작년 여름 라스베이거스에서 개최된 세계적 해킹대회 '데프콘 해킹 컨벤션'에서 포티파이 소프트웨어의 보안컨설턴트 두 명이 수많은 해커와 FBI 요원, 보안전문가들이 지켜보는 가운데 단돈 6달러와 몇 줄의 코드입력만으로 한 회사의 웹사이트를 무려 2시간이나 불통으로 만드는 시범을 보였다.
보안솔루션기업 트러스트웨이브에서 고객 보안시스템의 취약점을 찾는 침투테스터로 활동 중인 데이비드 브라이언은 이렇게 말한다.
"우리의 해킹 무기가 뭐냐구요? 바로 '클라우드(cloud)'입니다."
클라우드는 하드드라이브 이외에 저장된 인터넷 상의 모든 데이터를 가리킨다. 하지만 보안 및 IT 전문가들이 말하는 클라우드는 가정용 PC나 기업의 서버를 대신해 정보를 저장하고 소프트웨어를 호스팅하며 데이터 처리를 담당하는 원격접속형 서버팜(server farm)을 지칭한다.
웹 어플리케이션, 인터넷 운영체제, 그리고 우리가 플리커와 페이스북에 업로드한 모든 콘텐츠가 이 가상 컴퓨터(VM, Virtual Machine)에 저장돼 있다. 현재 아마존, 마이크로소프트, 구글을 포함한 수십개의 기업들이 클라우드 서비스를 제공한다. 따라서 누구든 신용카드와 이메일 주소만 있으면 언제 어디서나 접속 가능한 원격 서버를 빌릴 수 있다.
그리고 클라우드 계정을 사용해 기존에 데스크톱 PC와 기업서버를 가지고 했던 모든 작업을 할 수 있다. 시장조사기관 인스탯에 따르면 2009년 미국 기업들은 이 같은 클라우드 서비스에 30억 달러를 지출했으며 2014년에는 그 규모가 130억 달러에 달할 전망이다.
이렇게 클라우드의 보급 확산으로 개인과 기업의 편의성은 크게 증진됐다. 그러나 예전에 없던 위험부담도 새로 생겼다. 개인 정보, 신용카드 번호, 지적재산 등 기업들이 보유 중인 모든 정보를 저장하고 있는 클라우드가 악의적 해커들의 표적이 되고 있는 것.
특히 클라우드는 기존의 개인 PC나 기업 서버와 비교해 보안상태가 매우 취약해 사이버 범죄자들에게는 최적의 먹잇감이다.
클라우드 침투
클라우드가 보안에 취약한 이유는 명확하다. 개인 PC 등과 달리 방화벽으로 보호받지 못하고 원격접속을 허용해야 하는 태생적 속성 때문이다.
이뿐만이 아니다. 클라우드는 하드웨어 할당, 고객관리 등 무수한 실행 소프트웨어가 필요하다.
각 고객들이 다운로드 받아 설치한 프로그램들도 들어있다. 현재 해커들은 이런 클라우드 소프트웨어의 약점을 공략하는 새로운 악성코드 '멀웨어'의 시험을 시작했다.
일례로 해커는 각 가입자의 가상 컴퓨터가 지닌 보안상 허점을 찾아 클라우드를 탐색하는 웜바이러스의 개발이 가능하다. 유명 네트워킹 장비기업 시스코시스템스의 클라우드 솔루션부문 책임자인 크리스토퍼 호프의 말이다.
"클라우드는 취약점 공격은 용이한 반면 공격 탐지는 어려워 피해가 증폭될 수 있습니다." 클리우드 해킹이 얼마나 만연돼 있는지 구체적 수치를 들기는 어렵다.
클라우드 업체들이 해킹공격을 받은 고객에게 함구를 요청하는 관행은 이의 파악을 어렵게 한다. 하지만 클라우드 해킹의 약 12%가 경제적 이익을 위한 것으로 알려지는데 데프콘 대회에 참가한 해커의 상당수가 보안기업에 직·간접적으로 고용돼 있다는 점에서 불안감은 결코 작지 않다.
