The $1 billion Russian cyber company that the US says hacks for Moscow

미, 러시아 해킹 작전 도운 러시아 정보보안 기업 제재

미국 정부가 러시아 사이버보안 회사 포지티브테크놀로지스에 대한 제재를 단행했다. 정보기관 보고에 따르면 포지티브는 러시아 정부에 해킹 도구를 제공하고 작전도 수행한다.
  • 바이든 행정부, 6개 러시아 기업에 대해 사이버 활동 이유로 제재 단행
  • 러시아의 유명 사이버보안 회사 포지티브도 제재 목록에 포함
  • 미국 정보당국자, 포지티브가 러시아 정보기관에 해킹도구와 지원을 제공한다고 비공식적으로 믿어

포지티브테크놀로지스 해커들의 실력이 뛰어나다는 점은 누구도 부인하지 않는다. 러시아의 사이버보안 회사 포지티브는 우수하다고 평가되는 연구 결과를 정기적으로 발표한다. 포지티브는 최첨단 컴퓨터보안 기술의 결함을 파악하고 네트워킹 장비, 전화 신호, 전기차 기술의 취약점을 찾는다.

그렇지만 미국 정보기관은 모스크바에 본사를 두고 전 세계에 사무실을 운영하는 10억 달러 규모의 이 회사가 그 이상의 일을 하고 있다는 결론을 내렸다.

최근 미국 정부는 러시아 정보기관을 지원했다는 이유로 많은 기술 기업에 대한 제재를 단행했으며, 포지티브도 대상에 포함되었다. 바이든 대통령은 미국에 대한 러시아의 위협에 대처하기 위해 국가비상사태를 선포했다. 그렇지만 재무부 발표자료에는 포지티브가 수행한 것으로 보이는 역할의 극히 일부에 대한 설명만 있을 뿐이다.

본지가 파악한 바에 따르면 미국 정부는 포지티브가 러시아 정보기관에 해킹공격 도구와 정보를 제공하는 주요 공급자이며 작전도 수행한다는 결론을 비공식적으로 내렸다. 포지티브는 러시아의 지정학적 목표를 지원하는 민간기업과 사이버범죄단체로 구성된 네트워크의 일원인 것으로 보인다. 그리고 이 네트워크의 직접적인 위협이 점차 커지고 있다는 것이 미국의 시각이다.

겉으로 보기에 포지티브는 다른 사이버보안 회사들과 다를 것이 없다. 직원들은 첨단 보안 기술을 연구하고 새로운 위협에 대한 연구 결과를 발표한다. 사무실에는 “늘 긍정적으로!”라는 문구가 깜찍한 표지판에 붙어 있다. 포지티브는 러시아 정부와의 관계를 일부 공개하고 있으며, 러시아 국방부와의 관계를 포함해 사이버보안 방어 부문에서 지난 18년 간 쌓은 실적을 자랑한다. 그렇지만 최근 새로 공개된 미국 정보기관 평가 보고서에 따르면 포지티브는 그 밖에 무기화된 소프트웨어 취약점을 개발하고 이를 러시아 정부에 판매하기도 한다.

그 중 특히 눈에 띄는 것은 글로벌 전화 네트워크의 필수 기술인 SS7에 관한 것이다. 포지티브는 포브스(Forbes)의 공개시연 행사에서 SS7의 약점을 이용한 암호화 우회 기술을 선보였다. 미국은 포지티브가 시스템 결함을 찾아서 공개하는 데 그치지 않고, 보안 허점을 악용한 해킹 공격 능력을 개발했으며, 이를 러시아 정보기관이 사이버 작전에 이용했다고 비공식적으로 결론 내렸다.

포지티브가 러시아의 정보기관을 위해 하는 일은 대부분 미국 보안사업자가 미국 정보기관을 위해 하는 일과 비슷하다. 그렇지만 둘 사이에는 큰 차이가 있다. 기밀정보 취급 권한 문제로 익명을 요청한 전직 미국 정보당국자는 포지티브 같은 회사와 러시아 정보기관의 관계는 “복잡”하고 심지어 “학대받는” 관계라고 설명한다. 보수가 상대적으로 낮고, 요구는 일방적이며, 권력 관계는 왜곡되었다는 것이다. 회사가 협조하지 않으면 암묵적인 위협이 커질 수도 있다.

