Google’s top security teams unilaterally shut down a counterterrorism operation

구글, 미국 정부 대테러 작전 일방적 차단

해커들이 미 동맹국을 위해 일하고 있다는 사실이 밝혀졌다. 이에 따라 '전문가' 수준의 사이버 공격을 차단하기로 한 결정이 구글 내부에서 논란을 빚고 있다.

• 구글 보안팀, 9개월 간 이어진 해킹 작전을 공개

• 구글이 공개하지 않은 사항: 이 조치로 서방 정부가 추진 중인 대테러 작전 중단

• 이번 결정으로 구글 등 내부에 경각심 확산

구글은 세계적으로 가장 뛰어난 사이버 보안팀을 운영하고 있다. 구글의 프로젝트 제로(Project Zero) 팀은 그 동안 발견되지 않은 심각한 보안 취약점을 찾아낸다. 또한, 위협 분석 그룹(Threat Analysis Group)은 북한, 중국, 러시아 같은 정부 지원 해킹 공격에 직접 대응한다. 최근 두 팀은 예상치 못한 대어를 낚았다. ‘전문가’ 해킹 그룹이 11가지 심각한 취약점을 이용해 iOS, 안드로이드, 윈도우 운영 장치를 손상시킨 것이다.

그러나 MIT 테크놀로지 리뷰는 문제의 해커들이 실제로 대테러 작전을 수행하는 서방 정부 요원임을 알게 되었다. 공격을 중지하고 밝히기로 한 구글의 결정은 내부 분열을 초래했고 미국과 동맹국의 정보 커뮤니티에 의문을 제기했다.

최근 구글 블로그에 게시된 글은 9개월에 걸쳐 해커들이 사용한 제로 데이(Zero-day)의 취약점을 자세히 다룬다. 2020년 초반으로 거슬러 올라가 그동안 한번도 본 적이 없는 기술을 사용한 이 공격은 ‘워터링 홀(Watering Hole)’ 공격이라고 한다. 워터링 홀 공격은 감염된 웹사이트를 사용하여 사이트 방문자에게 악성 프로그램을 전달한다. 공격의 규모, 정교함, 속도 면에서 사이버 보안 전문가들의 관심을 끌었다.

그러나 구글의 발표는 해킹 책임자와 공격 대상자, 작전에 사용된 악성 프로그램이나 도메인에 대한 중요한 기술정보를 포함한 세부 사항을 명백히 누락시켰다. 적어도 이 정보 중 일부가 일반적으로 어떤 식으로든 공개되면, 보안 전문가는 이 보고서가 ‘무언가 빠진 블랙홀’이라고 혹평할 것이다.

“다양한 윤리적 질문”

보안업체들은 우호적인 정부가 이용하는 공격을 정기적으로 차단하고 있지만, 이러한 행위는 거의 공개되지 않는다. 이 사건에 대하여, 대테러 임무가 정보 공개 범위를 벗어나야 한다고 주장하는 직원들도 있고, 공개여부는 전적으로 회사의 권리라고 생각하는 직원들도 있다. 구글의 발표가 사용자를 보호하고 인터넷을 더 안전하게 만드는 역할을 한다는 주장도 있었다.

구글 대변인은 성명을 통해 다음과 같이 밝혔다. “프로젝트 제로는 제로 데이 취약점 발견 및 패치에 전념하고 있다. 또한, 연구 업계 전반에 걸쳐 새로운 보안 취약점과 악용 기법에 대한 이해를 높이기 위해 설계된 기술 연구도 게시하고 있다. 이 연구를 공유하면 방어 전략이 향상되고 보안도 강화될 것이다. 본 연구의 일환으로 원인(Attribution)을 찾지는 않는다.”

프로젝트 제로가 공식적으로 해킹을 특정 그룹 탓으로 돌리지 않는 것은 사실이다. 그러나 업무에 참여한 위협 분석 그룹은 무엇이 원인인지를 찾는다. 구글은 해킹을 당한 정부의 이름보다 더 많은 상세정보를 누락시켰고, 이 정보를 통해 팀은 내부적으로 해커와 타겟이 누구인지 알게 되었다. 구글이 정부 관계자에게 공격 방식을 알리고 차단하겠다는 사전 통보를 했는지는 확실하지 않다.

그러나 미국 전직 정보기관 고위 관계자에 따르면 서방측 작전은 알아볼 수 있다고 한다.

작전에 대해 발언할 권한이 없으며 익명을 요구한 이 관계자는 다음과 같이 전했다. “서방측 작전에는 다른 단체에 없는 특징이 있다…이것이 코드로 변환되는 것을 볼 수 있다. 바로 여기에서 윤리적 문제가 발생한다. 합법적으로 선출된 대의 정치에서 정보활동이나 민주적 감시 하의 법 집행 행위에 대해 어떻게 대처하는가는 독재 정권과 비교하면 매우 다르다.