공격 실행
오늘날 해커들의 공격 대부분은 자신에게 통제되는 대규모 시스템 네트워크인 일명 '봇넷(Botnet)'을 이용한다. 봇넷은 보통 웹사이트를 바이러스로 감염시킨 후 사이트 방문자의 PC에 비밀 뒷문(back door)을 만든다.
이렇게 수백에서 수백만 대에 이르는 PC를 감염시켜 필요할 때 조종하게 된다. 감염된 PC에 대한 바이러스 메일 발송, 웹사이트 접속 차단, 개인정보 탈취 등이 가능하다. 해커에게 있어 봇넷만큼 효율적이고 침투력이 우수한 공격수단은 아직 없다.
하지만 클라우드 특유의 무한한 연산능력과 대역폭 덕분에 해커들은 이제 빌리거나 탈취한 클라우드 공간으로도 봇넷과 유사한 공격을 감행할 수 있다.
호퍼에 의하면 이 공격은 노력과 노출위험은 적지만 대단히 민첩하며 파급효과도 엄청나다. 해커들은 또 가상 컴퓨터를 통해 기존 PC 기반의 봇넷들을 장악할 수 있는 방법도 찾아냈다.
아마도 다음에 등장할 것은 '가상 컴퓨터 봇'일지 모른다. 이 경우 여러 클라우드에 속한 다수의 가상 컴퓨터 봇에 악의적 명령을 내려 방대한 봇넷을 즉각 구축할 수 있다.
현존 최대 종량제 클라우드인 아마존 EC2 클라우드를 예로 들어보자. EC2는 미 항공우주국(NASA)이 임무데이터 분석에, 넷플릭스가 영화 스트리밍에 사용 중인 클라우드로 해커들은 EC2를 가지고 다른 웹사이트에 심대한 타격을 가할 수 있다.
브라이언은 이렇게 말한다. "사이버 테러범은 공격 중단의 대가로 기업에 거액의 돈을 요구할 수 있습니다. 혹은 그 기업의 경쟁자에게 돈을 받고 공격을 대행할 수도 있죠."
봇넷 공격의 전형은 디도스(DDos)다. 이는 지난 10년간 큰돈을 벌 수 있는 사이버 비즈니스의 핵으로 떠올랐다.
그리고 클라우드로 인해 디도스의 실행은 더 쉬워졌다. 해커가 클라우드 밖에서 디도스 공격을 하려면 작은 봇넷 하나의 구축에도 엄청난 시간과 코드 작업이 필요하다. 반면 브라이언은 신용카드와 이메일 주소로 EC2에 가입, 3대의 가상컴퓨터를 장악해버렸다.
또한 보안기업 넷스파이의 분석관 마이크 앤더슨과 함께 이들 가상컴퓨터에게 특정 웹서버에 초당 1만개의 빈 데이터 패킷을 보내라고 프로그래밍했다. 바이러스를 심은 이메일 하나 보내지 않고 디도스 공격 준비를 마친 것이다. 더구나 앤더슨의 설명으로는 가상 컴퓨터를 셧다운 시키면 이 범죄활동의 증거는 하나도 남지 않는다.
전문가들은 클라우드 업체들이 하나의 물리적 시스템에 다수의 가상 컴퓨터를 호스팅 한다는 점에서 향후 3년 내 가상 컴퓨터 간의 공격이 이뤄질 것으로 예견한다. 해커가 만든 가상 컴퓨터를 통해 동일 클라우드 내의 가상 컴퓨터에 데이터 탈취용 코드를 넣는 것이 그것이다.
더 끔찍한 시나리오는 가상 컴퓨터 사용자가 클라우드 서비스 업체의 관리프로그램을 공격하는 멀웨어에 감염되는 것이다. 이때는 해당 관리프로그램이 제어 중인 모든 가상 컴퓨터의 통제권이 해커의 손에 들어간다.
