미국, 러시아, 중국, 중동, 아세안, 파이브아이즈까지 상반기 보안 이슈 총정리

[보안뉴스 오다인 기자] 가지 많은 나무에 바람 잘 날 없다는 말은 국제 사회를 두고 하는 말일까? 올해 상반기도 어김없이 세계 곳곳에서 대형 사고가 터졌다. 사이버 공격은 양적인 측면과 질적인 측면 모두에서 진화하고 있으며 국가의 지원을 받는 해커들의 활약도 거의 노골화되고 있다. 긴박했던 지난 6개월, 국제 사회의 보안관련 사건·사고 가운데 중요한 사안들을 선별해 지역별, 사안별로 정리했다.


1. 미국
‘러시아 게이트’와 제임스 코미 FBI 국장 해임
러시아의 미국 대선 개입을 수사하던 제임스 코미 FBI 국장이 트럼프 대통령에 의해 5월 9일 급작스레 해임된 사건은 전 세계에 큰 파장을 일으켰다. 코미 전 국장은 당시 힐러리 클린턴 전 국무장관의 이메일 사건 수사를 마친 뒤, 트럼프 대통령의 측근들이 러시아 정부와 어떤 관계인지 수사하던 중이었다. 이번 해임 사태를 두고 제2의 워터게이트 사건이라는 말까지 나왔다.

6월 8일(현지 시각) 코미 전 국장은 미국 상원 정보위원회 청문회에 출석해 “트럼프 정부가 나와 FBI의 명예를 훼손했다”고 말했다. 코미 전 국장은 마이클 플린 백악관 국가안보회의 전 보좌관이 러시아 내통 의혹으로 사임한 다음 날 트럼프 대통령과 가진 면담의 내용을 기록해 뒀다. 해당 메모에 따르면 트럼프 대통령은 코미 당시 국장에게 “플린은 좋은 사람이다. 그를 내버려둬라”고 말해, 사실상 FBI의 러시아 게이트 수사 중단을 요청한 것으로 알려졌다.

코미 증언을 며칠 앞두고, 리얼리티 위너라는 연방정부 계약업체 직원이 NSA의 일급비밀을 유출하기도 했다. 위너가 탐사보도 전문매체에 넘긴 정보는 지난해 미 대선 직전 러시아 해커가 미 투표 소프트웨어 공급업체에 사이버 공격을 펼쳤다는 내용의 NSA 내부 문건이었다. 이로써 러시아의 미 대선 개입이 애초 예상한 것보다 훨씬 더 광범위한 수준에서 발생했다는 사실이 일부 드러나게 됐다. 일명 ‘러시아 게이트’로 불리는 이 사건은 러시아의 조직적인 개입이 점차 명확하게 드러나는 중이다.

CIA와 위키리크스: 볼트7, 체리블러섬, 엘사, 그리고 첼시 매닝
위키리크스는 끊임없이 CIA의 치부를 폭로하는 중이다. 지난 3월 위키리크스는 CIA의 비밀 문건 8,761건을 공개했다. 위키리크스는 이 문건을 아울러 ‘볼트7(Vault 7)’라고 명명했는데, 여기에는 CIA가 수년간 직접 개발한 멀웨어 등 공격 코드 수천만 줄이 포함된 것으로 드러났다. CIA와 FBI는 해당 문건의 유출자를 찾기 위해 합동 수사를 벌였고, CIA 내부자를 집중 조사했다. 조사 결과에 대해서는 아직까지 명확히 밝혀진 바가 없다.

6월 15일 위키리크스는 CIA의 무선 감시 툴인 ‘체리블러섬(CherryBlossom)’을 공개했다. 체리블러섬은 무선 기기를 겨냥해 중간자 공격을 할 수 있는 툴로, CIA가 특정 인물이나 단체의 인터넷 활동을 감시하고 소프트웨어 익스플로잇을 실행하도록 해준다고 알려졌다. 이어 6월 28일에는 ‘엘사(Elsa)’라는 해킹 툴을 공개하기도 했다. 엘사는 노트북이나 모바일 기기의 와이파이 연결을 통해 위치 추적을 가능케 하는 툴이라고 위키리크스는 설명했다.

한편, 위키리크스에 미군 기밀 약 70만여 건을 유출한 혐의로 35년 형을 선고받았던 첼시 매닝이 버락 오바마 미국 전 대통령의 임기 말 사면으로 수감 7년 만에 지난 5월 17일 출소했다.