“서방측 작전에는 다른 단체에 없는 특징이 있다… 이것이 코드로 변환되는 것을 볼 수 있다.”

그들은 “감시가 기술, 스파이 활동에 필요한 지식(Tradecraft), 그리고 절차 면에서 서방측 작전에 반영된다”고 덧붙였다.

구글은 해킹 그룹이 9개월 만에 11개의 제로 데이 취약점을 악용한 것을 발견했다. 이는 단기간으로서 높은 수치이다. 공격당한 소프트웨어에는 아이폰의 사파리(Safari) 브라우저 및 안드로이드폰과 윈도우 컴퓨터의 크롬 브라우저를 포함한 구글 제품이 여럿 포함되었다.

그러나 구글은 해킹의 주체와 이유가 보안상 결함만큼 결코 중요하지 않다는 결론을 내렸다. 올해 초, 프로젝트 제로의 매디 스톤(Maddie Stone)은 다음과 같은 의견을 밝혔다. “심각한 제로 데이 취약점을 찾고 이용하는 것은 해커에게 식은 죽 먹기다. 우리 팀은 취약점이 어디에 사용되었는지 파악하기 위해 힘겨운 싸움을 하고 있다.”

누가 배후에 있고 특정 작전의 표적이 되었는가에 초점을 맞추는 대신, 구글은 다음과 같은 명분을 내세우며 모든 사람을 위해 더 광범위한 조치를 취하기로 했다.

그 사람들이 알아낼 일은 아니다”

서방 정부가 오늘날 이런 취약점을 악용한다고 해도 결국 다른 사람들도 사용할 것이다. 따라서 지금의 문제를 해결하는 것이 올바른 선택이다.

서구권 사이버 보안팀이 동맹국의 해커를 처음 적발한 것과는 거리가 멀다. 그러나 일부 기업은 보안팀과 해커가 우호적이라고 간주될 경우(예: 미국, 영국, 캐나다, 호주, 뉴질랜드로 구성된 ‘파이브 아이즈(Five Eyes)’ 첩보 동맹 회원국일 경우) 이러한 해킹 작업을 공개적으로 노출하지 않는 조용한 정책을 펴고 있다. 구글 보안 팀원 중 몇몇은 서방 정보기관 출신의 베테랑이고, 서방 정부를 위해 해킹 캠페인을 벌인 팀원도 있다.

경우에 따라 보안 회사들은 소위 ‘친절한’ 악성 프로그램을 정리할 계획이지만 공개되는 것은 피한다.

민간 부문 사이버보안 조사에 대해 최근 연구를 발표한 전직 국방부 관계자 사샤 로마노스키(Sasha Romanosky)는 다음과 같이 주장했다. “그들은 일반적으로 미국 기반 작전을 탓하지 않는다. 분명히 한 발 물러서겠다고 밝혔다. 그 사람들이 알아낼 일은 아니다. 정중히 옆으로 비켜섰다. 예상치 못한 바는 아니다.”

구글의 상황이 어떤 면에서는 이례적이지만, 과거에 다소 비슷한 케이스가 있었다. 러시아 사이버보안업체 카스퍼스키(Kaspersky)는 2018년 중동에서 ISIS와 알카에다 조직원을 상대로 한 미국 주도의 대테러 사이버 작전을 폭로해 비난을 받았다. 미국 관리들은 카스퍼스키가 구글과 마찬가지로 이 위협을 명시적으로 비난하지는 않았지만 그럼에도 불구하고 작전을 폭로해 무용지물로 만들었다고 주장했다. 이로 인해 정보원들은 귀중한 감시 프로그램에 접근할 수 없었고, 심지어 지상군 병사들의 목숨까지 위험에 처하게 되었다.

카스퍼스키는 당시 러시아 정부와의 관계로 인해 거센 비난을 받았고, 결국 이 회사는 미국 정부 시스템에서 접근 금지되었다. 카스퍼스키는 크렘린궁과 어떤 특별한 관계도 없다고 계속 부인했다.

구글은 전에도 비슷한 상황에 처한 적이 있다. 구글은 2019년 비록 구체적인 원인은 발견되지 않았지만, 미국 해킹 그룹일 지도 모르는 것에 대한 연구를 발표했다. 하지만 이 연구는 역사적인 작전에 관한 것이었다. 그러나 구글의 최근 발표로 사이버 스파이 실전 활동은 사람들의 이목을 집중시켰다.

어떤 사람들이 보호받고 있는가?

