러시아 해커들 기술력 뛰어나 늘 정확한 증거 확보 어려워

지정학적인 상황과 연결했을 때 맞아떨어지는 정황증거는 다수

[보안뉴스 문가용] 국가들 사이에 발생하는 사이버전이라는 측면에서 순위를 매겨보자면 러시아의 위치가 상당히 애매하고 미묘하다는 걸 알 수 있다. 사이버 활동의 양만을 기준으로 순위를 매기면 미국과 중국에 이어 3위에 놓이지만, 그 활동의 질이나 기술의 측면을 보자면 선두 자리에 놓아도 손색이 없기 때문이다. 기술이 좋다는 건 잘 잡히지도 않고, 결정적인 증거 확보도 어렵다는 것이다. 그러니 순위를 매길 정확한 근거 자료 확보도 어렵다.

또, 인민해방군이라는 이름 아래 수천 명의 해커를 고용하고 운영하는 중국 정부와 달리 러시아 정부와 러시아 해커들 사이의 관계는 명확하지가 않다. 러시아발 해킹 사건을 수사하다보면 그 끝이 거의 항상 시민 핵티비스트 단체나 민간 범죄 조직으로 귀결된다. 그렇기 때문에 해킹을 조사하는 결과 보고서 등에서 러시아 정부를 직접 언급하는 예는 중국이나 북한에 비해 적은 편이다. 어쩌면 중국처럼 고용주와 고용인이라는 명확한 관계가 아닌, 검은 돈이 암암리에 오가는 불분명한 관계를 유지하는 것인지도 모르겠다. 부패가 심한 러시아 정부의 실정을 생각했을 때 이는 충분히 가능한 이야기다.

여태까지 러시아와 관련이 있다고 밝혀진 산업 해킹 사건을 보면 일단 러시아 정부의 해킹 목적은 명확히 하나로 모이긴 한다. 바로 금전적인 이득이다. 하지만 이는 대부분 해킹 사건의 명확한 목적이기도 해서 러시아 해커들만의 특징이라 정의하기는 조금 어렵다. 어쩌면 금전적인 목적 뒤에 더 큰 뭔가가 있는 건 아닐까?

그럴 땐 러시아가 동유럽과 아시아를 무대로 지정학적인 목표를 달성하기 위해 계속해서 움직여왔다는 걸 상기해보면 된다. ‘지정학적 목적’이라는 걸 생각하는 순간 그 지정학적 목표를 달성하기 위한 정부와 금전을 쫓는 민간 해커들이 어떤 합의점에 이르러 손을 잡았다는 유추가 가능해진다. 물론 그 목표와 합의점을 정확히 파악하기란 불가능하다. 다만 러시아 정부가 해킹과 사이버전 양상을 정치적인 툴로 여겨왔고, 이는 상당히 효과적인 방법이었다는 건 분명하다.

이런 추측에 근거가 없는 것도 아니다. 러시아 정부가 사이버 공간을 정치적으로 활용한다는 개념이 새롭고 혁명적인 발견이 아니기 때문이다. 최초의 사이버전이라는 평가가 내려진 2008년 그루지야와의 전쟁 시만 해도 러시아가 한 것으로 보이는 사이버 공격이 그루지야에서 여러 차례 일어났었다. 전쟁이 끝난 후 러시아 정부는 범죄 조직까지 포함해 민간 사이버 활동주체들을 광범위하게 포섭한 것으로 밝혀졌다. 당연히 언급한 사이버 공격을 감행하기 위해서였다. 러시아 정부의 직접 개입을 나타내는 명확한 증거는 없지만, 사이버 공격이 발생한 시기 및 대상이 당시 러시아 군의 운용과 대부분 겹쳤다는 걸 그저 우연이라고 하기에는 꺼림칙하다.

지난 12월 독일의 한 철강소가 비정상적인 시스템 종료 때문에 운행을 멈춘 적이 있었다. 덕분에 용광로 운영도 멈추고 관련 시스템도 전부 차단해야 했다. 이번 사건을 담당한 독일 수사국은 공격자가 누구인지는 몰라도 굉장히 높은 기술력을 갖추고 있으며 소셜 엔지니어링 기법과 제작소 네트워크에 대한 꼼꼼한 지식까지도 겸비한 것으로 보인다고 발표했다. 그저 어떤 시스템이 어떤 네트워크에 연결되었는지를 넘어 어떤 감지 소프트웨어가 사용되고 있는지, 어떤 환경에서 보안 경보음이 울리는지까지도 다 파악한 것이다. 정확한 범인은 아직까지도 밝혀지지 않고 있다. 다만 당시 독일과 우크라이나가 회담을 가지고 있던 때였고, 이런 상황은 러시아 정부의 개입을 암시하고 있다. 이런 상황에서 사이버 공격이란 평범치 않은 의미를 갖게 되는데, 이는 국가 간 분쟁에 있어서 적국을 공략하는 방식이 늘었다는 것을 뜻하기 때문이다. 또한 중요 국가 기반 시설까지도 건들일 수 있다는 게 입증되었다.

더 최근에는 독일 정부의 웹 사이트가 문을 닫은 적이 있었다. 한참을 지나도 공격자와 공격 이유는 밝혀지지 않았다. 하지만 이번 달에는 독일의 대통령이 우크라이나 수상과 만나 사이버 전략 수립의 공조를 약속하려는 계획을 가지고 있다. 즉 누군가 이런 국제적인 움직임의 때를 관찰하고 공격을 기획하며, 또 누군가는 그 사주를 받아 실제로 공격을 구현해내고 있다는 짐작이 얼마든지 가능하다는 것이다. 단순 음모론이기에는 이렇게 딱 맞아 들어가는 시기가 너무 많다. 그리고 그런 사건의 대부분이 러시아와 쉽게 연결이 된다.

러시아의 핵티비스트 단체인 사이버베르쿠트(CyberBerkut)는 자신들이 이번 공격을 진행했으며 우크라이나에 대한 지원 및 지지를 멈추지 않으면 공격을 계속할 것이라는 협박도 독일 정부에게 전달했다. 이 사이버베르쿠트가 러시아 정부의 후원을 받았는지는 불분명하다. 하지만 계속 말하듯, 타이밍이 너무나 희한할 정도로 잘 들어맞기 때문에 그 가능성을 배재할 수 없는 것이다.

독일의 유명 군사 전력가인 카를 폰 클라우제비츠(Carl von-Clausewitz)는 ‘전쟁도 결국 정치의 도구’라고 했다. 이는 현대 사이버 공간에서만큼은 반박 불가능의 사실이다. 러시아 정부 역시 클라우제비츠의 말을 잘 수용하고 있는 듯한 모양새다. 그래서 정치적인 목표를 세우고, 지금도 계속해서 양과 질 모두가 늘어나고 있는 해커 인구와 밀접한 관계를 유지하고 있는 것인지도 모른다. 물론 정확한 증거는 없지만. 미국과 그 동맹국들은 공격적인 사이버전 실행이 줄 충격과 영향을 아직까지도 고민하고 있는데 반해 러시아는 이미 사이버전이란 무엇인지 저술을 시작해도 될 지경에 이르렀다.

글 : 마이크 월스(Mike Walls)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>