긴밀한 관계

미국 정보기관은 포지티브가 실제 해킹 작전을 자체적으로 수행하기도 한다고 결론 내린 지 오래다. 러시아 국익에 부합하는 한 대규모 내부 팀이 자체 사이버 작전을 수행하는 것이 허용된다는 것이다. 이런 관행은 서방 국가에서는 불법이다. 미국 군사 용역업체는 사이버 작전 계약기간 동안 발주기관의 직접적인 관리를 일상적으로 받는다.

미국 정보기관은 포지티브가 결함을 찾아 공개하는 데 그치지 않고, 찾은 허점을 악용한 해킹 공격 능력을 개발했다는 결론을 내렸다.

전직 미국 관리들의 말에 따르면 포지티브는 러시아연방보안국 FSB와 긴밀한 협력관계를 맺고 있다. 여기에는 미국 등의 서방 국가가 러시아를 대상으로 사용하는 사이버 능력의 취약점 발견, 악성코드 개발, 역설계가 포함된다.

미국이 발표한 이번 제재에서 포지티브의 대표적 연례행사 포지티브해커데이(Positive Hack Days)는 “FSB 및 정보총국 GRU의 요원모집 행사”로 묘사되었다. 이 행사는 오래전부터 러시아 요원들이 즐겨 찾는 것으로 유명했다.

롭 조이스(Rob Joyce) 미국 국가안보국(National Security Agency, NSA) 사이버보안국장은 이번 제재 대상 기업들이 “전문지식 제공에서 도구개발, 인프라 공급, 심지어 운영지원 활동에 이르는 다양한 서비스를 대외정보국 SVR에 제공한다”고 밝혔다.

포지티브는 제재가 발표된 다음 날 성명을 발표하고 미국의 ‘근거 없는 비난’을 부인했다. 포지티브는 불법행위를 저질렀다는 “증거가 없다”고 지적하고, 소프트웨어 공급업체에 “예외 없이” 모든 취약점을 알려준다고 주장했다.

맞대응

러시아 보안 회사를 조사했다는 발표가 이번이 처음은 아니다.

러시아 최대 사이버보안 회사 카스퍼스키(Kaspersky)는 러시아 정부와의 관계를 이유로 수년 동안 공격을 받았고, 결국 미국 정부기관에서 퇴출되었다. 카스퍼스키는 러시아 정부와 특별한 관계라는 주장을 꾸준히 부인했다.

그렇지만 미국 정보당국자가 보기에 카스퍼스키는 포지티브와 다른 점이 있다. 카스퍼스키는 서방 기업과 정부에 안티바이러스 소프트웨어를 판매한다는 것이다. 컴퓨터에서 일어나는 일 일체를 감시하기 위한 목적으로 설계되고, 소프트웨어가 설치된 컴퓨터의 통제권을 빼앗을 수도 있다는 점에서 안티바이러스 소프트웨어보다 나은 정보수집 도구는 거의 없다. 미국 당국자들은 러시아 해커들이 미국인을 감시하기 위해 카스퍼스키 소프트웨어를 사용했다고 본다. 그렇지만 판매 제품 및 서비스가 카스퍼스키와는 다른 소규모 회사 포지티브에는 그에 상응하는 도구가 없다.

이번 제재는 미국과 러시아가 상대방에 대한 사이버 작전의 수위를 높이며 맞대응을 이어가는 가운데 가장 최근에 나온 조치이다. 최근 러시아가 배후에 있는 솔라윈즈(SolarWinds) 사태로 미국 9개 연방기관이 장기간 해킹에 노출되었다는 것이 밝혀졌다. 올해 초 사이버보안국 권한 대행은 회복에 적어도 18개월은 걸릴 것이라고 말했다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.