8 October 2024
안녕하세요 인텔렉추얼데이터입니다.
인터넷의 등장 이후 해킹과 사이버 범죄의 위협은 항상 존재하는 문제였습니다. 하지만 최근에는 이런 공격의 양상이 더욱 위협적으로 다가오고 있습니다.
우리 세대에 있는 결정적인 위협, 사이버 테러
NSA 사이버보안 국장 롭 조이스(Rob Joyce)가 해킹 그룹 Insidious Taurus(일명 Volt Typhoon)에 대해 다시 언급했습니다. 중국 정부를 배후에 둔 것으로 알려진 이 해킹그룹은 지난 2월, 구글 클라우드 맨디언트 인텔리전스 부사장 샌드라 조이스(Sandra Joyce)에 의해 언급되었었는데요. 당시 샌드라 부사장은 "볼트 타이푼은 조직의 탐지 레이더를 피해 수자원 처리 공장, 전력 등 주요 인프라를 목표 대상으로 삼는 데 매우 집중하고 있다"고 말했습니다.
이들의 공격은 상당히 예전부터 있었는데요. 2023년 5월 24일에 공동 CSA(Cybersecurity Advisory, 사이버보안 권고안)을, 그리고 2024년 2월 7일에 두 번째 공동 CSA를 재차 내면서 보안 위기를 경고했습니다. 심지어 2024년 1월 31일 미국 하원 특별위원회에서 일어난 청문회에서 크리스토퍼 레이 FBI 국장은 이 해킹 그룹에 대해 "우리 세대에 있는 결정적인 위협"이라고 말할 정도였습니다.
데이터를 넘어 현실세계에 대한 보다 직접적 공격
미 국가안보보좌관 제이크 설리번(Jake Sullivan)과 미국 환경보호청(EPA) 청장 미첼 레건(Michael Regan) 역시 서한을 통해 이들의 사이버 공격이 발생할 경우 미국 전역의 상하수 시스템이 타격을 받을 수 있다고 언급했는데요.
NSA는 이들의 활동 목표가 미중 사이 갈등이 발생할 경우 미국과 동아시아에 대한 군사 배치를 방해하는 한편, 미국 내 주요 시스템을 공격하여 광범위한 공황을 조장하기 위함이라 말했습니다. 한편 이들 뿐 아니라 이란의 이슬람 혁명 수비대와 연계된 조직인 Cyber Av3ngers로 알려진 그룹의 위험성 역시 지적되었습니다.
Cyber Av3ngers는 수자원 인프라 관련 회사인 Unitronics가 만든 장치를 공격했습니다. Unitronics가 장치의 기본 비밀번호를 변경하면서 공격은 실패하였는데요. 기본 비밀번호 변경과 같은 기본적인 사이버 보안 예방 조치를 통하여 파괴적인 사이버 공격을 예방할 수 있었습니다.
위협에 대응하기 위한 세계 각국의 노력
사이버 테러가 점점 '저렴한 공격'이 되어 국제사회에 위협이 되고 있는 것을 확인할 수 있는 또 다른 대목이 3월 19일 있었던 유럽 디지털 부문 위원회 회의였습니다. EU는 2024년 사이버 보안에 2억 1400만 유로의 예산을 투자하였는데요. 이는 종래 예산의 두 배에 해당하는 수준입니다. 지난 3월 5일, EU는 EU 전역에 사이버 공격에 대한 집단적 대응 능력을 제고할 수 있도록 사이버 허브를 포함한 인프라 구축 결의안을 통과시키기도 했습니다.
현재 EU는 NIS2(네트워크 및 정보 보안 지침)로의 이행을 포함, 최근 승인된 사이버 복원력법 등 다양한 방법으로 사이버 보안에 대응하고 있는데요. 마르가리티스 쉬나스(Margaritis Schinas) EU 안보담당 집행위원의 수석 책임자 데스피나 스패누(Despina Spanou)는 규제뿐 아니라 이행에 초점을 둘 것을 강조했습니다. 27개 EU 회원국은 올해 10월 17일까지 NIS2를 국내법으로 전환, 출범해야 합니다. 이 규제는 에너지, 운송, 은행, 수자원 및 디지털 인프라와 같은 중요한 인프라를 보호하는 것을 목표로 하는데요. 지금까지의 EU의 경향성으로 미루어 보아 이후 EU와 거래하는 각국에서도 동급의 보안 조치가 요구될 가능성이 큽니다.
EU 회원국 공통의 사이버 보안 구축을 위한 NIS2 규제
NIS2는 NIS(Network and Information Security) 지침의 이전 버전을 업데이트한 것으로, 이를 통해 EU 회원국 전체에 공통의 사이버 보안 수준을 구축하는 것을 목표로 합니다. NIS2는 현재 이슈가 되고 있는 GDPR(General Data Protection Regulation)과 마찬가지로 디지털 인프라를 보호하기 위한 EU 회원국 전반의 조치와 접근 방식, 즉 증가하는 사이버 공격에 대처하기 위한 모범 사례를 조율하는 데 중점을 두고 있습니다.
실제 애플리케이션이 적용되는 범위가 넓어지면서 에너지, 리테일, 운송, 은행, 보건, 공공 행정 등과 같은 필수적이고 중요한 기관의 사이버 보안으로 강화/확장되었는데요. 이 지침은 국경을 넘는 공급망과 서비스 벤더사의 보안 역시 규제하고 있습니다. NIS2를 통해 요구되는 조치의 예시는 아래와 같은 것들이 있습니다.
- 리스크 분석 및 정보 보안 정책
- 철저한 인시던트 처리
- 비즈니스 연속성 및 위기 관리
- 강력한 공급망 보안
- 광범위한 네트워크 보안
- 취약점 처리 및 공개
- 사이버 보안 리스크 관리의 효율성을 평가하는 정책 및 절차
- 암호 및 암호화 사용
GDPR과 마찬가지로 NIS2를 준수하지 않으면 상당한 벌금이 부과될 수 있습니다. 현재 NIS2 초안 제31조에는 EE(Essential Entity)의 경우 위반 시 최소 1천만 유로 또는 전 세계 연간 매출의 2%를 벌금으로 낼 것을, IE(Important Entity)의 경우 최소 7백만 유로 또는 전 세계 연간 매출의 1.4%를 벌금으로 낼 것을 규정하고 있는 것으로 알려져 있습니다.
EE에 해당하는 단체는 운송, 에너지, 은행업, 보건, 수자원이고 IE에 해당하는 단체는 우편 및 택배, 폐기물 관리, 화학 생산 및 가공, 식품, 검색 엔진, 소셜 네트워킹 플랫폼을 포함한 모든 디지털 데이터 공급업체가 해당됩니다.