NSA와 셰도우 브로커스: 이퀘이젼 그룹의 해킹 툴 공개
CIA가 위키리크스의 폭로에 맞서고 있다면, NSA는 셰도우 브로커스(Shadow Brokers)라는 해킹 그룹의 폭로 때문에 골머리를 앓았다. 셰도우 브로커스는 지난해 NSA를 해킹했다고 주장하며 등장한 해커 그룹이다. NSA에는 보안 전문업체 카스퍼스키가 “가장 뛰어난 기술을 보유한 해커들”이라고 평한 ‘이퀘이젼 그룹(Equation Group)’이 소속된 것으로 추정된다.

셰도우 브로커스는 이퀘이젼 그룹이 개발한 해킹 툴을 빼돌려 시시때때로 공개하고 있는데, 원래는 돈을 받고 팔다가 소득이 지지부진하자 무료로 공개하고 있다. 지난 4월에는 MS의 윈도우 OS 익스플로잇을 공개해 전 세계 컴퓨터 사용자를 보안 공포에 떨게 했다. 이는 결국 워너크라이 랜섬웨어(WannaCry Ransomware)라는 사상 초유의 사이버 공격으로 이어졌다.

워너크라이 랜섬웨어: MS 윈도우, SMB 취약점, 이터널블루
셰도우 브로커스가 윈도우 익스플로잇을 공개하기 한 달 전인 지난 3월, MS는 업데이트를 통해 패치를 마쳤다. 어떻게 한 달 전에 미리 패치할 수 있었는지에 대해 NSA가 MS에 귀띔해줬다든지, MS가 셰도우 브로커스에 비밀리에 돈을 지불했을 것이라든지 등 각종 소문이
끊이지 않았다. 그러나 패치가 됐건 안 됐건 사용자가 업데이트를 안 하면 그만인 법. 결국 워너크라이 사태가 발생했다.

워너크라이는 NSA 익스플로잇 중 ‘이터널블루(EternalBlue)’를 활용한 랜섬웨어 공격으로, 서버 메시지 블록(SMB: Server Message Block)의 취약점을 노렸다. 워너크라이는 5월 12일 오전(현지 시각) 영국 런던에서 최초로 감염이 보고된 이래 전 세계로 급속히 퍼졌다. 영국의 NHS(National Health Service)부터 스페인의 텔레포니카(Telefonica) 등 세계 곳곳의 병원, 통신사, 공장, 학교, 기업 등이 종류를 불문하고 워너크라이 공격에 당했다. 워너크라이는 최근까지도 일본의 자동차 제조업체 혼다 모터스에 전파되는 등 위력을 발휘하고 있다. 이에 혼다는 이틀 간 공장 가동을 중단했던 것으로 드러났다.

워너크라이 랜섬웨어가 세계적인 주목을 받게 되자 셰도우 브로커스는 현재 월 정액제로 익스플로잇을 판매하는 중이다. 셰도우 브로커스는 웹 브라우저, 라우터, 핸드셋용 익스플로잇과 윈도우 10 익스플로잇을 매달 월 정액제 고객에게 제공할 것이라고 홍보했다.

한편, 워너크라이 랜섬웨어의 공격 배후에 대해서는 아직까지 의견이 분분한 상황이다. 북한 소속으로 추정되는 ‘라자루스(Lazarus)’의 공격 기술과 매우 유사하다는 의견도 있고, 랜섬웨어 메시지를 언어학적으로 분석한 결과 모국어가 중국어인 사람일 것이라는 추측까지 다양하게 나왔다. 최근 들어 미국은 전 세계 디도스 봇넷과 워너크라이 공격의 배후로 북한을 공식 지목한 바 있다.

2. 러시아
악화 일로의 러시아-우크라이나 관계와 사이버 전쟁
러시아와 우크라이나의 관계는 2014년 크림반도의 강제 병합 뒤 악화일로를 걷고 있다. 양국 간 깊어지는 갈등의 골은 사이버 세계에서 더욱 극명하게 나타나는 중이다. 우크라이나는 지난해 11월부터 12월까지 자국 내에서 발생한 사이버 공격 약 6,500건이 러시아의 소행이라고 주장했으며, 러시아는 혐의를 전면 부인했다. 지난 2월에도 우크라이나는 전력과 금융 인프라에 멀웨어 공격을 당한 것으로 나타났다. 당시 공격의 배후로 우크라이나는 재차 러시아를 지목했다.

페트야/낫페트야 랜섬웨어 사태
6월 하순, 제2의 워너크라이가 될지 모른다는 우려를 일으키며 페트야 랜섬웨어(Petya Ransomware)가 유럽을 휩쓸었다. 유럽에서도 가장 큰 피해를 입은 지역은 우크라이나였다. 페트야 랜섬웨어의 최초 매개체가 우크라이나의 대중적인 회계 프로그램 ‘미독(MeDoc)┖이었다는 분석이 나오면서 러시아가 페트야 랜섬웨어의 배후라는 가설이 큰 힘을 얻었다. 페트야 랜섬웨어 공격의 대부분은 우크라이나에서 발생했으며, “돈을 노린 공격이 아니”라는 연구 결과도 나왔다.

