늘어나는 국제 분쟁··· 주목받는 중국·우크라이나·이스라엘의 사이버 전술

우크라이나와 이스라엘 지역에서 발생한 전쟁의 여파가 사이버 공간으로도 확산되는 모양새다. 여기에 중국 정부의 사이버 공격이 고도화되며 비슷한 방식이 타 국가의 사이버전에서 확인되고 있다. 최근 진행된 군사 컨퍼런스 사이버워콘(Cyber Warcon)에서 관련 소식을 들을 수 있었다. 
 

우크라이나와 이스라엘 정부가 국가 및 비국가 위협 행위자들의 사이버 피해 확대에 맞서 싸우고 있다. 이러한 상황에서 미국 정부는 적극적인 사이버 전쟁 모드에 돌입한 중국에 대해 우려를 표명하고 있다.

지난 9일 열린 군사 컨퍼런스 사이버워콘(Cyberwarcon)에서는 정부 및 업계 최고 전문가들이 모여 예측할 수 없는 전시 분쟁 속에서 기존에 알려진 사이버 공격과 새로운 디지털 위협에 대해 공유하는 시간을 보냈다. 특히 러시아의 사이버 공격이 더욱 파괴적으로 변하고 있다는 징후, 중동의 허위 정보와 디지털 혼란이 여전히 유동적인 상황, 중국 해커의 미국 중요 인프라에 대한 지속적이고 탐지하기 어려운 침투의 위험성에 대한 주제가 주로 논의됐다.

점점 커지는 중국의 파괴적인 위협 능력
중국은 방대한 사이버 기술을 이용해 지적 재산권 도용과 스파이 활동을 하는 것으로 알려져 있다. 2021년 중국은 중국 내 활동하는 기술 기업이 해킹 가능한 결함을 발견한 경우 48시간 이내에 패치 적용 전 미리 국가 취약성 데이터베이스에 보고해야 한다는 된다는 법률을 통과시키긴 했지만 여전히 많은 기업이 중국 기업의 사이버 공격에 우려를 표하고 있다. 새로운 법은 기업에 여러 제약사항을 제공하는 동시에 보안 연구자들이 발견한 결함을 중국 당국과 공유하도록 유도한다. 자연스레 중국국가안전부(Ministry of State Security)에 여러 기밀 사항이 제공되는 상황을 연출될 수 있다. 

미국 씽크탱크인 아틀란틱 카운실(Atlantic Council)의 글로벌 차이나 허브 부문 비상임 연구원 다코타 캐리(Dakota Cary)와 보안 기업 소포스(Sophos)의 공공 부문 CTO 크리스틴 델 로소(Kristin Del Rosso)는 새로운 결함의 기능 및 영향에 대한 연구를 이번 컨퍼런스에 발표했다. 델 로소는 “몇몇 사람들이 이 문제의 심각성을 이해하기 시작한 것 같다”라고 설명했다. 

NSA의 사이버 보안 협업 센터 책임자인 모건 아담스키(Morgan M. Adamski)는 “중국이 제로데이 취약점 비축하고 이를 이용해 미국의 중요 인프라에 침입하는 사례가 증가하고 있다”라고 말했다. 그는 업계에 중국에 대한 기관과의 협력을 촉구하면서 “중국은 상당한 자원을 보유하고 있다. 중국의 자원이 미국과 동맹국을 모두 합친 것보다 더 많다고 미국 정부는 이미 밝혔다”라고 설명했다. 

중국 공격자들의 위협 및 전략이 고도화되면서 미국 정부는 중국발 공격에 대해 적극 대비하고 있다. 아담스키는 “중국 당국이 계속해서 미국 내 인프라를 이용해 자신의 활동을 숨기고 정부와 업계의 공격 탐지 수단을 피하고 있어 매우 우려스럽다”라며 “중국은 수많은 비밀 인프라와 네트워크를 사용하여 미국의 중요 인프라에 접근하고 있다”라고 설명했다.

