킬넷은 입만 산 그룹이었다. 미약한 디도스 공격을 어쩌다 성공시킨 게 이들이 할 수 있던 공격의 전부였다. 하지만 이제는 아니다. MS까지도 공략하는 데 성공했을 정도로 부쩍 성장했다. 어쩌면 배후에 커다란 힘이 존재할지도 모른다.

[보안뉴스 문가용 기자] 친러 핵티비스트 단체인 킬넷(KillNet)과 러시아 정부 간 관계에 대해서 명확히 밝혀진 바는 없지만 킬넷의 공격 수행 능력이 갈수록 날카로워지고 있으며 효과적으로 변하고 있는 것은 사실이다. 처음부터 기술적으로 뛰어난 모습을 보이는 그룹이 아니었는데 말이다. 그래서 둘 사이의 연결고리가 의심되고 있다. 또한 킬넷이 계속해서 사이버 공격자들을 모집하고 또 ‘채용’하는 듯한 모습도 보이고 있는데, 이 역시 배후에 든든한 후원자가 있는 것을 의심하게 만든다.


이번 주 보안 업체 맨디언트(Mandiant)가 이러한 킬넷의 상황에 대한 보고서를 새로이 발표했다. 킬넷이 비록 실질적인 해킹 공격으로 러시아 정부에 큰 이득을 가져다주지는 못했지만(아직까지는) 러시아를 위해 싸우자는 목소리를 대대적으로 냄으로써 친러 성향 해커들의 힘을 규합하는 데에는 적잖은 공로를 세웠으며, 실제로 높은 효과를 내고 있다고 맨디언트는 평가하고 있다. 하지만 킬넷과 러시아 정부 간 직접적인 연관성을 유추할 증거는 없는 상황이라고 한다.

“예를 들어 북한 정부는 해커들을 이용해 자금을 확보하고 국고를 채워왔죠. 특정 해킹 그룹이 정부와 관계를 맺는 건 새로울 것이 전혀 없는 일입니다.” 영국 국가범죄센터장 그렘 비가(Graeme Biggar)의 설명이다. “러시아 정부는 이전부터 사이버 범죄 집단을 묵인해 왔습니다. 오죽하면 사이버 범죄자들의 천국이라고 러시아가 불렸겠습니까. 러시아가 그렇게 한 데에는 여러 가지 이유가 있었을 텐데, 그 중 하나는 사이버전 용병들의 육성이었을 거라고 봅니다. 민간 사이버 범죄 단체와 결탁할 경우 공격을 실제로 저지른 배후 세력을 추적하는 게 힘들어지기도 합니다.”

킬넷도 러시아 정부의 이런 은근한 육성의 대상이었을까? 혹은 더 ‘진한’ 관계를 뒤에서 맺고 있는 건 아닐까? 아직 확실히 알 수는 없다. “킬넷이 러시아 정부와 확정적으로 결탁하고 있다는 증거를 찾아내지는 못했습니다. 다만 민간 사이버 공격 단체를 정부 기관이 의도적으로 활용하여 자신들의 사이버전 행위를 덜 눈에 띄게 하는 건 꽤나 자주 보이는 전략 중 하나입니다.” 맨디언트의 설명이다.

더 주목해야 할 건 킬넷의 PR 전략
2022년만 하더라도 킬넷이라고 했을 때 기술적으로 두려움이 드는 느낌은 아니었다. 이들의 공격은 전부 디도스에 국한되어 있었고, 그나마도 파괴적이라고 보기 힘들었다. 또한 표적들 대부분 NATO 국가들이었다. 그래서 킬넷이 뭐라고 선동을 하고 공격을 예고하든 누구도 크게 신경을 쓰지 않아 왔다. 하지만 6월부터 분위기가 조금 바뀌기 시작했다. 어나니머스 수단(Anonymous Sudan)이라는 핵티비스트 단체가 킬넷과 힘을 합치면서 마이크로소프트의 서비스들에 피해를 입히는 데 성공한 것이다.

