국제 문제와 외교 사태가 이제는 직접적인 보안 이슈이기도 한 시대
북미회담 앞두고 각종 북한발 공격 이어지는 때, 자유로운 의견 교환을 기대하며

[보안뉴스 문가용 기자] 한국은 북미회담이 큰 관심사이지만, 그리고 이것이 세계적으로 큰 이슈인 것도 맞지만, 바로 그 전까지는 미국의 이란 핵 협상 탈퇴가 큰 이슈였다. 예전 같았으면 이것이 외교 및 정치 단계의 문제이지만 사이버 공격이 난무하는 지금은 굵직한 국제적 사건들이 곧바로 보안 이슈가 된다. 언젠가 북미회담과 같은 문제를 두고 우리 사이버 보안 전문가들도 다양한 견해를 자유롭게 말할 수 있는 날을 기대하며, 이란 핵 협상 탈퇴에 대한 미국 보안 업계 전문가들의 다양한 의견을 정리해본다.


1. 로스 러스티시(Ross Rustici), 사이버리즌(Cybereason)
이란은 현재 위태로운 입장이다. 섣부르게 미국의 탈퇴에 대하여 보복을 했다간 그나마 지금 이란 핵 협상 문제에 있어서 이란 편을 들어주고 있는 유럽 공동체마저 등 돌리게 할 수 있다. 또한 이란의 국내 상황도 좋다고 볼 수 없다. 중동 지역에서 벌어지는 온갖 충돌 사태에 이란이 꾸준히 개입하며 사우디아라비아와 대리전도 펼치는 와중에 국내 상황이 악화일로를 걷고 있다. 그런 상태에서 이란 지도부는 미국과의 대립 관계를 악화시키는 리스크까지 감당할 수 없다.

이란은 트럼프가 핵 협상 탈퇴 이후 어떤 행동을 하는지 지켜보며 기다릴 가능성이 높다. 만약 미국이 이란에 대한 무거운 경제 제재를 가하기 시작하고, 이로 인해 경제적 위기 상황이 초래되면 이란은 2013년 미국에서 발생한 대규모 디도스 공격과 비슷한 형태의 공격을 가하며 보복하려 할 것이다. 물론 이란의 사이버전 수행 능력이 그 동안 많이 성장하긴 했지만 자신이 받은 것보다 더 파괴적이고 대담한 공격을 할 것으로 보이진 않는다. 미국에도 경제적인 손해를 미치게 하는 방식의 공격을 택할 확률이 높다. 다만 미국이 사우디아라비아의 손을 확실히 들어주는 움직임을 중동에서 보인다면 이란도 파괴적은 공격을 가할 수 있다.

지난 5년 동안 성장한 이란의 사이버전 수행 능력을 생각해보면, 이란의 사이버 테러 혹은 보복 행위가 초반에는 어느 정도 성공할 것으로 보인다. 특히 민간 부문을 겨냥한 공격이라면 성공 확률이 꽤나 높다고 보인다. 이미 그들의 기술적인 능력을 중동과 미국에서 수차례 증명한 적이 있다. 그러므로 민간 부문의 방어가 지금처럼 ‘알아서, 독립적으로’ 구축되도록 놔두면 이란의 활동 범위를 넓혀주는 꼴이 된다. 미국 정부가 주도적인 위치에서 방어를 선제적으로 꾸려준다면 이란의 공격을 막을 수 있다. 하지만 초반 공격에 자꾸만 실패하면 이란 쪽에서 더 거센 공격을 이르게 시작할 수도 있을 것으로 보인다.

2. 프리실라 무리우치(Priscilla Moriuchi), 레코디드퓨처(Recorded Future)
트럼프의 행동은 거의 항상 미국 기업들을 이슬람 세계로부터 오는 사이버 공격에 노출시켜왔다. 이번에도 마찬가지다. 이번에 이란 핵 협상에서 탈퇴하기까지 했으니 수개월 혹은 더 빠른 시간 안에 미국 기업, 금융 기관, 사회 기반 시설, 석유 산업, 에너지 부문을 겨냥한 공격적인 행위들이 발생할 것으로 보인다. 이란의 파괴적인 사이버 공격을 받아도 놀랍지 않다.

