소식지

[IT이슈] 전쟁 중인 러시아, 사이버 공간에서의 활동 양상도 변하고 있다 (+Tanium)

관리자 │ 2023-07-03

HIT

419

러시아의 사이버전 수행 양상이 조금씩 바뀌는 중이다. 민간 사이버 범죄 단체를 활용하는 사례가 늘어나고, 실제 스파이 활동을 줄이는 대신 해커들에게 스파이 임무를 주고 있으며, 신기술 활용에 박차를 가하고 있다.


러-우 전쟁이 장기화 됨에 따라 국제 무대에서 러시아의 입지가 좁아지고 있다. 이 때문에 전통적 방식의 전쟁이든 사이버 방식의 전쟁이든, 수행하는 것이 점점 어려워지고 있으며 이에 러시아 정부는 보다 원활한 사이버 공격을 실시하기 위해 사이버 범죄 단체들에 대한 의존도를 높이는 중이다. 스위스의 연방 정보국인 FIS가 발표한 바에 의하면 “러시아가 사이버 범죄 단체들과 결탁하여 우크라이나만이 아니라 NATO 회원국들에 대한 공격 수위를 높일 것”이라고 한다.



사이버 범죄와 구분이 없는 러시아의 스파이전 양상
NATO 회원국 간에는 “회원국에 대한 공격은 곧 NATO 전체의 공격으로 간주한다”는 협약이 존재한다. 따라서 러시아가 사이버 공격을 통해 NATO 회원국을 건드리기 시작하면 NATO 전체를 적으로 돌리게 되는 것이며, 이는 ‘러시아 vs. NATO 전체’의 전쟁으로 이어질 수 있다. 이미 NATO는 “기반 시설에 대한 사이버 공격은 전쟁 행위로 간주한다”고 발표한 바 있기 때문에 이러한 전쟁 발발 시나리오는 생각보다 현실 가능성이 높다고 FIS는 경고했다.

또한 지난 3월 러시아 정부와 계약을 맺고 활동하는 업체 NTC벌칸(NTC Vulkan)에서부터 유출된 문건을 통해 “러시아 첩보 기관들이 사기업들을 활용해 사이버 공격을 실시하고 있다”는 사실이 공개되기도 했었다. 당시 사이버 공격의 대상이 되는 국가는 꽤나 많았다. 심지어 철도와 발전소를 공략하는 방법에 대한 교육 및 훈련 자료들도 그 때 같이 공개됐었다. 해당 교육과 훈련 모두 벌칸이 러시아 정부를 대신해 진행하고 있었었다.

NATO 국가들의 사회 기반 시설을 노리는 사이버 공격은 크게 두 가지로 요약이 가능하다고 FIS는 보고서를 통해 정리했다.
1) 사회 기반 시설에 대한 직접적인 사이버 공격
2) 랜섬웨어 공격 조직을 통한 공급망 혼란 야기


보안 업체 태니엄(Tanium)의 수석 보안 고문 티모시 모리스(Timothy Morris)는 “사회 기반 시설을 겨냥한 사이버 공격은 사회 전체에 어마어마한 충격을 가져다 줄 수 있고, 따라서 그 영향력이 매우 광범위하다”고 설명한다. “경제 행위나 각종 행정 처리에 큰 불편함을 가져다줄 수도 있고 시민들이 정상적인 생활을 할 수 없게 하기도 하며, 심지어 생명을 위협할 수도 있습니다. 이런 모든 일들이 복합적으로 일어나기도 하고요.”

모리스가 경고하는 일들이 실제로 일어나고 있다고 FIS는 보고서를 통해 경고한다. 특히 사회 기반 시설과 관련이 있는 시스템들을 랜섬웨어 공격자들이 계속해서 노리고 있고, 그러한 일이 점점 늘어나고 있다는 것이다. “우크라이나를 침공한 이후, 러시아 랜섬웨어 공격 조직들의 활동력이 늘어나고 있습니다. 정부 기관과 직접적인 관련이 없는 민간 범죄 조직들이죠. 이 때문에 공격을 예측하기도 어렵고, 방어에 있어 계산 착오가 자주 일어납니다. 관계된 국가들 간 불필요한 적대심과 증오가 생겨나는 것은 물론이고요.”


보안 업체 컨버선트그룹(Conversant Group)의 CEO 존 안토니 스미스(John Anthony Smith)는 “여러 나라의 사회 기반 시설을 보호하는 건 생각보다 어려운 일”이라며 “공통된 표준이 존재하지 않기 때문”이라고 설명한다. “사회 기반 시설들에 구축된 IT 기술들도 전부 제각각이고, 그것들을 보호하는 기술도 제각각이며, 방어력의 수준 역시 제각각입니다. 심지어 관리 책임자를 지정하는 방식도 전부 다르죠. 기반 시설이라고 불릴만한 것은 너무나 많은데 그것들을 관통하는 보안 체계는 있을 수 없다는 게 큰 어려움입니다. 하나하나 따로따로 보호해야만 하죠.”

