‘우크라이나의 사이버 의병’ 러·우 전쟁에 스스로 뛰어든 보안 전문가들

2022년 발발한 러시아-우크라니아 전쟁의 가장 큰 특징은 바로 사이버전이다. 러시아가 역사상 가장 큰 규모로 국가 차원의 사이버 공격을 감행하자 우크라니아 보안 업체에서 일하던 전문가들이 발 벗고 나섰다. 
 

우크라이나에 포탄이 쏟아질 때마다 유리 가투포프의 동료들은 대화방에 '+' 라는 메시지를 보낸다. 그는 플러스의 개수를 일일이 센다. 그에 따르면 “모두가 살아 있는지 확인하기 위해" 매번 이렇게 한다. 

우크라이나에서 사이버 보안 회사를 2개나 운영하는 CEO 가투포프는 전쟁 기간 소통을 멈춰서는 안 된다고 강조했다. 러시아가 현재 돈바스와 크림반도를 포함해 우크라이나 영토의 약 18%를 장악한 전황 속에서 IT 종사자들의 삶은 만만치 않다. 공습경보 사이렌이 항상 울리며, 멀리서 폭발음이 들린다. 전력과 인터넷이 끊기는 일이 허다하다. 지하실에서 코드를 써야 할 때가 많다. 

가투포프는 “이런 긴급 상황에 대비하기란 불가능에 가깝다”라며 “내 보안 회사는 이제 이익을 내는 사업이 아니라 가족사업이 됐다”라고 말했다. 

러시아가 본격적인 침공을 시작한 2022년 2월 24일 아침, 그는 수도 키이우에 있는 집에 머물고 있었다. 새벽에 큰 소리가 그를 깨우자 발코니로 나갔다. 거리에 있는 사람들이 공황 상태에 빠져 허둥지는 하는 모습을 목격했다. 키이우, 하르키우, 오데사, 리비우 등 여러 도시에서 폭발음이 끊이질 않았다. 

가투포프와 그의 동료들은 러시아의 침공을 어느 정도 예상했고 나름의 채비를 했다. 하지만 그 규모나 강도는 상상할 수 없었다. 차마 키이우에 미사일이 떨어 지라라고는 상상조차 못 했다. 

그는 "일단 가장 중요한 건 가족을 보호하는 일이었다”라고 말했다. 모든 사람을 차에 태우고 더 안전한 것으로 알려진 서부 지역으로 이동시켰다. 

가투포프는 "그러나 두 번째 우선순위는 내 도시와 조국을 지키는 것이었다. 그래서 키이우로 다시 돌아갔다"라고 말했다. 그가 도착했을 때는 이미 수도의 교외 지역이 폭격에 파괴된 후였다. 부차, 어핀, 호스토멜에서는 러시아군의 포탄이 아파트 블록과 자동차를 파괴하고 민간인을 죽음으로 내몰았다.  

이런 참상을 목격하자 가투포프는 곧장 군청으로 가서 입대를 신청했다. 그 뒤로 그는 일반적인 전쟁이 아닌 사이버 전쟁에 가담하게 됐다. 
 

전쟁 초반, 규정 위반 우려 

가투포프는 우크라니아 동부 돈바스 지역에 있다. 이곳은 현재 우크라이나에서 가장 위험한 전쟁 지역 중 하나다. 낮에 근무할 때는 카키색 유니폼을 입은 채 나라를 지키고, 근무 중이 아닐 때는 자신의 회사에서 동료들과 일한다. 

iIT Distribution이라는 그의 회사는 크라우드스트라이크(CrowdStrike), GTB 테크놀로지스, 오토목스(Automox) 같은 공급업체의 보안 솔루션을 판매하며, 래밀리 디벨롭먼트(Ramily Development)라는 또 다른 회사는 기만 기반(deception-based) 위협 탐지 솔루션을 제공한다. 

가투포프는 전쟁이 발발하고부터 사명감을 느꼈다. 사이버 보안 기술을 나라를 위해 써야겠다고 느꼈다. 그는 “우크라이나의 중요한 인프라를 보호하기 위한 일에 착수했다"라고 말했다.

그의 회사들은 우크라이나에서 필요로 하는 누구에게나 보안 솔루션을 무료로 제공했다. 공공 부문과 민간 부문 모두에서 수백 개의 조직을 지킬 수 있었다. 회사의 파트너 업체 또한 도움을 주기로 동의했고 소프트웨어를 무료로 제공했다. 그는 "[보안 제품]이 필요한 모든 사람은 얻을 수 있다”라고 전했다. 

그러나 처음에는 비용이 들지 않았음에도 생각보다 많은 사람이 이를 꺼렸다. 가투포프는 "아직 관료주의적 문화가 남아있었다"라고 말했다. 그는 "어떤 사람들은 전쟁이 2, 3, 4주 후에 끝날 것으로 생각했고, 섣불리 검증되지 않은 보안 솔루션을 썼다가 보안 규정을 어길 수 있다는 점을 걱정했다”라고 말했다. 

