By ANDY GREENBERG, WIRED US
2022년 2월 말, 러시아가 우크라이나와의 전쟁 전면전을 펼치기 시작하자 우크라이나 정부 기관부터 위성 네트워크까지 여러 곳에 타격을 주려 개시한 심각한 사이버 공격이 낳은 결과는 엇갈렸다. 그러나 미국 정부의 사이버 반격을 예측한 이들은 많지 않았다. 미국은 보복 해킹은 물론이고, 각종 공격적인 법적, 정치적 조치를 대대적으로 모아 러시아 정부의 가장 강력한 사이버 범죄 조직을 질책하고는 고립시켜 직접 해커 조직의 해킹 능력을 파괴하기까지 했다.
조 바이든 대통령의 행정부는 지난 2개월간 어쩌면 역대 행정부보다 더 짧은 시간에 걸쳐 더 많은 행동을 취해 러시아의 가장 위험한 해커 세력을 견제하면서 축소하기도 했다. 미국이 펼친 대책은 우크라이나 은행 기관을 겨냥한 디도스(DDoS) 공격이 러시아 GRU 군사 정보 기관의 소행임을 공개적으로 비난하는 것부터 악명 높은 러시아 정부 산하 해커 조직 기소 사건 2건 공개, GRU 해커가 해킹된 기계를 이용해 전 세계 봇넷을 장악하는 데 이용한 네트워크 기기의 멀웨어 제거라는 이례적인 FBI 작전 등 다양하다. 2022년 4월 초, 미국 국가안전보장국(NSA)과 폴 나카소네(Paul Nakasone) 사이버 부사령관은 미 의회에 미국 사이버 보안 전문 인력으로 구성된 방어 네트워크 팀을 동유럽으로 파견해 해커 세력이 우크라이나와 다른 우호국의 네트워크에서 악용하는 데 발견할 네트워크 취약점을 찾고 제거하려 한다고 말했다.
오바마 행정부 시절 사이버 보안 조정 역할을 하면서 오바마 전 대통령에게 각종 국가 주도 해킹 위협에 대한 정책 대응 자문을 제공한 J. 마이클 대니얼(J. Michael Daniel)은 미국의 모든 대응이 “적국에 맞서려 모든 국가 권력 기관을 동원하는 행위”라고 말했다. 대니얼은 “바이든 행정부는 적국의 현재 행동을 무력화하면서 우크라이나 전쟁의 결과로 더 심각한 행동으로 나아가는 것을 막고 사이버 공간에서 세력을 넓히는 행동을 막으려 한다”라고 말했다.
대니얼은 오바마 행정부의 조처와 비교하며, 바이든 행정부가 러시아 해커 견제를 위해 훨씬 더 빠르고 강력한 대응 접근방식을 선택한 것이 분명하다고 보았다. 그는 미국 정부가 블라디미르 푸틴 정권의 사이버 공격에 대응한 지난 몇 년과 우크라이나 위기의 시급함 등 러시아 정부 해커 세력이 우크라이나 주요 기반 시설은 물론이고 서양 네트워크에 가할 위협 덕분에 러시아 해커 세력이 보복으로 타격받고 러시아 제재와 함께 우크라이나에 군사 지원할 수 있다고 분석했다. 대니얼은 “러시아는 정보와 작은 조치만으로 미국이 러시아 해커 조직을 견제할 수 없을 것임을 분명히 드러냈다. 이에, 미국은 더 강력한 대응이 필요하다는 사실을 알게 되었다”라고 말했다.
바이든 행정부는 2월 중순, 러시아가 우크라이나를 상대로 전면전을 개시하기 전부터 러시아의 사이버 공격 대응 수준을 강화하기 시작했다. 백악관 기자회견 당시 앤 노이버거(Anne Neuberger) NSA 보좌관은 러시아의 GRU가 일주일 전 우크라이나 은행 기관에 심각한 타격을 준 디도스 공격의 배후에 있다고 지목했다. 노이버거 보좌관은 기자단을 향해 “전 세계 지역사회는 악성 사이버 활동을 밝힐 준비를 하면서 해커 세력을 대상으로 모든 심각한 피해를 유발하는 사이버 활동 책임을 물을 준비를 해야 한다”라고 말했다. GRU의 공격 개시 단 며칠 후 노이버거 보좌관의 질책은 사이버 공격 발생 후 가장 짧은 기간에 걸쳐 미국 정부의 특정 기관을 지목한 공식 발표가 이어졌다. 보통 공격 발생 후 정부 기관이 특정 기관을 지목하여 비판하는 데 수개월 혹은 수년이 걸리기도 한다.