맨디언트는 “그 동안 킬넷이 잘 한 건 꾸준하게 자기 PR을 해왔다는 것”이라고 짚는다. “새로운 해커들을 영입하거나 자신들의 새로운 공격 캠페인에 참여하라고 독려하고, 공격을 할 때마다 대대적으로 광고를 하는 등 실제 입힌 피해보다 큰 주목을 받는 방향으로 움직여 왔습니다. 서방 세계의 매체들도 이런 킬넷에 매번 주목했을 정도였죠. 그런 전략이 어나니머스 수단의 참전과 마이크로소프트 서비스들의 중단으로 크게 빛을 보게 되었습니다. 킬넷도 한다면 할 수 있구나, 라는 인상이 심겨졌죠. 사이버 범죄 시장에 적잖은 충격을 준 사건이라고 봅니다.”

어나니머스 수단은 1월에 처음 등장한 핵티비스트 단체로, 바로 2월부터 킬넷과 함께 움직이기 시작했다고 맨디언트는 설명한다. “사실 공식 합류 전부터 킬넷을 여러 모로 지원해 왔던 게 바로 어나니머스 수단입니다. 어나니머스 수단이 그 동안 진행해 왔던 공격의 50% 정도가 미국과 유럽 등 우크라이나를 지원하는 국가들을 향하고 있습니다. 공식적으로 자신들은 수단의 문제에만 관여하겠다고 했으면서 말이죠. 어나니머스 수단이 계기가 되어 킬넷에 합류하는 자들은 앞으로 더 많아질 거라고 예상하고 있습니다.”

그 동안 홍보와 선동에 크게 치우친 단체였던 킬넷이 ‘미미한 디도스 공격만 할 줄 알고 나머지는 입으로만 떠드는 그룹’이라는 이미지를 쌓아갈 뻔했는데 어나니머스 수단의 합류 덕분에 오히려 그 동안의 홍보와 선동이 긍정적인 광고 효과를 갖게 될 것이라는 게 맨디언트의 예상이다. “즉 킬넷의 핵심은 그 동안 누적시켜 왔던 홍보 메시지였다는 겁니다. 이게 지금 큰 힘이 되고 있으며, 실제 다크웹에서는 킬넷의 하위그룹을 자청하는 집단들도 나타나고 있습니다. 킬넷이 친러 성향 해커들 사이에서는 온갖 사이버 활동의 구심점이 되었습니다.”

보안 업체 크리티컬스타트(Critical Start)의 위협 연구원인 캘리 겐터(Callie Guenther)는 “킬넷이 새로운 동력을 최근 얻고 있는 건 맞는 것 같지만, 그것이 얼마나 지속될 수 있을까”라는 의문을 갖고 있다. “만약 이들의 성장이 꾸준히 이어진다면 킬넷이 외부의 지원을 받고 있다고 봐도 될 듯합니다. 민간 핵티비스트 단체가 사이버 범죄자들의 불규칙적인 지원과 합류 만으로 꾸준히 성장가도를 달리기는 힘들거든요. 어마어마한 자원이 뒷받침 되지 않는다면 지금의 성장은 일시적인 현상이 될 뿐입니다.”

겐터는 “킬넷의 공격력 자체가 늘어나고 있다는 것도 주목해야 할 신호”라고 지적한다. “다크웹에서의 인지도가 늘어나는 것만으로는 크게 위험할 것이 없습니다. 하지만 이들의 공격 기술력 자체가 좋아지고 있다면 이야기가 달라집니다. 계속해서 NATO에 실질적인 피해를 입힌다면, 러시아 정부가 지금까지 아무런 관계를 맺고 있지 않았다 하더라도 앞장서서 이들을 지원하게 될 겁니다. 그 때부터 킬넷은 PR에 치중한 그룹이 아니라 진짜 위협이 될 겁니다.”

글 : 베키 브래큰(Becky Bracken), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>