러시아 군사 부대인 GRU는 오랫동안 세계에서 가장 공격적인 정치적 파괴 시행, 암살, 사이버 전쟁 등으로 악명이 높았다. GRU 해커 세력은 폭력적인 특수 부대 작전 세력과 같은 조직으로 활동하는 데 자부심을 느꼈다. 그러나 GRU 내 어느 한 새로운 조직이 물리적 작전과 디지털 작전을 그 어느 때보다 더 서로 철저하게 연결했을 가능성이 드러났다. 독극물 배포, 쿠데타 시도, 서양 여러 국가 영토 내 폭탄 테러 등 가장 악명높은 전략을 개시한 부대 내부에서 해킹 조직이 등장했다.
미국, 영국, 우크라이나, 호주, 캐나다, 유럽 5개국을 포함한 광범위한 서양 정부 기관이 카데트 블리자드(Cadet Blizzard), 블리딩 베어(Bleeding Bear), 그레이스케일(Greyscale) 등으로 알려진 해커 조직의 실제 정체는 물리적 공격, 정치적 동기가 된 살인 등과 같은 범죄를 과감하게 저지른 GRU 산하 부대인 유닛 29155라고 밝혔다. 해당 조직은 우크라이나, 미국을 비롯하여 유럽, 아시아, 남미 여러 국가를 대상으로 한 해킹 배후에 있는 조직이기도 하다. 유닛 29155는 과거, 영국 노비촉(Novichok) 신경 물질 담당 요원 두 명을 동원하여 GRU 요원 세르게이 스크리팔(Sergei Skripal)를 독살하려 한 부대이다. 결국, 행인 두 명이 사망했다. 불가리아 내 또 다른 암살 시도와 체코 무기 창고 폭발 공격, 실패로 끝난 몬테네그로 암살 시도도 이어졌다.
이제 GRU의 악명 높은 부대인 유닛 29155는 사이버 전쟁 활동 조직은 자체적으로 설립했다. 추후 팬시베어(Fancy Bear), APT28로 알려진 유닛 26165(Unit 26165), 샌드웜(Sandworm)이라는 이름으로 알려진 사이버 공격 전담 부대 유닛 74455(Unit 74455) 등과는 다른 부대이다. 2022년 이후 GRU는 비교적 최근 사이버 작전을 이끈 해커를 모집했다. 그중에는 2022년 2월, 러시아가 우크라이나를 침략하기 하루 전 우크라이나 기관 20여 곳의 전산 장애를 일으킨 데이터 손상을 유발하는 와이퍼 멀웨어인 위스퍼게이트(Whispergate)를 유포한 해커와 프리 시빌리언(Free Civilian)이라는 가명으로 우크라이나 정부 웹사이트 공격, 정보 탈취, 유출 작전을 개시한 해커도 포함되었다.
실명을 공개한 채로 언론 인터뷰에 응할 수 없어 익명 보장을 조건으로 취재에 응한 여러 서양 정보기관 관료들은 카데트 블리자드가 GRU 유닛 29155 소속임을 확인한 사실은 GRU가 복합 전쟁에서 물리적 전략과 사이버 전략의 경계를 추가로 허물었음을 나타낸다고 전했다. 어느 한 관료는 “특수 부대는 보통 물리적 활동을 반영한 사이버 부대를 설립하지 않는다. 유닛 29155는 물리적 작전 비중이 매우 높은 부대이며, GRU가 개입하는 비교적 더 끔찍한 작업을 담당한다. 유닛 29155가 간단한 수법으로 키보드를 조작하면서 사이버 작전을 개시한다는 점에 놀랐다”라고 밝혔다.
미국 사이버보안 인프라 안보국(CISA)은 카데트 블리자드와 GRU 유닛 29155 간의 관련성을 밝힌 합동 공식 성명 외에도 유닛 29155의 해킹 수법과 해킹 탐지 방법, 공격 완화 방법 등을 상술한 조언도 함께 발행했다. 미국 법무부는 유닛 29155 요원 다섯 명 모두 모두 미국에 없으나 기소자의 이름을 직접 밝히며, 기소한다고 발표했다. 또, 유닛 29155를 공개적으로 언급하지 않은 상태로 2024년 여름에 기소했던 6번째 인물도 기소 대상으로 추가했다.
매튜 G. 올센(Matthew G. Olsen) 미국 법무차관보는 공식 성명을 통해 “우크라이나 주요 기반 시설과 군사 가치가 없는 정부 시스템을 겨냥한 공격을 포함한 GRU의 위스퍼게이트 작전은 러시아가 부당한 침략에 가담하면서 무고한 시민을 무시하는 혐오스러운 행동을 한 사실을 상징한다”라며, “이번 기소는 미국 법무부가 시민에게도 피해를 주는 무차별적인 악성 사이버 활동을 무력화할 모든 수단을 동원하여 미국 및 우방국을 겨냥하여 무차별적인 파괴 작전을 펼친 가해자의 책임을 물을 것임을 강조한다”라고 전했다.
