산업기술/제조/경영

Nikkei Business_2016. 10. 31. 특집 (1) (p24~41)

사이버 무 대책, 기업을 무너뜨린다
맹위를 떨치는 랜섬바이러스

사이버 공간에 기생하는 범죄자 집단이 일본기업을 공격대상으로 겨냥하기 시작했다. 공격 무기는「랜섬웨어(Ransomware)」. 데이터를 인질로 잡고 몸값(Ransom)을 요구한다. 모든 것이 인터넷으로 연결된다면, 전력시스템이나 자동차도 공격의 대상이 된다. 이미 인터넷 없이 사업을 진행할 수 있는 기업은 현실적으로 존재하지 않는다. 그럼에도 불구하고 많은 경영자는 사이버 공격을「남의 일」이라고 인식하고 있다. 미국에서는 10월 21일에 대규모 공격이 발생하여, 여러 인터넷 기업이 일시적으로 서비스를 중단했다. 「사이버 무 대책」은 기업을 무너뜨린다. 다음 공격 대상은 당신 회사다.


Part 1. 암흑 공간에서 범람하는 공격 툴
랜섬바이러스 급증의 진원지

파일을 암호화하여 그 몸값을 요구하는「랜섬웨어」가 급증하고 있다. 범죄자 집단은 일본기업을「봉」으로 보고 있지만, 경영자는 다가오는 위험을 감지하지 못하고 있다.

「여기서부터는 특수한 소프트를 사용하지 않으면 액세스할 수 없다. 가벼운 마음으로 방문한다면 큰 코 다친다」. 어느 보안 전문가는 기자에게 강한 어조로 경고했다.「다크 웹(Dark Web)에는 근접하지 마라」라고. 인터넷에는 일반적인 검색엔진으로는 결코 찾아 들어갈 수 없는 영역이 있다. 다크 웹도 그 중 하나다. 이용자의 신분을 숨길 수 있는「토어(Tor)」라는 소프트로 액세스 하는 것이 일반적이다. 원래 다크 웹은 정부의 검열에 대항하는 저널리스트 등이 이용하였지만, 지금은 범죄자에게 인기 있는 암흑 공간이라는 측면이 강해지고 있다.

총이나 마약은 물론, 위법으로 훔친 개인정보나 위조 카드까지 바깥 세상에서는 결코 볼 수 없는 다양한 상품이 거래되고 있다. 그런 다크 웹에서 요즘 급속히 주목을 받고 있는 상품이 있다. 바로 사이버 공격에 사용하기 위한「무기」다.

「부자가 되고 싶지 않은가?」. 8월 상순, 니콜라이(가명)라는 사람이 트위터에 이렇게 썼다. 신원은 불분명하지만, 다크 웹의 주인인 것은 확실하다. 입력 내용에 따르면, 그가 운영하는「Gang」이 공범자를 구하고 있다. 캐치프레이즈는「손쉽게 퍼뜨릴 수 있고, 관리도 간단」. 제공하는 서비스를 사용하면 누구라도 사이버 공간에서 돈을 벌 수 있다고 한다.

그것은 바로「랜섬웨어」. “몸값”을 의미하는 신종 바이러스다. 감염된 시스템의 데이터를 암호화하여 “인질”로 삼은 다음 돈을 요구한다. 2016년에 들어와 피해 보고가 급증하고 있는 수법이다. 랜섬웨어는 기업 시스템에 치명적인 피해를 준다. 감염된 컴퓨터는 중요 파일이 암호화되어, 기동 조차하지 않는다. 그리고 그 컴퓨터를 기반으로 하여 네트워크를 통해 감염을 확대시킨다. 사내 시스템의 중요 데이터를 계속해서 인질로 만들어 간다.

가령 경리시스템이 감염됐다면, 급여나 상품대금의 지불이 늦어지게 된다. 부품표가 암호화되어 읽을 수 없다면 생산라인 정지로 직결된다. 단순한 정보 누출과는 달리 기업의 업무가 바로 정지될 수도 있다. 데이터 백업을 하지 않았을 경우, 인질로 잡힌 데이터를 원래로 돌리기 위해서는 암호 해제 키가 필요하다. 이 해제 키를 기업 스스로 발견하기에는 방대한 시간이 걸린다. 궁지에 몰린 기업은 어쩔 수 없이 몸값을 지불하게 된다. 랜섬웨어는 지금까지 주로 영어권에서 맹위를 떨치고 있었다. 그러나 2016년에 들어와서 일본기업이 ”봉”이 되기 시작했다.

●주요 사이버 공격 수법

-- 감염된 기업의 60%가 요구에 굴복한다 --

-- 4곳 중 1곳은 이미 침입 --

-- 경영자가 보안의 구멍 --


Part 2. 사회를 뒤덮는 사이버 공격
새로운 타깃은 IoT

사이버 공격의 표적은「데이터」만이 아니다. 인프라나 공장 등도 공격의 대상이 되기 시작했다. 모든 것이 인터넷으로 연결되는 IoT가 사이버 공격의 위험을 확대시키고 있다. 크리스마스를 눈 앞에 둔 2015년 12월 23일 오후 3시 35분. 우크라이나 서부에서 대규모 정전이 발생했다. 약 22만 5000세대에서 몇 시간에 걸쳐서 전력이 끊어졌다. 12월 28일 월요일, 우크라이나 보안청은 이 정전이 사이버 공격 때문이라고 발표했다. 러시아 정부가 범행에 관여했다고 강하게 비판했다.

