본 기업의 과제는 무엇인가?
A: 보안에 대한 경영층의 이해다. 경영층이 확실하게 인식하고 받아들인 경우는 탑다운으로 착착 진행된다. 그러나 받아들이지 않는 사람도 아직 많다. “결국 피해를 당하지 않으면 절대 이해하지 못하겠구나”라는 생각이 든다.

보안 인재를 육성하기 위해서는 관계 부처를 키우기 보다는 지금의 중고생이나 대학생을 육성하는 편이 좋다. 그 점에서 정보처리추진기구가 학생용으로 제공하고 있는 고도의 기술교육 프로그램은 좋다고 생각한다. 그런 젊은 인재가 30살이 될 무렵에는 일본도 변하지 않을까 생각한다.

● 정보 보안의 10대 위협
1. 표적형 공격에 의한 피해
2. 비즈니스 메일 사기에 의한 피해
3. 랜섬웨어에 의한 피해
4. 공급망의 약점을 악용한 공격
5. 내부 부정에 의한 정보 누설
6. 서비스 방해 공격에 의한 서비스 정지
7. 인터넷 서비스에서 개인정보 탈취
8. IoT 기기의 취약성의 현재화
9. 취약성 대책 정보의 공개에 따르는 악용
10. 부주의에 의한 정보 누설

● 취재를 마치고
위기를 인식하고 인재 육성을

“익명성이 높은 웹 사이트가 범죄자 사이에서 확산되는 등 최근의 수사는 상당히 어렵다”. 최고 수준의 해석 기술을 갖고 있고, 세계의 사이버 공격의 최전선을 알고 있는 후쿠모리(福森) 씨의 발언인 만큼 범죄의 고도화나 노후화가 보다 부각된다.

사이버 방위나 범죄 수사는 이제는 국가의 위신이 걸린 문제다. 정보 조작이나 나라의 중요 인프라를 노린 테러 공작이 확산되면 국가의 신뢰가 떨어지고 경제 활동에도 막대한 영향을 미칠 수 있다.

내년에 개최되는 도쿄올림픽은 어떨까? 후쿠모리 씨는 “개최가 불가능할 정도의 공격을 가하는 것은 어렵겠지만 방심해서는 안 된다”라고 강조한다. 만전의 대비와 문제가 발생했을 때의 완벽한 대응책. 올림픽 등을 계기로 일본도 관민 합동의 대응이 급선무라고 할 수 있다.

과제는 인재 육성일 것이다. 대기업의 대부분은 정보 보안의 중요성을 인식하지만 중소기업의 대부분은 대응이 충분하지 못하다는 지적도 많다. 인재 교육이나 간부에 대한 계발을 철저히 하고, 동시에 차세대를 짊어질 젊은이에게는 고도의 교육을 제공해야 한다. 위기를 인식해 지금 바로 움직이지 않으면 세계의 현실에서 뒤처질 수 있다.

 -- 끝 --