또한 이란으로서는 재빠른 대응을 해야 한다. 미국에 세게 나왔는데 가만히 침묵하고 있을 수 없기 때문이다. 그렇기에 이란 정부가 사이버 용병을 고용할 가능성도 있다고 본다. 이번 사안에 대해 중립적이며, 정치적 영향을 덜 받는 전문가를 고용해 공격을 시작할 수 있으며, 그럴 경우 해당 용병에 대한 통제를 제대로 하기 힘들 수도 있다. 이런 경우라면 미국이 기존 데이터를 바탕으로 이란의 공격을 선제적으로 막는 게 힘들어질 것이다.

3. 필 네라브(Phil Neray), 사이버엑스(CyberX)
사이버전은 군사력이 약한 국가에게 큰 힘을 쥐어준다. 사실 이란은 물리적인 군사력으로는 미국에 대항할 수 없다. 그렇기에 더더욱 사이버 공간으로 눈길을 돌릴 것이 자명하다. 또한 사이버 공간에서 발생한 행위 때문에 군사를 일으킬 권한이 국가에게 있느냐 없느냐 문제가 제대로 결정되지 않은 상태라 이란으로서는 미군을 맞닥트려야 하는 부담감도 없다. 즉 미국은 앞으로 이란에 의한 사이버 공격을 계속해서 받을 것으로 보인다.

게다가 이란은 최근 트리톤(TRITON)이라는 멀웨어를 통해 사회 기반 시설에 대한 타격 능력도 증명했다. 마치 러시아가 우크라이나의 전기 시설만 타격한 것처럼 이란도 지금은 중동의 다른 국가들에게만 트리톤 공격을 하고 있는 상태지만 이 고삐가 언제 풀릴지 모르는 일이다. 미국 사회 기반 시설들에 대한 사이버 공격이 가장 크게 걱정된다. 그 다음은 보안이 상대적으로 약한 민간 기업들일 것이다. 이런 곳에서 1단계 침투에 성공하게 되면 그 다음은 파괴적인 공격이 있을 것으로 보인다.

4. 얼 매튜즈(Earl Matthews), 베로딘(Verodin)
이란의 사이버전 능력은 크게 발전했고 지금도 성장 중에 있다. 개인적인 생각이지만 세계에서 다섯 손가락 안에 들 것이라고 본다. 이 능력을 지금의 상황에서 사용하지 않을 리 없다. 트럼프의 핵 협상 탈퇴 결정으로 인해 미국은 더 많은 이란발 공격에 시달리게 될 것이다. 심지어 미국만이 아니라 미국의 동맹국이라고 알려진 나라들에도 피해가 있을 수 있다. 그 중에서도 이스라엘에 대한 공격 가능성이 가장 높다고 본다.

이란은 이전에도 미국을 공격한 적이 있다. 금융권에 대규모 디도스 공격을 퍼붓고, 최근에는 대학 기관들을 침투했다. 처음 금융 기관의 사업 운영을 방해하는 것에 목적을 둔 이들이, 지적 재산을 훔치는 데에까지 이른 것이다. 또한 사이버 공격자들은 한 번 침투한 곳에 다시 공격을 가하는 성향이 있는데, 그러므로 이번에 이란이 미국을 공격한다면 최근 공격 받은 대학들이 첫 목표일 것이라고 예상한다. 게다가 이 대학들은 미국 정부와 중요한 연구를 함께 진행하는 곳이니 좋은 먹잇감이다.

