Offcanvas

분쟁|갈등 / 악성코드

“러는 교묘했고 우크라는 잘 견뎠다” MS 사이버전(戰) 보고서

2022.06.30 Cynthia Brumfield  |  CSO
지난주 마이크로소프트가 우크라이나 침공과 함께 시작된 러시아의 사이버 공격을 심층 조사한 결과를 발표했다. 이는 러시아의 악의적인 사이버 활동과 관련된 신선한 인사이트 그리고 전쟁을 둘러싼 교묘하고 광범위한 사이버 심리전의 새로운 세부사항을 담고 있다. 

마이크로소프트의 사장 브래드 스미스는 지난 3월 이 회사가 인도주의적 기술 구호 활동에 자금을 지원하는 것 외에도, 우크라이나 정부 시스템의 사이버 보안 취약점을 식별하기 위해 ‘리스크IQ(RiskIQ)’ 플랫폼을 구축했다고 밝혔다. 이어 “공격자에게 발판을 제공할 수 있는, 즉 패치되지 않았으며 치명적인 CVE(Common Vulnerability and Exposure)가 있는 취약한 시스템 목록을 우크라이나 정부에 제공했다”라고 덧붙였다. 

또한 이보다 앞선 1월 마이크로소프트의 보안 전문가는 약 70개의 우크라이나 정부 웹사이트를 다운시켰던 사전 침입 맬웨어 공격을 가장 먼저 발견했다. 이에 따라 새로 발견된 맬웨어 보호 기능을 마이크로소프트 365 디펜더 엔드포인트 보호(Microsoft 365 Defender Endpoint Detection)에, 안티바이러스 보호 기능을 온프레미스 및 클라우드에 배포했다. 
 
ⓒEd Brambley / Gerd Altmann (CC BY-SA 2.0)

스미스는 이번 보고서의 서문에서 어떤 전쟁이든 첫 방아쇠가 중요하다고 언급하며, 현 우크라이나 침공과 제1차 세계대전을 촉발시킨 1914년 오스트리아-헝가리의 황태자 프란츠 페르디난트 암살사건 사이에 유사점이 있다고 말했다. 러시아의 첫 공격은 전쟁이 시작되기 직전인 2월 23일, 우크라이나의 정부 및 금융기관을 타깃으로 한 폭스블레이드(Foxblade)라는 데이터 삭제 기능을 가진 맬웨어였다. 

그는 “러시아의 우크라이나 침공 전략은 3가지로 구분된다. 1) 우크라이나 내부를 노린 사이버 공격, 2) 우크라이나 외부에서의 네트워크 침투 및 간첩 활동, 3) 전 세계 사람을 대상으로 하는 사이버 심리전이다”라고 전했다.

러시아 공격의 5가지 핵심 사이버 방어 포인트
마이크로소프트는 우크라이나 침공이 발발한 후 4개월 동안 다음의 5가지 결론을 도출했다.

첫째, 군사적 침략 방어에는 국경을 초월하는 디지털 자산 및 작전이 필요하다. 예를 들면 러시아는 (앞서 언급한) 첫 공격 시 우크라이나의 방어 시스템을 표적으로 삼았을 뿐만 아니라, 온프레미스 네트워크를 타깃으로 한 와이퍼(Wiper) 공격도 시도했다. 우크라이나는 디지털 자산을 퍼블릭 클라우드로 이동시키는 등의 지능적인 방어 조치를 통해 공격을 저지했다.

둘째, 우크라이나는 다량의 러시아 사이버 공격을 견뎌냈다. 마이크로소프트는 러시아군이 48곳의 우크라이나 정부기관과 기업을 대상으로 여러 차례에 걸쳐 파괴적인 사이버 공격을 자행했다고 밝혔다. 목적은 ‘먼저 수백 대의 컴퓨터를 손상시킨 다음 수천 개의 다른 컴퓨터에 있는 소프트웨어와 데이터를 파괴하도록 고안된 맬웨어를 유포하여 네트워크 도메인에 침투하는 것’이었다. 하지만 인공지능 및 인터넷 연결 엔드포인트 보호를 포함한 위협 인텔리전스의 발전으로 우크라이나는 맬웨어를 식별하고 차단할 수 있었다.

셋째, 마이크로소프트는 우크라이나를 제외한 42개국 128개 기관에서도 러시아의 네트워크 침입 시도를 발견했다. 미국은 러시아의 1순위 표적이었지만 폴란드, 발트해 연안 국가, 덴마크, 노르웨이, 핀란드, 스웨덴, 터키도 러시아의 공격 대상에 있었다. 성공적이었던 침입의 4분의 1은 데이터 유출로 이어졌다. 마이크로소프트는 여전히 클라우드가 아닌 온프레미스에서 실행되는 정부 컴퓨터가 우려된다고 지적했다.  

넷째, 러시아 기관은 더욱 광범위한 지리적 범위, 더 많은 양, 더 정밀한 표적화, 더 빠른 속도와 민첩성으로 전 세계적인 사이버 심리전을 수행하고 있다. 또한 맬웨어 및 기타 소프트웨어 코드를 사전 배치하는 것처럼 헛소문을 미리 퍼뜨리고 있다. 우크라이나의 생물학 연구소를 둘러싸고 널리 확산된 소문(예: 이곳에서 생화학 무기를 개발했고 미국이 자금을 지원했다는 등)이 성공적인 헛소문 작전의 좋은 예다.