중국이 미국 중요 인프라 침투하는 것을 막는 것은 현 미국 정부의 장기적 과제다. 아담스키는 “장기적으로 중요한 네트워크를 조용히 파고들려는 의도로 사전 준비를 하는 것”이라고 말했다.

NSA 사이버 보안 협업 센터의 최고 운영 책임자인 조쉬 자리츠키(Josh Zaritsky)에 따르면, 중국 공격자로 유명한 ‘볼트 타이푼(Volt Typhoon)’이라는 위협 그룹은 주로 LotL(Living-off-the Land, 자급자족식 공격이란 뜻으로 공격 대상 시스템에 미리 설치된 도구를 활용하여 공격을 하는 행위, 합법적인 과정으로 공격 행위를 숨지고 외부 탐지가 어려운 특징이 있다) 방식을 선택하고 있다. 미국 네트워크에 은밀히 침투하고 외부 탐지 기술을 더 잘 회피하기 위한 노력이다. 자리츠키는 “공격자들은 적발되더라도 자신이 공격 했다는 사실을 부인하고 싶어 한다. 따라서 이미 환경에 있는 것들을 활용하면 이 행위자에 대해 더 이상 할 수 있는 일이 많지 않다”라고 설명했다. 

마이크로소프트의 위협 인텔리전스 센터 수석 분석가인 마크 파슨스(Mark Parsons)는 볼트 타이푼에 대해 “컴퓨터 공격의 징후는 발견되지 않았다”라며 “볼트 타이푼은 늘 LotL 방식을 추구한다. 아직까지 공격 징후가 발견되지 않았지만 분명히 주시하고 있다. 마이크로소프트는 볼트 타이푼이 네트워크 내부에서 계속 남아 있기 위해 많은 시간을 소비하는 것을 찾았다. 그들은 이러한 지속성을 유지하기 위해 많은 일을 하고 있으며, 장기적으로 계속 노력하고 있다”라고 설명했다. 

아직 구체적인 공격은 없지만 볼트 타이푼 그룹은 향후 파괴적인 공격을 준비하고 있을 수 있다. 마이크로소프트의 위협 인텔리전스의 수석 분석가인 주디 응(Judy Ng)은 “파괴나 혼란을 위한 요소가 있다고 생각한다”라고 밝혔다.

우크라이나를 상대로 한 러시아의 파괴적 공격
러시아에서도 국가 주도의 LotL 공격을 볼 수 있다. 사이버워콘에서 맨디언트 고급 관행 팀의 수석 분석가인 존 울프람(John Wolfram)과 맨디언트 사이버-물리적 위협 팀의 수석 분석가인 마이크 월리(Mike Worley)는 사이버 보안 연구원들이 러시아 GRU 군사 유닛 74455와 연계된 러시아 샌드웜 그룹에 대한 맨디언트의 보고서의 세부 사항을 파헤쳤다.

해당 보고서는 2022년 말 샌드웜이 우크라이나 전역의 주요 인프라에 대한 대규모 미사일 공격과 동시에 전력 시설을 표적으로 삼아 우크라이나 시민들에게 정전 사태를 일으켰으며, 러시아의 공격 작전 기술 무기가 점점 더 고도화되고 있음을 강조했다. 특히 샌드웜은 전 세계 인구의 약 10%에 대한 전력 공급을 모니터링하는 70여 개국 1만 개 이상의 변전소에서 사용하는 히타치 에너지의 마이크로SCADA 구성 요소를 표적으로 삼았다고 월리는 설명했.

울프람은 “LotL은 그들의 운영의 핵심 요소”라며 “러시아 방식에서 정말 흥미로운 점은 종종 합법적인 시스템 서비스로 가장하고 합법적인 서비스와 일치하도록 시간을 멈춘다는 것이다”라고 설명했다.