미국 법무부는 기소 대상이 된 GRU 요원의 행방 정보를 제보하면서 사진도 함께 건넨 이들에게는 보상금 1,000만 달러를 지급할 것이라는 글을 미국 법무부 보상 웹사이트에 게재했다.
와이어드의 취재에 응한 서양 정보국 관료들은 과거 우크라이나를 겨냥한 것으로 알려진 작전 이외에도 러시아가 북미, 동유럽, 중부 유럽, 중앙아시아, 남미 등 여러 국가의 교통수단, 보건복지 부문, 정부 기관, 에너지 기반 시설 등 각종 주요 기반 시설 등을 관리하는 기관도 공격 표적으로 삼았다고 전했다. 그러나 이 외 구체적인 정보를 추가로 공유하는 것은 거부했다. 이어, 이들은 와이어드에 유닛 29155 해커 세력이 위스퍼게이트와 비슷한 더 심각한 피해를 초래할 수 있는 사이버 공격을 준비한 사실도 드러났다고 전했다. 그러나 그 공격이 실제로 발생했는지는 확실하지 않다.
[사진=Freepik]
2024년 6월, 미국 국무부는 위스퍼게이트 공격을 개시한 해커가 미국 주요 기반 시설 중 해킹 공격이 가능한 취약한 공격 표적을 찾았다고 밝혔다. 특히, 에너지, 정부 기관, 항공 산업 부문 등이 주요 표적이 된 것으로 알려졌다. 미국 법무부가 최근, 유닛 29155 해커를 대상으로 새로 작성한 뒤 공개한 기소장은 해커가 북대서양조약기구(NATO) 회원국 최소 26개국의 네트워크 취약점 수색은 물론이고, 미국 메릴랜드주 정부 기관 네트워크를 63차례 탐색했을 가능성을 시사한다. 다만, 러시아 정부의 메릴랜드주 정부 기관 네트워크 탐색이 성공했는지는 알려지지 않았다.
유닛 29155 해커 세력의 의도는 군사 감시로 드러난 때가 많았다. 예를 들어, 중부 유럽에서는 러시아가 철도국 보안 침입 작전을 개시하여 우크라이나로 향하는 공급품 기차 출하 내역을 감시했다. 우크라이나는 유닛 29155 해커 세력이 소비자 감시 카메라 보안 침입 공격으로 우크리안이 군인의 움직임이나 무기를 볼 권한을 손에 넣었다고 발표했다. 과거, 우크라이나 정부 관료는 러시아가 같은 수법으로 미사일 공격 표적을 지정했다고 경고했다. 그러나 와이어드의 취재에 응한 정보국 관료들은 유닛 29155의 작전이 미사일 표적물에 특별히 동원된 저기 있는지 언급하지는 않았다.
서양 정보국 소속 관료들은 와이어드와의 인터뷰 도중 GRU 유닛 29155 해커 세력이 이른 시점인 2020년에 형성되었으나 비교적 최근까지 수년간 심각한 파괴를 초래하는 사이버 공격보다는 감시 작전에 더 초점을 맞추었다고 귀띔해 주었다. 샌드웜, 팬시 베어 등 GRU 내부 기존 해커 조직이 오랫동안 전 세계 사이버 전쟁과 감시 작전에서 가장 공격적인 작전을 가장 활발하게 개시한 점을 고려하면, GRU 내부에 또 다른 해킹 조직을 형성하는 것 자체가 불필요한 일처럼 보일 수도 있다. 그러나 서양 정보국 관료들은 인터뷰 도중 GRU 내부 경쟁은 물론이고, GRU가 자체 작전 개시에 성공하여 인지도를 얻은 뒤 영향력이 커졌다는 점에서 유닛 29155가 자체 전문 해커 부대를 두고자 했을 수도 있다고 전했다. 심지어 실패로 끝난 스크리팔 암살 시도도 GRU 유닛 29155의 인지도를 높이는 계기가 된 것으로 추정된다. 어느 한 관료는 “스크리팔을 상대로 한 독극물 암살 시도로 유닛 29155는 크게 주목받고, 수많은 임무를 받았다. 따라서 유닛 29155의 자금과 자원 지원 수준이 이전보다 훨씬 더 증가하여 사이버 조직 운영을 시작할 역량을 끌어모은 것이 유력하다고 본다. 서양 정부와 러시아의 특정 작전 성공을 향한 견해는 매우 큰 차이가 있다”라고 말했다.