다섯 번째, 모든 사이버 공격, 간첩 활동, 심리전에 관한 방어태세를 강화하기 위해 조직적이고 통합적인 전략이 필요한 시점이다. 러시아 정부는 분산된 방식으로 작전을 추진하지 않으며, 서방도 이를 별도의 분석 사일로로 분류해서는 안 된다.

러시아의 사이버 공격은 탄탄하다
미국 국가안보국(National Security Agency)의 前 법률고문이자 현재는 CSIS(Center for Strategic and International Studies)의 수석 자문위원인 글렌 거스텔은 마이크로소프트의 최신 보고서가 우크라이나 관련 사이버 작전을 매우 상세하게 분석했다고 평가했다. 그는 <CSO>와의 인터뷰에서 “이는 러시아의 사이버 공격이 얼마나 강력하고 조직적이며 교묘하고 통합돼 있는지 보여준다”라고 전했다. 

이어 거스텔은 “해외 군사 정보를 수집 및 분석하면서 정보 공작도 벌이는 ‘정보총국(GRU)’ 그리고 해외 정보기관인 ‘대외정보국(SVR)’을 가지고 있는 데다가, 파괴적인 사이버 공격은 물론 허위 정보까지 정치적 목표를 달성하기 위한 수단으로 사용하는 정교한 적과 마주하고 있다. (심지어) 아직까지 러시아는 에너지, 통신, 금융 등에 광범위한 시스템적 붕괴를 유발하는 사이버 공격을 감행하지 않았다”라고 언급했다.

우크라이나는 스스로를 잘 방어한다 
우크라이나는 IT 인프라 공격을 받았지만 성공적으로 방어했다. 우크라이나의 뛰어난 사이버 방어 역량이 큰 역할을 했다. 거스텔은 “정교한 수준의 방어는 러시아의 사이버 공격에 지속적인 걸림돌이 될 것”이라고 말했다. 아울러 마이크로소프트 클라우드로의 이전도 우크라이나에 유리하게 작용했다. “마이크로소프트는 침공 직전 우크라이나 정부의 온라인 워크로드의 상당 부분을 우크라이나에 기반을 둔 서버에서 클라우드로 옮기기 위해 엄청난 노력을 기울였다”라고 그는 설명했다. 

러시아는 우크라이나의 디지털 인프라에 의존하고 있다
거스텔에 따르면 이러한 방어 역량 외에도 우크라이나 디지털 인프라의 특성과 러시아가 우크라이나 디지털 인프라에 의존하고 있다는 점이 해당 국가를 방어하는 데 도움을 줬다. 그는 “우크라이나 인프라에서 시스템 고장이 많이 발생하지 않은 이유는 분산돼 있기 때문이다. 우크라이나에는 약 2,000개의 인터넷 서비스 업체(ISP)가 있다”라고 전했다. 

또한 러시아가 우크라이나의 인터넷 인프라를 공격하는 것은 자멸하는 것과 마찬가지라고 거스텔은 말했다. “러시아는 우크라이나의 셀룰러 네트워크에 의존하고 있기 때문에 이를 완전히 파괴하는 것을 주저했다. 러시아 군대는 우크라이나의 셀룰러 기술을 사용하여 통신하고 있다”라고 그는 덧붙였다. 

이어 그는 무엇보다 러시아의 허위 정보 공작이 가장 우려된다고 언급했다. 거스텔은 “운영 기반을 성공적으로 공격해 큰 피해를 입히기는 어렵지만 허위 정보는 그렇지 않다. 따라서 허위 정보 캠페인을 지속적으로 강화하리라 예상된다. 이 부분을 가장 우려해야 한다”라고 권고했다. 

러시아가 스킬을 강화하고 있을 수 있다
하버드 케네디 스쿨(Harvard Kennedy School) 산하 벨퍼 센터(Belfer Center)의 사이버 프로젝트 디렉터 로렌 자비에렉은 러시아가 우크라이나에서의 경험을 활용하여 사이버 공격 역량을 더욱더 발전시킬 수 있다고 지적했다. “전쟁은 항상 교전국에게 교훈을 얻을 수 있는 기회를 제공한다. 러시아는 전장에서의 지식을 활용하여 역량을 강화할 것이다. 이전으로 돌아가지는 않을 것이다”라고 그는 말했다. 

우크라이나의 방어 활동과 관련하여 자비에렉은 “사이버 위협 인텔리전스 및 엔드포인트 보호의 발전 그리고 마이크로소프트 보고서에서 설명한 기타 지원 기술은 방어 조치에 도움이 될 것”이라고 덧붙였다.

한편 그는 마이크로소프트의 보고서가 유용하긴 하지만 예상치 못한 부분은 아니었다고 언급했다. 그는 “특별히 놀라운 점은 없었다. ‘advanced persistent manipulator’라는 말은 새로웠다. 이는 사이버 심리전의 위험을 강조한다. 이에 대응하기 위한 논의와 노력이 개선되길 바란다”라고 말했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.