참고로, 페트야 랜섬웨어를 낫페트야 랜섬웨어라고도 부르는 이유는 원본 페트야 랜섬웨어 제작자가 페트야를 RaaS(Ransomware as a Service)로 판매한 뒤 멀웨어가 수정됐기 때문이다. 이 페트야는 원본 페트야와 다른, 완전히 새로운 랜섬웨어라고 봐도 무방하다는 전문가 의견이 나오면서 낫페트야로 함께 호명되기 시작했다. 심지어 최근 나타난 페트야 랜섬웨어는 랜섬웨어가 아니라 와이퍼 랜섬웨어일 뿐이라는 주장까지 제기되는 상황이다.

APT28과 털라(Turla)
보안 전문업체 ESET과 파이어아이(FireEye)의 연구에 따르면, 러시아의 사이버 스파이 그룹으로 알려진 APT28과 털라가 유럽 및 중동 지역에서 정부, 군사, 금융 기관 등을 대상으로 제로데이 취약점을 이용해 공격을 확대하고 있는 것으로 알려졌다. APT28과 털라는 특정 대상으로부터 첩보를 빼내려는 목적에서 이 같은 공격을 펼치고 있다고 추정된다. 파이어아이의 보안 분석가 벤자민 리드는 “러시아의 해킹 부대가 제로데이 취약점을 섞어서 사용할 정도로 고도화한 기술을 보유하고 있다”고 지적하기도 했다.

APT28은 작년 미국 민주당 전국위원회(DNC: Domocratic National Committee) 공격의 배후로 추정된다. 즉, APT28은 러시아가 미 대선에 개입했다는 데 자주 증거로 인용되는 해킹 그룹이다. APT28은 올해 프랑스 대선 당시, 에마뉘엘 마크롱의 선거 캠페인과 관련한 이메일도 해킹 시도했다는 의심을 산 바 있다.

푸틴 러 대통령과 ‘애국적인’ 해커들
러시아 게이트로 다시 돌아와 보자. 러시아가 미국 대선에 개입했다는 의혹에 대해 블라디미르 푸틴 러시아 대통령은 줄곧 모른 체 해왔다. 그러다 지난 6월 1일, 푸틴 대통령은 관련 의혹에 대해 질문을 받은 뒤 “애국적인 러시아 시민이 (미국 DNC 해킹에) 개입됐을 수도 있다”고 답변해 논란을 자초했다. 푸틴 대통령은 아침에 일어나 하루 종일 그림을 그리는 예술가처럼, 해커도 (본업으로) 적을 공격하면서 하루를 보내지 않겠느냐는 말을 덧붙이기도 했다.

텔레그램을 ‘정보 제공자’로 등록시키다
러시아 정부는 지난 4월 발생한 생페테르부르그 자살 폭탄 테러의 범죄자들이 텔레그램을 사용했다는 이유를 들어, 텔레그램에 사용자 정보에 대한 접근권을 넘기라고 강하게 압박해왔던 것으로 드러났다. 사용자 프라이버시를 근거로 러시아 정부의 요구를 거부해오던 텔레그램은 “요구대로 하지 않으면 러시아 내에서 텔레그램을 차단하겠다”는 협박에 결국 굴복하고 말았다. 러시아 텔레그램 사용자는 약 6백만 명이다.

3. 중국
트로이목마와 웜 바이러스가 창궐했다
떴다 하면 10만 대나 20만 대 감염은 우습다. 중국 얘기다. 올해 4월만 해도 트로이목마와 웜 바이러스에 감염된 PC가 141만 대에 달했던 것으로 나타났다. 중국에 창궐한 웜 바이러스는 파일, 폴더, 동영상, 사진 등으로 위장해 사용자를 속이는 것으로 알려졌다. 사용자가 이런 위장 멀웨어를 클릭하면 바이러스가 실행되는데, 디렉토리에 동명의 파일을 만들어 사용자로 하여금 원본과 구분할 수 없게 만든다. 이 바이러스는 PC에 설치된 백신을 찾아낸 뒤 실행을 중지시키는 데다 레지스트리를 수정해 PC 부팅 시 자동으로 바이러스가 실행되게 만들고, 공격자가 설정한 웹 주소로 PC를 몰래 연결시키는 것으로 드러났다.

사이버보안법
중국은 작년 11월 사이버보안법을 채택하고 올해 6월 1일부터 시행을 예고한 바 있다. 정식 명칭은 ‘중국인민공화국사이버보안법’으로 총 7장 29조로 구성됐다. 지난해 기준으로 중국의 인터넷 사용자수는 약 7억 명이며 중국 내 인터넷 보급률은 2명 중 1명 꼴인 것으로 나타났다.

