The Influence of Hackers in Russia-Ukraine war

우크라이나 전쟁에서 활약하는 해커들

러시아와 우크라이나 간 전쟁은 물리적, 심리적, 사이버 전쟁을 모두 포함한 대표적인 하이브리드 전쟁을 보여준다. 그리고 우크라이나 전쟁은 국가 수준의 체계화된 사이버 공격 부대와 민간의 수많은 자발적인 해커들 간의 대결의 장이 되었다.

러시아의 사이버 공격 대상 국가들

2022년 2월 러시아가 우크라이나를 침공하기 이전부터 우크라이나의 인프라는 사이버 공격의 피해를 입어왔다. 그리고 전쟁이 본격화되자 러시아는 사이버 공격을 더욱 강화했다.

우크라이나에 대한 러시아의 사이버 공격은 이번이 처음이 아니다. 러시아의 우크라이나에 대한 사이버 공격은 2014년 크림 반도를 러시아가 병합할 때부터 이뤄져왔다.

러시아는 투 트랙으로 사이버 공격 부대를 양성해 왔다. 안보 및 첩보 조직인 KGB의 후신 FSB와 군 조직인 GRU에서 Fancy Bear(APT 28)와 Cozy Bear(APT 29)를 지원하고 있다.

러시아가 지원하는 사이버 공격 조직이 본격적으로 활동한 것은 2007년 에스토니아에 대한 사이버 공격이다. 2007년 에스토니아는 온라인 뱅킹과 미디어, 정부 웹 사이트가 러시아 사이버 공격 조직으로부터 대규모 사이버 공격을 당했다.  또한 2008년에는 조지아의 인프라가 러시아 해커 조직으로부터 ‘분산서비스거부(Distributed Denial of Service)’ 공격을 당해서 서비스가 마비됐다.

러시아는 에스토니아에 대한 사이버 공격, 조지아에 대한 사이버 공격을 바탕으로 해당 국가들의 인프라를 무력화시키는데 성공한 달콤한 경험을 가지고 있다. 그리고 2014년에 우크라이나 크림 반도에 대한 합병 때부터 우크라이나, 에스토니아, 조지아 등 구 소련 국가들을 포함하여 NATO에 대해서도 사이버 공격을 꾸준히 진행하고 있었다.

러시아는 2022년 우크라이나를 침공할 때에도 사전에 치밀하게 사이버 공격을 준비하고, 실행했으며, 쉽게 우크라이나의 사이버 영토를 무력화할 수 있을 것이라고 생각했을 것이다. 또한, 에스토니아, 조지아의 경우와 마찬가지로 우크라이나도 제대로 자국의 사이버 영토를 방어하거나, 심지어 러시아에 대한 사이버 대응 공격을 하지 못할 것이라고 생각했을 것이다. 하지만 러시아의 판단은 잘못되었다.  

NATO 서구는 사이버 공격에 개입하지 못할까?

물리적인 세계에서는 국가의 영토가 존재하지만, 사이버 세계에서는 국가 영토의 경계선이 모호하다.

사이버 공격의 여파는 한 국가에만 영향을 끼치지 않는다. 세계 최초의 웜 바이러스를 만든 MIT 대학생이었던 모리스도 당시 인터넷의 크기가 얼마나 되는지 알기 위한 실험을 진행했었다. 하지만 작성한 코드가 시스템의 취약점을 이용하여 급속도로 퍼지면서 미국의 범위를 벗어나 전 세계 상당수의 네트워크가 감염되는 피해가 발생했다.

러시아는 우크라이나를 자국의 통제권에 두기 위해, 그리고 NATO의 동진을 막기 위한 최후의 보류로 여기면서 우크라이나 영토에 대해 침공을 진행했다. 물리적 침공은 우크라이나 영토를 벗어나지 않는다.

서구에서는 우크라이나를 돕기 위해 무기 등 다양한 지원을 하고 있지만, NATO나 미국 등 서구는 군대를 직접 보내지 않았다. 러시아의 우크라이나 침공에 대한 전쟁의 범위를 최소한으로 국한하고 싶기 때문일 것이다. 만일 NATO가 개입한다면 유럽과 러시아의 전쟁으로 전선이 확대될 것이며, 미국까지 개입한다면 정말 최악의 시나리오인 제3차 세계 대전이 발생할 가능성이 매우 높기 때문이다.