그러나 이란이 미국의 중심부나 핵심 시설을 겨냥한 직접적인 공격을 하지는 않을 것으로 보인다. 아직까지는 좀 더 주변적인 대상들을 노리고 공격할 가능성이 더 높게 치고 있다. 소셜 엔지니어링이나 흔한 침투 기술로 공략할 수 있는 그런 조직들 말이다. 처음부터 핵심 시설을 노린 ‘심각한’ 사이버 공격을 펼친다면, 그 이후에 쓸 카드가 없어진다. 그러므로 민간 조직들은 사이버 보안의 기본적인 실천사항들을 지켜가면서 보안을 강화할 필요가 있어 보인다.

5. 존 헐트퀴스트(John Hultquist), 파이어아이(FireEye)
파이어아이가 추적하고 있는 공격자들 중 이란 해커들은 가장 공격적이고 사나운 축에 속한다. 이들은 방해 행위뿐만 아니라 파괴 행위도 서슴지 않는다. 물론 조용한 사이버 스파이도 충분히 가능하다. 핵 협상이 맺어지기 전에도 이란 공격자들은 서방 세계를 겨냥한 사이버 공격을 수차례 펼친 바 있다.

사실 지금도 이란이 서방 국가들의 다양한 사업 분야를 염탐하고 있다. 여차하면 공격이 언제나 가능하도록 준비를 해놓고 있는 것이다. 핵 협상 이후 이런 행위들이 다 사라진 건 아니다. 조금 잦아들었을 뿐이다. 또한 오히려 미국과 서방 세계에 대한 관심이 수그러든 만큼 중동의 다른 국가들을 거세게 공격하기 시작했다. 미국이 협상에서 탈퇴한 지금, 사이버 세상은 협상 전으로 돌아갈 것으로 예상한다.

6. 셰르반 나움(Sherban Naum), 브로미엄(Bromium)
이란은 국제 무대에서 미국에 모욕을 당한 상태다. 이란 지도부는 지금 뭐라도 행동을 취해야 한다는 압박감을 느끼고 있을 가능성이 높다. 즉 보복 행위의 적절한 수단을 찾고 있을 것이라는 뜻이다. 그러나 여기에 지나친 투자를 할 수는 없다. 미국의 사이버전 능력을 알고 있다면, 이에 대한 미국의 대응 역시 계산에 넣고 방어까지 꾀해야 하기 때문이다. 게다가 중동 지역에 적을 많이 두고 있어 미국만 노려볼 처지가 되지 않는다. 즉, 시간과 자원의 적절한 분배가 관건일 것인데, 이것이 꽤나 답답할 것이다.

그러므로 ‘경제적인’ 공격을 생각할 수밖에 없다. 적은 투자로 높은 효과를 볼 수 있는 곳을 노릴 것인데 먼저 생각나는 건 1) 사회 기반 시설과 2) 주요 인물에 대한 신상 털기 공격이다. 이번 핵 협상 탈퇴에 찬성한 것으로 알려져 있는 주요 인사들이 특히나 위험할 수 있다. 3) 또한 중동 지역에 있는 미군 관련 시설과 무기 시스템이 위험해질 수도 있다.

하지만 뭘 하더라도 지나치게 파괴적이거나 인명 피해를 낳는 공격은 삼갈 것으로 보인다. 이란의 사이버 공격으로 누군가 사망을 한 순간 미국은 군대를 보낼 것이 분명하기 때문이다. 게다가 그나마 핵 협상을 유지하고 있는 유럽 국가들도 이란에 등을 돌릴 것이다. 전력 시스템이나 병원에 피해가 갔다면 미국과의 ‘홍보 전쟁’에서 질 것이고, 미국의 사이버 보복 공격을 예상할 수 있다. 차라리 지금 상태를 유지하면 ‘핵 협상을 지키겠다’는 의지를 세계에 보여줄 수 있어 오히려 홍보 차원에서 유리하다. 지금도 그리 좋은 상황은 아니겠지만, 보복으로 인해 상황은 더 악화될 공산이 크다. 이란도 이를 알고 있을 것이다.

