사이버 공간에서 난무하는 ‘전쟁 레토릭’...오히려 깊은 이해 방해하기도
사이버 공간이 위험한 건 사실...하지만 공포에 눈이 멀어서는 안 돼

[보안뉴스 문가용 기자] 일단 확실히 짚고 넘어가자. 지금 전 세계적인 사이버 위협 행위는 현재 역사상 그 어떤 때보다 거세게 몰아치고 있는 상황이다. 러시아의 해커들은 미국의 전기 시스템, 에너지 시스템, 선거 시스템을 계속해서 노리고 있는 상황이고, 지난 해 낫페트(NotPetya) 멀웨어는 130개 나라에서 난리를 일으켰다. 당시의 피해는 100억 달러에 달한다고 알려져 있다.


올해 7월만 해도 미국 정부 기관에서 활동하는 요원들 여럿이 “이란이 미국, 유럽, 중동의 에너지 공급망과 수자원 공급망, 의료 건강 및 기술 기업들에 대한 사이버 공격을 퍼붓고 있다”고 발표한 바 있다.

실제로 많은 국가들, 특히 인권을 탄압하고 자국민 및 다른 나라 국가들을 열심히 감시하는 정부들이 국제법과 각종 행동규범들에 제약을 받아 활동하지 못하는 곳에서는 사이버 공격을 실시하는 것도 공공연한 사실이다. 아직 법, 규약, 정책, 협정과 같은 것들은 사이버 공간에 존재하지 않거나, 있어도 미비하다. 여러 문제를 해결해주는 기술적 발전도 이뤄왔지만, 기술만으로 모든 것이 해결되지 않는다는 것도 우리는 알고 있다.

그 결과 지금 국가들 간의 사이버 ‘무력’에 큰 불균형을 어쩌지 못하고 있고(실제 군사력에도 나라 간 불균형이 있지만, 이는 국제법 등의 장치로 억제되고 있다), 때문에 민간인 혹은 민간 업체들 모두 나라의 보호를 받지 못하고, 각자 알아서 싸워야 하는 시기다. 때문에 지금의 초연결성과 인터넷의 ‘열린 정신’을 일찌감치 받아들인 곳일수록 더 위험해지고 있다.

그래서 요즘 ‘디지털 진주만’이라든가 ‘사이버 9/11’이라는 말들이 생기고 있다. 물리적인 공간에서 발생했던 거대한 사건들을 비유하는 건데, 십분 이해가 가는 부분이지만, 염려가 되는 현상이 아닐 수 없다. 비교 및 비유가 정확하지 않기 때문에 지금 사이버 공간에서 발생하는 위협들이 우리에게 미칠 수 있는 실제적인 영향에 대해 오해하게 만들기 때문이다.

1) 민간의 사이버 공간에서 군이 실시하는 행위에는 이름이 이미 있다. ‘운영 환경의 첩보 준비(intelligence preparation of the operational environment)’ 혹은 ‘운영 환경의 적대 세력 및 그와 유사한 면모들에 대한 분석 과정(the process to analyze the adversary and other relevant aspects of the [operating environment] in order to identify possible course of action)’이다. 이중 첫 번째는 군의 실제 운용을 지원하기 위해 사람, 항공기, 위성들을 관찰하는 것을 말한다. 그런데 요즘 많은 국가들이 사이버 공격자들을 동원하여 여러 사회 기반 시설들을 관찰해 이러한 목적을 달성한다. 외교 비화가 발생했을 때 악성 페이로드를 심을 수 있는 준비까지도 여기에 포함된다.

여기서 문제는 ‘공격의 표적’이다. 이런 군 혹은 정부 기관의 활동은 거의 대부분 민간인 혹은 민간 조직과 우리의 일상 생활에 매우 중요한 요소를 표적으로 할 수밖에 없기 때문이다. 예를 들어 러시아가 2년 동안 진행해 온 공격 캠페인의 경우 에너지, 공공 편의 시설, 핵 관련 시설과 일반 상업 분야 등을 표적으로 했다. 마찬가지로 최근 발견된 멀웨어인 VPN필터(VPNFilter)의 경우 가정용 혹은 작은 사무실용 라우터들을 대상으로 했다. 이 때문에 FBI가 라우터를 재부팅하라고 공공 권고문을 발표하기도 했다.