실제 스파이를 직접 운영하지 않아도 괜찮아
적국을 겨냥한 러시아의 사이버 공격이 갖는 또 다른 중요한 특징은 이전에는 간첩들이 할 만한 일들을 해커들이 한다는 것이라고 FIS는 짚는다. 러시아는 주로 해외로 파견 나간 외교부 직원들을 스파이로 활용해 왔는데, 우크라이나 침공에 앞서 이들을 전부 송환시켰기 때문에 현재 적지에서 정보를 모을 사람이 부족하다. 하지만 해커들이 있으니 걱정할 게 없다는 것이 FIS의 분석이다. 온갖 첩보와 정보들을 멀리서 수집하기 때문에 실제 간첩을 파견할 필요가 없어진다는 것이고, 이는 염탐 행위가 적발될 가능성이 낮다는 뜻이다.

“러시아는 이미 사이버전에 참여하는 사람들에게 그러한 스파이 임무를 부여한 상황입니다. FIS 측의 설명이다. 보안 업체 크리티컬스타트(Critical Start)의 수석 연구원 캘리 겐터(Callie Guenther)는 “실제 스파이들을 본국으로 송환시키고 사이버전 행위를 늘려 첩보 수집을 이어가고 있다”는 FIS의 주장에 대해 “입증하기 어렵지만 일리 있는 주장”이라고 말한다.

“디지털 스파이 행위가 증가한 것과, 외교 인력들을 대폭 줄인 것과의 직접적인 연관성을 증명한다는 건 어려운 일일 겁니다. 하지만 러시아의 외교 인력들이 어떤 역할을 해 왔는지 알 사람은 다 알고 있죠. 또한 러시아가 아무런 대책 없이 그런 중요한 인력들을 현장에서 뺐을 리도 없고요. APT 공격 단체들을 통해 스파이 행위를 실시하는 게 완전히 새로운 전략인 것도 아닙니다. 꽤나 논리적인 추론이라고 생각합니다.”

인공지능과 머신러닝에 대한 관심
FIS는 러시아가 각종 사이버 공격을 운영함에 따라 방대한 양의 정보를 흡수하게 될 것이라고 예측하며, “이를 전부 처리하기 위해서는 인공지능 기술에 투자할 수밖에 없다”고 주장했다. 인공지능 기술에 대한 의존도를 높이는 흐름은 러시아 만이 아니라 사이버전에 적극적인 중국과 이란에서 발견되고 있다고도 FIS는 덧붙였다. “훔친 데이터를 자신들의 목적에 맞게 활용하려면 빠른 분석 기술을 필수적으로 갖춰야 합니다. 안 그러면 데이터 탈취를 할 필요가 없어지죠.”

그래서 FIS는 “방어하는 측에서도 인공지능 기술의 활용 방안을 서둘러 마련해야 한다”고 촉구한다. 그리고 그 첫 걸음은 “인공지능의 올바른 활용을 위한 규제 마련”이라고 제시한다. “러시아의 이런 스파이전에 대항해야 하는 국가들이 독재체제라면 ‘규제 마련’이 첫 걸음이 되지 않습니다. 하지만 대부분은 법치주의를 가진 민주주의 국가들이죠. 그러므로 법적 근거를 마련하는 것부터 방어가 시작되어야 합니다. 사이버 보안 전문가들과 입법자들의 긴밀한 협조가 요구되는 것입니다.”

보안 업체 키퍼시큐리티(Keeper Security)의 CEO 대런 구시온(Darren Guccione)은 “공격자들이 새롭게 사용하는 공격 도구들에 대하여 방어자들이 부지런히 학습하는 건 당연한 일”이라고 말한다. “사이버 보안은 개인과 회사를 위한 것이기도 하지만 국가의 안보를 위한 것이기도 합니다. 또한 국제적 사안이기도 하고요. 기술, 정치, 외교가 모두 섞인 복잡한 문제가 되어가고 있지요. 그러므로 각 분야의 전문가들이 빈틈없이 협조하는 게 중요합니다.”

3줄 요약
1. 러시아, 우크라이나전 수행하기 위해 사이버 범죄 단체들 적극 이용.
2. 실제 스파이들을 본국으로 부르고 해커들 이용해 염탐 행위 대신함.
3. NATO 전체가 표적이 되고 있으며, 인공지능도 적극 탐구 중일 것.

[국제부 문가용 기자(globoan@boannews.com)]


기사출처 : [보안뉴스] 전쟁 중인 러시아, 사이버 공간에서의 활동 양상도 변하고 있다


이전글 [X-Factor-DF] GS 인증 1등급 획득, 4개월 만에 겹경사
다음글 [Tanium] "2024년까지 90% 기업이 통합 플랫폼으로 엔드포인트 관...