By ANDY GREENBERG, WIRED US

역사상 최대 규모의 해킹 중 하나로 러시아가 수천 개의 네트워크를 공격한 솔라윈즈 해킹 사태가 알려지고 4개월도 지나지 않은 시점에 미국이 러시아 정부에 외교적 조치 및 경제적 조치로 각종 응징의 형태로 메시지를 보냈다. 그러나 솔라윈즈 해킹 사태 응징이 확실히 이루어졌는데도 의문 사항이 있다. 미국이 전하고자 하는 정확한 메시지는 무엇인가? 거의 모든 해석을 동원해도 미국이 과거에 구체적으로 설명한 규칙을 기반으로 하지 않는 듯하다.

4월 15일(현지 시각), 바이든 행정부가 솔라윈즈 해킹 사태, 그리고 러시아 정부의 의도적인 거짓 정보 확산 공작 및 2020년 대선 개입, 야당 지도자 알렉세이 나발니를 겨냥한 푸틴의 독극물 공격 등을 포함한 러시아의 대대적인 잘못, 그리고 심지어 낫페트야(NotPetya)와 2018년 평창올림픽 사이버 공격 등 오래된 사건까지 통틀어 보복하겠다고 거듭 약속한 것을 지켰다. 미국 재무부는 러시아의 정보기관과 관련이 있는 것으로 추정되는 사이버 보안 기업 6곳, 그리고 러시아 정부의 거짓 정보 유포 작전과 관련된 기관 4곳을 겨냥한 새로운 제재를 가했다. 그와 동시에 러시아 재벌 예프게니 프리고진(Yevgeniy Prigozhin)과 뮐러 특검 수사를 떠올리게 하는 인물인 러시아 정부 요원 콘스탄틴 키림닉(Konstantin Kilimnik) 등 특정 인물을 겨냥하기도 했다.

그러나 바이든 행정부의 러시아 제재 중 가장 주목할 만한 부분이자 유례없는 부분은 솔라윈즈 해킹 사태에 대한 특정한 반응이라는 사실이다. 솔라윈즈 해킹은 SVR이라는 러시아의 해외 정보기관이 솔라윈즈 IT 관리 툴인 오리온(Orion)의 소프트웨어 업데이트에 코드를 숨기고는 무려 1만 8,000개의 네트워크를 마비시켰다. SVR은 이처럼 소프트웨어 공급망 공격과 다른 여러 취약점을 악용해, 미국 법무부와 국토안보부, 국무부, 미국 항공우주국(NASA) 등을 포함해 미국 연방 기관 최소 9곳의 보안을 공격했다.

미국 재무부의 제재 공식 성명에는 러시아 정보기관이 솔라윈즈 해킹 사태를 비롯해 최근의 역사상 가장 위험하면서 파괴적인 사이버 공격을 개시했다고 명시됐다. 또, 솔라윈즈 해킹 사태의 배후가 된 원흉으로 SVR을 처음 거론했다. 공식 성명에는 “솔라윈즈 해킹 사태 범위와 규모는 러시아가 무차별적으로 파괴적인 사이버 작전을 개시한 역사와 함께 통틀어 국가 안보 우려를 불러일으킨다. SVR은 멀웨어가 솔라윈즈 고객사의 기기 수만 대에 설치되도록 해, 전 세계 테크 공급망을 위험에 빠뜨렸다”라고 작성됐다.
 
