우크라이나를 침공한 러시아는 세계 경제만이 아니라 사이버 공간도 뒤흔들고 있다. 이 전쟁 때문에 우리는 하이브리드전의 실체를 뚜렷하게 볼 수 있게 됐다. 일을 좀 더 구체적으로 나눠보는 시간이 필요하다고 MS는 강조한다.

[보안뉴스 문가용 기자] 러시아의 우크라이나 침공은 지정학의 측면에서나 경제의 측면에서나 상당히 큰 혼란을 야기한 커다란 사건이다. 그런데 거기서 끝이 아니다. 사이버 보안이라는 분야에서도 결코 작다고 할 수 없는 변화를 일으키고 있다. 서울 삼성동 코엑스에서 열리고 있는 ISEC 2022 행사에서 기조 연설자로 나선 MS 아시아 총괄 만다라 자바헤리(Mandara Javaheri)는 이 사건을 사이버 보안의 관점에서 정리했다.


그는 이 전쟁을 ‘하이브리드 전’이라고 불렀다. 물리적인 군대의 운용만이 아니라 사이버전 부대의 활동도 눈에 띄기 때문이다. 러시아는 예전부터 하이브리드 전의 대가로 알려져 있었다. 앞에서는 미사일을 쏘고 뒤에서는 해커들의 검은 손길을 적국의 사이버 공간으로 침투시키는 데 있어 러시아만큼 경험이 풍부한 국가가 드무니, 그러한 칭호는 과장된 것이 아니다. “하지만 러시아가 불법적인 공격을 한다는 것만으로는 우리가 배울 수 있는 게 없습니다. 그들의 사이버전이 어떤 양상을 띄고 있는지를 알고 있어야 다음 번의 공격을 보다 효과적으로 막을 수 있죠.”

파괴를 목적으로 한 사이버 공격
자바헤리가 짚은 러시아 사이버 공격의 첫 번째 유형은 파괴형 공격(destructive attacks)이다. 데이터나 디스크를 완전히 삭제함으로써 직접적인 피해를 적에게 입히는 것을 목적으로 한 공격이다. “우리가 와이퍼(wiper)라고 부르는 유형의 멀웨어들이 이런 공격에 사용됩니다. 이번 러시아-우크라이나 전쟁에서 사용된 와이퍼 멀웨어는 다양합니다. 현재까지 발견된 것만 위스퍼게이트(WhisperGate), 폭스블레이드(FoxBlade), 소닉보트(SonicVote), 캐디와이퍼(CaddyWiper), 데저트블레이드(DesertBlade), 인더스트로이어2(Industroyer2), 아이작와이퍼(IsaacWiper), 파이버레이크(FiberLake)입니다.”

자바헤리의 설명에 의하면 이 멀웨어들 중 위스퍼게이트, 폭스블레이드, 데저트블레이드, 캐디와이퍼는 데이터를 덮어쓰기 해서 피해자의 장비를 완전히 못 쓰게 만드는 기능을 가지고 있다고 한다. “파이버레이크는 데이터 삭제를 위주로 한 멀웨어이고, 소닉보트는 파일을 암호화 합니다. 인더스트로이어2는 OT 기술을 노리는 데 특장점이 있습니다.” 인더스트로이어 1은 수년 전 우크라이나 대정전 사태를 일으킨 멀웨어이기도 하다.

“이러한 파괴형 공격의 배후에는 러시아 정부 기관들이 있습니다. GRU는 스트론튬(Strontium), 이리듐(Iridium), Dev-0586이라는 조직들을 운영하여 위의 멀웨어를 뿌리고 있습니다. SVR은 노벨륨(Nebelium)이라는 조직을 운영하여 우크라이나뿐만 아니라 NATO 국가들도 공격하고 있고요. FSB의 경우 악티늄(Actinium)과 브로마인(Bromine), 크립톤(Krypton)이라는 단체를 통해 각종 스파잉 및 데이터 탈취 공격을 병행하고 있기도 합니다.”


