이번 러시아-우크라이나 전쟁의 놀라운 점 한 가지는 우크라이나가 러시아의 사이버 공격을 효과적으로 막아내고 있다는 사실이다. 미국을 포함해 다양한 국가의 연합 화이트해커 조직이 우크라이나를 돕고 있다. 이런 지원 활동을 하는 기업 중 잘 알려지지 않은 곳이 바로 마이크로소프트다. 공격을 식별할 수 있는 조언부터 공격받은 부분의 복구를 돕는 것은 물론, 기술과 보안 서비스를 부상으로 제공하고 있다.
마이크로소프트가 지원에 나선 이유는 공격적이고 국력이 더 강한 러시아의 우크라이나 침공을 반대하는 선의만은 아니다. 우크라이나에 대한 러시아의 사이버공격을 방치하면 결국 마이크로소프트 기술을 사용하는 다른 기업과 공공기관도 피해를 보게 된다. 실제로 러시아는 고의로 민간 기업을 공격하고 있다는 의심을 받고 있다. 결국 마이크로소프트는 우크라이나를 도움으로써 자사의 고객을 지원하는 것은 물론 꽤 훌륭한 홍보활동을 하는 셈이다.
사이버공격과 정보전, 그리고 클라우드의 안전
그렇다면 마이크로소프트는 우크라이나에 구체적으로 어떤 도움을 주고 있을까? 지난 2022년 4월 마이크로소프트의 디지털 시큐리티 부서(Digital Security Unit)는 21페이지 분량의 보고서를 내놓았다. 우크라이나에 대한 러시아의 사이버공격을 분석한 것으로, 여기에는 마이크로소프트가 어떻게 우크라이나를 돕고 있는지에 대한 내용이 포함돼 있다.
보고서에 따르면, 러시아의 군사 정보 기관인 GRU는 지상전이 시작되기 전에 이미 우크라이나 정부와 IT, 에너지, 금융 기관 등에 대한 파괴적인 사이버 공격을 개시했다. 이 공격은 개전 이후에도 계속됐다. GRU는 우크라이나 정부 네트워크에 침투해 중단시키고 파괴하고 때로는 미사일 공격과 함께 사이버 공격을 감행했다. 필수적인 IT 하드웨어와 리소스에 피해를 주고 허위 정보를 퍼뜨리는 활동을 통해 우크라이나의 전투 의지를 꺾는 것이 목표였다.
보고서에 따르면 러시아는 특히 허위 정보를 퍼뜨리는 데 상당한 공을 들였다. 많은 러시아 군 장성이 정보 수단을 통해 우크라이나 군대의 사기를 떨어뜨리고 지휘관에 대한 신뢰를 무너뜨리고 군과 경제의 기반을 흔드는 것이 때로는 전통적인 무기보다 더 효과가 있다고 믿었다.
러시아의 사이버 공격을 저지하기 위해 마이크로소프트는 악성코드를 찾아 추적하는 것은 물론 악성코드를 방어하고 없앨 수 있는 다양한 방법을 우크라이나에 제공했다. 주 단위로 러시아의 사이버공격 현황을 공유하고 공격에 사용된 악성코드 중 가장 위험한 것의 리스트를 제공했다. 이런 악성코드 상당수는 네트워크와 윈도우 PC, 닷넷, 마이크로소프트의 오픈소스 개발자 플랫폼을 노린 것이었다.
사이버공격 대응 방법 중 일부는 놀랄 만큼 단순한 것이었다. 예를 들어 마이크로소프트는 우크라이나 정부에 윈도우의 제어된 폴더 액세스(controlled folder access) 기능을 사용할 것을 권고했다. 이 기능은 기본적으로 비활성화돼 있지만 이를 활성화하면 와이퍼 악성코드의 피해를 줄일 수 있다. 기본적으로 비활성화된 이중 인증도 사용하도록 권고하는 한편, 우크라이나 정부가 마이크로소프트의 EDR(endpoint detection and response) 솔루션을 사용해 온 방법을 분석해 더 효과적일 수 있는 다른 방법을 제안했다.