그럼에도 대부분 조직은 이 도움을 환영했다. 지금은 "규정 준수가 중요한 때가 아니다"라고 깨달은 것이다. 처음부터 어마어마했던 러시아의 사이버 공세를 대비하지 않을 수 없었다. 침공 첫날부터 우크라이나의 가장 큰 상업 위성 회사 중 하나인 비아사트(Viasat)는 러시아 지원 해커들에 의해 공격받았다. 와이퍼 공격도 흔했다.

구글의 최근 보고서에 따르면, 전쟁 첫해 동안 "러시아는 공격할 우크라이나 대상의 목표치를 2020년 대비 250% 증가시켰다"라고 밝혔다. 우크라이나 국방부, 외교부, 국가공무원 청이 가장 큰 타격을 입었다. 러시아가 지원하는 해킹 그룹은 정보를 수집하고 공공 서비스를 방해하며 중요한 인프라를 파괴하는 것을 목표로 했다.
 

우크라이나 시민의 스마트폰을 보호하다  

이런 위협 속에서 가투포프 같은 많은 IT 종사자들이 개입할 수밖에 없다고 느꼈다. 앱 개발 스타트업 맥파우(MacPaw)의 기술 연구개발 책임자인 세르지 크라이보블로츠키도 그 중 한 명이었다. 그는 시민들의 기기에 보안 솔루션을 설치해야 한다고 생각했다. 그의 팀이 만든 이 앱은 웹 트래픽을 분석해 사용자가 검색하는 웹사이트나 설치한 앱이 러시아나 벨라루스 서버로 데이터를 보내면 이를 알려준다.

크라이보블로츠키 "집 지하에 있는 임시 방공호에서 이 프로젝트를 시작했다"라며 "생사가 오가는 상황에서 창의적인 일을 하기란 무척 어려웠다. 그러나 보안 전문가로서 책임감을 느꼈고, 꼭 이 앱을 완성시켜 지역 사회를 지켜야 한다는 사명감으로 버텼다”라고 말했다. 

이 앱의 이름은 스파이버스터(SpyBuster)로 모든 우크라이나 시민에게 무료로 제공된다. iOS와 맥 OS 기기에서 작동하며 구글 크롬 확장 기능이 있다. 이 앱을 설치한 사용자는 침입자나 해커와 연결된 애플리케이션, 서비스, 웹사이트를 즉시 감지해 차단할 수 있다.

스파이버스터는 국제적인 인지도를 얻었으며, 테크 제품 소개 플랫폼 프로덕트 헌트(Product Hunt)에서 주관하는 2022년 골든 키티 어워드(Golden Kitty Awards)의 개인 정보 보호 부분에서 수상까지 했다. 맥파우의 CISO 미콜라 스레브뉴크는 "우크라니아 시민을 보호하고 데이터를 지키는 일에 큰 사명감을 느꼈다”라고 말했다. 
 

전시에도 중요한 사용성 

스레브뉴크처럼 우크라이나의 IT 종사자 커뮤니티 전체가 사명감에 가득 차 있다. 그들은 보안 전문가로서 이런 국가 위기에 자신이 해야 할 역할이 있다고 생각한다. 영국-우크라이나 보안 회사인 코사크 연구소(Cossack Labs)의 설립자이자 CTO인 유진 필얀케비치는 “우리가 사이버 보안 전쟁에 참전한다는 건 곧 조금이라도 더 많은 군인들이 집으로 살아돌아올 수 있다는 뜻이다”라고 말했다. 

우크라이나군이 참호에서 고군분투할 때 필얀케비치와 그의 동료들은 전쟁 초기부터 ‘디지털 참호(digital trench)’에서 싸웠다. 가투포프처럼 우크라이나의 인프라를 보호하는 데 일조했고, 기존 정부와 군사 시스템의 보안 개선 작업에 착수했다. 러시아 해커들의 새로운 공격 벡터와 기법을 연구하기도 했다. 

필얀케비치의 동료이자 코사크 연구소의 고객 솔루션 책임자 아나스타샤 보이토바는 사이버 전쟁의 보안은 평시의 기어 보안과 차원이 다르다고 설명했다. 그는 “사이버 전쟁에서는 우선순위가 완전 다르다. 위협의 종류와 공격 수법 모두 다르며, 눈앞에 적이 있는 상황이다”라며 “이론적인 보안 솔루션이 아니라 언제 들이닥칠지 모르는 공격에 대비해야 하는 상황에 재빨리 적응해야 했다”라고 말했다.