2022년 3월, 법무부는 국가 산하 해커 조직 두 곳과 관련이 있는 러시아인 네 명을 기소했다. 두 건의 기소 중 한 건은 러시아 FSB 정보국 요원 세 명이 드래곤 플라이 2.0(Dragonfly 2.0)이라는 이름으로도 알려진 악명 높은 해커 조직인 버서크 베어(Berserk Bear)의 일원으로 수년 동안 전력 그리드 네트워크 여러 곳의 보안 공격 등 미국의 주요 기반 시설을 겨냥한 각종 해킹 작전을 개시한 혐의를 적용했다. 두 번째 기소 사건은 트리톤(Triton), 혹은 트리시스(Trisis)라고 알려진 멀웨어로 사우디아라비아 정유 공장 페트로 라비(Petro Rabigh)를 공격하며, 대중의 삶을 위험에 몰아넣으면서 정유 시설 두 곳을 가동 중단시키는 등 위험하기로 악명 높은 또 다른 해킹 조직 구성원 한 명을 기소했다. 법무부는 러시아 정부와 관련된 모스크바 소재 중앙 화학 및 역학 과학 연구소(Central Scientific Research Institute of Chemistry, TsNIIKhM)과 다른 익명의 공모자가 페트로 라비를 함께 공격했다고 지목했다.
그와 동시에 사이버 인프라 보안국(CISA)과 법무부, FBI는 세 번째 해커 조직에 더 직접적인 대응을 펼쳤다. 2022년 2월, CISA는 우크라이나 대규모 정전 사태부터 전 세계에 총 100억 달러 상당의 금전적 손실을 낳은 낫페트야(NotPetya) 멀웨어까지 모든 공격 추적 기록이 있는 GRU 해커 조직 샌드웜(Sandworm)이 해킹된 네트워크 기기의 봇넷을 모아 멀웨어 감지 및 제거 방법 지침인 사이클롭스 블링크(Cyclops Blink)와 함께 모았다. 미국 정부는 봇넷이 탈취한 기기 수를 39%만 줄였으나 FBI는 명령 및 제어 기기에 해커의 대화를 사칭하고는 명령을 내려 기기에서 해커 세력의 멀웨어를 삭제하며 샌드웜의 봇넷 접근 권한을 최소화했다.
사이버 보안 기업 맨디언트(Mandiant) 위협 인텔리전스 수석인 존 헐퀴스트(John Hultquist)는 FSB와 관련된 버서크 베어와 트리톤 배후로 추정되는 TsNIIKhM, GRU와 관련된 샌드웜 등 미국이 직접 대응에 나선 러시아 해커 조직 세 곳 모두 미국 정부가 단순한 도청이나 사이버 범죄 행위를 넘어 특정 대상을 정한 파괴적인 사이버 전쟁을 개시하며 가장 위험하다고 알려진 러시아 해커 조직을 의도적으로 견제하면서 그 세력을 무력화할 수 있다는 사실을 보여준다고 말한다. 헐퀴스트는 과거 세 조직의 활동을 모두 추적한 적이 있다. 그는 “미국이 러시아가 개시할 수 있는 사이버 공격에 대비할 때, 법무부는 해커 조직 두 곳을 기소하면서 나머지 한 조직을 막을 작전을 펼쳤다. 세 조직 모두 교묘한 수법으로 심각한 파괴를 일으킬 위험성이 있다고 입증됐다. 이 때문에 그동안 미국 정부의 작전이 세 조직을 집중적으로 겨냥했다. 또, 세 조직에 특별히 집중해야 했던 이유이기도 하다”라고 말했다.