정부 내부와 구글에서 제기된 경고는 회사가 난처한 상황에 처해 있다는 것을 보여준다.

구글 보안팀은 고객을 책임져야 할 의무가 있으며, 비난을 받고 있는 제품과 사용자 보호를 위해 최선을 다할 것이다. 이번 사건으로, 사용된 기술이 크롬이나 안드로이드 같은 구글 제품뿐만 아니라 아이폰에도 영향을 미쳤다는 점은 주목할 필요가 있다.

팀 별로 독자적인 노선을 취하는 가운데, 프로젝트 제로는 구글 제품뿐만 아니라 인터넷 곳곳의 중대 취약점과 싸우고 있다.

최근 연구 결과가 발표되었을 때, 보안팀에서 가장 실력을 인정받는 멤버인 매디 스톤은 이렇게 트윗했다. “제로 데이 공격을 막기 위해 조치를 취할 때마다 우리 모두는 더 안전해진다.”

공격으로부터 고객을 보호하는 것은 중요하다. 그러나 대테러 작전은 또 다른 문제이며, 일상의 인터넷 보안을 넘어서 사활을 걸어야 하는 문제일 수도 있다고 주장하는 사람들도 있다.

서방 세계의 국가 지원 해커들이 사이버보안 결함을 발견할 경우, 영향을 받은 회사에 보안 격차를 공개함으로써 발생하는 잠재 비용과 혜택을 해결하는 방법이 있다. 미국에서는 이것을 “취약점 해소 과정(Vulnerabilities Equities Process)”이라고 한다. 비평가들은 미국 정보기관이 여러 건의 공을 세웠다고 우려 하지만, 미국 시스템은 서방 동맹국을 포함한 지구상의 거의 모든 나라에서 시행된 것보다 더 공식적이고, 투명하며, 포괄적이다. 취약점 해소 과정으로 정부 관리들은 1) 첩보활동을 목적으로 사용하기 위해 결함을 비밀에 부치는 것의 장점과 2) 문제 해결을 위해 기술 회사에 취약점을 말하는 것 중에 어느 쪽이 더 이로울지 균형을 잡을 수 있다.

“서구 민주주의 국가 조차도 국가 정보 기관이 실제로 무슨 일을 하고 있는지 감시하는 수위는 대부분 미국보다 훨씬 낮다.”

작년, 미국 국가안보국(NSA)은 마이크로소프트 윈도우에서 오래된 결함을 밝혀냈다는 공로를 인정받기 위해 이례적인 조치를 취했다. 정부에서 산업계에 이르기까지 이런 종류의 보고는 보통 익명으로 유지되며 종종 비밀에 부친다.

미국 정보 시스템의 공개 과정이 불투명할 수 있지만, 다른 서구권 국가의 경우는 종종 더 좁고, 비밀스럽거나, 비공식적이기 때문에 간과하기 쉽다.

오바마 정부의 백악관 사이버보안 담당자 마이클 대니얼(Michael Daniel)은 이렇게 주장했다. “서구 민주주의 국가 조차도 국가 정보 기관이 실제로 무슨 일을 하고 있는지 감시하는 수위는 대부분 미국보다 훨씬 낮다.”

“국회의 감시는 훨씬 적다. 서구 민주주의 국가는 미국이 보유하고 있는 강력한 기관간 프로세스를 갖추지 못했다. 미국도 문제가 많기 때문에 자랑할 입장은 아니다. 하지만 이 분야만큼은 다른 국가에서 찾아볼 수 없는 강력한 프로세스를 갖추고 있다.”

구글 조사에 타격을 받은 해킹 그룹이 이처럼 많은 제로 데이 취약점을 빠르게 이용하고 보유했다는 것은 문제가 있다. 그러나 일부 관측통은 빠른 시일 내에 다시 시작할 능력도 갖추지 않은 채, 결정적인 순간에 실시간 대테러 사이버 운영이 중단되는 것을 우려하고 있다.

미국 정보부 전 고위 관리는 “미 동맹국이 다른 국가들처럼 신속하게 총 작전을 재개할 능력은 없다”고 말하며 다음과 같이 부연했다. “테러방지 임무에서 갑자기 공격 능력을 상실하거나 타겟에 포착될 우려는 매우 높다. 특히 공격이 많이 발생하는 ‘믿을 수 없는 노출 기간’ 동안은 더욱 그렇다.” 구글이 이 작전을 중단할 경우 더 큰 갈등의 원인이 될 것으로 전망된다.

전 고위 관리는 “이것은 아직 해결되지 않은 문제다. 구글 같은 회사가 이 대단한 능력을 그렇게 빨리 포기할 것 같다는 생각이 점점 더 분명해지고 있다”고 밝혔다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.