2) 사이버 공격과 물리적인 공격의 가장 큰 차이점은 시간이다. 사이버 공격에 걸리는 시간은 분과 초로 측정되지만 전쟁 행위는 일과 주로 계산된다. 실제 공격이 없더라도, 부대의 운용 역시 사이버 공격은 분초 단위로 이야기 되고 있으며, 해군, 육군, 공군을 운용하는 건 며칠에서 몇 주까지 걸린다. 산업과 치명적인 인프라 환경에서 사이버 공격자들이 공격의 발판을 마련하는 데까지만 성공한다면 그 다음부터는 특별히 수준 높은 멀웨어를 동원할 필요가 딱히 없다. 명령 몇 줄만 사용하면 프로세스의 논리를 변경시키는 게 가능하다. 공격 표적이 되는 시스템만 확실히 이해한다면 이런 변경만으로도 피해를 입힐 수 있다.

3) 공격 의도에 관한 부분 역시 빼놓을 수 없다. 지난 해 중동의 한 석유화학 공장의 안전 시스템에 누군가 접근한 것을 떠올려보자. 해커가 공장에서부터 독성 물질이 새나가는 것을 막고, 공장의 폭발 가능성을 낮춰주는 부분을 망가트리고자 한 것이다. 하지만 멀웨어 내의 코드 일부에 오류가 있어서 공장의 안전 모드가 발동되는 바람에 공격이 탐지되었고, 공장은 가동을 멈췄다. 수사가 진행됐으나 페이로드는 발견할 수 없었다.

그러니 공격 의도에 대한 가설이 여러 가지로 나왔다. 혹시 공격자가 공격 툴을 단순히 실험해보고자 한 것일까? 아니면 해당 시설 내 근무하는 자들의 생명을 앗고자 한 것일까? 하지만 모든 사이버 공격이 그렇듯 공격자의 의도를 확실하게 파악하는 것은 어려웠다. 이것이 사이버 공격의 특징이다. 하지만 전 백악관 사이버 코디네이터였던 롭 조이스(Roy Joyce)가 최근 블랙햇에서 발표한 바에 따르면 이 ‘모호함’이 사라질 전망이라고 한다. 그렇다면 이는 국가 간 실제 전쟁으로도 이어질 수 있다. 특히 요즘처럼 국가들 간 불화가 깊어지는 때에 이는 심각한 문제다.

이 1), 2), 3)번은 결국 무슨 뜻이 될까? 사이버 공격을 실제 물리적인 공간에서 발생했던 사건들에 빗대어 이해하려고 하면 큰 오류가 생길 수 있다는 것이다. 실제 대비해야 하는 위협이 무엇인지 제대로 이해할 수 없고, 물리적인 파괴 행위나 전쟁과 같은 재앙 상황이 비현실적으만 어렴풋이 느껴진다. 탱크를 끌고 오지 않아도, 민감한 데이터를 살짝 수정하는 것만으로도 산업 현장에 수백만 달러에 달하는 피해를 일으키는 게 가능한데, 9/11이나 진주만 사건으로는 이런 느낌을 표현할 수가 없다.

사이버 행위들은 전쟁으로 이어지지 않는다는 전제 하에 거의 항상 공격자에게 유리하게 작용한다. 왜냐하면 사이버 공격 행위는 아직까지 그 어떠한 규제를 받지 않기 때문이다. 이 부분에 대한 국제적 ‘거버넌스’가 없기 때문에 수초~수분 걸리는 빠른 사이버 공격으로 이득을 보고 빠지는 건 언제나 이득일 수밖에 없다. 그리고 이 피해는 대부분 민간인들에게 돌아간다. 그래서 페이스북, 마이크로소프트, 시스코 등의 지도자들이 사이버 버전의 제네바 협약이 필요하다고 주장하고 나선 것이다.

현재 우리는 ‘사이버전’ 상태에 있지 않다. 오히려 전쟁으로 가기 위한 물밑 작업이 부글부글 끓고 있다. 이럴 때 미리 전쟁의 비유와 레토릭을 들고와 분위기를 폭발시킬 필요는 없다. 우리에게 필요한 건 ‘사이버 위협 행위’라는 것에 대한 보다 정확한 이해지, 실제 전쟁이 터진 것과 같은 섣부른 분위기 조성이 아니다.
[글=데이브 와인스타인(Dave Weinstein), Threat Research Claroty]

3줄 요약
1. 사이버 공간에서의 긴장감 때문에 ┖사이버 진주만┖이나 ┖사이버 9/11┖과 같은 표현이 나오고 있음.
2. 하지만 물리 공간에서의 전쟁과 사이버 공격에는 지나치게 큰 차이가 존재한다.
3. 자극적인 비유로 분위기부터 조성하는 것보다 사이버 공격에 대한 보다 깊은 이해가 필요하다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>