랜섬웨어를 비롯한 각종 사이버 범죄 진입장벽이 낮아지고 있다. 전문지식이 없어도 돈을 내고 범죄용 서비스형 소프트웨어(SaaS)를 구매하면 간편하게 사이버 공격을 수행할 수 있게 됐기 때문이다. 이에 따라 방어자와 공격자 간 전력도 뒤바뀌게 됐다. 그간 보안업계는 공격자에 비해 방어 전력이 더 많다고 판단해왔으나, SaaS로 범죄가 사업화되자 수세에 몰린 것.

전문가들은 보안이 일상생활에 스며들어야 한다고 강조한다. 특정 전문가들만의 리그로 전락해서는 안된다는 의미다.

사이버 범죄 시장은 이미 문전성시

신종 코로나바이러스 감염증(코로나19) 팬데믹은 사회에 변화를 일으켰다. 특히 디지털전환(DT) 가속화에 따른 기술 발전은 4차 산업혁명시대를 앞당겼다. 이같은 환경은 사회 전반에 기회와 편의성을 제공했다. 문제는 사이버 범죄조직들도 수혜를 입었다는 사실이다.

시스코(Cisco) 보고서에 따르면 지난해 글로벌 사이버 범죄 피해 규모는 6조9330억달러(8985조1680억원)에 달하며, 오는 2025년에는 10조달러(1경2960조원)까지 증가할 것으로 예상되고 있다.

또한 '2022 블랙베리 연간 위협 보고서'에 따르면 지난해 발생한 대규모 사이버 범죄 중 아웃소싱된 형태가 증가한 것으로 나타났다. 여러 사건에서 발견된 악성코드 실행 절차(IP주소, 명령, 대상 목록) 등을 분석한 결과, 랜섬웨어 등을 제작한 개발자가 직접 공격을 수행하지 않은 것. 즉, 인프라를 제공하는 제작자와 이를 구매해 실제로 공격을 수행하는 형태의 시장이 이미 완성돼있다는 의미다. 

에릭 밀람(Eric Milam) 블랙베리 리서치 앤 인텔리전스 부사장은 "사이버 범죄는 대중을 더 잘 속이기 위한 방법을 연구하고 있다"며 "사이버 지하 세계 인프라는 더욱 시기적절하고 개인화된 수법으로 진화하고 있다"고 설명했다. 이어 "이러한 인프라는 위협 그룹을 통해 악성 프로그램을 공유하고 아웃소싱함으로써 대규모 공격을 가능하게 하는 범죄 공유 경제를 육성했다"며 "지난해 가장 큰 사이버 범죄의 일부도 이러한 아웃소싱의 결과로 보인다"고 덧붙였다.

문종현 이스트시큐리티 시큐리티센터(ESRC) 센터장은 "SaaS 기반 범죄 서비스가 횡행하고 있고, 이를 판매하는 범죄조직들이 많다"며 "다른 국가에 원격으로 인프라만 팔아 환경만 제공하고, 이를 또다른 제 3자의 범죄자가 구매해 시장이 만들어지는 구조"라고 강조했다.

이에 따라 전문지식이 없어도 누구나 간단하게 공격을 수행할 수 있으며, 범죄로 큰 돈을 벌 수 있다는 공감대가 확산되고 있다. 특히 최근에는 인프라 제작자로부터 도매 형태로 프로그램을 구매해, 소매로 다른 범죄자에게 팔아넘기는 방식도 나타나고 있는 것으로 나타났다. 문 센터장은 "공격 프로그램 제작자와 구매자, 다시 그것을 판매하는 단계별 다양성을 보이고 있다"며 "특히 인프라에 무엇을 담느냐에 따라 랜섬웨어, 백도어, 디도스 등 다양한 공격이 가능해 추적·분석하는 입장에서 하나의 조직으로 특정하기 어렵다"고 설명했다

이어 "SaaS 기반 아웃소싱으로 인해 인프라만 제공하고 수수료를 챙긴 원제작자를 잡기는 더욱 어려워졌다"며 "만약 누군가 악성파일을 뿌린다고 해도 하나의 조직이나 인물로 특정하기 어려운 시대"라고 덧붙였다.

수세에 몰린 방어전력, 일상화된 보안 '간절'

보안 전문가들은 점점 한계가 찾아오고 있다고 호소한다. 공격자들이 기하급수적으로 증가하면서 전력 '비대칭화'가 심화되고 있기 때문이다. 또한 하루가 다르게 공격 횟수가 증가하는 것은 물론, 추적과 분석이 쉽지 않아 성과 또한 내기 힘든 상황이다. 이에 따라 방어 인력은 이탈을 거듭하고 있다는게 업계 중론이다.

국내 한 보안 전문가는 "공격자는 많아지고, 수준도 높아지는 반면, 방어하는 전문가들은 상황을 견디지 못해 떠나거나 다른 직종으로 전향한다"며 "전력의 불균형은 물론, 노력에 비해 얻는 성과 또한 공격자와 큰 차이가 나기 때문에 회의감을 느끼는 경우가 많다"고 말했다.

전문가들은 이같은 상황을 타개하기 위해선 보안이 일상생활에 스며들어야 한다고 강조한다. 이메일 등 대부분의 사이버 공격이 일반 사용자로부터 시작되는 만큼, 보안이 당연시 되도록 홍보와 안내를 늘리고, 이를 통해 공격 성공률을 줄여야 한다는 것. 특히 보안 강화가 사용성을 해친다는 이유로 괄시받아선 안된다고 강조한다.

국내 한 보안 전문가는 "중요성과 경각심을 바탕으로 다같이 동참하는 상황을 만들어야 한다"며 "대국민 공익광고나 유명인, 웹툰 등을 활용해 생활밀착형으로 홍보와 안내를 하는 것이 효과적일 것"이라고 설명했다. 이어 "스마트폰과 컴퓨터 사용이 일반화된 만큼 보안은 특정 전문가들만의 것이 아닌 모든 사람에게 필요한 것"이라며 "기본 보안 수칙이 당연시돼야 한다"고 덧붙였다.

또다른 전문가는 "서비스를 제공하는 기업 또한 2차 인증 등 보안 조치를 사용자 선택사항으로 제공해서는 안된다"며 "보안을 강화하면 사용성을 해친다는 이유로 선택권을 부여하지만 사고가 발생하면 결국 피해는 기업과 사용자들이 입는다는 사실을 깨닫고 더 적극적인 조치를 취해야 한다"고 강조했다.

김가은 기자 7rsilver@techm.kr