본문 바로가기 주메뉴 바로가기 검색 바로가기
솔라윈즈 해킹, 러시아에 복수로 대응해서는 안 된다
상태바
솔라윈즈 해킹, 러시아에 복수로 대응해서는 안 된다
미국이 전혀 넘지 않았던 선 중, 러시아가 어떤 선을 넘었는지 구체적으로 지목하기 어렵다.
By ANDY GREENBERG, WIRED US

조 바이든 대통령은 취임 전부터 자신이 당선 직후에 밝혀진 러시아의 대규모 사이버 공격에 대응하겠다고 약속했다. 그 후, 바이든 대통령의 러시아 사이버 공격 대응 관련 과장된 발언은 3주 이내로 보복 조치가 이어진다는 종류의 보도와 함께 더 과열되었다. 사이버 정책 전문가는 3주라는 기간이 바이든 행정부가 충분히 사이버 공격 접근 방식을 재고하면서 러시아를 대상으로 한 보복 행위를 기피하기 충분한 기간이기를 바란다. 사이버 보안 전문가가 원하는 대로 이루어진다면, 보복 행위는 거의 이루어지지 않을 것이다. 게다가 많은 사이버 보안 전문가가 3주라는 시간이 러시아의 더 위험한 해킹을 억제하기 위한 노력을 줄일 수 있지만, 정치적으로 더 적절한 행동을 할 수 있는 충분한 기간이기를 바란다.


3월 7일 저녁(현지 시각), 뉴욕타임스솔라윈즈 해킹이라는 이름으로 알려진 블라디미르 푸틴 정권의 침입 행위에 보복하기 위한 백악관의 계획을 설명하는 기사를 보도했다. 솔라윈즈 해킹은 러시아 해커 집단이 IT 관리 소프트웨어 보안을 공격해 전 세계 1만 8,000여 곳의 기관에 접근한 것이 유력한 것으로 확인됐다. 지금까지 확인된 피해 기관 중에는 국방부와 법무부, 미국 항공우주국(NASA) 등 미국 연방 기관 9곳이 포함됐다. 뉴욕타임스는 미국 국가안전보장회의 보좌관 제이크 설리번의 발언을 인용, 바이든 행정부가 “러시아 네트워크 전반에 걸친 여러 차례의 비밀스러운 조치와 함께 대응”할 계획이라고 보도하며, “미국이 믿고 있는 경계에 해당하는 범위와 해당하지 않는 범위와 어떤 대응을 준비하고 있는지 명시하고자 한다”라고 언급했다. 

그러나 미국은 위협적인 반격 행위를 계획하기 전, 러시아가 넘은 선이 정확히 무엇인지 찾아내야 한다. 사이버 정책 전문가는 솔라윈즈 해킹 보복을 정당화할 각종 법률은 미국이 자체 사이버 침입 행위로 위반하는 사항이기도 하다는 점에 재빨리 주목했다. 정치적으로 충동을 느끼는 만큼 보복을 요구할 수 있지만, 실제로 보복 행위는 위선적이면서도 러시아 정부의 더 무차별적인 다른 해킹에 대한 실제 제어 시도를 더 혼란스럽게 만들 수 있다. 또, 바이든 행정부가 어떤 선택을 하든 최근에 발생하여 여전히 피해 규모가 공개되고 있는 중국의 대규모 해킹 대응 방식에도 파장을 일으킬 위험성이 있다. 중국의 해킹 공격은 마이크로소프트 익스체인지 서버 취약점을 악용해 발생했으며, 러시아의 솔라윈즈 해킹과 마찬가지로 미국 서버 수만 개에 침입했다.
 
“러시아 해커 집단을 굴복 시켜 타격을 주는 것은 부적절할 뿐만 아니라 실제로 역효과를 낳기도 한다.”
드미트리 알페로비치, 실버라도 폴리스 액셀레이터

보안 기업 크라우드스트라이크(CrowdStrike)의 공동 창립자이자 보안 전문 국책연구소 실버라도 폴리스 액셀레이터(Silverado Policy Accelerator) 의장인 디미트리 알페로비치(Dmitri Alperovitch)는 “사이버 분야 안팎으로 러시아의 악의적인 행위 측면에 대응할 방법은 많다”라고 말했다. 알페로비치는 솔라윈즈 해킹에서 러시아의 사이버 공격이 전 세계적으로 미국이 일상적으로 수행하는 것과 같이 비밀스럽게 갑자기 정보를 수집하는 것을 넘어섰다는 증거가 없다고 지적한다. 러시아의 대규모 해킹 및 공급망 공격도 미국이 과거에 수행했던 수법이다. 모두 CIA가 스위스 암호화 기업 크립토AG(Crypto AG)를 비밀스럽게 통제하거나 스노든의 문건을 통해 폭로된 바와 같이 국가안전보장국이 시스코 하드웨어에 백도어를 심어두었을 때 적용된 수법이기도 하다.