바이든 행정부는 매우 신중하게 우크라이나를 지지하면서 러시아와 북대서양조약기구(NATO) 간 전면전 고조로 이어질 군사 대응을 피했다. 또한, 미국은 우크라이나에 무기와 원조를 제공하면서도 전쟁에는 적극적으로 뛰어들지 않았다. 사이버 갈등 고조 상황을 집중적으로 연구하는 스탠퍼드대학교 후버연구소 펠로 재클린 슈나이더(Jacqueline Schneider)가 설명한 바와 같이 미국 정부가 사이버 영역에서 더 적극적인 견제 조치를 택하는 상황에서 미국의 대응 조치는 긴장감 고조라는 어떠한 한계보다 훨씬 더 낮은 위험성을 유지한다. 슈나이더는 “미국이 우크라이나 지원 측면에서 보이는 태도를 보면, 재블린(Javeline) 미사일은 항상 사이버 대응보다 더 폭력적인 수단이 된다. 개인적으로 미국이 폭력적인 보복 조치를 하지 않는다는 사실을 낙관적으로 평가한다. 또한, 사이버 세계에서 긴장 고조 상황과는 전혀 연결되지 않을 것으로 본다. 러시아가 사이버 공격을 동원한다면, 그 이유는 단순히 러시아가 사이버 공격 전략을 펼치고자 하기 때문이다”라고 말했다.
일각에서는 바이든 행정부 기관의 러시아 사이버 공격 견제 조치가 러시아 정부의 가장 과감한 사이버 공격 조직의 활동을 억제하기 충분한가 의문을 제기한다. 그러나 대니얼은 적어도 어느 정도 러시아 사이버 조직의 행동을 억제하는 효과가 있을 것이라고 주장했다. 갈등 위험성이 낮으면서 민감한 정보 출처나 방법을 폭로하는 더 심각한 위험성을 포함하더라도 바이든 행정부가 러시아 해커 세력에게 가하는 대가는 미국에 대한 대가이다.
대니얼은 “러시아는 기반 시설을 재구성하는 데 시간과 비용을 투자해야 한다. 또, 이때 투자하는 시간과 비용은 파괴적인 활동에 지출하는 것이 아니다. 미국이 러시아에 더 천천히, 그리고 신중하게 다른 거래 방법을 사용하도록 강요해도 미국 정부의 러시아 사이버 공격 세력 대응 효과가 있을 것이다. 그리고 러시아의 공격 능력과 공격 효율성이 줄어들 것이다”라고 설명했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
How Russia's Invasion Triggered a US Crackdown on Its Hackers
2022년 2월 말, 러시아가 우크라이나와의 전쟁 전면전을 펼치기 시작하자 우크라이나 정부 기관부터 위성 네트워크까지 여러 곳에 타격을 주려 개시한 심각한 사이버 공격이 낳은 결과는 엇갈렸다. 그러나 미국 정부의 사이버 반격을 예측한 이들은 많지 않았다. 미국은 보복 해킹은 물론이고, 각종 공격적인 법적, 정치적 조치를 대대적으로 모아 러시아 정부의 가장 강력한 사이버 범죄 조직을 질책하고는 고립시켜 직접 해커 조직의 해킹 능력을 파괴하기까지 했다.
조 바이든 대통령의 행정부는 지난 2개월간 어쩌면 역대 행정부보다 더 짧은 시간에 걸쳐 더 많은 행동을 취해 러시아의 가장 위험한 해커 세력을 견제하면서 축소하기도 했다. 미국이 펼친 대책은 우크라이나 은행 기관을 겨냥한 디도스(DDoS) 공격이 러시아 GRU 군사 정보 기관의 소행임을 공개적으로 비난하는 것부터 악명 높은 러시아 정부 산하 해커 조직 기소 사건 2건 공개, GRU 해커가 해킹된 기계를 이용해 전 세계 봇넷을 장악하는 데 이용한 네트워크 기기의 멀웨어 제거라는 이례적인 FBI 작전 등 다양하다. 2022년 4월 초, 미국 국가안전보장국(NSA)과 폴 나카소네(Paul Nakasone) 사이버 부사령관은 미 의회에 미국 사이버 보안 전문 인력으로 구성된 방어 네트워크 팀을 동유럽으로 파견해 해커 세력이 우크라이나와 다른 우호국의 네트워크에서 악용하는 데 발견할 네트워크 취약점을 찾고 제거하려 한다고 말했다.