보통 전쟁 같은 위급한 상황에 부닥친 보안팀은 일단 무조건 가장 높은 수준의 보안 시스템을 구축하기 마련이다. 하지만 보이토바는 두려움에 젖어 보안 수준을 너무 높이면 사용성이 크게 떨어져 오히려 역효과를 낸다는 점을 놓치지 않았다. 그는 “보안과 사용성 사이의 균형을 잘 맞춰야 한다. 철통같은 보안 시스템을 만들더라도 예컨대 보안 규정을 지키기 너무 번거롭다면 결국 이용자들은 우회할 방법을 찾을 것이다. 이런 방법을 쓰다가 만약 중요한 정보가 탈취되기라도 하면 큰 일이다”라고 말했다.   

전쟁이 장기전에 접어들고 군인들이 스트레스와 피로에 시달릴수록 이런 보안 실수를 범할 가능성이 더 커진다. 여전히 어떤 군인들은 치열한 전투를 벌이고 있으며, 정전이 잦은 지역에서 활동한다. 진이 빠질 수밖에 없다. 

보이토바도 지쳤다고 토로했다. 1년 동안 그는 쉬지 않고 일해왔다. 항상 위기가 닥쳤으며 도움이 필요한 사람이 생겼다. 뒤를 돌아보지 않고 달려와 심지어 먹고 자는 일도 억지로 해야 할 지경에 이르렀다. 그는 “먹고 자야 하는 게 아쉬울 정도다. 정신을 부여잡고 계속 필요한 일을 하기 위해 나 자신을 밀어붙이고 있다”라고 말했다. 

관리자인 필얀케비치는 팀원들을 닦달하지 않는다. 오히려 쉬는 시간을 지정해 편히 쉬라고 말한다. 그는 “만약 누군가가 3일 안에 어떤 일을 하기로 약속했는데 2주 넘게 완성이 안 돼도 이해한다. 모두가 지칠 대로 지쳤고, 전쟁의 공포 속에서 하루하루를 힘겹게 버티고 있기 때문이다”라며 “가령 러시아의 포탄이 어떤 동료의 할머니가 사는 아파트 옆 건물을 강타하는 일이 비일비재하다. 이런 환경에서 기한을 지키라고 부추길 순 없다”라고 말했다. 
 

나라, 회사를 모두 지키는 일 

보안 전문가들은 이렇듯 국가를 위해 애쓰고 있지만, 그들이 속한 기업은 기업대로 먹고살아야 한다는 문제를 피해 갈 수 없다. 말하지 않아도 자국 정부를 보호하기 위한 무료 봉사는 기업 수익에 도움 되지 않는다. 보안 솔루션을 제공하는 대가로 국내 기업에 비용을 청구하기도 어렵다. 모두가 피해자이기 때문이다. 국제통화기금(IMF)에 따르면 우크라이나는 지난해 국내총생산(GDP)의 최소 3분의 1을 잃었다.

보안 회사를 계속 운영할 수 있는 유일한 방법은 보안 서비스를 해외에 판매하는 것이다. 물론 이 또한 쉽지 않다. RMRF 테크놀로지(RMRF Technolgy)의 CEO인 세르게이 아베티시안은 "전쟁 중인 국가와 사업을 하고 싶어 하는 기업이 얼마나 있을지는 불보듯이 뻔하다"라고 말했다. 이 회사는 침투 테스트, 신원 및 액세스 관리, 디지털 포렌식 및 사고 대응 등의 서비스를 제공한다. 

아베티시안은 기존 해외 기업 고객을 유지하는 것조차 어려웠다고 전했다. 몇몇 기업 고객은 불가항력 조항을 계약서에서 제외하길 요청했다. 전쟁 같은 상황에서도 회사가 계속 서비스를 책임지고 제공하길 원한 것이다. 그는 “기업 고객도 규정을 준수해야 하므로 이런 요청이 십분 이해 갔다”라고 말했다. 

직원들의 미래도 불투명했다. 이미 엔지니어들이 여러 차례 그에게 연락해 다음 달에도 자리가 유지될지 물었다. 아베티시안은 “솔직히 나도 알 수가 없었다”라고 말했다. 그는 “물론 나는 리더로서 상황이 더 나아질거라고 말하며 팀원들을 격려했다”라고 덧붙였다. 

현재 그의 역할은 일단 회사를 먹여 살리고, 해고를 최대한 막고, 없는 대로 해외 고객을 최대한 확보하는 것이다. 다른 일은 모두 뒷전이 됐다. 

러시아 전쟁이 일어난 지 벌써 1년이 됐지만 언제 끝날지는 아무도 모른다. 아베티시안, 가투포프, 보이토바를 비롯한 보안 전문가들은 지쳤더라도 필요한 만큼 계속 싸울 거라며 결의를 표했다. 

보이토바는 “사이버 보안 전문가로서 지금 우리가 하는 일은 사람의 목숨을 좌지우지할 정도로 중요한 일이다”라며 “러우 전쟁이라는 큰 퍼즐에서 작은 조각에 불과할 수 있지만 그 영향력은 막중하다”라고 말했다. ciokr@idg.co.kr