The US is unmasking Russian hackers faster than ever

달라진 미국…주저 없이 러시아 해커들의 가면을 벗겼다

백악관은 2월 중순 우크라이나 은행 및 정부 웹사이트를 대상으로 벌어진 사이버공격의 배후로 러시아를 지목하며 공개적으로 비난했다. 사이버공격의 배후를 그 어느 때보다 빠르게 밝혀낸 것에는 기술적인 발전뿐만 아니라 정치적인 의도도 숨어있다.

지난 2월 15일과 16일에 우크라이나의 은행과 정부 웹사이트들이 사이버공격을 받았다. 그로부터 48시간 만에 미국은 러시아 스파이를 사이버공격의 배후로 지목했다.

백악관 국가안전보장회의(NSC) 사이버·신기술 담당 부보좌관 앤 뉴버거(Anne Neuberger)는 “러시아 정보총국(GRU)이 이번 우크라이나 사이트들을 마비시킨 디도스(DDos) 공격과 관련이 있다는 기술적 정보”를 미국이 가지고 있다고 밝혔다.

뉴버거 부보좌관은 18일 기자들에게 “GRU 인프라에서 우크라이나의 IP 주소와 도메인으로 트래픽이 대량 전송된 것을 파악했다”고 밝혔다. 이번 사이버공격은 15만 명이 넘는 러시아 군대가 국경에 집결한 상황에서 우크라이나에 공포를 심어주기 위한 것으로 여겨진다.

미국과 영국이 이토록 빠르게 러시아를 배후로 지목할 수 있었던 것에는 사이버공격과 관련한 인식의 변화가 반영되어 있다. 또한 이번 일은 미국이 사이버공격의 배후를 밝히는 것을 사이버 분쟁에서 매우 중요한 도구로 여기고 있다는 것도 보여주고 있다. 최근 몇 년 동안 특히 미국은 사이버공격의 배후를 밝혀내는 것을 지정학적 도구로 활용해왔으며, 지난주의 상황처럼 목표가 러시아일 때는 특히 영국의 기관들과 협력하는 일이 많았다.

뉴버거는 “우리는 이번에 이례적일 만큼 빠르게 사이버공격의 배후를 밝혀냈다”고 강조하며, “우리가 이렇게 빠르게 배후를 밝힌 것은 어떤 국가가 다른 국가를 불안하게 만들거나 사회에 지장을 주는 사이버 활동을 벌인 경우에 그들에게 책임을 묻기 위해 빠르게 움직일 필요가 있었기 때문”이라고 밝혔다.

이러한 새로운 정책은 2016년 미국 대선 이후에 벌어졌던 사건에 뿌리를 두고 있다. 국가안보회의에서 러시아를 담당했던 전임 고위 관료 개빈 와일드(Gavin Wilde)는 미국 선거에 영향을 주기 위한 러시아의 해킹과 허위 정보 유포 활동에 관해 상세하게 기록한 획기적인 ‘정보기관 평가(intelligence community assessment)’ 문서 작성을 도왔다. 이를 위해서 당시 오바마 대통령과 제임스 클래퍼(James Clapper) 미국 국가정보국장의 도움으로 관련된 모든 미국 정보기관들이 같은 공간에 모여서 기밀 자료를 포함한 다양한 자료를 공유했다.

그러나 러시아가 사이버 공간에서 벌인 행위는 미국 대선 이후 몇 달이 지난 2017년까지 공개되지 않았다.

와일드는 MIT 테크놀로지 리뷰에 “미국 대중이 러시아의 목표라는 것이 분명하게 드러났을 때 미국 정보요원들은 무력감을 느꼈다”고 밝혔다.

늦게 발표되기는 했지만, 그 평가 문서는 이전에 있었던 다른 조사 결과와 비교하면 인상적인 성과라고 할 수 있었다.

그러나 와일드는 “우리에게는 러시아가 허위 정보를 심어 놓고 잘 알려진 지위에 있는 사람들이 그런 정보를 널리 퍼뜨리기 전에 그런 활동을 뿌리 뽑지 못했다는 실패의식이 있었다”고 덧붙였다.

정치적인 문제

해킹은 수십 년 동안 세계 정치의 중요한 측면을 차지하고 있었지만, 대중에게 해킹의 배후를 밝히는 것의 중요성을 진지하게 고려하기 시작한 것은 얼마 되지 않았다. 그러다가 <뉴욕타임스> 1면을 장식한 어떤 민간 기업의 획기적인 사이버보안 관련 보도가 마침내 전 세계가 해커의 정체를 밝히는 것에 대해 생각하는 방식을 바꾸어 놓았다.

미국 사이버보안 기업 맨디언트(Mandiant)가 2013년에 작성한 APT1이라는 중국 해커들에 대한 보고서는 어떤 국가를 해킹의 배후로 공개적으로 지목한 첫 번째 보고서였다. 2002년에 시작된 이 해킹 단체에 대한 고발이 대중에게 공개되기까지 꼬박 10년이 걸렸다.

공개된 APT1 보고서는 61398부대라고 알려진 중국 인민해방군 사이버 첩보단까지 추려낼 정도로 매우 상세한 내용을 담고 있었다. 1년 뒤에 미 법무부는 미국 기업의 지식재산을 해킹해 빼돌린 혐의로 해당 부대 소속 장교 다섯 명을 기소하면서 그 보고서 내용이 사실임을 뒷받침했다.