오바마 행정부 시절 사이버 보안 조정 역할을 하면서 오바마 전 대통령에게 각종 국가 주도 해킹 위협에 대한 정책 대응 자문을 제공한 J. 마이클 대니얼(J. Michael Daniel)은 미국의 모든 대응이 “적국에 맞서려 모든 국가 권력 기관을 동원하는 행위”라고 말했다. 대니얼은 “바이든 행정부는 적국의 현재 행동을 무력화하면서 우크라이나 전쟁의 결과로 더 심각한 행동으로 나아가는 것을 막고 사이버 공간에서 세력을 넓히는 행동을 막으려 한다”라고 말했다.
대니얼은 오바마 행정부의 조처와 비교하며, 바이든 행정부가 러시아 해커 견제를 위해 훨씬 더 빠르고 강력한 대응 접근방식을 선택한 것이 분명하다고 보았다. 그는 미국 정부가 블라디미르 푸틴 정권의 사이버 공격에 대응한 지난 몇 년과 우크라이나 위기의 시급함 등 러시아 정부 해커 세력이 우크라이나 주요 기반 시설은 물론이고 서양 네트워크에 가할 위협 덕분에 러시아 해커 세력이 보복으로 타격받고 러시아 제재와 함께 우크라이나에 군사 지원할 수 있다고 분석했다. 대니얼은 “러시아는 정보와 작은 조치만으로 미국이 러시아 해커 조직을 견제할 수 없을 것임을 분명히 드러냈다. 이에, 미국은 더 강력한 대응이 필요하다는 사실을 알게 되었다”라고 말했다.
바이든 행정부는 2월 중순, 러시아가 우크라이나를 상대로 전면전을 개시하기 전부터 러시아의 사이버 공격 대응 수준을 강화하기 시작했다. 백악관 기자회견 당시 앤 노이버거(Anne Neuberger) NSA 보좌관은 러시아의 GRU가 일주일 전 우크라이나 은행 기관에 심각한 타격을 준 디도스 공격의 배후에 있다고 지목했다. 노이버거 보좌관은 기자단을 향해 “전 세계 지역사회는 악성 사이버 활동을 밝힐 준비를 하면서 해커 세력을 대상으로 모든 심각한 피해를 유발하는 사이버 활동 책임을 물을 준비를 해야 한다”라고 말했다. GRU의 공격 개시 단 며칠 후 노이버거 보좌관의 질책은 사이버 공격 발생 후 가장 짧은 기간에 걸쳐 미국 정부의 특정 기관을 지목한 공식 발표가 이어졌다. 보통 공격 발생 후 정부 기관이 특정 기관을 지목하여 비판하는 데 수개월 혹은 수년이 걸리기도 한다.
2022년 3월, 법무부는 국가 산하 해커 조직 두 곳과 관련이 있는 러시아인 네 명을 기소했다. 두 건의 기소 중 한 건은 러시아 FSB 정보국 요원 세 명이 드래곤 플라이 2.0(Dragonfly 2.0)이라는 이름으로도 알려진 악명 높은 해커 조직인 버서크 베어(Berserk Bear)의 일원으로 수년 동안 전력 그리드 네트워크 여러 곳의 보안 공격 등 미국의 주요 기반 시설을 겨냥한 각종 해킹 작전을 개시한 혐의를 적용했다. 두 번째 기소 사건은 트리톤(Triton), 혹은 트리시스(Trisis)라고 알려진 멀웨어로 사우디아라비아 정유 공장 페트로 라비(Petro Rabigh)를 공격하며, 대중의 삶을 위험에 몰아넣으면서 정유 시설 두 곳을 가동 중단시키는 등 위험하기로 악명 높은 또 다른 해킹 조직 구성원 한 명을 기소했다. 법무부는 러시아 정부와 관련된 모스크바 소재 중앙 화학 및 역학 과학 연구소(Central Scientific Research Institute of Chemistry, TsNIIKhM)과 다른 익명의 공모자가 페트로 라비를 함께 공격했다고 지목했다.
그와 동시에 사이버 인프라 보안국(CISA)과 법무부, FBI는 세 번째 해커 조직에 더 직접적인 대응을 펼쳤다. 2022년 2월, CISA는 우크라이나 대규모 정전 사태부터 전 세계에 총 100억 달러 상당의 금전적 손실을 낳은 낫페트야(NotPetya) 멀웨어까지 모든 공격 추적 기록이 있는 GRU 해커 조직 샌드웜(Sandworm)이 해킹된 네트워크 기기의 봇넷을 모아 멀웨어 감지 및 제거 방법 지침인 사이클롭스 블링크(Cyclops Blink)와 함께 모았다. 미국 정부는 봇넷이 탈취한 기기 수를 39%만 줄였으나 FBI는 명령 및 제어 기기에 해커의 대화를 사칭하고는 명령을 내려 기기에서 해커 세력의 멀웨어를 삭제하며 샌드웜의 봇넷 접근 권한을 최소화했다.