흥미로운 건, 그리고 하이브리드 전의 성격을 띈 이번 전쟁에서 정말로 교훈을 삼아야 하는 건 이러한 파괴형 공격들이 실제 군대의 공격과 어느 정도 맞물려 있다는 것이다. “예를 들어 이리듐은 4월 19일 우크라이나 르비브의 한 물류 업체를, 4월 29일에는 마찬가지로 르비브의 운송 분야를 공격했습니다. 그러더니 5월 3일에는 러시아가 우크라이나의 기차역들을 미사일로 폭격했습니다. 또 3월 4일에는 스트론튬이 빈니차의 정부 기관을 공격했는데, 이틀 뒤인 3월 6일에 빈니차 공항에 미사일 8발이 떨어졌습니다. 3월 11일에는 드니프로의 정부 기관에 사이버 공격이 있었고, 같은 날 드니프로에 러시아의 첫 폭격이 있었습니다. 하이브리드전을 치룬다면, 사이버 공격이 뒤에 있을 군사적 행위의 예고편이 된다는 걸 알 수 있습니다.”

정찰과 정보 수집을 목적으로 한 공격
전쟁이 터진 직후 보안 업계의 전문가들은 일제히 “러시아발 사이버 공격이 우크라이나 국경 바깥에서도 더 많이 일어날 것이니 주의하라”고 경고했었다. 실제로 전쟁 개시 후 러시아 공격자들의 네트워크 침투 활동이 크게 늘어났다. “현재까지 집계된 바에 따르면 러시아 공격자들의 네트워크 침투 행위가 발견된 건 42개국에서입니다. 128번 정도의 시도가 있었고, 29%의 성공률을 기록했습니다. 우크라이나만이 사이버전의 공략 대상이 아니라는 걸 극명하게 드러냅니다.”

가장 많은 공격에 노출된 건 정부 기관들이었다. 총 공격의 49%가 여러 정부 기관들에 집중되어 있었다. “그 다음은 IT 분야와 대기업(20%), 사회 기반 시설이나 그러한 시설을 담당하는 조직(19%), NGO들(12%) 순으로 나타나고 있습니다. 정부 기관들이야 너무나 당연하죠. 지정학적인 이해 관계에 대해 러시아가 알아야 하니 그런 조직들을 공격할 수밖에 없습니다. 어떤 나라가 뭘 지원하기로 약속했으며, 그것이 언제 이뤄질지 등 러시아가 미리 알면 전쟁에 큰 도움이 될 만하죠.”

세계가 양분화 되다시피 한 만큼 앞으로 이러한 성격의 공격은 빈번해질 것이라고 보안 업계는 예상하고 있다. “현재는 정찰 및 염탐을 위한 공격의 대상이 주로 미국인 경우가 많습니다.” 하지만 이번 전쟁에서 러시아가 우크라이나에 우호적인 국가들을 모두 정찰하고 있는 것처럼, 미국에 우호적인 국가들은 전부 공격 대상이 될 가능성이 있다고 봐야 한다.

여론 조작을 위한 사이버 공격
자바헤리는 세 번째의 ‘여론 조작 공격’이 가장 심각한 문제가 될 수 있다고 강조했다. “사실 이건 오랜 역사를 가진 유형의 공격입니다. 아주 오래전부터 전쟁을 하는 두 나라는 상대 국가에 스파이를 심어 다양한 헛소문들을 퍼트렸죠. 그래서 군의 사기를 떨어트린다거나, 정부에 대한 국민의 신뢰를 갉아먹고는 했습니다. 최근에는 이것이 사이버 공간에서 진행되는 것이고, 러시아는 이 분야에 있어서 굉장히 능숙한 모습을 보입니다.”