사이버보안법의 취지는 인터넷 주권 및 안전 보호로, 인터넷 통제 강화가 골격이다. 주요 내용은 1) 핵심정보 인프라시설에 대한 보안심사와 안전평가 2) 온라인 실명제 도입 3) 인터넷 검열 및 정부당국 개입 명문화 4) 서비스 제공자의 불법정보 차단 및 전달 의무화 5) 네트워크(인터넷) 관련 제품 또는 서비스에 대한 규제 등이다.

APT3, APT10
APT10은 ‘스톤판다(StonePanda)’라고도 불린다. 지난 4월, 시진핑 중국 주석이 트럼프 대통령을 방문한 시기 APT10의 활동이 감지된 바 있다. APT10은 중국의 사이버 공격 그룹으로 알려졌는데, 주로 지적 재산을 집중적으로 노리며 다중의 타깃 피해자로부터 대량의 데이터를 빼낸다는 분석이 따른다.

해킹 그룹 APT3은 2010년부터 서구 정부기관 및 군사 표적의 지적 재산 등 기밀 정보를 대량 훔쳐온 것으로 추정된다. 그런데 이 APT3이 중국 국가안전부 소속 계약업체였다는 점이 드러났다. 첩보 전문업체 리코디드 퓨처는 APT3과 관련해 공개된 정보를 종합 분석한 결과 APT3가 중국 정부와 직접적으로 연관된 것이 거의 확실하다고 밝혔다. APT3은 일명 ‘보유섹(Boyusec)’으로 알려진 광저우 보유 정보기술 회사로 가장해 임무를 수행해왔다고 리코디드 퓨처는 지적했다.

APT3이 예전에는 서구 기관을 주로 공격했지만 최근에는 홍콩의 민주주의 활동가 등을 타깃으로 공격하고 있다는 전문가 의견도 나왔다.

4. 중동
카타르 국영방송 해킹과 가짜 뉴스
가짜 뉴스는 중동도 뒤집어 놓았다. 지난 5월 23일, 카타르 국영방송국인 QNA의 트위터 계정을 통해 가짜 뉴스가 번지기 시작한 게 발단이었다. 해당 가짜 뉴스는 타밈 빈 하마드 알 타니 카타르 국왕이 중동의 오랜 적인 이란과 이스라엘을 찬양한 것처럼 꾸며 중동 일대에 큰 파란을 일으키다 결국 외교 단절 사태까지 초래됐다.

당시 카타르 정부는 “방송국이 해킹당해” 일어난 사건이라고 해명했지만 이미 미움을 샀던 터라 중동의 타국들과의 관계를 되돌리기엔 역부족이었다. 한 보안전문가는 “가짜 뉴스든 뭐든 싸움의 구실만 되면 개인이고 정부고 덥석덥석 받아먹는다”고 비판한 바 있다. 다른 속셈을 가진 누군가가 카타르의 국제적 고립을 목적으로 해킹을 저질렀을 가능성을 무시한 데 대한 지적이었다. 미 FBI가 QNA 해킹의 배후로 러시아를 추정한다는 CNN 보도가 나오기도 했다.

5. 기타: 아세안(ASEAN), 파이브아이즈(FiveEyes)
인터폴은 지난 4월 동남아시아국가연합(ASEAN) 지역을 대상으로 대대적인 수사를 벌여 약 9,000개의 C&C 서버와 수백 개의 감염 웹사이트 적발에 성공했다. 인터폴은 피싱 웹사이트 운영 용의자들의 신변도 확보한 것으로 알려졌다. 인터폴은 아시아 지역 사이버 범죄의 뿌리를 뽑겠다는 장기 계획의 첫 단계로 이번 작전을 수행했다고 밝혔다.

파이브아이즈는 미국, 영국, 캐나다, 호주, 뉴질랜드 등 5개 국가의 첩보 파트너십을 가리킨다. 이 5개 국가는 2차 세계대전 직후, 통신 첩보에 서로 협력할 것을 약속한 ‘영미 협정(UKUSA Agreement)┖을 체결하면서 파이브아이즈라는 첩보 공동체로 공식 출범하게 됐다. 파이브아이즈는 최근 회동에서 IT 제품에 백도어를 강제로 설치하는 방법을 강구한 것으로 알려져 논란이 됐다. 6월 26일부터 27일까지 캐나다 오타와에 모인 파이브아이즈는 테러리즘을 제재하겠다는 뜻에서 정부 당국이 이용할 수 있는 백도어를 만들어야 한다고 주장한 것으로 알려졌다. 이에 한 국제인권 단체는 “파이브아이즈는 디지털 보안을 위협하지 말고 지지하라”며 비판했다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>