「사이버 공격으로 전력공급을 중지할 수 있다는 전례가 생기고 말았다. 업계의 인식이 크게 바뀐 느낌이다」. 도쿄전력홀딩스에서 사이버 방위 현장을 지휘하는 다니구치 시스템기획실 정보보안담당 부실장은 위기감을 드러냈다. 전력과 같은 사회 인프라를 겨냥한 사이버 공격이 이미 픽션이 아니라는 사실을 우크라이나의 정전사건이 보여주었기 때문이다.

미국의 보안조직인 SANS Institute의 조사에 의하면, 정전사건은 우크라이나 서부에 위치한 3개의 전력회사가 운용하는 30개 곳 이상의 변전소에서 브레이크가 원격조작에 의해 차단되면서 발생했다. 전력업계를 놀라게 한 것은 인터넷에 직접 연결되지 않은 전력 망 제어시스템이 강탈당했다는 것이다. 공격 방법은 주도면밀하며 지금까지의 사이버 방위 상식이 더 이상 적용하지 않는다는 사실이 명백해졌다.

우크라이나 전력회사에 대한 사이버 공격은 정전사건 발생 6개월 전부터 시작되었다. 공격자는 우선 전력회사의 종업원에게「표적형메일 공격」을 시도하여 사내 네트워크에 침입했다. 종업원이 메일에 첨부된「매크로(macro)바이러스에 감염된 오피스문서」를 클릭하면,「BlackEnergy」라는 상당히 강력한 멀웨어(malware, 악의적인 소프트웨어의 총칭)가 종업원의 컴퓨터를 감염시킨다.

BlackEnergy는 원격으로 사용자의 키보드 입력을 감시하거나, 컴퓨터 화면정보를 몰래 볼 수도 있다. 공격자는 6개월에 걸쳐 종업원의 컴퓨터를 모니터링하면서 전력 망의 제어시스템에 로그인하는 ID와 패스워드를 알아냈다. 그것을 사용하여 원격지에서 관리자의 컴퓨터를 탈취하는 데 성공. 전력 망을 자기 마음대로 제어함으로써 대규모 정전을 발생시켰다.

공격자는 정전과 동시에 전력회사의 전화창구를 무력화시키는 공격도 함께 실행했다. 주민은 전력회사에 연락할 수 없게 되어 불안이 커졌다.「이번 공격의 목적은 정전이 아니라,『너희들의 인프라는 쉽게 무너질 수 있다』라는 메시지를 통해 사이버 공격의 힘을 과시하는 것이 목적이었다. 한마디로 군사활동이라고 해도 좋다」. 사이버 보안 전문가인 McAfee사이버 전략실의 사사키 씨는 그렇게 지적했다.

사건의 충격은 일본에도 전해졌다.「전력시스템에 대한 생각이 다르기 때문에, 일본의 전력 망에서는 우크라이나와 같은 일은 발생하지 않는다」라고 다니구치 씨는 단언하지만, 도쿄전력 내의 위기감은 날로 더해가고 있다. 우려되는 사안 중 하나가, 올해 4월에 실시된 전력 소매 자유화다. 새로운 전력이 전력 망을 사용하게 되면, 다양한 종류의 설비나 기기가 전력시스템에 연결되게 된다. 기존 전력회사가 생각하지 못했던 위험이 전력 소매 자유화에 의해 발생할 수 있는 것이다.

-- 모든 산업기기가 공격대상 --

-- 감시카메라가 공격의 발판 --


Part 3. 일본의 제조(모노즈쿠리)가 격변한다
자동차 해킹 충격

원격조종으로 탈취당해 140만대 리콜. 자동차산업계 전체가 충격으로 흔들렸다. 「사이버 무대책」인 것은 자동차도 마찬가지다. 개발 프로세스 그 자체가 변한다. 2015년 8월 5일, 자동차업계에 충격을 준 사건이 미국에서 발생했다. 세계적인 사이버 시큐리티 이벤트인「Blackhat」에서, 단상에 선 두 명의 연구자는 차를 해킹하는 구체적인 방법에 대해 발표를 했다. 표적이 된 것은 유럽∙미국의  Fiat Chrysler Automobiles(FCA)의 SUV(다목적 스포츠카)인「Jeep Cherokee」다.

두 사람은 체로키에 탑재된 전용 무선회선「U-Connect」에 시큐리티 구멍을 발견했다. 그 “구멍”에서 잘못된 명령을 보내 자동차 시스템을 제압한다. 그리고 컴퓨터를 사용하여 핸들부터 시작하여 브레이크, 탑재디스플레이에 이르기까지 모든 것을 조작하는 방법을 공개했다. 실제로 사고는 발생하지 않았지만,「자동차 탈취」가 현실이 되어 버렸다.