그러나 사이버 보안과 국가 안보를 집중적으로 연구하는 오스틴대학교 법학 교수 바비 체스니(Bobby Chesney)가 지적한 바와 같이 솔라윈즈 제재 대응을 면밀히 살펴보면, 바이든 행정부가 국가의 지원을 받는 해커 조직 세계의 규정과 규범 중 어떤 부분을 정확히 명시하고자 하는지 알기 어렵다. 혹은 최소한 미국이 자체 해킹 작전에서 위반하지 않은 규정도 알기 어렵다. 체스니 교수는 솔라윈즈 해킹 사태에서 위반한 규정은 모두 새로운 규정이 될 것이라고 주장한다. 솔라윈즈 해킹 사태가 미국 정보국이 일상적으로 수행하는 사이버 스파이 활동에 초점을 맞추었으며, 파괴적인 영향을 미칠 의도를 지녔다는 명확한 증거가 없기 때문이다. SVR 해커는 감시할 의도가 없었던 공격대상에서 멀웨어를 제거하는 킬스위치를 사용하는 등 어느 정도 절제된 모습을 보이기까지 했다.

체스니 교수는 “모두 스파이 행위이다. 그렇지 않은가? 사실, 매우 신중하게 설계된 스파이 캠페인처럼 보인다. 따라서 미국은 러시아가 선을 넘었다고 말하는데, 도대체 어떤 선을 넘었다는 것인가? 그리고, 누군가에게 제재를 가하고는 스파이 캠페인을 근거로 보복과 응징한다고 말하며, 선을 넘었다고 주장할 수는 없다”라고 말했다.

그리고, 체스니 교수는 차이점이 있다면 본질보다는 규모라고 제시한다. 솔라윈즈 해킹 사태는 구분이 가능한 ‘엽총과 나발총’을 이용한 접근방식을 취한 것과 같다. SVR의 소프트웨어 공급망 공격을 독보적으로 무차별적인 공격이라고 볼 수 있다. 하지만, 미국도 똑같은 행위를 한 적이 있다. 대표적인 사례로 출하 도중 이루어진 시스코(Cisco) 라우터 보안 침입 작전과 스위스 암호화 소프트웨어 기업 크립토AG(CryptoAG)를 겨냥한 백도어 설치 작전을 언급할 수 있다.
 
일부 사이버 정책 비판 세력은 솔라윈즈 해킹 사태를 이유로 개시한 바이든 행정부의 제재를 더 냉소적으로 본다. 러시아에 너무 온화한 태도를 보인다고 바이든 행정부를 비난하는 이를 만족시키기 위한 앞, 뒤가 맞지 않으면서 생각이 없는 대응이라고 말한다. 사이버보안 기술 기업 크라우드스트라이크(CrowdStrike)의 전 CTO이자 사이버 보안에 중점을 둔 기관 실버라도 정책 액셀레이터(Silverado Policy Accelerator)의 창립자인 드미트리 알페로비치(Dmitri Alperovitch)는 “바이든 행정부의 제재는 러시아의 행동을 고치기 위한 것이 아니다. 미국이 러시아를 비판한다는 점에서 미국의 대중을 만족시키는 행위에 더 가깝다. 그리고 솔직히 말하자면, 미국인을 위한 행동이다”라고 주장했다.

또, 알페로비치는 신중한 사이버 스파이 행위 때문에 러시아 정부를 응징하고, 그보다 더 나쁜 행위를 대대적으로 마구 수집하는 것은 사실 러시아 정부를 통제하기 더 어렵게 만든다고 주장한다. 그는 “러시아에 타격을 주는 것 자체를 반대하지는 않는다. 그러나 미국이 용납할 수 없다고 보는 한, 두 가지 행위에 초점을 맞추고 러시아에 특정 행위를 시정한다면 제재를 해제한다고 전달하면, 더 효과가 있었을 것이다. 이는 제재의 효과를 얻는 방식이다. 혹은 적어도 효과를 얻기 위한 가능성을 지닐 수 있다. 이번 바이든 행정부의 제재는 효과를 얻을 방식이 아니다”라고 설명했다.