알페로비치는 솔라윈즈 공격은 더 확실하게 드러난 일반적인 러시아의 해킹 행위와 매우 다르다고 주장한다. 더 무자비한 공격 행위에는 러시아 GRU 군사 정보국의 2016년 민주당 전당 위원회와 힐러리 클린턴 유세 운동단 메일 탈취 및 유출 행위와 전 세계적으로 100억 달러의 손실을 기록한 낫페트야 공격, 2018년 평창 동계올림픽 IT 백엔드 파괴 행위 등이 있다. 특히, 러시아의 올림픽 해킹은 미국이 2년 반이 지나서야 해킹 개입 혐의로 GRU 해커 6명을 기소하기 전까지 국제 사회에서 어떠한 대응도 하지 않았다.

반면, 알페로비치가 설명한 바에 따르면, 솔라윈즈 해커의 공격 행위는 무자비함과 거리가 멀었으며, 지금까지 분실 정보기기 원격 조작을 통해 피해자 네트워크에서 멀웨어를 제거하도록 설계된 코드를 삭제하고는 궁극적으로 심각한 타격을 입히지 않았다. 알페로비치는 “매우 구체적인 대상을 겨냥했으며, 책임을 져야 한다. 따라서 러시아 해커 집단을 굴복 시켜 타격을 주는 것은 부적절할 뿐만 아니라 실제로 역효과를 낳기도 한다. 그 이유가 무엇일까? 러시아 해커의 분노를 유발한다면, 그다음에 러시아는 미국을 곤경에 처하게 할 것이다. 그리고 미국이 마지막 사건의 책임을 지게 되면서 비판을 받을 것이다. 따라서 지금은 러시아에 보복할 때가 아니다”라고 주장했다.
 
[사진=Pixabay]
[사진=Pixabay]

솔라윈즈 해킹에 대한 백악관의 실제 대응 방식은 분명하지 않다. CNBC 특파원 이먼 제이버스(Eamon Javers)는 백악관 관료가 특히 뒤늦게 제목에서 사라진 ‘사이버 공격’이라는 표현을 두고 뉴욕타임스 보도 내용을 일부 부인했다는 의견을 남겼다. (이와 관련, 백악관은 와이어드의 문의에 답변하지 않았다.)

사이버보안 연구에 중점을 두고 있는 스탠퍼드대학교 후버연구소의 재클린 슈나이더(Jacqueline Schneider) 박사는 백악관의 대응을 둘러싼 혼란은 부분적으로 가능한 대응책과 관련된 내부 논쟁 때문에 발생한 것이라고 말한다. 이어, 그는 백악관이 보복 대응을 철회하기에는 늦지 않았다고 언급했다. 그는 “개인적인 가장 중요한 분석 결과는 솔라윈즈 해킹을 ‘용납할 수 없는 행위’라는 공식을 만드는 것이다”라고 설명했다. 일례로 바이든 대통령은 솔라윈즈 해킹을 사이버 공격이라고 설명하며, 이를 계기로 손을 놓고 있지는 않을 것이라고 다짐했다. 슈나이더 박사는 “솔라윈즈 해킹이 러시아의 사이버 공격이라는 규범은 백악관 측이 실제로 대응을 구축하는 것을 거의 불가능하게 만들어, 실제로 시행하는 것을 매우 어렵게 만들 것이라고 본다. 또, 가만히 있었더라면 이익을 얻을 수 있는 상황에서 미국이 원하는 보복 대응을 하지 못하도록 만들 것이다”라고 주장했다.

