[시큐리티월드 문가용 기자] ISIS의 지휘 아래서 활동하는 해커들은 암호화 통신을 활용하는 데에 있어 매우 능숙한 모습을 보여준다. 아니, 그냥 그렇게 안전하다는 메신저 앱을 잘도 찾고 활용한다. 그러나 실제 사이버 공격을 하는 것에 있어서는 그다지 수준이 높지 않다고 한다.
\r\n\r\n
\r\n \r\n \r\n  | \r\n
\r\n \r\n | [이미지=iclickart] | \r\n
\r\n \r\n
\r\n\r\n
\r\n
어나니머스의 경고에도 개의치 않고, 예상치 못한 웹 사이트나 SNS 계정을 침투해 들어가 자신들의 메시지를 전파하고 선전을 해대는 이 IS 해커들은 굉장히 수준도 높고 똑똑한 것처럼 보이지만, 사실은 그렇지도 않은 듯하다. 보안 전문가들은 ‘상당히 기초적인 수준에 머물러 있다’는 의견이다.
\r\n
\r\nICS 해킹 때문에 공장의 기계들이 미쳐 날뛰고, 온 도시가 암흑에 잠기고, 용광로가 거꾸로 쏟아져 공장이 연쇄폭발을 일으키는 등의 사이버 테러 행위에 대해서 걱정하는 건 시기상조라는 것이다. 물론 ISIS가 고급 기술을 보유한 해커들과 손을 잡을 가능성도 있긴 하지만, 전 세계 공통의 적인 ISIS와 손잡을 만한 ‘고급 해킹 기술자’들은 찾기 쉽지 않을 것이다.
\r\n
\r\n보안 기업인 도메인툴즈(DomainTools)의 보안 연구원 카일 윌호이트(Kyle Wilhoit)는 테러리스트와 관련이 있는 해킹 그룹들을 지난 몇 년 간 추적, 분석해왔다. 특히 ISIS의 연합 사이버 칼라페이트(United Cyber Caliphate)는 3년이다 뒤를 쫓았다. 그 결과에 대해 그는 한 마디로 정리한다. “해킹 실력만 놓고 봤을 땐 10대 아마추어 해커 수준이거나 더 낮습니다.”
\r\n
\r\n사이버 테러리트스들이 주로 하는 DoS 공격의 경우 그 방식이 어나니머스의 그것과 상당히 흡사하다. “크라우드소싱이죠. 여러 호스트들에서 실행되는 윈도우 애플리케이션들을 통해 실행됩니다. 봇이나 봇넷 인프라를 갖춰서 하는 게 아니라 컴퓨터 여러 대를 대동해서 수작업하듯이 한다는 겁니다. 전 세계 곳곳에 있는 친ISIS 성향의 회원들을 동원해서 말이죠.”
\r\n
\r\n테러리스트들에게는 들키지 않는 것 또한 매우 중요한 문제다. “그래서 도메인 등록 프록시들을 사용합니다. 사이버 범죄자들이 사용했던 것들을 그대로 물려받아 사용하기도 하고요. 최근 들어 멀웨어 제작에 대한 시도가 있었습니다. 그 동안은 그런 걸 제작할 노하우나 실력이 전혀 되지 않았던 것이죠.” 윌호이트가 발견한 건 ‘실험 단계’에 있는 것으로 보였다고 한다.
\r\n
\r\n하지만 자기들끼리 얘기할 때만큼은 프로라고 윌호이트는 설명한다. “사이버 테러리스트들은 반드시 암호화된 메시징 플랫폼만을 사용합니다. 텔레그램이나 왓츠앱이 인기가 많죠. 반드시 이런 앱들을 통해서만 정보를 공유하고 계획을 나눕니다. 누구를 공격할지, 어떤 툴을 사용해 해킹 공격을 시도할지 등을요.”
\r\n
\r\n보안 전문업체 플래시포인트(Flashpoint)의 사이버 테러 전문가인 켄 울프(Ken Wolf) 역시 사이버 테러리스트들의 실력이 그다지 높지 않다는 것에 동의한다. “테러리스트들을 추적하다가 ISIS 포럼에서 도스 툴을 하나 다운로드 받는 것을 발견했습니다. 그 툴을 들여다보니 그 포럼의 어떤 회원이 작성했더군요. 근데 이제 막 프로그래밍을 배운 사람의 수준이었습니다. 그런데 수많은 사람들이 그 툴을 다운로드 받아 가동시키더라고요. 툴의 수준이 아니라 참여자의 수량으로 하는 디도스 공격이었습니다.”
\r\n
\r\n지상 전투
\r\n현재 테러리스트들의 소식이 가장 많이 들려오는 건 시리아의 라까 지역과 이라크의 모술 지역이다. 거기서는 병력들과 테러리스트들이 실제로 총을 겨누고 전투를 하고 있다. 켄 울프는 “그쪽 지역에서의 전투가 얼마나 거센지 모르겠지만, 4월부터는 텔레그램을 통한 테러리스트 간 통신이 사라졌습니다. 아니, 사실 사이버 테러 행위 자체도 거의 없어졌다고 봐도 될 정도죠. ISIS의 주요 거점에서 벌어지고 있는 전투 때문에 요원들이 사망했거나 인프라가 손상 입은 것이 아닐까 합니다.”
\r\n
\r\n사실 지난 3월 시리아를 겨냥한 공중폭격 때 연합 사이버 칼리페이트의 지도자 사망하는 일이 발생했다. “하지만 누가 그 인물을 대체했는지, 정확히 어디를 본거지 삼아 움직이는지, 해킹이나 사이버 캠페인을 위한 인프라는 어디에 위치해 있는지 불투명한 것들이 많습니다. 그러나 그 리더가 사라진 이후 사이버 활동이 크게 줄었다는 건 사이버 테러리스트들이 기술을 가진 소수의 사람에게 크게 의존하고 있다는 걸 시사한다고 생각합니다.”
\r\n
\r\n윌호이트는 “사이버 테러리즘을 방어하기 위해 대단히 수준이 높거나 가격이 비싼 최고급 시설이 필요한 건 아니”라는 걸 강조했다. “오히려 기본적인 보안 실천 사항만을 지켜도 충분히 막을 수 있는 게 ISIS 테러리스트들의 사이버 행위입니다. 그러니 사이버 테러를 방지하겠답시고 보안 제품을 비싸게 거래하거나, 안보를 위해 여러 프라이버시를 제한하는 등의 조치를 취할 필요는 없습니다. 지금 그들의 수준이 낮을 때 보안의 기본 수칙을 생활 속에 배도록 훈련하는 게 더 중요합니다.”
\r\n