와이어드의 취재에 응한 서양 정보국 관료들은 유닛 29155 해커 조직이 GRU에 비교적 새로이 합류한 해커 약 10여 명으로 구성되었다고 예측한다. 그중 일부는 해커 컨퍼런스에서 보편적인 해킹 시뮬레이션 경쟁인 ‘캡처 더 플래그(Capture the Flag)’ 해킹 대회에 참석한 뒤 GRU에 합류한 뒤 사이버 전쟁을 위해 모집되었을 가능성이 있다. 그러나 소규모 조직인 유닛 29155 해커 조직은 간혹 러시아 사이버 범죄 해커 조직과 협력하여 자원을 확장했다. 간혹 러시아가 공격의 배후에 있다는 사실을 밝혀내기 더 어려워지도록 하는 작전을 완성한 사이버 범죄 멀웨어 상품을 사용했다.
사이버 범죄 조직과의 협력 중 한 가지 예시는 2024년 6월, 미국에 없으나 미국 법무부의 기소 대상이 된 러시아 해커 아민 티모비치 스티갈(Amin Timovich Stigal)과 협력한 사례이다. 스티갈은 카데트 블리자드의 우크라이나 정부를 겨냥한 위스퍼게이트 작전에 조력했다는 혐의를 받았다. 미국 국무부는 스티갈의 체포로 이어질 만한 중요한 정보를 제보하는 이에게 보상금 1,000만 달러를 지급한다고 발표했다.
카데트 블리자드를 긴밀히 추적한 어느 한 보안 연구원이 설명한 바와 같이 카데트 블리자드의 기술적 역량을 암시하는 바는 범죄 해커 세력에 의존하는 것 외에도 비교적 새로 형성되었으며, 규모가 작은 조직임을 암시하는 서양 정보국 관료의 설명을 통해서도 찾아볼 수 있다. 해당 연구원은 사측에서 언론 인터뷰에 응한 사실을 아는 것을 원하지 않아 익명을 요구했다. 카데트 블리자드 해커 세력은 공격 대상의 네트워크 초기 접근 권한을 손에 넣고자 주로 널리 알려진 소수 소프트웨어 취약점을 대거 악용했으며, 그동안 알려지지 않은 해킹 결함인 제로데이 취약점은 일절 이용하지 않았다. 연구원은 “초기 접근 권한을 확보하는 과정에서 수많은 개입 경험이 없었을 수도 있다. 매우 보편적인 작전 개시 절차를 따랐다. 단순히 즉시 악용할 취약점을 찾았다. 취약점은 주어진 도메인에서 최대한 활용할 결함을 부여할 수도 있다. 그리고 해당 결함을 악용하는 수법에서는 벗어나지 않았다”라고 설명했다. 카데트 블리자드 해커 조직의 지능적인 사이버 공격 수법이 부족하다는 점을 암시하는 또 다른 사례로 해커 조직의 이미지가 포함된 우크라이나 지도를 해킹된 우크라이나 웹사이트에 게재한 사실을 언급할 수 있다. 지도를 게재한 웹사이트는 2014년, 러시아가 자국 영토임을 주장한 크림반도 이미지가 포함된 웹사이트였다.
최신 기술을 교묘하게 사용하는 능력과 별개로 연구원은 유닛 29155 해커 조직이 우크라이나를 포함한 동유럽 여러 국가의 IT 공급사 역할을 하는 공격 대상의 보안에 침입하고는 피해자의 시스템과 데이터 접근 권한을 부여한 사례도 일부 존재한다는 점에 주목했다. 해당 사례 조사를 담당한 연구원은 “공격 지점을 겨냥하기보다는 신뢰할 만한 합법 채널과 합법적인 경로를 혼합하여 네트워크로 진입하고자 했다”라고 전했다.
해당 보안 연구원은 카데트 블리자드가 GRU 산하 다른 해커 조직과 달리 자체 건물을 설립하여 GRU의 나머지 조직과는 별도로 활동했다는 사실도 확인했다. 서양 정부가 유닛 29155의 소속 부대를 파악하는 과정에서 추가로 혼란이 발생하도록 하려는 전략으로 추정된다. 유닛 29155의 명령 구조와 범죄 조직과의 협력 관계도 함께 고려하면, GRU의 사이버 전쟁 접근을 위한 새로운 모델을 시사한다.
연구원은 “유닛 29155의 운영 구조 모두 기존 GRU 산하 해커 조직과는 달랐다. 앞으로 러시아의 작전에서 보게 될 새로운 접근 방식을 보여준다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202409/5812_7474_2654.jpg)
뉴스레터 신청