슈나이더 박사는 러시아에 무언가를 암시하거나 미국이 사이버 공격을 참지 않을 것이라는 규정을 정의할 의도를 지닌 보복 행위를 하는 대신 솔라윈즈 해킹 사태를 계기로 이어지는 공격은 또 다시 비슷한 공격을 개시할 해커의 능력을 겨냥해야 한다고 주장한다. 이는 러시아 기반 시설을 노린 비슷한 해킹 혹은 경제적 제재와 같은 러시아 정부 처벌 노력이라는 인상을 크게 주지 않고, 솔라윈즈 해커가 사용한 기기나 네트워크를 파괴하기 위한 목표를 지정한 것처럼 보인다. 과거에 발생한 이와 비슷한 유형의 공격 행위로 미국 사이버사령부의 범죄 트릭봇(Trickbot) 봇넷 파괴나 러시아의 가짜 뉴스를 유포하는 인터넷 조사국의 네트워크를 대상으로 한 데이터 파괴 공격을 언급할 수 있다. 슈나이더 박사는 “해커의 공격을 더 어렵게 만들며, 해커는 더 많은 자본을 투자하면서 다른 악성 공격 요소에 자원을 다각화한다. 한 가지 희망이 있다면, 해커의 공격 제압 시도는 방어에 중점을 두고 있으며, 해커는 전력 그리드와 같은 취약점을 찾기 위해 할당된 전담팀이 적다”라고 설명했다.

어느 한 전직 미국 정부 사이버보안 관료는 타자가 플레이트에서 뒤로 물러날 수밖에 없는 가까운 안쪽의 피치를 의미하는 야구 용어 ‘브러시백 피치(brushback pitch)’에 빗대어 약간 다른 접근 방식을 설명했다. 그는 “미국이라는 타자가 러시아 해커라는 상대를 한 발 물러서게 만들 것이다. 공이 러시아 해커를 치지는 않지만, 러시아 해커는 미국이 따라와 바짝 쫓을 것임을 알게 될 것이다”라고 말했다.

이른바 브러시백 전략은 본질적으로 보복 조치와 크게 다르지 않다. 그러나 브러시백 전략을 러시아 정부 지도부를 겨냥한 처벌 규범 설정보다는 직접적인 경고나 해커를 직접적으로 겨냥한 공격으로 지정한다면, 더 효과적으로 대응할 수 있다. 전직 미국 정부 사이버보안 관료는 “러시아 해커에 대응하기 위한 행동을 일컫는 표현이 훌륭한 대처에 중요할 수 있다”라고 언급했다.

그러나 오바마 행정부 시절 사이버보안 협상가였던 J. 마이클 대니얼(J. Michael Daniel)은 여전히 효과가 있다고 입증하기에는 부족한 단계도 존재한다고 지적한다. 그는 미국이 상대에게 교묘한 외교적 신호를 보낼 도구를 지니고 있다고 말했다. 또, “미국과 러시아 사이에 구축된 사이버 긴급 연락망을 이용해, ‘솔라윈즈 해킹이 러시아 소행인 것을 알고 있다. 당장 중단해라’와 같은 메시지를 보낼 수 있다. 어쩌면 러시아가 국제 연합기구에서 미국을 대상으로 한 특정 외교적 수단을 점유할 수 있지만, 의도적으로 시간을 오래 끌기로 결정했을 수도 있다. 외교적으로 불쾌함을 드러낼 방법은 얼마든지 있다”라고 말했다.

그러나 알페로비치는 궁극적으로 솔라윈즈 해킹과 같은 대규모 공격을 포함한 사이버 범죄는 일종의 게임 규칙 내에 포함됐다고 주장한다. 그는 과거로 돌아가 2015년, 제임스 클래퍼(James Clapper) 전 미국 국가정보국 국장이 중국의 미국 인사국 침입 행위 관련 의회 청문회에서 한 발언을 떠올렸다. 당시 중국의 사이버 공격 때문에 다수 정보 관료의 고도로 민감한 개인 데이터가 다량으로 탈취됐다. 클래퍼 전 국장은 청문회 자리에서 인사국 침입 행위를 공격이 아닌 미국이 수행했을 수도 있는 일종의 스파이행위라고 생각한다는 견해를 분명히 밝혔다.

알페로비치는 클래퍼 전 국장의 발언을 대략적으로 비슷한 다른 표현으로 “’해커에게는 득이 되는 일이지만, 미국에는 수치스러운 일’이라고 볼 수 있다. 러시아 해커가 미국에 또 다시 솔라윈즈 해킹과 비슷한 사이버 범죄를 저지르는 것을 어렵게 만드는 데 초점을 두어야 한다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
‘Retaliation’ for Russia's SolarWinds Spying Isn't the Answer
이 기사를 공유합니다
RECOMMENDED