글로벌 정보 기관 보고서의 숨은 메시지 ‘당신이 표적일 수 있다’

여러 국가의 정보 기관이 발간한 보고서에는 많은 시사점이 있다. CISO들에게 특히 그렇다. 

정보 기관의 의무와 책임은 정보를 수집하고 분석하여 국가의 정책 입안자들에게 제공하는 것이다. 이전의 글(영문)에서 사이버 영역에 대한 미 ODNI(Office of the Director of National Intelligence)의 글로벌 위협 평가에 관해 살펴본 바 있다. 다른 국가의 정보 기관 관점을 살펴보자.

평가를 검토하고 관점을 공유한 서비스로는 호주 ASIO(Australian Security Intelligence Organization), 에스토니아 EFIS(Estonia Foreign Intelligence Service), 핀란드 SUPO(Finnish Security and Intelligence Service), 노르웨이 PST(Norwegian Police Security Service), 스웨덴 SAPO(Swedish Security Service), EU의 ENISA(European Union Agency for Cybersecurity) 등이 있다. 이들 보고서에서 꾸준히 다뤄지는 테마 중 하는 주요 국가 사이의 분쟁에 대한 분석이다.

주로 유사한 영역이 거론되기 때문에 개별 정보 기관의 관점을 개별적으로 분석할 필요가 없다. 그들의 공통적인 관점을 살펴본다.

러시아
러시아의 국가 기관, 또는 러시아 정부가 후원하는 조직의 사이버 공간 내 두드러지는 스파이 행위 및 사이버 활동은 유명하다. 노르웨이 당국은 러시아의 우크라이나 침공 직후 유럽 전역에서 수백 명의 러시아 외교관 및 정보원들이 추방됐다고 전하며, 이후 노르웨이와 유럽 전역에 걸쳐 러시아 요원 운영이 크게 감소했다고 밝혔다.

또한 노르웨이는 러시아와 유럽 국가들 사이의 관계 악화 그리고 추방으로 인한 러시아의 정보 접근성에 대한 악영향에 대해서는 언급했다. 따라서 러시아는 특정 국가 내에서 수집했었던 정보 등의을 확보하기 위해 비 인간 정보 기구를 사용하는 데 주력하고 있는 것으로 전해졌다.

그럼에도 불구하고 러시아의 스파이 행위 및 컴퓨터 운용이 소폭 증가했다. 노르웨이는 “러시아가 정보 활동을 통해 잃을 것보다 얻을 것이 많으며” 지속적으로 해킹의 위험을 감수할 것이라고 밝혔다. 핀란드도 침공 준비 중 러시아의 활동이 감소했다고 밝혔다. 그러나 감소 기간은 짧았다. 2022년 중반께 러시아의 사이버 활동은 그 어느 때보다 활발했던 것으로 분석된다.

중국
러시아와 마찬가지로 중국이 스파이 활동을 강화하고 있다는 평가에 놀랄 사람은 없을 것이다. 노르웨이는 중국의 활동에 대해 “공격적”이라고 기술했는데, 이는 완곡한 표현이다. 중국의 침탈적 외교 방식은 “전랑 외교”라 표현되곤 하는데, 이는 대립을 일삼고 전투적이라는 의미이다.

중국은 공급망 운영부터 영향력 행사와 인간 채용 활동까지 모든 곳에서 흔적을 남기고 있다. 정보 기구는 개인별 표적화에 공을 들이고 있다고 전해진다.

영향력 행사
허위 정보와 오정보는 중국과 러시아뿐 아니라 이란과 북한 등 여러 국가의 주된 사이버 활동 영역으로 확인됐다. 이런 활동은 유권자에게 허위 정보를 퍼뜨리고 대외 및 대내 의제를 흔드는 데 집중되어 있다. 호주는 국회의원 선거가 표적화 될 정도라고 밝혔다.

기술 및 지적재산권도 표적이다
중국, 러시아, 이란은 선진 기술을 훔치기 위한 목적으로 사이버 및 인간 활동을 수행하곤 하는 것으로 확인됐다. 현재 강력한 제재 조치에 직면해 있는 러시아는 특히 비밀 조달 메커니즘을 마련해 서방 기술의 파이프라인을 열어 두고 싶어한다. 중국은 자국의 국익 발전을 위해 서방으로부터 발전된 기술을 획득하는 기본계획인 ‘프로그램 863(Program 863)’을 출범한 1986년 이후 기술을 획득하기 위해 초대 기법(invitation methodology)을 사용해왔다.

내부자 표적화
중국의 인간을 대상한 정보 활동도 여러 기관이 분석한 항목이었다. 중국은 인간 표적을 중국으로 입국시키는 주된 수단으로써 ‘초대 메커니즘’을 이용하곤 했으며, 여기에서 중국은 공동의 표적을 고분고분하고 협업적인 비밀 자산으로 전환하려 시도하곤 했다. 특히 이 과정에서 홈그라운드의 이점을 누리면서 전면적인 압박 공세를 펼치는 것으로 분석된다.

노르웨이는 중국의 정보법에 따라 모든 국민, 기업, 조직은 요청 시 정보 서비스를 지원할 의무가 있다는 점을 강조했다. 조달 플랫폼화의 목적으로 자국 내의 기업, 조직, 조사 시설을 방문하는 중국 정부 방문단이 예가 될 수 있다는 설명이다.

호주의 ASIO의 책임자 마이크 버지스는 대정보 영역에서의 노력을 ‘근접 전투’에 비유하며, 내부자가 얼마나 위험할 수 있는지에 대해 논의했다. 민감한 정보에 접근할 수 있는 개인이 협업하고 해당 국가의 비밀을 공유할 때의 위험이다.

버지스는 다수의 호주인들이 중국의 군사 스킬을 훈련 및 개선하기 위해 제3자들로부터 엄청난 금액을 제안받았다고 전했다. 버지스에 따르면 중국의 목적은 표적의 내부자들을 고분고분한 리소스로 만들어 직접적인 과업에 대응하고 민감하거나 기밀인 정보를 정보원 담당자에게 제공하도록 하는 것이다.

러시아 등도 피싱 및 소프트웨어 취약성을 가진 개인을 표적화하고 내부자의 접근성을 활용해 공급망 공격을 수행하는 데 숙련된 전문성을 보유하고 있었다.

CISO는 정보 보고서를 연구하고 배워야 한다
모든 국가의 정보 기관이 가상으로 또는 실제로 다른 물리적 위치에 있는 내부자와 소통할 수 있는 능력을 보유하고 있다. CISO들은 이제 지정학적 지도는 큰 의미가 없다는 사실을 숙지해야 한다. 모든 평가 보고서에서 기업 및 조직들이 사용하는 공급망이 적들의 주된 표적인 것으로 나타났다. CISO에게는 공급망이 있다는 사실을 명심할 필요가 있다.

CISO는 리소스 분배를 조정하거나 필요한 리소스를 확보하기 위한 수단으로 이러한 보고서를 일종의 자극제로써 활용할 수 있다. 민관 협력은 모든 국가에서 존재하며 다국적 기업들은 사업을 영위하거나 고객이 있는 곳에서는 어디든지 노력해야 한다. 마찬가지로, 최저 권한 액세스의 개념을 포용하고 민감한 데이터를 평가함에 있어서 정책이 명확하고 간결하도록 해야 한다. ciokr@idg.co.kr