-- 일본 제조업체의 의식 변화 --

-- 연결되는 자동차가 위험을 증대시킨다 --

-- 도요타가 무거운 몸을 움직였다 --

-- 표준화에서 독일 보쉬(Bosch)가 선두 --


Part 4. 담당자에게만 일임하는 것은 경영자 실격
무 대책에서 탈출하는 4가지 방법

국방부가 주도하여 기업의 보완 강화를 추진하는 미국. 무대책인 상태에서는 그 차이를 좁힐 수 없다. 탈출에는「4가지 방법」이 있다.
사이버 보안 대책이 불충분하다면 사업을 지속할 수 없게 된다. 그런 미래가 시시각각 다가오고 있다. 미국 국방성은 내년 12월말까지 계약업자에 대해 미국 국립표준기술연구소(NIST)가 정한 엄중한 보안 대책 가이드라인「NIST SP800-171」의 준수를 의무화할 방침이다. 국방성은 전투기의 설계도를 비롯해 극히 기밀이 요구되는 중요 정보를 취급한다. 계약업자에게 그러한 정보를 사내에서 제대로 관리하도록 요구하고 있다. 중요한 것은「사내정보시스템 사이의 경계를 포함하여 감시, 제어, 통신보호를 행한다」는 것이다. PART1에서 소개했듯이, 사내 시스템에 침투하고 나서 1년 이상이나 알아차리지 못하는 일본기업은 논외다.

국방성이 직접 거래하고 있는 방위관련기업에 엄격한 규제를 부과하면, 그들을 통해 공급 망 전체에 파급되는 것은 당연하다. 미국의 Morgan∙Lewis & Bockius 법률사무소의 마크 씨는「거래처가 중요정보를 누설한다면 규제당국이 책임을 묻기 때문에, 미국 기업은 거래처의 보안 대책을 엄격하게 체크하는 것을 당연하게 생각하고 있다」고 지적한다. 그렇게 되면, 방위산업에 상품이나 서비스를 납품하고 있는 많은 일본기업과도 관계되는 것이다.

앞으로 1년 2개월 안에 대응할 수 없는 기업은 연간 수십 조 엔이라는 국방성의 조달시장으로부터 퇴출될지도 모른다. 그러나「일본 기업은 규제가 초래할 충격에 대해 제대로 인식 못하고 있다」라며, 안전보장에 관한 전문가인 다마대학(多摩大学) 룰(Rule)형성전략연구소의 고쿠분 소장은 한탄한다.

국방성뿐 아니라 그 이외의 허들도 높아지고 있다. 미연방조달청(GSA)은 이미 연방정부기관의 조달에 관여한 모든 계약자에게 NIST의「Cyber Security Framework(CSF)」에 근거하는 대책을 의무화하고 있다. 시스템 방어만이 아니라 사이버 공격을 받았을 때의 복구 방책도 강구할 필요가 있다.

배경에는 오바마 정권의 강한 의지가 있다. 2013년에 대통령령을 통해「미국의 중요 인프라의 Security와 Resilience를 높인다」라는 정책을 제시했다.「Resilience」라는 것은 복원력이라는 의미다. 사이버 공격은 불가피하며, 오히려 어떻게 복구하는가가 중요하게 되었다. 공격에 대처할 수 없는 기업은 미국 정부를 상대로 사업을 할 수 없다. 그런 시대가 점점 다가오고 있는 것이다.

사이버 보안을 무시하는 기업은 규제당국의 제재대상도 된다. 미국 공소재판소는 2015년 8월, 기업의 보완 대책을 감독하는 권한이 미국 연방거래위원회(FTC)에 있다고 인정했다. FTC는 그에 앞서, 적절한 대책을 강구하지 않고 신용카드 정보를 3번 누설한 미국 호텔체인을「비공정 거래를 했다」라며 제소했다. 「Days Inns」등을 전개하는 이 호텔체인은 FTC로부터 보안 대책의 확충 등을 요구 받았다. 정부의 압력이 급속히 높아지는 가운데 미국 기업은 모든 방법을 동원하여 보안 강화에 나서고 있다.

-- 대책에 화이트해커가 협력 --

-- 사이버 무 대책은 주주소송으로 --
사이버 방위를 허술하게 하면 미국에서는 주주들의 소송 대상이 된다. 때문에 경영자는 위기감을 가지고 투자하고 있다. 한편으로 일본 기업은 투자를 소홀히 하여 범죄 집단의 먹이가 되고 있다. 어떻게 하면「사이버 무 대책」에서 벗어날 수 있을까? 방법은 크게 4가지를 들 수 있다.

첫째, 미국의 풍부한 식견을 도입해야 한다.
둘째, 사이버 공격으로 업무가 마비될 때의 손실을 금액으로 산정해 두어야 한다.
셋째, 조직을 정비하고 책임소재를 명확히 해 두어야 한다.
넷째, 가장 중요한 것은 인재를 확보하는 것이다.

-- 은행 총재 취임 전에 받는 “세례” --

     -- 끝 --