NATO나 미국이 개입할 경우, 러시아도 중국, 북한, 이란과 같은 군사 동맹국들에게 공동 참전을 요청할 것이다. 그럴 경우 유럽 지역을 포함한 아시아 지역까지 전쟁의 포화에 포함될 위험이 있다. 그렇기에 NATO와 미국이 물리적으로 우크라이나에 직접 군대를 보내 러시아를 공격하기에는 상당한 부담을 가지고 있다.

하지만, 사이버 상에서의 전선은 공격 실체와 주체가 명확하지 않기 때문에 러시아의 사이버 영토를 공격하는 주체가 우크라이나에 국한되어 있는지, 또는 NATO인지, 미국의 사이버 부대인지 알아내기가 쉽지 않다. 그렇지만, 공격 원점 IP 주소, 공격에 사용된 코드, 시간 대 등 다양한 조사를 바탕으로 어느정도 공격원점을 알아낼 수 있다. 그렇기에 NATO와 미국 정부가 직접 사이버 공격에 나서기에는 조심스러울 것이다.

어나니머스가 사이버 전쟁에 참가하다

우크라이나는 자국의 사이버 영토를 방어하고 적국을 공격할 수 있는 사이버 부대가 러시아에 비해 월등히 약하다.

우크라이나 장관이 IT Army라는 부대를 만들고 전 세계 해커들에게 러시아의 사이버 영토를 공격하기 위한 공격 대상을 공개하며 공격에 동참하도록 호소를 했다. 전 세계 민간 해커들과, 정치적, 이념적 목적으로 해킹을 하는 핵티비스트 조직인 어나니머스도 사이버 전쟁에 동참했다.

트위터에 공개된 어나니머스의 주장에 따르면 수천 개의 러시아 사이트에 대한 해킹을 성공했다고 밝혔다. 우크라이나는 자발 적인 민간 해커들 덕분에 러시아에게 일방적으로 당하지 않을 수 있었다.

어나니머스는 지속적이고 체계적인 조직이 아니다. 이름에서 나오듯이 조직의 우두머리가 없이 특정 사안이 발생할 때마다 모여서 사이버 작전을 수행한다. 사이버 작전은 #Op_코드네임으로 보통 이뤄진다.

월스트리트의 금융자본과의 투쟁에 참여했던 작전인 #OpIcarus, 그리고 ISIS와의 사이버 전쟁을 벌인 #OpISIS, 그리고 이번에는 #OpRussia 라는 코드명으로 작전이 이뤄졌다.

어나니머스 TV 트위터 계정, #OpRussia, #FreeUkraine을 볼 수 있다

겉으로 보기에는 민간 해커들과 어나니머스가 NATO, 미국과 같은 국가에서 지원하거나 공동 작전을 하는 조직은 아니다. 하지만, 민간 해커들이, 그리고 어나니머스 조직원 중 누군가는 NATO 요원일 수도, 또는 미국 사이버 부대 소속일 지, 실체를 정확히 알기는 어렵다.

사이버 전쟁의 범위가 확대될까?

러시아가 2월 24일 우크라이나를 침공한 이후 현재까지 물리적 전쟁과 사이버 전쟁의 결과로 봤을 때, 많은 전문가들이 초기 푸틴의 목적 달성에는 실패한 것으로 판단하고 있다. 우크라이나 대통령이 아직도 건재하며, 러시아가 키이우를 점령하지도, 또한 친 러시아 정부를 세우지도 못했기 때문이다.

러시아 군의 피해는 생각보다 컸으며, 또한 러시아의 정부 기관 홈페이지 등 러시아의 사이버 영토도 상당히 많은 공격을 받았다.

러시아는 이러한 공격이 단순 전 세계 민간 해커와 어나니머스와 같은 핵티비스트 만의 공격으로 판단하지 않을 수도 있다. 러시아는 자국의 군사 작전과 사이버 영토에 대한 사이버 공격의 배후에는 NATO나 미국 정부가 개입하고 있다고 판단할 가능성이 높다. 그렇기 때문에 러시아는 NATO와 미국에 대한 사이버 첩보 활동 또한 강화하고 있다.