마이크로소프트의 사용자 보안 및 신뢰 담당 부사장 톰 버트는 지난해 기업 블로그를 통해 "MSTIC(Microsoft’s Threat Intelligence C 수십 개 우크라이나 네트워크에서 와이퍼 악성코드를 찾아냈다. 이를 우크라이나 정부에 알려주는 한편 24/7 사이버보안 핫라인을 열어 대응할 수 있도록 지원했다"라고 설명했다.
또한, 마이크로소프트는 우크라이나의 컴퓨팅 인프라를 클라우드로 옮겨 보안을 강화하고 더 안정적으로 운영될 수 있도록 지원했다. 마이크로소프트의 사장인 브래드 스미스의 긱와이어(GeekWire) 인터뷰에 따르면, 마이크로소프트는 우크라이나 정부와 다른 국내 인프라를 온프레미스 서버에서 클라우드로 옮기는 데 1억 700만 달러를 사용했다. 이는 유럽 전체에서 마이크로소프트가 운영하는 데이터센터를 보호하는 의미도 있었다. 스미스는 "우크라이나를 방어하는 데 필수적인 요소 중 하나였다"라고 말했다.
마이크로소프트는 앞으로도 지원을 계속할 예정이다. 스미스에 따르면, 마이크로소프트는 올 한 해 동안 무료 기술과 서비스 지원 등 총 1억 달러 상당을 지원한다. 이미 지원한 4억 달러까지 합하면 총 5억 달러 규모가 된다. 마이크로소프트 외에도 여러 기업이 우크라이나를 지원하고 있다. 아마존은 자사의 클라우드 전문성을 활용해 마이크로소프트와 비슷한 지원을 하고 있고 구글은 사이버보안과 다른 형태의 지원을 제공하고 있다.
이와 같은 정부와 민간 차원의 지원은 상당한 성과로 이어지고 있다. 최근 뉴욕타임스가 러시아가 사이버전에서 실패한 원인을 심층 분석해 보도했다. 이에 따르면, 지난 수년간 우크라이나의 사이버전 역량을 강화하기 위해 우크라이나와 긴밀하게 협력해 온 워싱턴의 관료들은 숨죽여 결과를 지켜보고 있다. 그동안 많은 기업이 해킹 기술을 사용한 것은 스파이 활동과 금융적 탈취, 정권 붕괴와 태업 같은 것을 위해서였다. 이번처럼 전면적인 무력 충돌 상황에서 이런 기술이 어떻게 활용될 수 있을지 누구도 알지 못했다.
뉴욕타임스는 보도를 통해 현재까지 우크라이나가 사이버전에서 러시아를 효과적으로 격퇴해 왔다고 결론 내렸다. 한때 전 세계를 공포로 몰아넣었던 러시아 해커들은 우크라이나의 전력망을 붕괴시키고 정부 네트워크를 마비시키고 위성통신을 중단시키는 등의 작업에서 실패했다. 사실상 거의 모든 부분에서 실패했다고 해도 과언이 아니다.
우크라이나의 대응이 일반 기업에 의미하는 것
이런 상황이 전 세계 기업에 시사하는 바는 명확하다. 우크라이나가 다른 정부와 민간 업계의 도움을 통해 이뤄낸 성과의 상당수는 다른 기업에도 똑같이 통한다. 이중 인증을 사용하고 제어된 폴더 액세스를 활성화하고 엔드포인트 보안을 강화하는 간단한 변화만으로 해커와 사이버공격을 방어하는 데 큰 도움이 된다. 모든 것은 패치하고 최신 버전으로 유지하고, 클라우드로 이전하면 보안을 더 강화할 수 있다.
이를 위해 기업이 전장에 직접 뛰어들 필요도 없다. 하지만 마이크로소프트가 제안한 이런 변화를 도입하는 것만으로 마치 해커와 전쟁을 치르는 것에 준하는 대응 체계를 갖출 수 있다. 이미 해커들이 마치 전쟁하듯 기업을 공격하고 있음을 고려하면 마이크로소프트의 조언은 꽤 유용하다.
editor@itworld.co.kr