사이버 범죄의 심각성은 흔히 숫자로 설명된다. 2025년까지 전 세계 피해 규모는 10조 5,000억 달러에 이를 것으로 전망된다. 사이버 범죄가 하나의 국가라면 미국과 중국에 이어 세계 3위 경제 규모에 가까운 액수다. 피싱, 가짜 웹사이트 등 온라인 사기만 하더라도 피해 금액은 약 1조 300억 달러에 달하는 것으로 나타났다. 최근에도 랜섬웨어와 대규모 조직을 겨냥한 금융 공격은 급증하고 있다. 이런 이유로 사이버 범죄를 단순히 금전적 목적에 국한된 것으로 이해하기 쉽다.
사이버 범죄의 주요 동기가 경제적 요인인 것은 사실이지만, 오늘날에는 그 범위를 넘어서고 있다. 일부 연구에서는 정부 대상 공격의 95%가 금전적 동기에 기반한다고 분석하는 반면, 또 다른 연구에서는 범죄 집단의 55%만이 수익 추구를 목적으로 한다고 봤다. 하지만 비금전적 동기라 하더라도 피해의 심각성은 동일하다. 기업 평판 손실, 전략 차질, 핵심 인프라 훼손으로 이어질 수 있기 때문이다.
인시베-서트(Incibe-CERT)의 매니저 패트리시아 알론소 가르시아는 “최근에는 최대한의 언론 노출 효과를 노리려는 동기가 점점 더 흔해지고 있다”라고 분석했다. 그는 대표적인 사례로 이념적, 정치적 이유를 꼽으며 “특정 기관이나 정부, 기업을 불안하게 하려는 목적”이라고 말했다. 이런 동기는 복잡한 국제 정세 속에서 더욱 두드러지고 있다. 세계경제포럼(WEF)의 최신 사이버 보안 보고서에 따르면, 기업의 60%가 지정학적 긴장이 전략에 영향을 미쳤다고 답했으며, CEO 3명 중 1명은 민감 정보 유출과 사이버 스파이 행위를 최우선 우려 사항으로 꼽았다.
판다 시큐리티(Panda Security)의 글로벌 소비자 운영 매니저 에르베 램버트는 “사이버 범죄를 이야기할 때면 항상 경제적 동기를 이야기하기 마련이다. 하지만 그것이 유일한 이유는 아니다”라고 말하면서, 정치적·군사적 사이버 첩보를 예로 들었다. 그는 이를 “정부와 연계된 국가나 행위자가 전략적 정보를 얻기 위해 침투를 시도하는 행위”라고 설명했다. 또한 그는 ‘사이버 전쟁’도 포함된다고 지적하며, “중요 시스템을 파괴하거나 무력화해 쓸모없게 만드는 공격으로, 금전적 목적이 아니라 전쟁 수행을 유리하게 하거나 파괴 공작을 돕는 데 목적이 있다”라고 말했다.
2010년 스턱스넷(Stuxnet) 웜이 이란 핵 시설을 공격한 사건 이후, 전략적·정치적 목적의 사이버 공격은 불안정을 초래하는 수단으로 빈번히 활용돼 왔다. 가장 최근 사례는 러시아의 우크라이나 침공 이후 러시아 측이 우크라이나를 겨냥해 감행한 일련의 사이버 공격에서 확인됐다. 유럽연합 사이버보안기구(ENISA)의 최신 위협 보고서에 따르면, 국가와 연계된 공격 세력은 충분한 자금과 자원을 바탕으로 활동하며 타국의 정부 기관뿐 아니라 민간 조직까지 공격해 기밀 정보를 탈취하거나 자국 재정을 확보한다. 또한 이러한 활동에는 허위 정보 캠페인도 포함될 수 있다. 유니에대학교(UNIE Universidad) 사이버보안 석사 과정 책임자 후안 호세 놈벨라 교수는 이를 “국민이나 군대의 사기를 꺾고 의욕을 잃게 하는 데 초점을 맞춘 행위”라고 말했다.
Panda. En la imagen, Hervé Lambert, gerente global de operaciones de consumo de Panda Security.
놈벨라 교수는 이처럼 이념적 동기와 맞닿아 있는 것이 바로 해킹 행동주의(핵티비즘, Hacktivism), 즉 경제적 이익을 추구하지 않고 특정 목적을 좇는 사이버 범죄자라고 설명했다. 이 공격은 정치적, 사회적, 윤리적 이유로 기업, 조직, 나아가 정부까지도 표적으로 삼을 수 있다.