우크라이나의 사이버전 활동을 이끄는 있는 빅터 조라(Victor Zhora)는 “본격적인 침공이 시작된 이후 공격자들은 주로 시스템을 파괴하고 데이터를 지웠다”라며 “여러 지역에서 물리적 공격과 짧은 정전이 결합된 사이버 공격이 많이 발생했으며, 이것이 사이버 공격에 의한 것인지 물리적 공격에 의한 것인지는 더 논의해 봐야 한다”라고 설명했다. 

조라는 러시아가 이미 하마스-이스라엘 전쟁에서 디도스 공격과 CCTV 카메라 침투 등 우크라이나에서 사용했던 것과 동일한 전술을 사용하기 시작했다고 말했다. 조라는 “러시아가 진행한 공격이 우크라이나 영토를 넘어 다른 국가로 확산되고 일부 상업 조직이나 동맹국의 정부 적에게만 초점을 맞추는 것이 아니라 다른 국가로 확산될 것으로 예상했다”라고 설명했다.

하마스 전쟁 위협 행위자가 적발되는 이유
이스라엘은 최근 사이버 공격에서 주목받는 국가다. 그러나 10월 초에 예상치 못한 갑작스러운 적대 행위가 발생하고 비국가 정치 행위자들이 적으로 포함되면서 하마스와의 전쟁을 둘러싼 상황은 복잡해졌다. 맨디언트의 리서치 매니저 유리 로잔스키와 맨디언트 위협 인텔리전스 사이버 스파이 분석팀의 벤 리드 디렉터는 지금까지 하마스-이스라엘 전쟁에서 사이버와 관련된 3대 위협은 사기 저하, 허위 정보, 혼란이라고 묘사했다.

리드는 “허위 정보 작전 내에서 사기가 저하되는 것은 분명히 매우 큰 문제이며, 사람들이 방심하고 공격에 당한 후 스파이 활동으로 넘어가면서 더 광범위하게 허위 정보가 따라 잡히는 현상은 항상 있었다”라며 “하마스 전쟁이 발발한 이후 그 조합이 바뀌었다. 보안 커뮤니티는 네트워크를 방어하고 위협에 처한 모든 사람을 보호하기 위해 정말 많은 노력을 기울였다”라고 설명했다. 

하마스와 연계된 팔레스타인 위협 행위자들이 이스라엘의 사기를 떨어뜨리거나 허위 정보를 유포하려는 노력은 대부분 실패하고 있다. 리드는 “이스라엘 표적에 대한 많은 활동을 목격했다. 흥미로운 점은 대부분 실패했다는 것이다. 일부 웹사이트가 다운되었다는 주장도 있었지만, 대부분의 사이트는 98% 이상 정상적으로 작동했다”라고 설명했다.

친 하마스 사이버 공격자들의 실적이 저조한 것은 자원이 부족하기 때문일 가능성이 높다. 리드에 따르면, 가자 지구가 제대로 운영되지 않고 있으며, 전쟁 전에 사이버 활동을 하던 사람들이 현역 군인으로 소집되었을 가능성도 있다. 

이번 전쟁에 개입한 국가에 이란이 있다는 점도 주목할 만하다. 마이크로소프트 위협 인텔리전스 센터의 수석 위협 인텔리전스 분석가인 시메온 카포비는 “개인적으로 이란의 정보보안부(MOIS)와 이슬람혁명수비대(IRGC)가 분쟁이 커지면서 특정 기업을 공격 대상으로 삼는 것을 많이 목격하고 있다”라고 설명했다. 

카포비는 “국방부 측에서는 최소 9명의 활동적인 행위자를 파악했다. IRGC 측에서는 분쟁과 관련하여 최소 7개의 활동적인 그룹을 확인했다”라며 “이란의 위협 행위자들이 실제로 이러한 공격에 대비했다는 증거는 없다”라고 덧붙였다. 또한 그는 “우리가 본 것은 이란의 위협 행위자들이 이미 가지고 있던 접근 권한과 역량을 최대한 활용하려 했다는 것이다. 그들은 예방적 조치보단 대부분 사후 대응에 관심을 가졌다”라고 설명했다.
ciokr@idg.co.kr