독일의 사이버 첩보 조사관이자 <계속되는 위협의 배후 지목(Attribution of Advanced Persistent Threats)>의 저자인 티모 슈테펜스(Timo Steffens)는 “APT1 보고서는 사이버 공격자들이 그동안 생각했던 이익과 위험에 관한 계산을 근본적으로 변화시켰다”고 표현했다.

그는 “이 보고서가 공개되기 이전까지 사이버 작전은 거의 위험성이 없는 방식으로 여겨졌다. 그러나 이 보고서는 가설을 제시했을 뿐만 아니라 분석 방법과 데이터 소스를 분명하고 투명하게 문서화했다. 보고서는 이번 분석이 일회성의 행운에 따른 발견이 아니며, 정보원들의 지식과 기술이 다른 작전이나 공격에도 적용될 수 있다는 것을 분명하게 보여줬다”고 설명했다.

뉴스 헤드라인을 장식한 보고서의 여파는 멀리까지 영향을 미쳤다. 이와 유사하게 사이버공격의 배후를 지목하는 일들이 뒤따랐고, 미국은 중국이 조직적으로 대규모 절도 행각을 벌였다고 비난했다. 그 결과 사이버보안은 중국 시진핑 주석이 2015년에 미국을 방문했을 때 가장 중요한 논의 주제가 되었다.

슈테펜스는 “APT1 보고서가 발표되기 이전에는 그 누구도 감히 사이버공격의 배후를 공개적으로 지목하지 못했다. 나는 이 보고서가 기술적인 돌파구를 보여줬을 뿐만 아니라 마지막 단계까지 가서 결과를 대중에게 공개한 보고서의 저자들과 책임자들의 대담한 성과였다고 생각한다”고 말했다.

바로 그 마지막 단계가 지금까지 사이버공격의 배후를 밝히는 데 부족했던 부분이었다. 정보 장교들은 이제 기술적인 측면에는 정통해있기 때문이다. 사이버공격의 배후를 밝히기 위해 정보 분석가들은 해커들이 사용하는 악성 프로그램, 공격을 수행하기 위해 조직된 인프라나 컴퓨터, 기밀이나 누군가 가로챈 통신, ‘누가 이익을 얻는가(cui bono)’의 문제, 즉, 공격의 배후에 있는 전략적 동기에 대한 지정학적 분석 등을 포함해 다양한 데이터를 조사한다.

더 많은 데이터를 분석할수록 어떤 패턴이 나타나기 때문에 배후를 밝히기가 더 쉬워진다. 세계 최고의 해커들도 실수를 하고 단서를 담기며 사건 입증을 도와줄 오래된 도구를 재사용하기도 한다. 해커의 정체를 밝히는 새로운 방법을 생각해내는 분석가들과 자신들의 흔적을 감추려는 해커들 사이에서는 계속해서 경쟁이 벌어진다.

그러나 이번 사이버공격의 배후가 러시아라는 것을 밝혀낸 속도를 보면, 이전에 해커의 정체를 밝히는 데 오래 걸렸던 것이 단순히 데이터 부족이나 증거 부족 때문이 아니었음을 알 수 있다. 거기에는 정치적인 문제도 있었다.

2019년까지 백악관에서 일했던 와일드는 “그건 정치적 의지의 문제로 요약할 수 있다”고 말하며, “사이버공격의 배후를 밝히기 위해서는 단계마다 결정을 내리는 리더십이 필요하다. 앤 뉴버거와의 교류를 통해 나는 그녀가 결과를 가져와야 하는 상황이라면 산을 움직이고 형식적인 절차들도 끊어낼 수 있는 사람이라는 것을 알게 됐다”고 설명했다.

와일드는 러시아가 우크라이나를 침략해 수십만 명의 사람들을 위험에 빠뜨릴 수 있는 현재 상황으로 인해 백악관이 조금 더 빠르게 움직일 수 있었던 것이라고 주장하며 “미국 정부는 러시아가 계획하는 것이 사이버 침략이든 ‘가짜 깃발(false flag)’ 작전이든 거짓 구실이든, 그런 것들을 미리 밝혀내서 전 세계 사람들에게 알리는 선제공격이 최고의 방어라고 파악했던 것 같다”고 말했다.

사이버공격의 배후를 공개적으로 밝히는 것은 적의 사이버 전략에 매우 실질적인 영향을 미칠 수 있다. 적들은 자신들이 감시되고 있다고 생각하게 될 것이며, 새로운 작전을 준비하려고 하면 비용이 발생할 수 있다. 또한 사이버공격의 배후를 밝히고 나면 책임이 있는 자들의 은행 계좌를 추적하는 제재 같은 정치적인 조치도 뒤따를 수 있다.

개빈은 사이버공격의 배후를 밝히면 정부가 자신들이 악성 사이버 활동을 면밀하게 추적하고 있으며 이를 바로잡기 위해 노력하고 있다고 대중에게 알릴 수 있다는 것도 중요한 부분이라고 주장했다.

그는 “이러한 움직임을 통해 특히 러시아나 중국과는 다른 ‘신뢰도의 차이’를 보여줄 수 있다. 러시아나 중국은 상황을 애매하게 만들고 감추지만, 미국 정부는 조사 결과에 대해서 대중에게 모든 것을 공개하고 있다”고 말했다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.