사이버 보안 기업 맨디언트(Mandiant) 위협 인텔리전스 수석인 존 헐퀴스트(John Hultquist)는 FSB와 관련된 버서크 베어와 트리톤 배후로 추정되는 TsNIIKhM, GRU와 관련된 샌드웜 등 미국이 직접 대응에 나선 러시아 해커 조직 세 곳 모두 미국 정부가 단순한 도청이나 사이버 범죄 행위를 넘어 특정 대상을 정한 파괴적인 사이버 전쟁을 개시하며 가장 위험하다고 알려진 러시아 해커 조직을 의도적으로 견제하면서 그 세력을 무력화할 수 있다는 사실을 보여준다고 말한다. 헐퀴스트는 과거 세 조직의 활동을 모두 추적한 적이 있다. 그는 “미국이 러시아가 개시할 수 있는 사이버 공격에 대비할 때, 법무부는 해커 조직 두 곳을 기소하면서 나머지 한 조직을 막을 작전을 펼쳤다. 세 조직 모두 교묘한 수법으로 심각한 파괴를 일으킬 위험성이 있다고 입증됐다. 이 때문에 그동안 미국 정부의 작전이 세 조직을 집중적으로 겨냥했다. 또, 세 조직에 특별히 집중해야 했던 이유이기도 하다”라고 말했다.
바이든 행정부는 매우 신중하게 우크라이나를 지지하면서 러시아와 북대서양조약기구(NATO) 간 전면전 고조로 이어질 군사 대응을 피했다. 또한, 미국은 우크라이나에 무기와 원조를 제공하면서도 전쟁에는 적극적으로 뛰어들지 않았다. 사이버 갈등 고조 상황을 집중적으로 연구하는 스탠퍼드대학교 후버연구소 펠로 재클린 슈나이더(Jacqueline Schneider)가 설명한 바와 같이 미국 정부가 사이버 영역에서 더 적극적인 견제 조치를 택하는 상황에서 미국의 대응 조치는 긴장감 고조라는 어떠한 한계보다 훨씬 더 낮은 위험성을 유지한다. 슈나이더는 “미국이 우크라이나 지원 측면에서 보이는 태도를 보면, 재블린(Javeline) 미사일은 항상 사이버 대응보다 더 폭력적인 수단이 된다. 개인적으로 미국이 폭력적인 보복 조치를 하지 않는다는 사실을 낙관적으로 평가한다. 또한, 사이버 세계에서 긴장 고조 상황과는 전혀 연결되지 않을 것으로 본다. 러시아가 사이버 공격을 동원한다면, 그 이유는 단순히 러시아가 사이버 공격 전략을 펼치고자 하기 때문이다”라고 말했다.
일각에서는 바이든 행정부 기관의 러시아 사이버 공격 견제 조치가 러시아 정부의 가장 과감한 사이버 공격 조직의 활동을 억제하기 충분한가 의문을 제기한다. 그러나 대니얼은 적어도 어느 정도 러시아 사이버 조직의 행동을 억제하는 효과가 있을 것이라고 주장했다. 갈등 위험성이 낮으면서 민감한 정보 출처나 방법을 폭로하는 더 심각한 위험성을 포함하더라도 바이든 행정부가 러시아 해커 세력에게 가하는 대가는 미국에 대한 대가이다.
대니얼은 “러시아는 기반 시설을 재구성하는 데 시간과 비용을 투자해야 한다. 또, 이때 투자하는 시간과 비용은 파괴적인 활동에 지출하는 것이 아니다. 미국이 러시아에 더 천천히, 그리고 신중하게 다른 거래 방법을 사용하도록 강요해도 미국 정부의 러시아 사이버 공격 세력 대응 효과가 있을 것이다. 그리고 러시아의 공격 능력과 공격 효율성이 줄어들 것이다”라고 설명했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
How Russia's Invasion Triggered a US Crackdown on Its Hackers
저작권자 © WIRED Korea 무단전재 및 재배포 금지
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다