그러나 많은 정부 관계자가 특히 솔라윈즈 해킹 사태와 같은 규모에서 스파이 행위도 도를 넘어설 수 있다고 주장했다. 오바마 행정부 시절 사이버 보좌관이었던 사이버 위협 동맹(Cyber Threat Alliance) 회장인 J. 마이클 다니엘(J. Michael Daniel)은 “간혹 사이버 행위는 새로운 행위이지만, 규정 자체는 이전에도 존재했을 수도 있다. 모든 국가가 스파이 행위를 한다는 사실 자체가 스파이 행위 규모가 지나치게 크고 과감해져도 가만히 있겠다는 의미는 아니기 때문이다”라고 말했다.

도널드 트럼프 전 대통령 재임 당시 국토안보부 보좌관이었던 톰 보서트(Tom Bossert)도 다니엘의 견해를 반복하여 말했다. 이어, 그는 자신의 임기 당시 솔라윈즈 해킹 사태가 발생했다면, 바이든 행정부와 비슷한 단계를 거쳐 러시아를 응징했을 것이라고 덧붙였다. 또, 2017년, 전 세계에 100억 달러 상당의 피해를 준 러시아의 낫페트야 사이버 공격에 대응하기 위한 의도를 지닌 차별과 비례의 원칙이 없는 해킹에 같은 반대 규정이 적용된다고 주장했다. 보서트는 “솔라윈즈 해킹 사태에 아무런 대응도 하지 않는다면, 과거 일본 전투기가 진주만을 순찰하는 것을 보고 미군이 ‘단순한 스파이 시도일 뿐이다. 미군의 사진을 찍고 있을 뿐이다’라고 말하면서 가만히 있는 것과 똑같은 행위가 될 것이다. 일본군 전투기가 진주만을 순찰할 때는 단순히 진주만 상공만 떠돌아다니는 것이 아니라 뉴욕과 워싱턴DC, 인디애나, LA 등도 떠돌면서 여러 기업과 기관을 위험에 빠뜨린다”라고 설명했다.

4월 15일, 바이든 행정부 관계자도 보서트와 같은 주장을 하면서 솔라윈즈 해커 조직의 접근 규모의 파괴 위험성이 제재를 가하게 된 주된 요소라는 태도를 유지했다. 미국 국가안전보장국(NSA) 사이버보안 의장 롭 조이스(Rob Joyce)는 기자와 통화할 때, “해킹이 발생한 솔라윈즈 플랫폼과 러시아 해커 조직이 취득한 접근 가능한 규모는 우려스러운 부분이며, 미국은 이를 용납할 수 없다. 이 때문에 미국 정부는 러시아가 솔라윈즈 해킹 사태의 대가를 치르도록 하면서 러시아에 반발하는 것이다”라고 말했다.

그러나 바이든 행정부 비판 세력은 SVR이 솔라윈즈 해킹 사태로 대대적인 피해를 줄 수도 있었으나 실제로 아무 행동도 취하지 않은 점을 지적한다. 알페로비치는 “상대가 저지를 수도 있었던 일 때문에 상대에게 타격을 주지는 않는다. 실제로 한 일에 초점을 맞추어야 한다”라고 말한다.

체스니 교수는 백악관은 러시아의 과거 만행도 함께 고려하여 판단할 가능성이 있다고 주장한다. 낫페트야 공격은 솔라윈즈 해킹 사태와 비슷하게 소프트웨어 공급망 해킹을 이용해, 역사상 가장 큰 금전적 피해를 안겨준 파괴적인 멀웨어를 퍼뜨렸다. 낫페트야 공격의 주범은 상대적으로 신중하면서도 비밀스럽게 해킹 작전을 개시한 SVR가 아닌 러시아의 GRU 군사 정보기관이다. 그러나 낫페트야 공격과 솔라윈즈 해킹 사태의 차이는 해킹 작전 개시를 위해 쓴 수단의 비슷한 특성보다는 크게 중요하지 않다. 체스니 교수는 “러시아를 하나의 조직으로 간주한다. 조직 구성원 한 명이 러시아라는 조직을 인정할 기회를 날렸다. 따라서 조직 구성원 전원이 처벌을 받는 것이다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
US Sanctions on Russia Rewrite Cyberespionage's Rules