우크라이나 전쟁의 사이버 전선이 확대되는 것은 시간 문제이며, 이미 전선이 확대되고 있다고 볼 수 있다. 러시아의 우크라이나 침공 이후에 서구는 다양한 경제 제재를 러시아에 가해왔다. 하지만 경제 제재 중 가장 민감한 에너지에 대한 제재는 아직 완벽하게 이뤄지지 않았다. 러시아의 경제에 가장 중요한 에너지 안보를 위해 러시아는 미국의 핵 시설과, 사우디아라비아의 석유, 에너지 시설에까지 사이버 첩보 활동을 진행하고 있다고 로이터 통신은 3월 25일 밝혔다.

4월 초 영국 더타임스, 가디언 등 영국 언론에 따르면 영국 국가사이버안전센터에서 중국이 우크라이나 정부 부처 수백 곳을 우크라이나 전쟁 이전에 해킹을 시도하려는 정황을 포착했다고 밝혔다. 이와 같이 정치적, 군사적으로 동맹인 국가들은 사이버 공격 또한 동맹 관계를 맺고 있다. 사이버 공격은 공격 주체가 물리적인 공격보다는 상당히 은밀하게 이뤄진다. 따라서, 사이버 상에는 이미 러시아와 우크라이나의 범위를 넘어선 사이버 공격이 꽤 진행되고 있다고 많은 전문가들은 판단하고 있다.  

국제정치와 해커들의 활동

초기 러시아가 우크라이나를 침공했을 때 실시간에 가까운 상황이 전세계에 빠르게 공유되었다. 우크라이나도 인터넷을 통해 전 세계 해커들에게 도움을 호소했으며, 어나니머스를 포함한 민간 해커들도 연결된 인터넷을 통해 자신들의 성과를 전 세계에 실시간으로 홍보하고 있다.

CFR의 보고서에 따르면 러시아는 이번 우크라이나 사이버 공격을 위해 DDoS와 같은 서비스 거부 공격을 포함하여 WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper 등과 같은 파괴형 악성코드를 활용했다. 또한, APT28, UNC1151과 같은 사이버 위협행위자들이 전격적으로 참여하고 있다고 밝혔다.

친 우크라이나 측에서는 어나니머스, 우크라이나 IT 부대, 그리고 전 세계 여러 사이버 보안 기업들이 함께 활동하고 있다. 

BBC 뉴스에 따르면, 우크라이나 국가특수통신국(State Service of Special Communications) 부국장인 빅토르 조라(Viktor Zhora)는 러시아 GRU에서 지원하는 사이버 조직인 Sandworm가 4월 8일 우크라이나 전력 망 마비를 위해 악성코드를 이용한 사이버 공격을 감행했지만, ESET, Microsoft 등의 도움으로 가까스로 전력 망 마비 공격을 막아냈다고 말했다. 이는 글로벌 사이버 보안 기업들의 적극적인 지원으로 인해 심각한 피해를 막은 사례다.   

어나니머스 조직은 주로 러시아 국영매체나 군 시설에 대한 사이버 공격을 진행하고 있다. 친 우크라이나 핵티비스트 사이버 공격 조직은 3월 1일에 처음으로 파괴형 악성코드인 RURansom을 사용했다고 알려졌다.

어나니머스 조직은 3월 중에 러시아의 Marathon Group, Thozis Group, MashOil 등 러시아 경제와 밀접하게 관계된 기업들을 해킹하여 기업의 이메일 등 수십 만개 이상의 정보를 공개했다. 이들이 러시아 에너지 기업들과 경제와 밀접하게 관계된 기업들을 해킹하는 이유는 푸틴의 측근인 올리가르히(러시아 산업, 금융 재벌)에게 부담을 더욱 주기 위한 것으로 보인다.  

어나니머스와 같은 핵티비스트들의 활동은 물리적인 타격을 심각하게 입히거나, 전쟁을 중단시키는데 결정적인 역할을 하긴 어렵다. 하지만, 어나니머스와 같은 해커들의 지속적인 사이버 활동과, 글로벌 IT 기업들의 전폭적인 지원, 그리고 해외 언론들의 활동은 우크라이나에게 상당한 힘이 되고 있다.

* 김경곤은 사우디아라비아 나이프아랍안보과학대학교 교수로서 딜로이트 , PwC Risk Advisory에서 컨설턴트로, 고려대 정보보호대학원에서 산학협력중점교수로 일했다. 저서로는 『인터넷 해킹과 보안』,  번역서로 『사이버 보안과 국가 안보 전략』,『웹 해킹 & 보안 완벽가이드』 등이 있다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.