여기에도 러시아의 정부 기관들이 적극 가담하고 있다는 사실을 자바헤리는 강조한다. “위에서 언급한 GRU, SVR, FSB가 이러한 부분에서도 활동을 하고 있고, 거기에 더해 MFA와 MOD라는 정부 기관들도 적극적으로 공격을 진행하고 있습니다. 소셜미디어에서 가상의 인물을 만든다거나, 적국 정부를 비판하고, 심지어 적극 공격하는 매체를 후원하기도 하죠. 그리고 사회에 혼란을 야기할 만한 뉴스를 만들어 빠르게 퍼트립니다. 우크라이나 침공이 있었던 2월 마지막 주, 우크라이나에서 집계된 친러 프로파간다는 216%나 증가했습니다. 지금은 그 비율이 낮아지고 있긴 하지만, 그래도 전쟁 전보다는 훨씬 높은 상태입니다.”

당연하지만 러시아의 프로파간다는 다른 나라에서도 진행된다. “미국은 항상 러시아의 여론 공작의 대상이었습니다. 올해 1월부터 시작해 미국 내에서 러시아 프로파간다 웹사이트와 관련된 웹사이트가 크게 증가했습니다. 2월 24일에는 정점을 찍었고요(82% 증가). 러시아의 전문 프로파간다 사이트들을 차단했음에도 여전히 미국 내에서의 프로파간다 관련 트래픽은 높은 상황입니다. 그만큼 가짜뉴스를 열심히 미국인들에게 전달하고, 또 미국인들은 그걸 보고 있다는 거겠죠.” 러시아는 뉴질랜드에서 안티백신 시위가 대규모로 일어났을 때에도 이를 부추기는 여론을 조성한 바 있다고 자바헤리는 덧붙였다.


어떻게 대항해야 하는가
세 가지 유형의 사이버전 행위에 대하여 자바헤리는 네 가지 대응법이 필요하다고 강조했다. “하나는 디지털 기술을 적극 활용하는 겁니다. 러시아의 사이버 공격자들도 매우 발전된 기술들을 활용합니다. 우리가 아무리 열심히 방어한다고 하더라도 구식 무기를 가지고는 대응할 수가 없습니다. 기술의 수준이 적어도 비슷한 수준에 있어야 효과적으로 막을 수 있겠죠.”

그 다음은 민과 관의 적극적인 협조와 협업이다. 이는 현재 미국 정부가 국가 안보를 위해 주장하고 있는 내용이기도 하다. “이제 그 어느 조직도 러시아의 하이브리드전과 같은 고도의 전략 전술을 혼자서 당해낼 수 없습니다. 사기업이나 정부 기관이나 마찬가지입니다. 사기업이 할 수 있는 일과 정부가 할 수 있는 일이 합해져서 시너지를 내야 합니다.”

세 번째는 다국간주의를 지향하는 것이라고 자바헤리는 설명한다. “같은 이념과 목적을 가진 정부들 간의 협업이 필요합니다. 하이브리드전은 이미 국경을 넘나들고 있어요. 즉 여러 나라에 자신들의 흔적을 남긴다는 겁니다. 한 국가가 혼자서 대처할 필요가 없는 것이죠. 각자의 경험과 정보가 하나로 합해지고 축적되면 더 효과적으로 방어를 할 수 있으니까요. 사이버 보안 강화를 위해 여러 국가들이 외교적으로 더 활발히 움직일 필요가 있습니다.”

마지막으로 그는 표현의 자유가 유지되는 사회가 여론 조작 공격을 무위로 돌릴 수 있다고 강조했다. “온라인 상의 가짜뉴스가 여론 조작의 도구로 활용되는 이유는, 우리가 서로의 표현의 자유를 인정하고 있지 않아서입니다. 우리는 소셜미디어 등을 통해 ‘나와 같은 의견’을 진짜 뉴스, ‘나와 다른 의견’을 가짜뉴스로 칭하고 있습니다. 저런 의견도 있을 수 있다는 걸 인정하지 않는 것이죠. 나와 같은 의견이면 진실이 되고 아니면 거짓이 되는 여론 현상의 특징이 각종 허위 정보가 쉽게 유포되도록 하고 있습니다. 시민 한 사람 한 사람이 표현의 자유를 더 받아들이는 게 중요합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>