하지만 사이버 범죄의 시작은 악의적 의도가 아닌 실험이었다. 1970년대 초에 등장한 크리퍼(Creeper)라는 최초의 컴퓨터 웜은 기존 네트워크인 아파넷(ARPANET)을 사용하는 컴퓨터에 복사된 메시지를 자동으로 퍼뜨리는 실험용 프로그램이었다. 이를 만든 밥 토머스와 레이 톰린슨은 악의적 의도를 가진 것이 아니라 당시 태동기에 있던 컴퓨터 과학 분야에서 단순히 실험을 한 것이었다. 오늘날 업계의 사이버 범죄 대부분이 이 아이디어에서 비롯됐다. 물론 지금도 이 전통을 이어받아 금전적·이념적 목적이나 파괴 행위를 노리는 대신 개인적 도전 의식과 같은 심리적 동기를 따르는 해커가 있다.
놈벨라 교수는 “젊은층이나 사이버보안 입문자가 커뮤니티 내에서 점수나 명성을 얻기 위해 활동하는 경우가 많다”라고 설명하며, “이런 활동은 대체로 중소기업(SME)을 대상으로 한다. 중소기업이 규모 면에서 가장 취약할 뿐 아니라, 해커가 학습할 수 있는 기회가 되기 때문”이라고 분석했다.
다만 가르시아는 개인적 성취를 인정받아 명성을 얻으려는 해커의 동기와 ‘불만을 품은 직원이나 고객의 개인적 복수심’과 같은 다른 악의적 동기를 구분했다. 놈벨라 교수는 이에 대한 사례를 들며, 내부적으로 CISO의 권위를 약화시키거나 벤더를 교체하려는 시도, 외부적으로 비협조적 직원이나 해고된 인력에 대한 보복 등을 꼽았다. 그가 몸담고 있는 교육 분야에서는 학생이 정보를 탈취하거나 시스템을 해킹하는 경우도 있는데, 직접적인 금전 피해는 없더라도 심각한 평판 손상으로 이어질 수 있다고 설명했다. 또한 판다 시큐리티의 램버트는 복수나 불만과 관련해, 감정적 관계에서 비롯된 사이버불링(cyberbullying)도 만연한 상황이라고 언급했다.
가르시아는 “서로 다른 동기들이 상호 배타적인 것은 아니다. 공격자들은 상황에 따라 여러 목적을 동시에 추구할 수 있다. 단독 동기로 나타나기도 하고, 서로 결합돼 사이버 공격을 더 분석하기 어렵게 만들기도 한다”라고 말했다. 즉, 특정 개인이나 집단이 정치적 목적을 갖고 있으면서도 행동을 은폐하거나 자금을 확보하기 위해 몸값을 요구할 수 있으며, 국가 간 갈등 상황에서는 이를 틈타 이익을 노린 공격이 이뤄질 수도 있다는 것이다.
사이버 방어 업계에 주는 시사점
기업 입장에서는 사이버 공격의 주요 동기를 이해하는 것이 효과적인 방어 및 사고 대응 전략을 세우는 데 중요한 의미가 있다. 가르시아는 “위험을 사전에 예측하고 사건에 능동적으로 대응하는 방법”이라고 설명했다.
UNIE. En la imagen, Juan José Nombela, director del Máster en Ciberseguridad en la Universidad.
램버트는 “사이버 공간에서 피해는 단순히 금전적 손실에 그치지 않는다. 따라서 해결책은 다양한 동기를 모두 고려해야 한다. 이는 기존의 패러다임과 대응·예방 체계 자체가 근본적으로 바뀐다는 의미”라고 말했다. 그는 “전략이 기술적 보안에만 집중된다면 사이버불링이나 핵티비즘 같은 요소가 간과될 수밖에 없다”라고 덧붙였다.
놈벨라 교수 역시 이에 동의하며, 공격 동기를 파악하는 일은 곧 방어 방식이 달라질 수 있다는 의미라고 설명했다. 그는 “결국 중요한 건 위험 분석이다. 조직에 가장 현실적인 위협이 무엇인가를 파악해야 한다. 금전적 공격 가능성은 항상 존재한다. 특히 랜섬웨어 형태로 나타나기 때문에 사용자의 보안 인식을 강화해야 한다. 하지만 동시에 불성실한 내부 인력과 같은 비금전적 위험도 간과해서는 안 된다”라고 조언했다.
이런 전략은 상황에 따라 재조정되거나 보강돼야 한다. 예를 들어, 지정학적으로 민감한 핵심 산업에서 활동한다면 허위 정보 유포 같은 요소를 반드시 고려해야 한다. 또 경쟁이 치열한 산업 환경에서는 기업 파괴 행위 가능성까지 염두에 둬야 한다. 이 경우 위협 인텔리전스 도구나 정보 유출 방지 시스템과 같은 수단이 필요하다. 놈벨라 교수는 “핵심은 주변에서 일어나는 상황을 기반으로 위험을 미리 감지하고 대비하는 것이며, 이는 사후 대응이 아니라 선제적으로 이뤄져야 한다”라고 설명했다. dl-ciokorea@foundryco.com