7. 로버트 리(Robert Lee), 드라고스(Dragos)
산업 시설을 겨냥한 사이버 공격은 사실 지정학적 영향을 많이 받는다. 미국이 어떤 나라와의 관계가 적대적으로 변하면 항상 산업 시설에 대한 공격이 높아졌다. 아마 지금의 핵 협상 탈퇴 역시 비슷한 효과를 가져오지 않을까 한다. 다만 기존의 산업 시설 겨냥 공격이 ‘정찰 행위’ 정도에서 그쳤다면 이번에는 좀 더 사나운 공격이 될 수도 있다. 이미 산업 시설들에 들어와 봤고, 정보까지 어느 정도 캐간 이란 공격자들이 이를 활용해 좀 더 공격다운 공격을 할 것으로 보인다.

8. 산제이 베리(Sanjay Beri), 넷스코프(Netskope)
사이버 공격이 일어나는 건 당연한 수순으로 보인다. 사이버 공격은 리스크는 낮은데 효과는 높아 오래 전부터 다양한 나라에서 사용해온 전술이기 때문이다. 이란도 이중 하나였고 최근엔 북한도 이러한 방법을 적극 사용하고 있다. 사실 미국과 이스라엘도 스턱스넷(Stuxnet) 사태를 일으키지 않았나.

이러한 상황에서라면 사이버 보안 분야에 강력한 리더십이 필요하다. 나라 전체의 CISO 같은 사람 혹은 직위가 있어야 한다는 것이다. 그렇지 않으면 분명한 목적과 강력한 의지를 가진 사이버 공격자들의 행위들을 개별적으로 막을 수밖에 없는데, 이는 불가능에 가깝다. 또한 지금의 기업과 조직들이 서로 연대하여 방어를 한다는 것도 불가능에 가깝다는 걸 우리는 수없이 경험해왔다. 이는 구심점이 될 만한 것이 없었기 때문이다. 이번 기회에 미국 전체의 CISO를 임명해보는 것이 어떨까 한다.

9. 윌리 레히터(Willy Leichter), 버섹(Virsec)
이란에는 막강한 국가 지원 해킹 부대가 있다. 바로 APT33이다. 이들은 이미 사우디아라비아, 대한민국, 미국의 여러 시스템과 시설들을 겨냥해 공격을 감행했다. 이들은 고급 툴을 보유하고 있으며 능숙하게 다룬다. 셰도우 브로커스(Shadow Brokers)가 공개한 NSA 툴들도 이들의 수중에 있는 것이 분명해 보이기도 한다.

또한 APT33은 지난 과거 자신들의 필요에 맞게 고급 툴들을 개조할 줄도 안다는 사실을 증명했다. 이들이 사용하는 익스플로잇의 수많은 변종들이 발견된 바 있다. 이제 사이버전을 새로운 현실로 받아들여야 한다. 국가 대 국가의 전쟁에 일반 기업들이 휘말려들어갈 가능성이 역사 속 그 어느 시점보다 높아진 것이다. 전쟁 시 군인들 훈련하듯, 보안에 대한 훈련이 일반인들에게도 있어야 할 때다.

10. 앤드류 로이드(Andrew Lloyd), 코레로 네트워크 시큐리티(Corero Network Security)
이전까지의 사례를 봤을 때 미국에 대한 보복 공격은 충분히 예상 가능하다. 또한 이란이 아니더라도 이란의 편을 드는 개인이나 어나니머스 같은 핵티비스트 단체가 이란 대신 보복할 가능성도 높다. 심지어 신념을 가지고 있지 않거나 딱히 이란 편을 들지 않더라도, 그냥 나라와 나라가 불화 속에 있으니 이 기회에 싸움이나 붙여보자고 생각하는 사람들도 수두룩하다. NSA의 고급 툴까지 공개된 마당에, 이들에게 해킹 능력이 없다고 보는 게 더 비현실적이다.

다크웹만 가 봐도 돈 받고 대신 공격해주는 집단이 얼마나 많은지 모른다. 디도스 서비스는 너무 흔해서 가격도 높지 않다. 이런 상황에서 잠깐의 마비가 치명적인 결과를 낳을 수 있는 시스템들은 방어 태세를 높여야 할 것이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>