물론 보안시스템 연구자들은 클라우드를 무대로 벌어지는 이 같은 신종 멀웨어 공격을 방어할 방법을 연구 중이다. 다만 미국 텔레콤 기업 뉴스타의 선임기술자 로드니 조페는 이렇게 토로했다.
"클라우드에 서비스를 많이 옮겨놓을수록 해커는 더 손쉽게, 더 많은 시스템을 장악하게 됩니다. 단 하나의 취약점만 찾아내도 게임은 끝나죠"
사이버 테러의 역사
1982년 엘크 클로너
미국 고교 1학년생이 친구들을 짜증나게 하기 위해 만든 엘크 클로너(Elk Cloner) 바이러스를 애플 II 컴퓨터 플로피 디스크에 담아 유포. 최초의 컴퓨터 바이러스.
1986년 PC-라이트
유명 워드프로세서였던 PC-라이트(PC-Write)로 위장한 최초의 트로이 목마 바이러스 출현.
1988년 모리스 웜
모리스 웜(Morris Worm) 바이러스가 인터넷의 선조인 아르파넷에 연결된 컴퓨터 10%를 감염. 추정 재산피해가 1억 달러에 이르는 최초의 대규모 웜 바이러스 공격.
1998년 솔라 선라이즈
미국 정부를 노린 최초의 멀웨어 공격 발생. 10대 3명이 만든 멀웨어 ‘솔라 선라이즈(Solar sunrise)’에 수백대의 PC가 감염.
2003년 소빅 봇넷
봇 프로그램을 숨긴 최초의 이메일 웜 ‘소빅(SoBig)’에 의해 전 세계 PC 수백 대가 감염. 이윤창출을 목적으로 한 멀웨어 공격의 원년.
2005년 컴워리어
MMS로 전파되는 최초의 모바일 웜 ‘컴워리어(CommWarrior)’ 등장. 휴대폰으로도 PC만큼 빠르게 멀웨어가 전파될 수 있음이 증명됨.
2007년 에스토니아 봇넷 공격
에스토니아 전역이 대대적 봇넷 공격에 노출. 주요 네트워크에 128차례의 디도스 공격이 가해짐. 국가 전체를 대상으로 한 최초의 멀웨어 공격.
2008년 콘플릭커
‘콘플릭커(Conficker)’ 봇넷이 윈도 운영체제의 결함을 공략, 약 1,500만대의 PC를 감염시킴. 현재까지 확인된 세계 최대 규모의 봇넷.
2009년 아마존 EC2 봇넷
아마존 EC2 클라우드에서 패스워드 절취용 봇넷인 제우스(Zeus)의 컨트롤 센터가 발견됨. 종량제 클라우드 서버에서 봇넷을 운용한 최초의 주목받은 사례.
2010년 스턱스넷
국가 기반시설에 많이 쓰이는 지멘스의 산업자동화시스템 제어 소프트웨어인 ‘스텝7’을 공격하는 웜 바이러스 ‘스턱스넷(Stuxnet)’ 발견. 스텝7에 입력된 명령을 무력화해 오작동을 유발하는데 이란 원자력발전소의 원심분리기가 피해를 입음.
이거 얼마예요?
개인정보 및 사이버 범죄의 암시장 거래가?
전기요금 청구서 사본: 10달러
모든 신상정보: 6~80달러
구글 지메일 아이디 및 비밀번호: 80달러
페이스북 아이디 및 비밀번호: 300달러
여권 사본: 20달러
운전면허증 사본: 20달러
예금계좌 크리덴셜: 15~850달러
한도 1,000달러 신용카드: 25달러
신용카드 및 카드 소유자 개인정보: 80달러
초보자용 봇넷 제작 키트: 700달러
표준형 사이버범죄 프로그램 제작 키트: 100~1,000달러
해킹한 국방 웹사이트 통제권: 500달러
봇(bot): 3센트 (대량구매만 가능)
최대 1만개의 봇으로 이뤄진 봇넷 임대료: 시간당 200달러
디도스(DDoS) 공격 대행: 일당 100달러
※자료: 캐스퍼스카이 랩, 시만텍, 트렌드 마이크로
